Trainning - Cobit Foundation v41 or

274
Instrutor: Alcides Casarin Junior email: [email protected] Formação: COBIT 4.1 Foundations www.trainning.com.br

description

COBIT

Transcript of Trainning - Cobit Foundation v41 or

Page 1: Trainning - Cobit Foundation v41 or

Instrutor: Alcides Casarin Junioremail: [email protected]

•Formação: COBIT 4.1 Foundations

• www.trainning.com.br

Page 2: Trainning - Cobit Foundation v41 or

Formação: COBIT 4.1 Foundations

www.trainning.com.br

Page 3: Trainning - Cobit Foundation v41 or

• Welcome• Respondendo aos Desafios de TI• Governança (Corporativa e TI)• Introdução ao Cobit• Estrutura do COBIT• Guidelines (Management and Assurance )• Recursos e Implementações• Material Complementar

Page 4: Trainning - Cobit Foundation v41 or

•Trainning• Instrutor•Classe

Page 5: Trainning - Cobit Foundation v41 or

•O objetivo deste curso é preparar o aluno para a prova de Certificação COBIT® Foundation.

COBIT® é marca registrada do ISACA e do ITGI

Page 6: Trainning - Cobit Foundation v41 or

Motivação – ITGI e ISACACrescente criticidade da tecnologia da informação para sucesso empresarial

ISACA - Information Systems Audit and Control Association

• Fundada em 1967• Mais de 175 capitulos estabelecidos em mais de 70 paises• Mais de 75.000 associados espalhados por mais de 160 paises• Em 1992 a idealização do COBIT foi concebida, mas a primeira versão foi liberada em

1996.• Site: www.isaca.org

ITGI - IT Governance Institute

• Fundada em 1998• Visa beneficiar as empresas, ajudando líderes em suas responsabilidades de fazer a TI

bem sucedida no apoio a missão e aos objetivos da empresa• Oferece pesquisa, recursos eletrônicos e casos de estudos para ajudar líderes e o

conselhos de diretores em suas responsábilidades sobre Governança de TI.• Site : www.itgi.org

Page 7: Trainning - Cobit Foundation v41 or

Control Objectives for Information and related Technology

Estrutura de controles desenvolvidos por auditores de sistemas.

A estrutura foi construída a partir de padrões e práticas já existentes.

É uma ferramenta prática de gerenciamento e não uma metodologia

Uma estrutura de governança e controle que foca em “o que precisa ser feito (achieved) ” ao invés de “como

fazer”

Page 8: Trainning - Cobit Foundation v41 or

•Onde fazer a prova:

▫Pesquisar por parceiros http://cobitcampus3.isaca.org

▫ITPreneurs www.itpreneurs.com

Page 9: Trainning - Cobit Foundation v41 or

▫ Prova 40 questões multipla escolha Duração de uma hora Mínimo de 28 (70%) questões corretas

▫ Pré-requistito Nenhum

▫ Investimento (Média) U$ 120.00 - Direto R$ 500,00 – Parceiros

▫ Certificado Cobit Foundation é pré-requisto para os cursos Workshop: Implementing IT Governance using COBIT Curso: COBIT for Sarbanes Oxley IT compliance

▫ Créditos Continuous Professional Education (CPE) Certificado mundialmente reconhecido

Page 10: Trainning - Cobit Foundation v41 or

•Documento de Identificação

•Prova subjetiva

•Lingua inglesa e Portuguesa

•Qual a melhor resposta

•Tempo

• Intervalo

Page 11: Trainning - Cobit Foundation v41 or

Estratégia para estudo

• Cadastre-se no site: www.isaca.org• Baixe os livros abaixo

• COBIT 4.1 • Board Briefing on IT Governance, 2nd Edition

• Ler COBIT até a página 28• Ler COBIT: Sumário de c/ Objetivo de Controle de Alto Nível• Ler COBIT: Anexo VIII, atente-se para o item denominado VAL IT• Ler - Board Briefing on IT Governance (Recomendado)• Faça TODOS os simulados• Meta de acerto de 35 questões, marque o exame!

Page 12: Trainning - Cobit Foundation v41 or

Roteiro para aplicação da prova

O exame é realizado pela internet através do site da IT Preneurs, você não precisa fazer o exame em um centro de testes, pode fazer em qualquer computador com acesso a internet.

Não é necessário informar que fez um curso presencial.

Passos para registrar-se no exame:

1 - Comprar a prova do COBIT no site da IT Preneurs2 - Baixar os formularios de registro do candidato e do Proctor. O Proctor é a pessoa que vai

acompanhar você durante o exame, é quem vai receber o login para iniciar o exame. Você pode escolher qualquer amigo seu ou colega de trabalho para ser o seu Proctor.

3. Envie os formulários de registro para o e-mail da IT Preneurs já com a data e horário que você quer realizar a prova.

4. O seu Proctor irá receber no e-mail dele os dados para iniciar a prova um dia antes do exame marcado.

5. Entre no horário marcado com o login e senha e realize o exame no site da IT Preneurs.6. Após 30 dias você receberá seu certificado por correio, caso você seja aprovado. É

necessário acertar 28 questões. A prova tem 40 questões em inglês

Fonte: www.itpreneurs.com

Page 13: Trainning - Cobit Foundation v41 or

Respondendo os Desafios de TI Responding to IT Challenges

Page 14: Trainning - Cobit Foundation v41 or

• Desafios de TI

▫ Manter a TI funcionando▫ Criação de Valor▫ Redução de Custos▫ Gerenciamento das Complexidades▫ Alinhamento com o Negócio▫ Cumprimento das regulamentações externas▫ Segurança

• Resposta aos Desafios de TI▫ Estrutura de Controle

Page 15: Trainning - Cobit Foundation v41 or

Manter a TI funcionando - Keeping IT running

As empresas dependem fortemente da TI, quando os sistemas se tornam indisponíveis os impactos nos negócios podem ser significativos

“When a server stops responding, the end user is not able to track data. This leads to loss of customers/business” (Quando um servidor para

de responder, o usuário final não é capaz de monitorar os dados. Isto leva à perda de clientes / negócios)

Exemplos

• Processos críticos de negócio, como emissão de notas fiscais, podem ser interrompidos.

• Os usuários de TI perdem acesso à suas agendas, e-mail e documentos.

• Os clientes não conseguem contatar a central de atendimento• Perda de negócios, redução de lucro e prejuízo à imagem da

organização.

Page 16: Trainning - Cobit Foundation v41 or

Valor - Value

A empresa precisa garantir que todas as ações da TI forneça valor, pois seus investimentos são significativos dada a sua importância estratégica.

“Keeping track of IT expenditure is as important as keeping track of other business expenditure” (Manter-se a par das despesas TI é tão importante como

manter o rasto de outras despesas empresariais)

Em muitos dos projetos de TI que excedem os orçamentos ou prazos, os problemas típicos são:

• Requerimentos definidos de forma superficial• Sistemas são muito complexos para serem implementados• Falta de recursos com habilidades necessárias• Esforço requeridos de forma subestimada• Fraca gestão de projetos.

Page 17: Trainning - Cobit Foundation v41 or

Custos - Cost

Apesar da forte pressão por redução do orçamento de TI, os gastos de TI ainda são considerados em algumas empresas como “fora de controle”.

“Keeping track of IT expenditure is as important as keeping track of other business expenditure”

Razões

• Muitas empresas não apuram custos associados com ativos e serviços de TI.

• Os orçamentos de TI aumentam todos os anos como resultado da complexidade dos contratos de licenciamento, manutenção e terceirização.

• Projetos mal administrados que geram orçamentos adicionais.• Os gastos em TI pelas unidades de negócio e do próprio

departamento de TI não são coordenados.

Page 18: Trainning - Cobit Foundation v41 or

Gerenciamento das Complexidades - Managing Complexity

As inovações tecnológicas ocorrem rapidamente e a TI sofre pressão de muitos fornecedores

“Managing vendors is a critical task, and this should be done with great care” (Gerenciamento de fornecedores é uma tarefa crítica, e deve ser feito com

muito cuidado)

Complexidades

• Manutenção das competências técnicas• Gerenciamento de diversas infra-estruturas tecnológicas• Adaptação para mudanças rápidas e novos desenvolvimentos• Gerenciamento de relacionamentos externos e fornecedores de

serviços.

Page 19: Trainning - Cobit Foundation v41 or

Alinhamento de TI aos Negócios - Aligning IT with Business

Em muitas empresas, o gap entre o que os usuários esperam e o que o TI fornece continua a existir.

“You need to make sure that IT and the business are aligned with each other instead of working in parallel” (Você precisa ter a certeza que TI e negócios estão alinhados uns com os outros em vez de trabalhar em paralelo)

Principais razões

• Requerimentos de negócio definidos de forma superficial.• Inabilidade de definir prioridades• Complexidade dos projetos• Falta de comprometimento das áreas de negócio• Falta de direcionamento de negócio para as soluções• Falha de comunicação entre o negócio e TI.

Page 20: Trainning - Cobit Foundation v41 or

Cumprimento das Regulamentações - Regulatory Compliance

As regulamentações que governam as operações de negócio impactam nos sistemas de TI.

“Specific compliance requirements need to be understood. A legal contract should be in place before interacting with other organizations” (Cumprimento das obrigações específicas precisam ser compreendidas. Um contrato legal deve ser

posto em prática antes de interagir com outras organizações)

A área de TI precisa entender as leis e requerimentos regulatórios locais e internacionais que estejam

relacionadas à:

• Governança corporativa e relatórios financeiros• Privacidade e segurança

Page 21: Trainning - Cobit Foundation v41 or

Segurança - Security

O desejo de fazer a informação ser prontamente disponível pela tecnologia gera riscos de segurança.

“The goals include agreed and aligned objectives for IT, effective controls, and efficient performance tracking.” (As metas incluem objetivos acordados e

alinhados para TI, controles eficazes e desempenho eficiente de monitoramento)

Fatores

• O uso de rede de comunicação, expõe os sistemas internos para o mundo.• Vírus e hackers• Mal uso da informação• Complexidades técnicas do ambiente e os problemas de segurança

associados• Baixa conscientização a questões de segurança entre os usuários de TI.

Page 22: Trainning - Cobit Foundation v41 or

Para efetivamente resolver os problemas de TI é necessário ligar os desafios de TI com uma estrutura de controle e determinar como estes desafios podem ser melhor gerenciados

“A control framework for IT governance defines the reasons IT governance is needed, the stakeholders and what it needs to accomplish” (Uma estrutura

de controle de governança de TI define as razões por que governança de TI é necessária, os interessados e o que é preciso realizar)

Motivadores

• Vantagem Competitiva• Tratar os Riscos• Explorar os benefícios de TI• Requerimentos de negócio• Requerimentos das normas regulatórias

Page 23: Trainning - Cobit Foundation v41 or

Foco no Negócio – Focused on the business

O objetivo é alinhar a TI aos objetivos de negócio

“Provide a business focus to enable alignment between business and IT objectives” (Prover foco no negócio para permitir o alinhamento entre os objetivos de negócios e TI )

“link the management’s IT expectations with the management’s ITresponsibilities”

(vincula as expectativas de gerenciamento de TI com as responsabilidades de gerenciamento de TI )

“The objective is to facilitate IT governance: to deliver IT value while managing IT risks”

(O objetivo é facilitar a governança de TI: entregar valor de TI enquanto gerencia os riscos de TI)

“an organization should involve IT in business-level decision making so that IT can align its objectives with business objectives”

(A organização deverá envolver TI a nível da tomada de decisão nos negócios, para que possa alinhar os seus objetivos com os objetivos empresariais)

Page 24: Trainning - Cobit Foundation v41 or

Orientação a Processo - Focused on Process

Garantir que as atividades são organizadas em processos e que possuem responsáveis pelas execução das mesmas

“Establish a process orientation to define the scope and extent of coverage, with a defined structure enabling easy navigation of content”

(Estabelecer orientação a processos para definir o escopo e a extensão da cobertura, com uma estrutura definida que permita fácil navegação dos conteúdos)

Page 25: Trainning - Cobit Foundation v41 or

Aceitabilidade Geral - Generally Acceptable

As melhores práticas para a Governança de TI:

Testadas e globalmente aceitas e que aumentam a contribuição da TI para o sucesso da organização.

Estas práticas foram desenvolvidas baseadas nas experiências de diversos especialistas do mundo todo

“Be generally acceptable by being consistent with accepted IT good practices and standards and independent of specific technologies”

(Ser geralmente aceitas por serem coerentes com as boas práticas e normas e independente de tecnologias específicas)

Page 26: Trainning - Cobit Foundation v41 or

Linguagem Comum - Common Language

Ao longo do tempo, as melhores práticas tendem a adquirir uma terminologia distinta que é definida por uma estrutura.

A terminologia comum permite comunicação dentro da organização, entre profissionais de outras empresas e com parceiros e terceiros

“Supply a common language with a set of terms and definitions that are generally understandable by all stakeholders”

(Fornecer uma linguagem comum com um conjunto de termos e definições que são geralmente compreensíveis por todos os interessados)

Page 27: Trainning - Cobit Foundation v41 or

Linguagem Comum - Common Language

Stakeholders within the enterprise who have an interest in generating value from IT investments: (Os “stakeholders” dentro da empresa que têm interesse em gerar valor a partir dos investimentos em TI)

• Those who make investment decisions (Aqueles que tomam decisões de investimentos)

• Those who decide about requirements (Aqueles que decidem sobre requisitos)

• Those who use IT services (Aqueles que usam os serviços de TI)

Internal and external stakeholders who provide IT services: (Os “stakehorders” internos e externos que prestam serviços TI)

• Those who manage the IT organisation and processes (Aqueles que gerenciam a organização e processos de TI)

• Those who develop capabilities (Aqueles que desenvolvem capacidades)

• Those who operate the services ( Aqueles que operam os serviços)

Internal and external stakeholders who have a control/risk responsibility: (Os “stakeholders” Internos e externos que tenham responsabilidades sobre controle / risco )

• Those with security, privacy and/or risk responsibilities (Aqueles com responsabilidades na segurança, privacidade e/ou riscos.)

