Anda di halaman 1dari 6

Framework do COBIT 4.

1 Objetivos de Controle
DS1 Definir nveis de Servios
DS2 Gerenciar Servios de Terceiros
DS3 Gerenciar Performance e Capacidade
DS4 Garantir Continuidade dos Servios
DS5 Garantir Segurana dos Sistemas
DS6 dentificar e !"ocar Custos
DS# $ducar e Treinar usu%rios
DS& Gerenciar Service Des' e ncidentes
DS( Gerenciar a Configura)o
DS1* Gerenciar Pro+"emas
DS11 Gerenciar Dados
DS12 Gerenciar os !m+ientes ,sicos
DS13 Gerenciar -pera.es
ME1 /onitorar e !va"iar a Performance de T
ME2 /onitorar e !va"iar Contro"e nterno
ME3 !ssegurar Conformidade 0egu"at1ria
ME4 ,ornecer Governana de T
!1 dentificar so"u.es automati2adas
!2 !d3uirir e manter soft4are ap"icativo
!3 !d3uirir e manter ar3uitetura
tecno"1gica
!4 /anter opera)o e uso
!5 -+ter 0ecursos de T
!6 Gerenciar mudanas
!# nsta"ar e certificar So"u.es e /udanas
P!"E#!ME"TO
E
O$%!"I&!'(O
!)*I+I'(O E
IMPEME"T!'(O
E"T$E%! E
+*PO$TE
MO"ITO$!'(O E
!,!I!'(O
P-1 Definir um P"ano $strat5gico de T
P-2 Definir a !r3uitetura de nforma)o
P-3 Determinar a Dire)o Tecno"1gica
P-4 Definir Processos de T6 -rgani2a)o e
0e"acionamento
P-5 Gerenciar o nvestimento em T
P-6 Comunicar /etas e Diretivas Gerenciais
P-# Gerenciar 0ecursos 7umanos
P-& Gerenciar 8ua"idade
P-( !va"iar e Gerenciar 0iscos
P-1* Gerenciar Pro9etos
P!"E#!ME"TO E O$%!"I&!'(O
PO1 -e.inir /m Plano Estrat01i2o de TI
- p"ane9amento estrat5gico 5 re3uerido para gerenciar e direcionar todos os recursos da T em "in:a com as estrat5gias e
prioridades do neg1cio; ! fun)o da T e os sta'e:o"der<s do neg1cio s)o respons%veis para assegurar 3ue um va"or otimi2ado 5
rea"i2ado atrav5s dos portfo"ios dos pro9etos e servios; - p"ano estrat5gico deve aumentar a compreens)o dos sta'e:o"der<s
c:aves em re"a)o das oportunidades e "imites da T6 ava"iar o desempen:o atua" e esc"arecer o nve" de investimentos re3ueridos;
! estrat5gia e as prioridades do neg1cio devem ser ref"etidas nos portfo"ios e e=ecutadas atrav5s dos p"anos t%ticos da T6 os 3uais
esta+e