• Those performing compliance functions (Aqueles que executam funções de conformidade)

• Those requiring or providing assurance services (Aqueles que exigem ou fornecem serviços de garantia)

Page 28: Trainning - Cobit Foundation v41 or

Requerimentos Regulatórios - Regulatory Requirements

O cumprimento à regulamentações é geralmente uma tarefa cara e onerosa.

É mais fácil demonstrar cumprimento se uma estrutura de controle for baseado em um padrão aceito pelo mercado.

Auditores também são beneficiados quando realizam auditorias de controles quando o modelo aceito é adotado pelas empresas

“Help meet regulatory requirements by being consistent with generally accepted corporate governance standards (e.g., COSO) and IT controls expected by regulators

and external auditors”(Ajuda a satisfazer os requisitos regulatórios por ser coerente com as normas geralmente aceitas de governança

corporativa (por exemplo, COSO) e controles de TI esperado pelas autoridades reguladoras e auditores externos)

Page 29: Trainning - Cobit Foundation v41 or

• COSO

▫ Committee of Sponsoring Organisations of the Treadway Commission’s (COSO’s) Internal Control

Estrutura de controle amplamente aceita para a Governança Corporativa e Gerência de Risco (COSO ERM)

Fonte: www.coso.org

Page 30: Trainning - Cobit Foundation v41 or

COSO

Processo de controles internos, executados pelo comitê administrativo, gestores e outras pessoas designadas a garantir a realização de objetivos nas seguintes categorias:

▫ Eficácia e eficiência das operações ▫ Confiabilidade nas informações financeiras▫ Conformidade com leis e regulamentações

Tem sido adotado por muitos setores privados e governamentaisEstrutura de controle que influência o desenvolvimento de outros

controles e estruturas de gerenciamento, como por exemplo o COBIT

Fonte: Board Briefing On It Governance, 2Nd Ed

Page 31: Trainning - Cobit Foundation v41 or

COBIT

“Control Objectives for Information and related Technology”Objetivos de Controle para Informações e Tecnologias relacionadas

Estrutura de controle amplamente aceita para a Governança de TI

Fonte: www.isaca.org

Page 32: Trainning - Cobit Foundation v41 or

COBIT

O COBIT é um framework de governança e controle, que foca no que precisa ser alcançado ao invés de se preocupar em como alcançar.

• É uma estrutura de controles, construída a partir de padrões e práticas já existentes, tornando-se uma ferramenta prática de gerenciamento e não uma metodologia.

• Como um modelo de controle, o COBIT deve ser adaptado para empresa, plataforma de TI e padrões de sistemas

Page 33: Trainning - Cobit Foundation v41 or

Governança CorporativaEnterprise Governance

Governança de TI IT Governance

Page 34: Trainning - Cobit Foundation v41 or

Governança Corporativa▫ Conceito▫ Envolvidos▫ Envolve e Objetivo▫ Benefícios

Governança TI▫ Conceito e Envolve▫ Motivador▫ Incorporada a Governança Corporativa▫ Importância: Valor, Risco e Controle▫ Responsabilidade, Integra e institucionaliza e conjunto de controles▫ Benefícios▫ Os Princípios da Governança de TI▫ As Partes Interessadas da Governança de TI▫ Escopo da Governança de TI▫ Governança de TI X Gerenciamento de TI

Page 35: Trainning - Cobit Foundation v41 or

Conceito

“É o conjunto de práticas que tem por finalidade otimizar o desempenho de uma companhia ao proteger todas as partes interessadas — como investidores, empregados e credores — facilitando o acesso ao capital.”

Fonte: www.cvm.gov.br

“Sistema pelo qual as sociedades são dirigidas e monitoradas, envolvendo os relacionamentos entre acionistas/cotistas, conselho e administração, diretoria, auditoria independente e conselho fiscal. As boas práticas de governança corporativa têm a finalidade de aumentar o valor da sociedade, facilitar seu acesso ao capital e contribuir para a sua perenidade.”

Fonte: www.ibgc.org.br

Page 36: Trainning - Cobit Foundation v41 or

Envolve

▫ Direitos dos acionistas▫ Eqüidade no tratamento dos acionistas ▫ Função dos acionistas▫ Transparência e Revelação (Prestação de Contas)▫ Responsabilidade do comitê administrativo (Atividades, Social e

Ambiental)

Objetivo

▫ Aumento do valor da companhia▫ Proteger contra desvios de ativos▫ Proteção aos investidores ▫ Valorização da Empresas

Fonte: www.cvm.gov.br e COBIT - Board Briefing on IT Governance, 2nd Ed

Page 37: Trainning - Cobit Foundation v41 or

Benefícios

• Aprimoramento do processo decisório da alta gestão• Separação clara de papéis entre acionistas, conselheiros e executivos• Melhoria dos mecanismos de avaliação de desempenho e recompensa

dos executivos• Diminuição da probabilidade de ocorrência de fraudes e corrupção• Maior institucionalização e a melhor imagem da companhia

Fonte: www.ibgc.org.br

Page 38: Trainning - Cobit Foundation v41 or

Conceito

“Conjunto de estruturas e processos que visa garantir que a TI suporte e maximize adequadamente os objetivos e estratégias de negócio da organização, adicionando valores aos serviços

entregues, balanceando os riscos e obtendo o retorno sobre os investimentos em TI”

Envolve

▫ Os Princípios da Governança de TI▫ As Partes Interessadas da Governança de TI▫ Escopo da Governança de TI

Fonte: COBIT - Board Briefing on IT Governance, 2nd Ed

Page 39: Trainning - Cobit Foundation v41 or

Motivador

Empresas estão adotando ou revendo práticas de Governança de TI devido:

▫ Crescentes investimentos em TI

▫ Aumento da terceirização dos serviços de TI

▫ Redução de pessoal no setor de TI das empresas que utilizam serviços de TI

▫ Benefícios gerados para a empresa

Page 40: Trainning - Cobit Foundation v41 or

Organizações tem utilizado metodologias ou práticas consolidadas no mercado como suporte a Governança de TI, tais como:

• Cobit - Control Objectives for Information and Related Technology

• ITIL - InformationTechnology Infrastruture Library

• International Standards Organization (ISO) 9000 e 20000

• Balanced Scorecard (BSC) de TI

• Seis Sigma

• Project Management Institute (PMI)

• Capability Maturity Model (CMM).

Page 41: Trainning - Cobit Foundation v41 or

Incorporada a Governança Corporativa

▫ Devido a necessidade da TI no operacional do negócio e ao aumento da demanda por transparência, conformidade e perenidade, exige que a Governança Corporativa:

Forneça liderança, estruturas organizacionais e processos Trate-a no planejamento estratégico Expectativas sobre TI sejam alcançadas Riscos relacionados sejam gerenciados

“Governança de TI é de responsabilidade da Diretoria e Gerência Executiva e que a Governança de TI faz parte da Governança da

Empresa”

Fonte: COBIT - Board Briefing on IT Governance, 2nd Ed

Page 42: Trainning - Cobit Foundation v41 or

A Tecnologia e a Informação são os fatores de sucesso para muitas empresas, a Governança Corporativa, portanto, entende como elementos

chaves:

▫ Valor Maximização de benefícios Capitalização sobre oportunidades Ganho de vantagem competitiva

▫ Risco: Entender e gerenciar Conformidade as normas e regulamentações externas Dependência da TI que suporta o processo de negócio

▫ Controle Responsabilidades sobre as atividades que suportam o negócio Alinhamento e alcance as expectativas de negócio

Page 43: Trainning - Cobit Foundation v41 or

“É de responsabilidade dos executivos e do comitê administrativo, consiste na liderança, dos processos e da estrutura organizacional que

assegura que a TI sustente e estenda a estratégia e objetivos organizacionais.”

• Integra e institucionaliza comprovadas atividades e processos que tem sido utilizadas por múltiplas empresas de forma bem sucedida (Best Practice) para assegurar que a área de TI da empresa suporta os objetivos e expectativas de negócio.

• Necessário um conjunto de controles fundamentais que auxilie os responsáveis pelos processos de negócio a prevenir perdas financeiras ou informações da organização (Control Framework - estrutura de controle) e que se ajuste ao Controle Integrado da Governança Corporativa (COSO), tornando possível o alcance dos objetivos estratégicos.

Page 44: Trainning - Cobit Foundation v41 or

Governança foca em balancear os objetivos de desempenho estratégico, normas regulatórias e outros requerimentos obrigatórios que são frequentemente suportadas pelas políticas corporativas.

 

Exemplos

• Em um banco, um bom desempenho é disponibilizar um conjunto de serviços online, portanto, este deve gerenciar temas como (conformance requirements)

• Privacidade da informação,• Integridade dos dados das contas• Responder a normas regulatórias, tais como planos de

recuperação.

Page 45: Trainning - Cobit Foundation v41 or

Benefícios

A Governança de TI gera: confiança na alta administração e nas tomadas de decisões, provisão de alinhamento dos objetivos

entre TI e Negócio tornando-a mais flexível e pró-ativa as necessidades de negócio, também atua na prevenção: utilizando

alertas e avisos quando eventos indesejáveis ou planejados ocorrerem e assegura transparência, para que qualquer pessoa

autorizada obtenha a informação desejada

“Pesquisa realizada pelo MIT em 2005 conclui que empresas com políticas de governança em TI mais efetivas têm lucros mais altos

do que as outras – ordem de 20%”

Page 46: Trainning - Cobit Foundation v41 or

Benefícios

Confiança: da alta administração e nas tomadas de decisãoConfidence of top management

A TI é geralmente confusa e difícil de ser entendida pela alta administração. Um programa efetivo de Governança de TI pode colocar todos na mesma página ao prover uma linguagem comum, fornecer mecanismos claros de tomada de decisão e facilitar a transparência e precisão na informação gerencial.

Quando a alta gerência obtêm uma visão clara de como a TI está desempenhando, ela aumenta sua confiança nas decisões de investimento.

“Information is available to the board to make decisions and be aware of IT activities”

(A informação está disponível para o conselho de administração para tomar decisões e estar consciente das atividades de TI)

Page 47: Trainning - Cobit Foundation v41 or

Benefícios

Pró-atividade de TI para o negócioMore responsiveness to business needs

O TI fica mais pró-ativa para as necessidades de negócio. Agilidade, flexibilidade e pró-atividade são atributos vitais da área de TI em seu suporte para as necessidades de negócio.

Uma efetiva Governança de TI garante uma clara cadeia de comando, tomada de decisão eficiente e maior confiança em correr riscos e fazer investimentos.

“IT resources are performing at optimum levels. IT focuses on business drivers and critical processes”

(Os recursos de TI estão em níveis ótimos de performance. TI focada nos direcionadores de negócios e processos criticos)

Page 48: Trainning - Cobit Foundation v41 or

Benefícios

Maior retorno de investimento Higher Return on Investment (ROI)

Na média, a grande porção dos investimentos de TI é perdida devido a falhas de projetos, ineficiência na infra-estrutura e processos não padronizados e mal geridos.

Uma Governança de TI efetiva ajuda a reduzir falhas de projeto, otimizar a infra-estrutura de TI e aumentar a eficiência dos processos de TI.

“A higher ROI implies greater value to the business and better quality of services, enabling the overall business strategy”

(Um ROI mais elevado implica maior valor ao negócio e melhor qualidade dos serviços, habilitando a estratégia empresarial global)

Page 49: Trainning - Cobit Foundation v41 or

Benefícios

Mais confiança nos serviços - More reliable services

A Governança de TI garante que os processos e serviços críticos de TI sejam monitorados e que incidentes ou falhas de alta prioridade sejam endereçadas e resolvidas. Serviços que requerem altos níveis de confiabilidade são implementados com uma infra-estrutura robusta e flexível para minimizar a probabilidade de falha ou indisponibilidade de serviços.

A Governança de TI garante riscos menores, melhor qualidade dos serviços e maior satisfação de clientes e usuários.

“Alerts exist to indicate when things go wrong. Such alerts reduce the chances of failure because problems are detected early”

(Alertas existem para indicar quando as coisas correm mal. Esses alertas reduzem as chances de uma falha ocorrer, porque os problemas são

detectados precocemente)

Page 50: Trainning - Cobit Foundation v41 or

BenefíciosMaior transparência - More transparency

Boa governança ajudará a fornecer ao gerentes de negócio informações mais claras, confiáveis e precisas sobre a situação dos projetos e os custos dos serviços de TI.

Maior transparência significa que as partes interessadas obterão informação de uma forma que eles entendam, com maior confiança e que as informações estão corretas.

Uma estrutura de Governança de TI efetivamente implementada garante que a informação certa está disponível para o nível correto de decisores, do contrário, a informação tende a se perder na miríade de dados.

“Information is available to the appropriate decision makers to monitor IT activities by using accurate performance measures”

(A informação está disponível para os tomadores de decisão para monitorar as atividades deTI utilizando medidas precisas de desempenho)

Page 51: Trainning - Cobit Foundation v41 or

Os Princípios da Governança de TI

(Para uma efetiva governança de TI )

Direção - DirectAlta direção fornece liderança, estruturas organizacionais e processos que assegurem

que as estratégicas de TI sustentem e atendam estratégias e objetivos da empresa, para isso entende as mudanças e direciona as agendas dos envolvidos

Controle - ControlPermite: “feedback”, que auxilia o alcance dos objetivos e diminui/elimina

probabilidade de ocorrências indesejáveis

“Giving clear direction on what is required by the management and applying controls to ensure that the requirements are met”

(Dar orientação clara sobre o que é exigido pela gestão e aplicação de controles para garantir que os requisitos sejam obtidos)

Page 52: Trainning - Cobit Foundation v41 or

Os Princípios da Governança de TI

Responsabilidade - Responsibility

O Presidente normalmente é o responsável pelo controle interno.

Os diretores seniores determinam a responsabilidade para o estabelecimento de um controle interno específico ao pessoal responsável pelas unidades funcionais (departamentos).

O Controle interno é de responsabilidade de todos em uma organização e pode ser uma função explícita ou implícita.

“Making it clear who is responsible for specific tasks” (Deixando claro quem é responsável por tarefas específicas)

Page 53: Trainning - Cobit Foundation v41 or

Os Princípios da Governança de TI

Prestação de Contas (Accountability)

A prestação de contas é a obrigação dos funcionários em prestar contas/reportar/explicar suas ações sobre o uso dos recursos que lhes foram disponibilizados.

Os gestores devem prestar contas ao Comitê Executivo, que por sua vez fornece a definição de responsabilidades, direção e monitoramento.

“Making it clear who has the authority to make decisions and approve the outc ome of specific tasks”

(Deixando claro quem tem a autoridade para tomar decisões e aprovar o resultado das tarefas específicas)

Page 54: Trainning - Cobit Foundation v41 or

Os Princípios da Governança de TI

Atividades - Activities

As atividades de TI são eficientes quando existe uma boa Governança de TI.

Não é ter excelência tecnológica e sim atender os requerimentos de serviços.

Por exemplo: folha de pagamento processada no final do mês; a área de TI precisa atender a esta necessidade.

“Identifying the actual processes and procedures that need to be performed to manage IT effectively”

(Identificar os processos e procedimentos atuais que necessitam ser realizados para gerir TI de forma eficaz)

Page 55: Trainning - Cobit Foundation v41 or

As Partes Interessadas da Governança de TI

É importante estar ciente sobre os interesses legítimos das partes interessadas, podendo antever-se para tratar de possíveis demandas e expectativas

• Shareholders ▫ “Correspondem a grupos que podem afetar ou serem afetados, de

modo significativo, pela empresa, incluindo os próprios acionistas”

• Stakeholders ▫ “São todas as partes interessadas que devem estar de acordo com

as práticas de governança corporativa executadas pela empresa”

Fonte: www.ibgc.org.br

Page 56: Trainning - Cobit Foundation v41 or

As Partes Interessadas da Governança de TI

• Stakeholders

Externos

– Fornecedores– Clientes– Público Geral– Usuários– Governo

Internos

– Acionistas– Diretores– Gerentes de Negócio– Gerente de TI– Funcionários

Page 57: Trainning - Cobit Foundation v41 or

As Partes Interessadas da Governança de TI

Preocupações (concerns)

• Como definiremos os direcionamentos de negócio para TI, entregar valor e gerenciar riscos?

• Como entregaremos os serviços de TI conforme solicitados pelo negócio e direcionados pelo Comitê Executivo?

• Como nós garantimos que as políticas, regulamentações e leis são cumpridas de acordo com os novos riscos identificados?

• Como nós fornecemos avaliações independentes sobre os valores entregues pelo TI e sobre as mitigações de riscos?

• Como garantimos a continuidade de negócio, para que a empresa não perca imagem, cliente e rentabilidade?

• Como garantimos que as informações confidencias não sejam divulgadas para os concorrentes

• Como garantimos que os dados estejam mantidos de forma segura• Como garantimos que os sistemas estejam prontos para serem auditados.

Page 58: Trainning - Cobit Foundation v41 or

• Alinhamento estratégico: foca em garantir a ligação entre os planos de negócios e de TI, definindo, mantendo e validando a proposta de valor de TI, alinhando as operações de TI com as operações da organização.

• Entrega de valor: é a execução da proposta de valor de TI através do ciclo de entrega, garantindo que TI entrega os prometidos benefícios previstos na estratégia da organização, concentrado-se em otimizar custos e provendo o valor intrínseco de TI.

• Gestão de recursos: refere-se à melhor utilização possível dos investimentos e o apropriado gerenciamento dos recursos críticos de TI: aplicativos, informações, infraestrutura e pessoas. Questões relevantes referem-se à otimização do conhecimento e infraestrutura.

• Gestão de risco: requer a preocupação com riscos pelos funcionários mais experientes da corporação, um entendimento claro do apetite de risco da empresa e dos requerimentos de conformidade, transparência sobre os riscos significantes para a organização e inserção do gerenciamento de riscos nas atividades da companhia.

• Mensuração de desempenho: acompanha e monitora a implementação da estratégia, término do projeto, uso dos recursos, processo de performance e entrega dos serviços, usando, por exemplo, “balanced scorecards” que traduzem as estratégia em ações para atingir os objetivos, medidos através de processos contábeis convencionais.

Áreas de Foco na Governança de TI

Page 59: Trainning - Cobit Foundation v41 or

Escopo da Governança de TI

• Alinhamento Estratégico - Strategic Alignment

O alinhamento estratégico refere-se ao alinhamento de TI à estratégia de negócio.

Garante que os investimentos da empresa em TI estejam alinhados com os objetivos estratégicos da empresa.

“IT succeeds only if the organization succeeds” (TI somente tem sucesso se a organização tiver sucesso)

“Valor dos Serviços de TI para o Negócio”

Page 60: Trainning - Cobit Foundation v41 or

Escopo da Governança de TI

Alinhamento Estratégico - Strategic Alignment

Objetivos Estratégicos

• Definição dos objetivos

• Criação (devising) de estratégias para atingir os objetivos

propostos

• Desenho de planos de ação para implementar as estratégias

Benefícios• Adição de valor para os produtos e serviços da empresa• Otimização do uso dos recursos• Capacitação para uma gestão eficiente e eficaz

Page 61: Trainning - Cobit Foundation v41 or

Escopo da Governança de TI

• Alinhamento Estratégico - Strategic Alignment

Exemplo:

Em um banco, um bom desempenho é disponibilizar um conjunto de serviços online.

Para este banco os serviços de net banking não é apenas a criação de um site, mas sim a geração de um novo modelo de negócio.

“focuses on ensuring the linkage of business and IT plans; defining, maintaining and validating the IT value proposition; and aligning IT

operations with enterprise operations” (Focada em garantir a vinculação dos planos de negócios e planos de TI; definindo,

mantendo e validando a proposição de valor de TI; e alinhando as operações de TI com as operações empresariais )

Page 62: Trainning - Cobit Foundation v41 or

Escopo da Governança de TI

• Entrega de Valor - Value Delivery

A TI estabelece um modelo para medir o valor entregue para o negócio antes de empreendê-lo, assegurando a transparência nos benefícios reais para o negócio.

A TI entrega valor para a organização ao entregar os benefícios prometidos a um custo razoável

“is about executing the value proposition throughout the delivery cycle, ensuring that IT delivers the promised benefits against the strategy,

concentrating on optimising costs and proving the intrinsic value of IT” (é sobre a execução da proposição de valor em todo o ciclo de entrega, garantindo

que a TI entregue os benefícios prometidos durante a estratégia, concentrando-se na otimização dos custos e provando o valor intrínseco de TI)

Page 63: Trainning - Cobit Foundation v41 or

Escopo da Governança de TI

• Entrega de Valor - Value Delivery

Exemplo

A área de TI de uma empresa Financeira entrega valor ao reduzir o tempo de processamento de uma transação de pagamento sem exceder seu orçamento e prazo. Para esta empresa, isto significa aumento da rentabilidade devido ao melhor posicionamento competitivo, resultando em maior satisfação de seus clientes.

Visto desta forma, fica mais fácil demonstrar o valor adicionado pelo TI; se analisar somente do ponto de vista (técnico) de aplicação ou banco de dados, se torna difícil justificar os investimentos de TI.

Page 64: Trainning - Cobit Foundation v41 or

Escopo da Governança de TI

• Gerenciamento de Risco - Risk Management

Garantir que os riscos significativos de TI são entendidos e gerenciados de forma correta, de modo: ▫ Assegurar a proteção dos ativos de TI▫ Recuperação de informações em caso de desastres ▫ Manter a continuidade da operação dos serviços de TI

Componentes do risco▫ Entendimento do grau (“apetite”) de risco ou o comportamento

da empresa em correr riscos.▫ Definição do impacto e probabilidade de um risco.▫ Aprovação de plano de ação para tratar o risco

Page 65: Trainning - Cobit Foundation v41 or

Escopo da Governança de TI

Gerenciamento de Risco - Risk Management Formas de tratamento

Mitigação - Risk Mitigation• Instalar controles que protejam a empresa contra riscos

Transferir - Risk Transfer• Dividir riscos com parceiros ou adquirindo seguros apropriados

Aceitação - Risk Acceptance• Conhecendo e monitorando os riscos e tendo um plano de respostas

desenvolvido

Evitar - Risk Avoidance• Adotando uma abordagem diferente para evitar completamente os riscos

Page 66: Trainning - Cobit Foundation v41 or

Escopo da Governança de TI

• Gerenciamento de Risco

“Requires risk awareness by senior corporate officers, a clear understanding of the enterprise’s appetite for risk, understanding of compliance requirements, transparency about the significant risks to

the enterprise and embedding of risk management responsibilities into the organisation”

(Requer sensibilização para os riscos por parte da diretoria senior da corporação, uma compreensão clara do apetite por risco da empresa, entendimento do cumprimento aos requisitos, transparência sobre os

riscos significativos para a empresa e incorporação das responsabilidades de gestão de riscos dentro da organização)

Page 67: Trainning - Cobit Foundation v41 or

Escopo da Governança de TI

Gerenciamento de Recursos - Resource Management

O objetivo é garantir que os recursos sejam capazes de entregar a estratégia de TI dentro de um custo otimizado

Ao otimizar os custos, o desafio principal é a identificação das habilidades, as tecnologias e a infra-estrutura.

“is about the optimal investment in, and the proper management of, critical IT resources: applications, information, infrastructure and people. Key issues relate to

the optimisation of knowledge and infrastructure” (é sobre a otimização dos investimentos e de um adequado gerenciamento dos recursos

críticos de TI: aplicações, informações, infra-estrutura e pessoas. As questões chave relacionadas a otimização do conhecimento e da infra-estrutura)

“Human resources are the major component of the IT resource cost base” (Os recursos humanos é o principal componente do custo base dos recursos de TI)

Page 68: Trainning - Cobit Foundation v41 or

Escopo da Governança de TI

Gerenciamento de Recursos - Resource Management

Um item chave para o desempenho da TI ter sucesso é o investimento otimizado, uso e alocação de recursos de TI para atender as necessidades da organização.

O gerenciamento de ativos é complexa, porque ativos envolve continuidade e freqüentemente não são gerenciados como um todo, conduzindo o não aproveitamento de software, questões de licenciamento e excessivos custos de manutenção.

Considerar onde e como terceirizar os serviços de forma que os terceiros gerem o valor prometido a um preço aceitável.

Page 69: Trainning - Cobit Foundation v41 or

Escopo da Governança de TI

Gestão de Desempenho - Performance Measurement

“Se você não pode medir, você não pode gerenciar” Peter Drucker

“Tracks and monitors strategy implementation, project completion, resource usage, process performance and service delivery, using, for example, balanced scorecards

that translate strategy into action to achieve goals measurable beyond conventional accounting”

(Rastrear e acompanhar a implementação da estratégia, conclusão do projeto, utilização dos recursos, desempenho do processo e a entrega dos serviços,

utilizando, por exemplo, Indicadores Balanceados de desempenho, para traduzir as estratégia em ações para atingir objetivos mensuráveis , além da

contabilidade convencional)

Page 70: Trainning - Cobit Foundation v41 or

Escopo da Governança de TI

Gestão de Desempenho - Performance Measurement

Para a gestão do desempenho dar certo, indicadores efetivos devem ser definidos e aprovados pelas partes interessadas.

Estes indicadores (ou métricas) podem ser acompanhadas por um painel (scorecards) de desempenho.

A idéia é desdobrar métricas de objetivos e metas para a TI provenientes das metas organizacionais.

Page 71: Trainning - Cobit Foundation v41 or

Escopo da Governança de TI

Gestão de Desempenho - Performance MeasurementComponentes

Mensuração: O ato ou processo de mensurar, obtendo um resultado, como um número expressando a extensão ou valor obtido através da medição.

Medida: múltiplos ou frações do padrão que estão sendo considerados p.ex: cinco centimetros

Indicador: dispositivo ou variável ao qual pode ser atribuído um estado pré-definido, com base nos resultados de um processo, ou na ocorrência de uma condição específica

p.ex: "flag" ou semáforo

Page 72: Trainning - Cobit Foundation v41 or

Escopo da Governança de TI

Gestão de Desempenho - Performance MeasurementComponentes

Métrica: medida quantitativa do grau segundo o qual um sistema, componente ou processo possui um dado atributo

Exemplo

Houve apenas dois erros descobertos pelo usuário nos primeiros 18 meses de operação.

Isto dá mais informação significativa do que dizer que o sistema entregue é de excelente qualidade.

Fonte:BFPUG (www.bfpug.com.br)

Page 73: Trainning - Cobit Foundation v41 or

Escopo da Governança de TI

Gestão de Desempenho - Performance MeasurementBalanced Scorecard - BSC

Sigla que pode ser traduzida para “Indicadores Balanceados de Desempenho”.

O termo “Indicadores Balanceados” se dá ao fato da escolha dos indicadores de uma organização não se restringirem unicamente no foco financeiro, as organizações também se utilizam de indicadores focados em ativos intangíveis como: desempenho de mercado junto a clientes, desempenhos dos processos internos e pessoas, inovação e tecnologia.

Page 74: Trainning - Cobit Foundation v41 or

Escopo da Governança de TI

Gestão de Desempenho - Performance MeasurementBalanced Scorecard - BSC

É uma metodologia disponível e aceita no mercado desenvolvida 1992 por: Harvard Business School: Robert Kaplan e David Norton.

Busca a maximização dos resultados baseados em quatro perspectivas que refletem a visão e estratégia empresarial:

▫ Financeira; ▫ Clientes; ▫ Processos internos▫ Aprendizado e crescimento;

Page 75: Trainning - Cobit Foundation v41 or

Gestão de Desempenho - Performance MeasurementBalanced Scorecard – BSC

Page 76: Trainning - Cobit Foundation v41 or

Gestão de Desempenho - Performance MeasurementBalanced Scorecard

Page 77: Trainning - Cobit Foundation v41 or

Gestão de Desempenho - Performance MeasurementBalanced Scorecard

Page 78: Trainning - Cobit Foundation v41 or

Governança de TI X Gerenciamento de TI

Gerenciamento de TI objetiva o fornecimento efetivo de serviços/produtos e da gestão das operações de TI no presente (foco interno)

A Governança de TI é mais abrangente, concentra-se no desempenho e transformação da TI, para atender demandas atuais e futuras do negócio da corporação (foco interno) e negócio do cliente (foco externo).

O Gerenciamento de TI pode ser realizado por um fornecedor externo já á Governança de TI é específica da organização

(direção e controle).

Page 79: Trainning - Cobit Foundation v41 or

Simulado

Respondendo aos Desafios de TI Governança Corporativa Governança de TI

Page 80: Trainning - Cobit Foundation v41 or

1. Which of the following is a key benefit of IT governance?

a)Improved business processesb)Responsiveness of ITc)Greater use of technologyd)Increased budget for IT projects

Page 81: Trainning - Cobit Foundation v41 or

2. A credit card processing company in the US plans to set up a transaction center in the Philippines. Which one of the following would be a measure of resource optimization?

A. Reducing costs while delivering better serviceB. Planning for disaster recovery in the event of a

disasterC. Providing faster and more reliable serviceD. Employing cheaper labor

Page 82: Trainning - Cobit Foundation v41 or

3. Match the scenario with the benefit of IT governance.Scenario1. Information is available to the board to make decisions and be

aware of IT activities.2. IT resources are performing at optimum levels. IT focuses on

business drivers and critical processes.3. Alerts exist to indicate when things go wrong. Such alerts reduce

the chances of failure because problems are detected early.4. Information is available to the appropriate decision makers to

monitor IT activities by using accurate performance measures.

BenefitsA. More responsiveness to business needsB. Confidence of top managementC. More transparencyD. More reliable services

Page 83: Trainning - Cobit Foundation v41 or

4. PQR Inc. is the preferred vendor of software solutions for many Fortune 500 companies, who insist on strict confidentiality of business information. How do you think COBIT can help PQR?

A. COBIT helps a vendor record the problems of each client and analyze these problems.

B. COBIT will help make sure that the security of business sensitive information is addressed.

C. COBIT will help make sure that staff communicates with a common language.

D. COBIT will help PQR’s customers to effectively monitor its software solutions.

Page 84: Trainning - Cobit Foundation v41 or

5. DIZ, a web design company has writers, designers, programmers, and managers. The cross-functional teams find it difficult to complete projects on schedule. The designers are unable to understand the terms used by managers and vice versa. How can COBIT help in this situation?

A. The COBIT framework helps cross-functional teams communicate by using a common language.

B. In the COBIT framework, only managers need to focus on business processes and the design team

concentrates on getting the job done on time.C. COBIT defines a model for efficient cross-functional coordination.D. COBIT helps them substantiate their opinions and provides

assurance on internal controls.

Page 85: Trainning - Cobit Foundation v41 or

6. The best way for organizations to ensure adequate security for their IT environment is by:

A. Investing in the latest access control software solutions and focusing on protecting the network.

B. Increasing the awareness of the management and users of their responsibilities and possible risks to their organization.

C. Physically protecting vulnerable computer equipment and storing it in locked rooms.

D. Focusing on an expert group and employing skilled security experts and advisors.

Page 86: Trainning - Cobit Foundation v41 or

7. Which domain of IT governance links IT activities to business strategy?

A. Strategic alignmentB. Value deliveryC. Risk managementD. Performance measurement

Page 87: Trainning - Cobit Foundation v41 or

8. Which of the following is a key feature of resource optimization?

A. Making sure that the lowest cost workforce has been obtainedB. Utilizing equipment as much as possibleC. Choosing a number of key product suppliersD. Ensuring that sufficient capability exists for business-critical

activities

Page 88: Trainning - Cobit Foundation v41 or

9. Which of the following is the best way to manage what constitutes “good service”?

A. Measure the maturity of service-related processes.B. Assess controls in service delivery.C. Create contractually defined service levels.D. Perform audits of service contracts.

Page 89: Trainning - Cobit Foundation v41 or

10. Which of the following is the most significant concern in the management of IT?

1. Keeping IT running2. Making technology work correctly3. Keeping up to date with the latest solutions4. Supporting developers with toolkits

Page 90: Trainning - Cobit Foundation v41 or

11. What is an essential attribute of successful performance management?

1. Frequently achieved targets2. Setting achievable goals3. Threatening sanctions if targets are not met4. Metrics defined and approved by stakeholders

Page 91: Trainning - Cobit Foundation v41 or

12. Which of the following is a common reason why IT projects exceed budget expectations or deadlines?

1. Cost of IT specialist2. Unavailability of the latest technology3. Underestimation of the effort required4. Lack of automation of development tools

Page 92: Trainning - Cobit Foundation v41 or

13. Which of the following is a common problem encountered when trying to align IT and the business?

1. Use of an external IT consultant for project management2. Communication gaps between the business and IT3. Inadequacy of problem management practices4. Rushing to develop too quickly

Page 93: Trainning - Cobit Foundation v41 or

14. Which of the following represents an organizational perspective of a balanced scorecard?

1.Control2.Learning3.Management4.Governance

Page 94: Trainning - Cobit Foundation v41 or

15. Which of the following is a principle of IT governance?

1. Accountability2. Reliability3. Availability4. Probability

Page 95: Trainning - Cobit Foundation v41 or

16. Which of the following is an objective of risk management?

1. Increasing the budget for IT security2. Transparency about significant risks to the enterprise3. Awareness of the latest IT security tools4. Undertaking a detailed risk analysis

Page 96: Trainning - Cobit Foundation v41 or

17. Which of the following is a potential benefit of strategic alignment?

1. Optimal use of resources2. Use of the latest technology3. Being first to market4. Delivery on time and within budget

Page 97: Trainning - Cobit Foundation v41 or

18. Which of the following is an important component of risk management?

1. Taking no risks2. Canceling any initiative that is risky3. Understanding the appetite for risks4. Using old, tried, and tested systems

Page 98: Trainning - Cobit Foundation v41 or

19. Which of the following is a perspective of a balanced scorecard?

1. A dashboard2. A metric3. A bonus scheme4. A customer

Page 99: Trainning - Cobit Foundation v41 or

20. Which of the following is a key feature of resource optimization?

1. Hiring a low-cost workforce2. Retaining hardware to minimize replacement costs3. Buying only proven products4. Optimizing costs

Page 100: Trainning - Cobit Foundation v41 or

Introdução ao COBIT

Page 101: Trainning - Cobit Foundation v41 or

• Missão• Origem• CobiT e os Outros Padrões• Princípios do COBIT• Componentes do COBIT

▫ Recursos TI ▫ Processos TI▫ Critérios da Informação

• Critérios da Informação X Requerimento de Negócio• Relacionamento: Governança Corporativa X Governança TI• Atendimento do COBIT aos requerimentos de uma Estrutura de

Controle • Utilizado por um número variado de audiência

Page 102: Trainning - Cobit Foundation v41 or

COBIT – Missão

“Pesquisar, desenvolver, publicar e promover um conjunto de objetivos de controle para tecnologia que seja embasado, atual,

internacional e aceito em geral para o uso do dia-a-dia de gerentes de negócio e auditores”

“To research, develop, publicise and promote an authoritative, up-to-date, internationally accepted IT governance control framework

for adoption by enterprises and day-to-day use by business managers, IT professionals and assurance professionals”

Page 103: Trainning - Cobit Foundation v41 or

COBIT - Origem

O COBIT® foi desenvolvido a partir do Committee of Sponsoring Organizations of the Treadway Commission-Internal Control - Integrated Framework (COSO) e mais de 50 padrões e práticas de mercado em TI

Page 104: Trainning - Cobit Foundation v41 or

COBIT - Outros Padrões

“COBIT can be used along with other international best practices and standards such as ITIL and ISO/IEC 17799, to integrate the deployment of the required standards”

“COBIT helps define what control should be implemented and acts as an umbrella and integrator to ensure business-focused deployment and coordination”

Page 105: Trainning - Cobit Foundation v41 or

COBIT - Outros Padrões

O COBIT está centralmente posicionado em um nível generalista, ajudando a integrar padrões técnicos com as práticas mais abrangentes de negócio. Ela valida o uso apropriado de outros padrões.

Page 106: Trainning - Cobit Foundation v41 or

Princípios do COBIT

Premissa de que a TI deve gerar informações que a empresa precisa para atingir os seus objetivos, e assim gerar valor ao negócio

Page 107: Trainning - Cobit Foundation v41 or

Componentes do COBIT

Empresas dependem de dados e de informações confiáveis e rápidas.

Os componentes do CobiT fornecem uma estrutura clara para determinar a entrega de valor, ao mesmo tempo em que gerencia risco e controle sobre os dados e informações;

Recursos TI

Processos TI

Critério da Informação

Requerimentos de Negócio

Page 108: Trainning - Cobit Foundation v41 or

Componentes do COBIT – Recursos TI - IT Resources

Para responder aos objetivos de negócio, a empresa necessita investir em recursos, afim de criar uma adequada capacidade técnica para suportar uma capacidade de negócio para alacançar os objetivos estratégicos

• Aplicativos: são os sistemas automatizados para usuários e os procedimentos manuais que processam as informações.

• Informações: são os dados em todas as suas formas, a entrada, o processamento e a saída fornecida pelo sistema de informação em qualquer formato a ser utilizado pelos negócios.

• Infraestrutura: refere-se à tecnologia e aos recursos (ou seja, hardware, sistemas operacionais, sistemas de gerenciamento de bases de dados, redes, multimídia e os ambientes que abrigam e dão suporte a eles) que possibilitam o processamento dos aplicativos.

• Pessoas: são os funcionários requeridos para planejar, organizar, adquirir, implementar, entregar, suportar, monitorar e avaliar os sistemas de informação e serviços. Eles podem ser internos, terceirizados ou contratados, conforme necessário.

Page 109: Trainning - Cobit Foundation v41 or

Componentes do COBIT – Processos TI - IT Process

Estes processos agrupam as atividades de TI mais comuns em um modelo de processo, facilitando a gestão dos recursos de TI em atender às necessidades de negócio.

Os processos de TI estão definidos e classificados em 4 domínios e 34 processos de TI. Estes processos, por sua vez, são desdobrados e definidos em atividades.

DomínioProcesso

Processo

Atividade

Atividade

Atividade

Page 110: Trainning - Cobit Foundation v41 or

Componentes do COBIT

Critérios da Informação – Information Criteria

Identificar o quanto e que tipo de controles são necessários para suportar o uso da informação e entender como os processos necessitam ser gerenciados, para

garantir que estas necessidades sejam alcançadas.

Exemplo:

Requerimento de segurança, como a confidencialidade, varia conforme o tipo da informação e de como ela é processada.

Page 111: Trainning - Cobit Foundation v41 or

Componentes do COBITCritérios da Informação – Information Criteria

Page 112: Trainning - Cobit Foundation v41 or

Componentes do COBIT

Critérios da Informação X Requerimento de Negócio

“Information criteria helps the business and IT understand the business requirements for information… define the quality and fiduciary and security

information requirements”

Page 113: Trainning - Cobit Foundation v41 or

Relacionamento: Governança Corporativa X Governança TI

COSO - Foco

Controles internos na camada de negócios

COBIT - Foco

Camada de aplicações e infra-estrutura de TI que suporta o

negócio

Page 114: Trainning - Cobit Foundation v41 or

Atendimento do COBIT aos requerimentos de uma Estrutura de Controle?

Foco no Negócio – Focused on the business

O CobiT alcança o estreito foco no negócio ao alinhar TI com os objetivos de negócio.

As medições de desempenho de TI devem focar na contribuição de TI para criar valor ao negócio.

CobiT fornece indicadores voltados para a entrega de serviços atuais e futuros, não de competência puramente técnica, balanceados (BSC) com a estratégica

corporativa objetivando as perspectivas:

Valor para o negócio (Financeira) Orientação para Usuários (Clientes) Excelência operacional (Processos internos) Orientação futura (aprendizagem e crescimento)

Page 115: Trainning - Cobit Foundation v41 or

Atendimento do COBIT aos requerimentos de uma Estrutura de Controle?

Orientação a Processo - Focused on Process

Quando as empresas implementam COBIT, seus focos se tornam mais orientados a processos.

Exceções são claramente identificadas e tratadas dentro dos processos.

Processos definem metas e responsabilidades e permitem a empresa conhecimento e manter o controle sobre os níveis de serviços

Page 116: Trainning - Cobit Foundation v41 or

Atendimento do COBIT aos requerimentos de uma Estrutura de Controle?

Aceitabilidade Geral - Generally Acceptable

O COBIT é um padrão mundialmente comprovado e aceito.

Guia criado a partir das melhores práticas e administrado por auditores.

Tem uma natural aceitação dentro das corporações, consultorias e empresas de auditoria em todo mundo.

Pode ser aplicado por empresas de pequeno, médio e grande porte.

Page 117: Trainning - Cobit Foundation v41 or

Atendimento do COBIT aos requerimentos de uma Estrutura de Controle?

Requerimentos Regulatórios - Regulatory Requirements

O framework CobiT é utilizado por gestores, consultores e auditores em todo mundo como guia de controles de TI a serem demonstrados para os órgãos regulatórios.

Page 118: Trainning - Cobit Foundation v41 or

Atendimento do COBIT aos requerimentos de uma Estrutura de Controle?

Linguagem Comum - Common Language

Atualmente, com o funcionamento de times globais e multifuncionais, força tarefas são sempre lideradas por pessoas que não são cientes do tamanho da implementação porque suas experiências vem de outra área da empresa.

Coordenação dentro e entre os times de projeto e empresas que podem fazer um papel decisivo para o sucesso de qualquer projeto.

COBIT ajuda a por todos os envolvidos na mesma “página” ao definir termos e glossários, implementando uma estrutura completa e organizada que acaba com as discussões internas que gastam muito tempo dos projetos que envolvem diversas áreas.

Page 119: Trainning - Cobit Foundation v41 or

Utilizado por um número variado de audiência

Responsável Governança de TI pode servir para os seguintes objetivos

Comitê Executivo Definir direção de TI, monitorar resultados e insistir nas ações corretivas

Gestor de Negócio Definir requerimentos de negócio para a TI, garantir que valor é entregue e riscos sejam gerenciados

Gestor de TI Entregar e melhorar os serviços de TI, conforme solicitados pelo negócio e direcionados pelo Comitê Executivo

Auditor Garantir que a TI entrega o que é preciso

Gestor de Risco e Controle Interno

Medir se políticas são cumpridas e focar na identificação de novos riscos.

Page 120: Trainning - Cobit Foundation v41 or

Simulado

Introdução ao COBIT

Page 121: Trainning - Cobit Foundation v41 or

1. COBIT is a framework that focuses on:

a. How to do it rather than what needs to be achievedb. What needs to be achieved rather than how to do itc. What needs to be organized rather than what needs to be

achievedd. What needs to be implemented rather than how to measure it

Page 122: Trainning - Cobit Foundation v41 or

02. COBIT’s definition of fiduciary requirements differs from that of COSO in that COBIT expands the scope to include:

a)Securityb)All informationc)Operationsd)Systems development

Page 123: Trainning - Cobit Foundation v41 or

03. The COBIT framework treats information as the result of the combined application of IT resources that are managed

by:

a)Information criteriab)Control objectivesc)IT processesd)Metrics

Page 124: Trainning - Cobit Foundation v41 or

04. Which of the following is the best way to use COBIT?

1. To design procedures2. As a mandatory standard3. As a guide to improve business processes4. To help prioritize which IT processes to improve

Page 125: Trainning - Cobit Foundation v41 or

05. How does the COBIT framework help an organization implement IT governance?

a)It contains ready-made work programs.b)It provides policies and standards that can be mandated.c)It provides good practice and guidance.d)It has controls that can be implemented on an as-is basis.

Page 126: Trainning - Cobit Foundation v41 or

06. Which of the following is a component of the COBIT framework?

1. Policies2. Audit programs3. Implementation guidance4. IT resources

Page 127: Trainning - Cobit Foundation v41 or

07. Which of the following is included as a component of the COBIT mission?

A. Produce an ISO standard.B. Certify companies and products.C. Provide consulting and implementation services.D. Develop internationally accepted control objectives.

Page 128: Trainning - Cobit Foundation v41 or

08. Which of the following is a characteristic of a control framework?

1. Strict rules2. Penalty for noncompliance3. Process orientation4. Measurement system

Page 129: Trainning - Cobit Foundation v41 or

09. What tool within COBIT helps the business and IT understand the business requirements for information?

1. Information criteria2. Key activity3. Control objective4. Maturity model

Page 130: Trainning - Cobit Foundation v41 or

10. Which of the following is a fiduciary requirement within COBIT information criteria?

1. Security2. Integrity3. Availability4. Operational effectiveness

Page 131: Trainning - Cobit Foundation v41 or

11. Which of the following is a COBIT security requirement?

1. Compliance2. Availability3. Reliability4. Efficiency

Page 132: Trainning - Cobit Foundation v41 or

12. Which of the following is a COBIT information criterion?

1. Fiduciary2. Quality3. Effectiveness4. Security

Page 133: Trainning - Cobit Foundation v41 or

13. Which of the following is a COBIT IT resource?

1. Database2. Infrastructure3. Operating system4. Contractor

Page 134: Trainning - Cobit Foundation v41 or

14. Which COBIT IT resource can be defined as the automated user systems and manual procedures that process information?

1. Applications2. Processes3. Systems4. Technology

Page 135: Trainning - Cobit Foundation v41 or

15. Which of the following is a fiduciary requirement within the COBIT Information Criteria?

1. Quality2. Cost3. Confidentiality4. Compliance with laws and regulations

Page 136: Trainning - Cobit Foundation v41 or

16. COBIT is intended for daily use by business managers and auditors as an international ser of generally accepted

a)Business Control Objectivesb)Information Technology Audit Objectivesc)Information Technology Control Objectivesd)Information Technology Control Procedures

Page 137: Trainning - Cobit Foundation v41 or

17. A primary advantage of adopting the COBIT Framework is that it?

a)Focuses on securityb)Is compatible with other frameworksc)Is based on accounting controlsd)Focused on operations

Page 138: Trainning - Cobit Foundation v41 or

18. Utilizing the CobiT Framework will help an organization to:

a)Be more aware of technological developments and approachesb)Develop systems quicker and at lower costs.c)Better align IT with the businessd)Hire more qualified and better skilled IT staff

Page 139: Trainning - Cobit Foundation v41 or

Estrutura do COBIT

Page 140: Trainning - Cobit Foundation v41 or

• Domínios do CobiT • Planejamento e Organização – Plan and Organise (PO)• Aquisição e Implementação – Acquire and Implement (AI)• Entrega e Suporte – Deliver and Support (DS)• Monitoração e Avaliação – Monitor and Evaluate (ME)• Objetivos de Controle - Control Objectives (Processo)• Práticas de Controle - Control Practices• Requisitos de Controle Genérico - Generic Control Requirements• Controles da Aplicação – Application Controls

Page 141: Trainning - Cobit Foundation v41 or

Domínios do CobiT

COBIT define atividades de TI em trinta e quatro processos genéricos agrupados em quatro domínios.

Estes domínios mapeiam as áreas de responsabilidades de TI:

▫ Planejar▫ Construir▫ Suportar▫ Monitorar

Os processos são os objetivos de controle que provê um conjunto de alto nível de requerimento a ser considerado pelo gerenciamento.

Controle são definidos como políticas, procedimento, práticas e estrutura organizacional designada a providenciar a garantia de que os objetivos de negócio serão alcançados e que eventos indesejáveis serão evitados ou detectados e corrigidos.

Page 142: Trainning - Cobit Foundation v41 or

Domínios do CobiT

A estrutura de controle do COBIT prove uma referência em modelo operacional e linguagem comum para toda a TI envolvida com o negócio, medindo e monitorando o desempenho e efetivamente estabelecendo uma comunicação eficiente com os provedores de serviços e integrando as melhores práticas de gerenciamento, levando a responsabilidade e a prestação de contas sobre os riscos e objetivos envolvidos.

Planejamento e Organização – Plan and Organise (PO)

“Provê direção para entrega de soluções (AI) e entrega de serviços (DS)”

Aquisição e Implementação – Acquire and Implement (AI)

“Provê as soluções e as transfere para tornarem-se serviços”

Entrega e Suporte – Deliver and Support (DS)

“Recebe as soluções e as torna passíveis de uso pelos usuários finais”

Monitoração e Avaliação – Monitor and Evaluate (ME)

“Monitora todos os processos para garantir que a direção definida seja seguida”

Page 143: Trainning - Cobit Foundation v41 or

Domínios do CobiT

Page 144: Trainning - Cobit Foundation v41 or

O modelo CobiT é formado pelos seguintes componentes principais, apresentados na publicação principal e organizado por 34 processos de TI, mostrando uma visão geral de como controlar, gerenciar e mensurar cada processo. Cada processo é coberto porquatro seções e cada uma delas é apresentada em cerca de uma página, como segue:

• A seção 1 contém uma descrição do processo que resume os objetivos do processo, apresentada no formato de cascata. Esta página também demonstra o mapeamento dos critérios de informação, recursos de TI e áreas de foco de governança de TI. A letra P indica um relacionamento primário e a letra S indica um secundário.

• A seção 2 apresenta os objetivos de controle desse processo.

• A seção 3 apresenta os processos de entrada e saída, tabela RACI, objetivos e métricas.

• A seção 4 apresenta o modelo de maturidade do processo.

Page 145: Trainning - Cobit Foundation v41 or

Seção 1

Page 146: Trainning - Cobit Foundation v41 or

Domínios do CobiTObjetivos de Controle - Control Objectives (Processo)

“A statement of the desired result or purpose to be achieved by implementing control procedures in a particular activity”

Uma declaração do resultado desejado ou objetivo a ser alcançado pela implementação de procedimentos de controle em uma atividade em particular

PO10 Gerenciar Projetos

Alto Nível - High-Level Detalhado - Detailed

PO10.1 Estrutura de Gestão de ProgramasPO10.2 Estrutura de Gestão de ProjetosPO10.3 Abordagem da Gestão de ProjetosPO10.4 Comprometimento das Partes InteressadasPO10.5 Declaração do Escopo do ProjetoPO10.6 Fase de Início do ProjetoPO10.7 Plano Integrado de ProjetoPO10.8 Recursos do ProjetoPO10.9 Gestão de Risco do ProjetoPO10.10 Plano de Qualidade de ProjetoPO10.11 Controle de Mudança de ProjetoPO10.12 Planejamento de métodos de validaçãoPO10.13 Medição de Desempenho, Monitoramento e Reporte do ProjetoPO10.14 Conclusão do Projeto

Page 147: Trainning - Cobit Foundation v41 or

Domínios do CobiT

Planejamento e Organização – Plan and Organise (PO)

Identificar maneiras nas quais o TI pode contribuir para o alcance dos objetivos de negócio.

• Estratégia e Táticas▫ TI e a estratégia de negócio estão alinhados?

• Visão Planejada▫ Todas as pessoas da organização entendem os objetivos do TI?

• Organização e Infra-estrutura▫ Os riscos de TI estão identificados e gerenciados?

Page 148: Trainning - Cobit Foundation v41 or

Domínios do CobiT

Planejamento e Organização – Plan and Organise (PO)

Planejar e Organizar PO1 Definir um Plano Estratégico de TI PO2 Definir a Arquitetura da Informação PO3 Determinar as Diretrizes de Tecnologia PO4 Definir os Processos, a Organização e os Relacionamentos de TI PO5 Gerenciar o Investimento de TI PO6 Comunicar Metas e Diretrizes Gerenciais PO7 Gerenciar os Recursos Humanos de TI PO8 Gerenciar a Qualidade PO9 Avaliar e Gerenciar os Riscos de TI PO10 Gerenciar Projetos

Page 149: Trainning - Cobit Foundation v41 or

Domínios do CobiT – PO10

Page 150: Trainning - Cobit Foundation v41 or

Domínios do CobiT – PO10

Page 151: Trainning - Cobit Foundation v41 or

Domínios do CobiT – PO10

Page 152: Trainning - Cobit Foundation v41 or

Domínios do CobiT – PO10

Page 153: Trainning - Cobit Foundation v41 or

Domínios do CobiT – PO10

Page 154: Trainning - Cobit Foundation v41 or

Domínios do CobiT – PO10

Page 155: Trainning - Cobit Foundation v41 or

Domínios do CobiT – PO10

Page 156: Trainning - Cobit Foundation v41 or

Domínios do CobiT – PO10

Page 157: Trainning - Cobit Foundation v41 or

Domínios do CobiT – PO10

Page 158: Trainning - Cobit Foundation v41 or

Domínios do CobiT

Aquisição e Implementação – Acquire and Implement (AI)

As soluções de TI precisam ser identificadas, desenvolvidas ou adquiridas e implementadas e integradas com os processos de negócio. Este domínio também cobre as mudanças dos sistemas (novos ou existentes) para garantir que eles operem sem interrupções.

• Soluções de TI▫ Os novos projetos são entregues dentro dos prazos e orçamentos?

• Mudanças e Manutenções▫ As mudanças podem ser realizadas sem causar problemas nas

operações de negócios atuais?

Page 159: Trainning - Cobit Foundation v41 or

Domínios do CobiT

Aquisição e Implementação – Acquire and Implement (AI)

Adquirir e Implementar AI 1 Identificar Soluções Automatizadas AI2 Adquirir e Manter Software Aplicativo AI3 Adquirir e Manter Infraestrutura de Tecnologia AI4 Habilitar Operação e Uso AI5 Adquirir Recursos de TI AI6 Gerenciar Mudanças AI7 Instalar e Homologar Soluções e Mudanças

Page 160: Trainning - Cobit Foundation v41 or

Domínios do CobiT – AI04

Page 161: Trainning - Cobit Foundation v41 or

Domínios do CobiT – AI04

Page 162: Trainning - Cobit Foundation v41 or

Domínios do CobiT – AI04

Page 163: Trainning - Cobit Foundation v41 or

Domínios do CobiT – AI04

Page 164: Trainning - Cobit Foundation v41 or

Domínios do CobiT – AI04

Page 165: Trainning - Cobit Foundation v41 or

Domínios do CobiT – AI04

Page 166: Trainning - Cobit Foundation v41 or

Domínios do CobiT – AI04

Page 167: Trainning - Cobit Foundation v41 or

Domínios do CobiT

Entrega e Suporte – Deliver and Support (DS)

Foca nas entregas dos serviços requeridos, gerenciamento da segurança e continuidade, suporte aos usuários e gerenciamento de dados e operacional.

• Entrega dos serviços solicitados▫ Os serviços de TI estão sendo entregues conforme sua prioridade de

negócio

• Definindo os processos de suporte▫ Os usuários de TI são capazes de utilizar os sistemas de TI de forma

produtiva e com segurança?

Page 168: Trainning - Cobit Foundation v41 or

Domínios do CobiTEntrega e Suporte – Deliver and Support (DS)

Entregar e Suportar DS1 Definir e Gerenciar Níveis de Serviços DS2 Gerenciar Serviços Terceirizados DS3 Gerenciar o Desempenho e a Capacidade DS4 Assegurar a Continuidade dos Serviços DS5 Garantir a Segurança dos Sistemas DS6 Identificar e Alocar Custos DS7 Educar e Treinar os Usuários DS8 Gerenciar a Central de Serviço e os Incidentes DS9 Gerenciar a Configuração DS10 Gerenciar Problemas DS11 Gerenciar os Dados DS12 Gerenciar o Ambiente Físico DS13 Gerenciar as Operações

Page 169: Trainning - Cobit Foundation v41 or

Domínios do CobiT – DS02

Page 170: Trainning - Cobit Foundation v41 or

Domínios do CobiT – DS02

Page 171: Trainning - Cobit Foundation v41 or

Domínios do CobiT – DS02

Page 172: Trainning - Cobit Foundation v41 or

Domínios do CobiT – DS02

Page 173: Trainning - Cobit Foundation v41 or

Domínios do CobiT – DS02

Page 174: Trainning - Cobit Foundation v41 or

Domínios do CobiT – DS02

Page 175: Trainning - Cobit Foundation v41 or

Domínios do CobiT – DS02

Page 176: Trainning - Cobit Foundation v41 or

Domínios do CobiT

Monitoração e Avaliação – Monitor and Evaluate (ME)

Regularmente avaliar os processos de TI quanto às questões de qualidade e cumprimento com requerimentos de controle e endereçar o processo de controle da empresa.

• Avaliações regulares e garantia de entrega▫ O desempenho de TI pode ser avaliado e os problemas podem ser

detectados antes que seja tarde?

• Visão gerencial do sistema de controle• Gerencia assegura que os controle internos são efetivos e eficientes?

• Avaliação do desempenho▫ Os riscos, controle, cumprimento e desempenho são medidos e

reportados?

Page 177: Trainning - Cobit Foundation v41 or

Domínios do CobiT

Monitoração e Avaliação – Monitor and Evaluate (ME)

Monitorar e Avaliar ME1 Monitorar e Avaliar o Desempenho de TI ME2 Monitorar e Avaliar os Controles Internos ME3 Assegurar a Conformidade com Requisitos Externos ME4 Prover Governança de TI

Page 178: Trainning - Cobit Foundation v41 or

Domínios do CobiT – ME01

Page 179: Trainning - Cobit Foundation v41 or

Domínios do CobiT – ME01

Page 180: Trainning - Cobit Foundation v41 or

Domínios do CobiT – ME01

Page 181: Trainning - Cobit Foundation v41 or

Domínios do CobiT – ME01

Page 182: Trainning - Cobit Foundation v41 or

Domínios do CobiT – ME01

Page 183: Trainning - Cobit Foundation v41 or

Domínios do CobiT – ME01

Page 184: Trainning - Cobit Foundation v41 or

Domínios do CobiT – ME01

Page 185: Trainning - Cobit Foundation v41 or

Domínios do CobiT

Práticas de Controle - Control Practices

COBIT diz “o que” precisa ser feito para efetivamente controlar a TI, as Práticas de Controle já fornecem o “como” e “porque” utilizar o objetivo de controle detalhado.

A Prática de Controle é fornecido em um volume separado pelo ISACA e é geralmente utilizado para implementar o Objetivo de Controle Detalhado.

“used mostly to help with designing and implementing solutions to meet control objectives”

Page 186: Trainning - Cobit Foundation v41 or

Alguns objetivos de controle existentes na estrutura

Requisitos de Controle GenéricoCada processo do COBIT tem 6 requisitos de controle genérico que são comuns para todosos processos, os quais são definidos na estrutura. Eles podem ser analisados em conjuntocom os objetivos de controle do processo de forma detalhada para que se possa ter umavisão dos requisitos de controle.

Controles de AplicaçõesO COBIT assume que o projeto e implementação de controles de aplicações automatizadasdevem ser de responsabilidade da TI, coberto no domínio de Aquisição e Implementação,baseado nos requisitos de negócio definidos usando os critérios de informação do COBIT.

A TI entrega e suporta os serviços das aplicações, banco de dados de informação e infra estruturas. Os processos de TI do COBIT cobre os controles gerais da TI mais não suportaos controles de aplicações.

Page 187: Trainning - Cobit Foundation v41 or

Domínios do CobiT

Requisitos de Controle Genérico - Generic Control Requirements

COBIT fornece um modelo de processos genérico que representa todos os processos encontrados normalmente em funções da TI, fornecendo um modelo de referência comum.

Para conseguir a governança eficaz, os controles necessitam ser implementados pelos gerentes operacionais dentro de uma estrutura de controle definida para todos os processos de TI

Page 188: Trainning - Cobit Foundation v41 or

Domínios do CobiT

Requisitos de Controle Genérico - Generic Control Requirements

Os processos necessitam de controles, pois os objetivos do controle da TI fornecem um conjunto completo de exigências de alto nível a serem considerados pelo gerenciamento para o controle eficaz de cada um dos processo de TI

PC1 Process Goals and ObjectivesPC2 Process OwnershipPC3 Process RepeatabilityPC4 Roles and ResponsibilitiesPC5 Policy, Plans and ProceduresPC6 Process Performance Improvement

Page 189: Trainning - Cobit Foundation v41 or

PC1 Metas e Objetivos do ProcessoDefine e comunica as metas e objetivos específicos, mensuráveis, acionáveis, realísticos, orientados a resultados e no tempo apropriado (SMARRT) para a efetiva execução de cada processo de TI. Assegura que eles estão ligados aos objetivos de negócios e que são suportados por métricas apropriadas.

PC2 Propriedade dos ProcessosDesigna um proprietário para cada processo de TI e claramente define os papéis e responsabilidades de cada proprietário de processo. Inclui por exemplo, a responsabilidade pela elaboração do processo, interação com outros processos, responsabilidade pelos resultados finais, medidas da performance do processo e a identificação de oportunidades de melhorias.

PC3 Repetibilidade dos ProcessosElabora e estabelece cada processo-chave de TI de maneira que possa ser repetido e produzir de maneira consistente os resultados esperados. Fornece uma sequência lógica mas flexível das atividades que levarão ao resultado desejado, sendo ágil o suficiente para lidar com exceções e emergências. Usa processos consistentes, quando possível, e processos personalizados apenas quando inevitável.

PC4 Papéis e ResponsabilidadesDefine as atividades-chaves e as entregas do processo. Designa e comunica papéis e responsabilidades para uma efetiva e eficiente execução das atividades-chaves e sua documentação bem como a responsabilização pelo processo e suas entregas.

PC5 Políticas Planos e ProcedimentosDefine e comunica como todas as políticas, planos e procedimentos que direcionam os processos de TI são documentados, revisados, mantidos, aprovados, armazenados, comunicados e utilizados para treinamento. Designa responsabilidades para cada uma dessas atividades e em momentos apropriados verifica se elas são executadas corretamente. Assegura que as políticas, planos e procedimentos sejam acessíveis, corretos, entendidos e atualizados.

PC6 Melhoria do Processo de PerformanceIdentifica um conjunto de métricas que fornecem direcionamento para os resultados e performance dos processos. Estabelece metas que refletem nos objetivos dos processos e indicadores de performance que permitem atingir os objetivos dos processos. Definem como os dados são obtidos. Compara as medições reais com as metas e toma medidas quanto aos desvios quando necessário. Alinha métricas, metas e métodos com o enfoque de monitoramento de performance geral de TI.

Requisitos de Controle Genérico

Page 190: Trainning - Cobit Foundation v41 or

Domínios do CobiTControles da Aplicação – Application ControlsControles da aplicação é uma responsabilidade comum entre o negócio e a TI, mas a responsabilidades muda:O negócio é responsável para adequar• Definição funcional e os requisitos de controle.• Usar os serviços automatizados.TI é responsável por• Automatizar e implementar as funções do negócio e os requisitos de controle.• Estabelecer controles para manter a integridade do controles das aplicações.

Page 191: Trainning - Cobit Foundation v41 or

Domínios do CobiT

Controles da Aplicação – Application Controls

Os processos de TI do COBIT cobrem os controles totais de TI, mas somente os aspectos de desenvolvimento dos controles da aplicação; a responsabilidade pela definição e o uso operacional são do negócio

AC1 Source Data Preparation and AuthorisationAC2 Source Data Collection and Entry AC3 Accuracy, Completeness and Authenticity ChecksAC4 Processing Integrity and ValidityAC5 Output Review, Reconciliation and Error HandlingAC6 Transaction Authentication and Integrity

Page 192: Trainning - Cobit Foundation v41 or

AC1 Preparação e Autorização de Dados OriginaisAssegura que os documentos fonte sejam preparados por pessoal autorizado e qualificado seguindo os procedimentos estabelecidos, levando em consideração uma adequada segregação de funções relacionadas com a criação e aprovação desses documentos. Erros e omissões podem ser minimizados através de bom desenho de formulário para entrada da informação, permitindo que erros e irregularidades detectados sejam reportados e corrigidos.

AC2 Entrada e Coleta de Dados FontesEstabelece que a entrada de dados seja executada de maneira apropriada por pessoal autorizado e qualificado. A correção e o reenvio de dados que foram erroneamente inseridos devem ser executados sem comprometer o nível de autorização da transação original. Quando apropriado para a reconstrução, os documentos originais devem ser guardados por um período adequado.

AC3 Testes de Veracidade, Totalidade e AutenticidadeAssegura que as transações sejam exatas, completas e válidas. Valida os dados que foram inseridos e editados ou enviados de volta para correção o mais próximo possível do ponto onde foram originados.

AC4 Processamento Íntegro e VálidoMantém a integridade e validade dos dados no ciclo de processamento. A detecção de transações errôneas não interrompe o processamento de transações válidas.

AC5 Revisão das Saídas, Reconciliação e Manuseio de ErrosEstabelece procedimentos e responsabilidades associadas para assegurar que as saídas sejam manuseadas de uma forma autorizada, entregues para os destinatários corretos e protegidas durante a transmissão. Garante que ocorre a verificação, detecção e correção da exatidão das saídas e que a informação provida pela saída é usada.

AC6 Autenticação e Integridade das TransaçõesAntes de transportar os dados das transações entre os aplicativos e as funções de negócios/operacionais (internas ou externas à organização), verifica endereçamento adequado, autenticidade da origem e integridade do conteúdo. Mantém a autenticidade e integridade durante a transmissão ou transporte.

Controles de Aplicativos

Page 193: Trainning - Cobit Foundation v41 or

Simulado

Estrutura do COBIT

Page 194: Trainning - Cobit Foundation v41 or

01. Resource needs and roles and responsibilities, as well as escalation and decision-making authorities, are identified?

a)Key Activityb)Control Practicec)Control Objectived)KGI

Page 195: Trainning - Cobit Foundation v41 or

02. What is a control objective?

a) A metric to be achieved by implementing control procedures in a particular activity

b) A level of maturity to be achieved by implementing control procedures in a particular activity

c) A statement of the desired result or purpose to be achieved by implementing control procedures in a particular activity

d) A critical success factor to be achieved by implementing control procedures in a particular activity

Page 196: Trainning - Cobit Foundation v41 or

03. Which CobiT domain focuses on areas such as operations, security and continuity?

a) Monitor and Evaluateb) Plan and Organizec) Acquire and Implementd) Deliver and Support

Page 197: Trainning - Cobit Foundation v41 or

04. The relationship owners must liaise on customer and supplier issues and ensure the quality of the relationship based on trust and transparency is an example of a:

a) Key Activityb) Control Practicec) KGId) Control Objective

Page 198: Trainning - Cobit Foundation v41 or

05. Which domain of IT Governance delivers benefits at reasonable cost?

a) Resource managementb) Risk managementc) Value deliveryd) Performance measurement

Page 199: Trainning - Cobit Foundation v41 or

06. The CobiT defined IT process of Data Management is found in which Domain?

a) Monitoring b) Planning and Organization c) Acquisition and Implementation d) Delivery and Support

Page 200: Trainning - Cobit Foundation v41 or

07. Controls Practice provide guidance:

a) the hierarchy of control responsibilities b) how to use detail controls objectives c) why controls are needed and how to implement them d) the importance control activities and tasks

Page 201: Trainning - Cobit Foundation v41 or

08. What is the high-level objective concerned to management of all IT projects?

a) PO1 Define a Strategic IT Plan b) PO4 Define the IT Processes, Organization and Relationships c) PO5 Manage the IT Investment d) PO10 Manage Projects

Page 202: Trainning - Cobit Foundation v41 or

09. Which of the following IT Processes include a detailed control objective for post implementation reviews?

a) AI6 Manage Changesb) PO10 Manage Projects c) ME1 Monitor and Evaluate IT Performanced) DS2 Manage Third-party Services

Page 203: Trainning - Cobit Foundation v41 or

10. Which of the following IT Process help to assure that service providers are meeting business requirements?

a) DS1 Define and Manage Service Levels b) DS3 Manage Performance and Capacity c) DS2 Manage Third-party Services d) AI4 Enable Operation and Use

Page 204: Trainning - Cobit Foundation v41 or

Gerenciamento - Management GuidelinesGarantia - IT Assurance Guide

Page 205: Trainning - Cobit Foundation v41 or

• Diretrizes de Gerenciamento - Management Guidelines▫ Conceito Controle▫ Metas▫ Outcome Measure▫ Performance Indicators▫ Goals and Metrics▫ Input and Output▫ RACI Chart▫ Maturity Model

• Guia Garantia TI - IT Assurance Guide▫ O que é▫ Fases▫ Estágios

Page 206: Trainning - Cobit Foundation v41 or

Diretrizes de Gerenciamento - Management Guidelines

Ajuda a atribuir responsabilidade, medir desempenho, realizar benchmark e endereçar falhas de capacidade.

Estamos atingindo as nossas metas?Como medimos os resultados?Como controlamos os processos? Como determinamos se estamos fazendo as coisas certas?

Ferramentas

• Indicadores Chaves de Meta (KGIs)• Indicadores Chaves de Desempenho (KPIs)• Entradas e saídas do processo• Gráfico RACI• Metas e Métricas: IT, Processo e Atividades• Modelos de Maturidade

Page 207: Trainning - Cobit Foundation v41 or

“COBIT toolset will help the business and IT understand how to measure results”“Guidance and metrics for measuring the results of IT processes”

"As ferramentas do COBIT irão ajudar o negócio e TI compreender como medir os resultados"

“Diretrizes e métricas para medir os resultados dos processos de TI"

Diretrizes de Gerenciamento

Page 208: Trainning - Cobit Foundation v41 or

Conceito Controle

Objetivos EstratégicosO que deve ser alcançado e o que é crítico para o sucesso da organizaçãoSMART: Específicos, Mensuráveis, Atingíveis, Relevantes, Temporais

Indicadores (Desempenho e Resultado)Como será medido e acompanhado o sucesso do alcance do objetivo

Mensuração O ato ou processo de determinar ou avaliar a grandeza, extensão ou

quantidade de alguma coisa.

MetasNível de desempenho ou a taxa de melhoria necessária

Page 209: Trainning - Cobit Foundation v41 or

Conceito Controle

Medida Avaliar, comparando com um padrão ou unidade de mensuração:

extensão, dimensão, capacidade, etc. de alguma coisa; o resultado de uma mensuração.

MétricaUma medida quantitativa do grau segundo o qual um sistema, componente

ou processo possui um dado atributo.

Houve apenas três erros descobertos pelo usuário nos primeiros 12 meses de operação. Isto dá mais informação do que dizer que o sistema entregue é de excelente qualidade.

Page 210: Trainning - Cobit Foundation v41 or

Os objetivos são definidos de cima para baixo de maneira que os objetivos de negócios determinarão vários objetivos de TI que irão suportá-los.

“As métricas utilizadas para medir o alcance de um objetivo da atividade são os indicadores de performance do processo”

Page 211: Trainning - Cobit Foundation v41 or

Outcome Measure - Key Goal Indicators (KGIs)

São métricas predefinidas que indicam se um processo de TI alcança o seu propósito, ou seja, se produziram o resultado (outcome) esperado (satisfez um requerimento de negócio).

Eles são geralmente expressos em termos de um critério de informação (disponibilidade de uma informação, ausência de integridade ou confidencialidade, processos de custo efetivo, confirmação de confiabilidade, efetividade ou cumprimento).

“Indicate whether the goals have been met. These can be measured onlyafter the fact and, therefore, are called lag indicators”

Page 212: Trainning - Cobit Foundation v41 or

Performance Indicators - Key Performance Indicators (KPIs)

Influenciam positivamente o resultado/saída (outcome) de um processo.

Utilizados para medir o progresso em direção aos objetivos.

Medem os objetivos das atividades, que são as ações que o dono do processo deve tomar para alcançar o desempenho efetivo do processo.

Geralmente são indicadores curtos, focados e mensuráveis.

“They can be measured before the outcome is clear and, therefore, are called lead indicators”

Page 213: Trainning - Cobit Foundation v41 or

Metas e Métricas - Goals and Metrics

Metas de TI direcionam diferentes metas de processos e cada uma desta estabelecerá metas de atividades

“Metrics allow appropriate levels of management to correct performance issues as they occur

and to stay aligned with potentially changing goal priorities” (As Métricas permitem níveis adequados de gestão para corrigir problemas de performance

quando estes surgem e para manter-se alinhado com mudanças potenciais das prioridades de objetivos)

Page 214: Trainning - Cobit Foundation v41 or

Entradas e Saídas de Processos - Input and Output

“Provide the flow between processes — the input and output — to clarify interdependencies and responsibilities”

(Fornecer o fluxo entre os processos - a entrada e saída – estabelecendo interdependências e responsabilidades )

Page 215: Trainning - Cobit Foundation v41 or

Tabelas RACI - RACI Chart

Apresenta as principais atividades do processo e o tipo de participação de cada stakeholder (partes interessadas).

“Very helpful for defining the roles and responsibilities of business and IT that are often unclear for IT-related activities”

(Muito útil para definir os papéis e as responsabilidades de negócios e de TI, que muitas vezes são pouco claras para as atividades relacionadas com TI)

Page 216: Trainning - Cobit Foundation v41 or

Modelo de Maturidade - Maturity Model

Utilizados para medir o desempenho ou a capacidade dos processos de forma que a empresa possa fazer uma sistemática tentativa de melhoria.

“for management and control over IT processes is based on a method for evaluating the organization so that it can evaluate itself from a level of nonexistent (0) to optimized (5)”(para a gestão e controle dos processos de TI é baseada em um método para avaliar a

organização, para que possa avaliar-se de um nível de inexistente (0) a otimizada (5))

Page 217: Trainning - Cobit Foundation v41 or

Modelo de Maturidade Genérico

Page 218: Trainning - Cobit Foundation v41 or

Modelo de Maturidade - Maturity Model

Auxilia na identificação:

• Performance atual da empresa (Where the enterprise is today)• Status atual da industria (Comparison)• Objetivos de melhoria (Where the enterprise wants to be)• Caminho para crescimento (‘as-is’ and ‘to-be’)

Page 219: Trainning - Cobit Foundation v41 or

Guia de como o COBIT pode conduzir a garantia sobre as atividades da TI

• Planejamento• Escopo• Avaliação de Risco• Revisão sobre os processos de TI

Baseado em roadmap detalhado para garantir a execução e de guiar testes detalhados para todos os Objetivos de Controles do COBIT

Page 220: Trainning - Cobit Foundation v41 or

•Estabelece o Universo de validação de TI para designar o que será validado, é o inicio de toda iniciativa de validação

Plan

ejamen

toE

sco

po

Exe

cuçã

o

Plan

os d

e Valid

ação d

e TI

Esco

po

detalh

ado

e o

bjetivo

sC

on

clusõ

es sob

re a valid

ação

ROADMAP ASSURANCE GUIDELINE

•Guia os profissionais apresentando os principais testes a serem executados durante uma auditoria/validação

Page 221: Trainning - Cobit Foundation v41 or

Guia Garantia TI - IT Assurance Guide

Possui três fazes:

• Planejamento - Planning▫ Avaliação de alto nível sobre os objetivos (conformidade)▫ Artefato: Plano Garantia de TI – IT Assurance Plan

• Escopo - Scoping▫ Pode utilizar benchmarking (ITGI), objetivando diretivas para metas:

Negócio TI Processos

▫ Artefato: Escopo e Objetivos para diferentes iniciativas de garantia da TI

• Execução - Execution▫ Cobre a execução da Garantia▫ Artefato: Iniciativa da Garantia de TI

Page 222: Trainning - Cobit Foundation v41 or

Refinar oentendimento

1Redefinir o

escopo

2Testar o

Desenho do controle

3

Testar os resultados

4

Documentar o impacto

5

Comunicar as recomendações

6

1. Refinar o entendimento do que será validado na TI• Identificar/confirmar os processos de TI críticos• Auto avaliação da maturidade dos processos

2. Redefinir o escopo dos objetivos de controle chave para questões que serão validadas na TI• Atualizar a seleção de objetivos de controle• Personalizar os objetivos de controle• Construir um programa de auditoria detalhado

3. Testar a efetividade do desenho do controle dos objetivos de controle chave• Testar e avaliar os controles• Atualizar/avaliar maturidade dos processos

4. Testar o resultado dos objetivos de controle chave• Controles de auto avaliação• Testar e avaliar os controles

5. Documentar o impacto das fraquezas do controle• Diagnóstico operacional e/ou riscos de projetos residuais

6. Desenvolver e comunicar as recomendações em geral• Reportar conclusões da avaliação

Page 223: Trainning - Cobit Foundation v41 or

Guia Garantia TI - IT Assurance Guide

A execução do roadmap possui seis estágios:

• Primeiro estágio▫ Elabora um prévio planejamento e escopo de trabalho, afim de garantir que o

ambiente a ser testado esta entendido e acordado conforme os respectivos objetivos.

• Segundo estágio▫ Formaliza o escopo e objetivos para definir o exato ambiente a ser testado e os

controles contra os quais ocorrerão os testes. Onde é melhor focar Quais objetivos serão confrontados

• Terceiro estágio▫ Primeiro estágio de testes sobre o Desenho de Controles - Control Design

▫ Avaliação da implementação, operação e efetividade

Page 224: Trainning - Cobit Foundation v41 or

Guia Garantia TI - IT Assurance Guide

A execução do roadmap possui seis estágios:

• Quarto estágio▫ Testes sobre os controles aplicados as saídas dos processos, analisando se os

dados processados estão adequados.

• Quinto estágio▫ Testa os impactos de qualquer fraqueza encontrada:

Ausência de controles Controles pobremente implementados Erros detectados

▫ Avalia as consequências dos problemas de controle no negócio: Esclarecendo: Riscos e Vulnerabilidades Apresentando efeitos de qualquer falha de conformidades Apresentando custos de falhas de controles Apresentando benefícios de melhorias nos controles

Page 225: Trainning - Cobit Foundation v41 or

Guia Garantia TI - IT Assurance Guide

A execução do roadmap possui seis estágios:

• Sexto estágio▫ Documentação e apresentação dos resultados da revisão da garantia,

focando os itens significativos baseados em: Ferramentas do COBIT Benchmarking Modelos Maturidade

• Assurance professionals▫ Consultores que utilizam o Roadmap

Page 226: Trainning - Cobit Foundation v41 or

Simulado

Gerenciamento - Management Guidelines

Garantia - IT Assurance Guide

Page 227: Trainning - Cobit Foundation v41 or

1. COBIT maturity models enable a process owner to benchmark the:

a) Relative maturity of the current process and set targets for improvement.

b) Controls of the current process and set targets for control practices.

c) Metrics of the current process and set targets for goal indicators.d) Responsibilities of the current process and set targets for

accountability.

Page 228: Trainning - Cobit Foundation v41 or

2. The percentage of projects completed on time and within budget is a COBIT performance indicator.

a) Falseb) True

Page 229: Trainning - Cobit Foundation v41 or

3. Performance Indicators are:

a) Critical success factorsb) Lead indicatorsc) Key activitiesd) Control practices

Page 230: Trainning - Cobit Foundation v41 or

4. Outcome Measures are often referred to as lag indicators because they are measured only:

a) One goal at a timeb) As groups of goalsc) On a continuous basisd) After the fact

Page 231: Trainning - Cobit Foundation v41 or

5. Which part of the COBIT toolset will help the business and IT understand how to measure results?

a) Management guidelinesb) Frameworkc) Control objectivesd) IT Governance Implementation Guide Using COBIT and Val IT,

2nd Edition

Page 232: Trainning - Cobit Foundation v41 or

6. What do outcome measures indicate?

a) Maturity levelsb) Process performancec) Degree of controld) The achievement of an objective

Page 233: Trainning - Cobit Foundation v41 or

7. Performance Indicators are factors that:

a) Identify key controls.b) Identify key processes.c) Positively influence the process outcome.d) Focus on control practices.

Page 234: Trainning - Cobit Foundation v41 or

8. Which of the following is a phase in the COBIT assurance guide roadmap?

a) Evaluationb) Maturity modelingc) Testingd) Planning

Page 235: Trainning - Cobit Foundation v41 or

9. Which of the following is a Key Performance Indicators?

a) % of projects delivered on time and on budget b) % of projects meet stakeholder expectations c) % of stakeholders participating in projects (involvement index) d) % of projects in annual IT plan subject to feasibility study

Page 236: Trainning - Cobit Foundation v41 or

10. Which of the following is a phase in the COBIT assurance guide?

a) Evaluationb) Maturity modelingc) Testingd) Scoping

Page 237: Trainning - Cobit Foundation v41 or

Recursos e Implementações Resources and Implementation

Page 238: Trainning - Cobit Foundation v41 or

Recursos e Implementações - Resources and Implementation

COBIT é baseado nas melhores práticas e padrões para endereçar uma efetiva governança de TI.

Funciona como um “guarda-chuva” identificando as necessidades de negócio e, então, justificando os objetivos que necessitam ser alcançados e relacionado-os com outras práticas e padrões afim de alinhá-los de acordo com as necessidades da organização.

“COBIT is the bridge between business and enterprise governance requirements and specific IT governance practices”

(COBIT é a ponte entre os requisitos de negócio e da governança corporativa e as práticas de governança de TI específicas)

Page 239: Trainning - Cobit Foundation v41 or

COBIT Online

Serviço web, disponível para qualquer pessoa, acessível e fácil de ser utilizado, possui diversas funções/informações tais como:

•Objetivos de Controle •Práticas de Controle •Metas e Métricas •Tabela RACI•Diretivas de Auditoria•Modelo de Maturidade para todos os processos do COBIT•New Filter/MyCOBIT

• Usuários podem construir, através de pesquisas sobre os componentes do COBIT, uma versão personalizada e fazer download por conta própria para o uso no PC no formato Microsoft Word ou Microsoft Access.

Page 240: Trainning - Cobit Foundation v41 or

COBIT Online

Serviço web, disponível para qualquer pessoa, acessível e fácil de ser utilizado, possui diversas funções/informações tais como:

•PDF Downloads• Fornece publicações do ITGI• COBIT Executive Summary• COBIT Framework• COBIT Control Objectives• COBIT Management Guidelines• COBIT Assurance Guide• COBIT Implementation Toolset• COBIT Summary

• (34 Processos X Critério da Informação X Recursos de TI)

Page 241: Trainning - Cobit Foundation v41 or

COBIT Online - Tipos de assinaturas

Page 242: Trainning - Cobit Foundation v41 or

COBIT Online

Benchmarking

• Níveis de Maturidade dos Processos• Importância dos Processos• Importância dos Objetivos de Controle• Importância das metas de TI e das

metas de Processo

Page 243: Trainning - Cobit Foundation v41 or

COBIT QuickStart

Versão sumarizada dos recursos do COBIT, segue a regra de Pareto (80/20)

• 20% de todo o material cobre cerca de 80% do que deveria ser controlado.

Ótimo para rápido entendimento.

Adequado para pequenas e médias empresas e útil como ponto de partida para grandes empresas

Page 244: Trainning - Cobit Foundation v41 or

Guia de Implementação de Governança de TI

IT Governance Implementation

Mapa de implementação (Approach), possui um roadmap para implementar Governança de TI utilizando os recursos do COBIT (Roadmap)

Guia composto de templates, apresentações e artigos que detalham os benefícios de se implementar governança de TI (Toolsets)

O Guia também fornece exemplos de Balance Scorecards de TI, uma planilha de diagnóstico de conscientização dos gestores e uma abordagem de análise de riscos, além de conceitos de Modelo de Maturidade do COBIT.

Page 245: Trainning - Cobit Foundation v41 or

CobiT Security Baseline

Livro para o publico em geral

Objetivo é tornar o tema segurança mais compreensível

Baseado na estrutura de controle do COBIT.

Meio para entender requerimentos de segurança da estratégia a operação.

Provê:• Uma coletânea de leitura de conceitos de segurança• Uma base de controles baseado no COBIT e ISO17799• Kits de segurança da informação para diferentes públicos (usuário

domestico, gerentes, executivos, diretores de comitês, profissionais de segurança).

Page 246: Trainning - Cobit Foundation v41 or

Val IT

Focado nos aspectos do valor entregue da Governança de TI baseado no COBIT, totalmente orientado a efetividade do uso da TI (Investimento)

Ajuda o Negócio e ao Gerenciamento de TI a reconhecer o escopo completo dos investimentos relacionados e prove uma estrutura de controle para gerenciar esses em todo o ciclo de vida e na criação dos reais benefícios ao negócio.

Questões Estratégicas; os investimentos estão:Alinhados com a nossa visão?Providencia valor otimizado: custo e risco em níveis aceitáveis?

Page 247: Trainning - Cobit Foundation v41 or

Val IT

Questões de Valor; nós temos:• Claro e compartilhado entendimento dos benefícios esperados?• Métricas relevantes?

Questões sobre entrega; temos um efetivo e disciplinado processo de entrega e de gerencia de mudança

• Capacidades requeridas?• Para as mudanças requeridas pelo negócio alavancar suas

capacidades?

Questões de arquitetura; os investimentos• Estão alinhados com os princípios da nossa arquitetura?• Estão alinhados com outras iniciativas?

Page 248: Trainning - Cobit Foundation v41 or

Questões de estratégia

Estamos fazendo as

coisas certas ?

Questões de valor

Estamos obtendo os benefícios ?

Questões de arquitetura

Estamos fazendo da

forma certa ?

Questões de entrega

Estamos fazendo de

um jeito bem feito ?

O VAL IT é baseado nos 4 “estamos”(are´s) conforme a ilustração abaixo:

Page 249: Trainning - Cobit Foundation v41 or

• Questões de estratégia. O investimento está:▫ Alinhado com a nossa visão?▫ Consistente com os princípios dos nossos negócios?▫ Contribuindo para os objetivos estratégicos?▫ Fornecendo valor a um custo razoável e a um nível de risco aceitável?

• Questões de arquitetura. O investimento está?▫ Alinhado com a nossa arquitetura?▫ Consistente com os princípios da nossa arquitetura?▫ Contribuindo para população da nossa arquitetura?▫ Alinhado com outras iniciativas?

• Questões de entrega. Nós temos?▫ Processos efetivos e disciplinados para o gerenciamento de entrega e mudanças?▫ Recursos técnicos e de negócio competentes e disponíveis para entregar:

Capacidades necessárias? Mudanças organizacionais necessárias para potencializar as capacidades?

• Questões de valor. Nó temos:▫ Um claro entendimento dos benefícios esperados?▫ Clara prestação de contas para realizar os benefícios?▫ Métricas relevantes?▫ Um processo efetivo para a realização de benefícios?

Page 250: Trainning - Cobit Foundation v41 or

Val IT

Val IT é um “guarda-chuva” com várias publicações, produtos e atividades que tratam da gestão dos investimentos da TI; publicações:

Enterprise Value: Governance of IT Investments - The Val IT Framework Estrutura que explica como uma organização pode obter valor otimizado dos

investimentos em TI e baseia-se no método COBIT. Está organizado em:• Três processos

• Governança de Valor• Gerenciamento de Portfólio• Gerenciamento de Investimento

• Principais Práticas do Gerenciamento de TI (IT Key management practices; práticas de gerenciamento essenciais que influenciam positivamente o alcance dos resultados ou propósitos esperados de uma atividade específica. Suportam os processos de Val IT e tem quase o mesmo papel dos objetivos de controle do CobiT.

Page 251: Trainning - Cobit Foundation v41 or

Val IT

Val IT é um “guarda-chuva” com várias publicações, produtos e atividades que tratam da gestão dos investimentos da TI; publicações:

Enterprise Value: Governance of IT Investments – The Business Case:Foca nos elementos chave do processo de gerenciamento de

Enterprise Value: Governance of IT Investments – The ING Case Study:Descreve como uma companhia global de serviços financeiros gerencia o

portfólio de investimentos em TI no contexto do método Val IT.

Page 252: Trainning - Cobit Foundation v41 or

Simulado

Recursos e ImplementaçõesResources and Implementation

Page 253: Trainning - Cobit Foundation v41 or

1. How can COBIT be used along with other international best practices and standards such as ITIL and ISO/IEC 17799?

a) To integrate the deployment of the required standardsb) As an implementation methodc) To validate the appropriateness of the other standardd) As another view of the same area to support an approach

Page 254: Trainning - Cobit Foundation v41 or

2. Which framework is increasingly accepted as the standard response for generally assessing IT controls?

a) ITILb) COBITc) ISO/IEC 17799d) CMM

Page 255: Trainning - Cobit Foundation v41 or

3. The COSO framework is a framework to help organizations establish and determine?

a) Accounting standardsb) Auditing standardsc) Investment decisionsd) The effectiveness of their internal controls

Page 256: Trainning - Cobit Foundation v41 or

4. Which COBIT resource provides benchmarking capabilities?

a) COBIT Quickstartb) COBIT Security Baselinec) IT Governance Implementation Guide Using COBIT and Val IT,

2nd Editiond) COBIT Online

Page 257: Trainning - Cobit Foundation v41 or

5. Which of the following aspects of COBIT can be benchmarked in COBIT Online?

a) Importance of IT resourcesb) Importance of information criteriac) Importance of goalsd) Importance of domains

Page 258: Trainning - Cobit Foundation v41 or

6. COBIT Quickstart is most useful for:

a) Senior managementb) Small and medium-sized enterprises (SMEs)c) Auditorsd) Control specialists

Page 259: Trainning - Cobit Foundation v41 or

7. Which of the following aspects of COBIT can be benchmarked in COBIT Online?

a) Importance of IT resourcesb) Importance of information criteriac) Importance of goalsd) Importance of domains

Page 260: Trainning - Cobit Foundation v41 or

8. Which part of COBIT has resources to help assess the capability of IT Process?

a) Control Practicesb) IT Governance Implementation Guidec) Control Objectivesd) IT Assurance Guide

Page 261: Trainning - Cobit Foundation v41 or

9. ISO 17799 provides the detailed how to do it for:

a) Service Qualityb) Service Deliveryc) Project Managementd) Information Security Management

Page 262: Trainning - Cobit Foundation v41 or

10. Which CobiT product provides an interactive knowledge base:

a) IT Governance Implementation Guideb) CobiT Quickstart assessment toolc) CobiT Onlined) CobiT Security Baseline Survival Kits

Page 263: Trainning - Cobit Foundation v41 or

11. A primary objective of CobiT Quickstart is to:

a) Gain benefits quicklyb) Perform a quick maturity assessmentc) Perform audits quicklyd) Focus on technical areas

Page 264: Trainning - Cobit Foundation v41 or

12. CobiT Security Baseline is a(n):

a) Specialists guide to securityb) Implementation road map for security professionalsc) Security audit program for auditorsd) Non technical security guide and reference to security-related

objectives

Page 265: Trainning - Cobit Foundation v41 or

13. Which CobiT product provides the most up-to-date CobiT information?

a) CobiT Frameworkb) CobiT Online c) CobiT Control Objectivesd) IT Governance Implementation Guide

Page 266: Trainning - Cobit Foundation v41 or

14. Which of the following can be benchmarked in Cobit Online?

a) Significance of Information Criteriab) Use of Control Practicesc) Relevance of IT Resourced) Importance of a Control Objectives

Page 267: Trainning - Cobit Foundation v41 or

15. The use of CobiT Quickstart is most valuable to?

a) Control specialists requiring an easy-to-apply checklistb) Boards of directors wanting to get a quick overview of CobiTc) Organizations wanting to focus initially on the important

elements of CobiTd) Audit managers needing to quickly devise an IT audit approach

Page 268: Trainning - Cobit Foundation v41 or

16. Through which of the following CobiT Online facilities does ISACA raise its awareness of CobiT users experiences and issues?

a) Surveysb) Benchmarkingc) Helpd) Feedback

Page 269: Trainning - Cobit Foundation v41 or

17. Which of the following phrases best describe Value Delivery?

a) Delivering on promised benefits at a reasonable costb) Using systems out of the box to save costsc) Delivering under budgetd) Promising the lowest price

Page 270: Trainning - Cobit Foundation v41 or

18. The CobiT Online Benchmarking facility can be used by:

a) Inputing user scores on a range of CobiT componentsb) Downloading selected CobiT content and doing maturity

assessmentsc) Produce an ISO standardd) Certify companies and products

Page 271: Trainning - Cobit Foundation v41 or

19. Which COBIT product provides a select and summarized version of COBIT?

a) Control Objectivesb) Management Guidelinesc) Cobit Quickstartd) IT Governance Implementation Guide

Page 272: Trainning - Cobit Foundation v41 or

Você foi contratado como especialista em Governança de TI para a empresa Traking Ltd. O presidente Sr. Arimatéia lhe da às Boas Vindas e logo apresenta os seus objetivos:

1. Quero que você deixe transparente a operação de TI, ou seja: que as pessoas tenham claramente seus papeis, suas responsabilidades, quais objetivos eles devem gerar e a importância destes objetivos para as minhas vendas, além de eliminar qualquer dependência da empresa com estes recursos, mas preservando a importância de cada um para o meu negócio!

2. Como posso a partir do meu plano estratégico de 2009, fazer com que todos da TI o entendam, se esforcem para buscar os mesmos resultados e que eu consiga saber que eles estão cumprindo com as suas obrigações?

3. Todo ano invisto consideravelmente nos projetos do depto de TI, mas eles não conseguem atingir o ROI esperado. Como posso saber a capacidade desta administração para ter uma referência de melhoria e assim traçar um plano para que eles consigam cumprir o retorno que espero?

4. Ouvi dizer que existe uma estrutura que me da poder de administrar o depto de TI, não sei qual o nome dela e nem como ela pode me ajudar sem que eu domine os seus conceitos e jargões, você pode me ajudar?

5. Hoje temos muitos fornecedores atuando em conjunto com a TI, isto me deixa inseguro, pois acredito que eles tem grandes responsabilidades que devem estar sob o nosso radar, como poderemos gerenciá-los de modo a me tranqüilizar?

Business Case

Page 273: Trainning - Cobit Foundation v41 or

Business Case1. Através de uma estrutura orientada a processos, deixando claro as

atividades, responsabilidades, regras, recursos, entradas e objetivos a serem atingidos (saídas).

2. Através do uso de uma metodologia que permita fazer o desdobramento da estratégia nos diversos níveis da organização, estabelecendo-se as diretrizes, metas, indicadores e prestação de contas para todos os envolvidos. O BSC é uma ferramenta amplamente utilizada para esse objetivo.

3. Explorar o PO10 – Gerenciar Projetos , entradas e saídas, atividades, Metas e Métricas.

4. O COBIT é a estrutura que pode colaborar. Com foco no Negócio, Orientada a Processos, Amplamente Aceito, Linguagem Comum, Requerimentos Regulatórios.

5. Aplicando-se os objetivos de controle do Processo DS2 – Gerenciar Serviços de Terceiros, entradas e saídas, atividades, Metas e Métricas.

Page 274: Trainning - Cobit Foundation v41 or

Muito Obrigado!

www.trainning.com.br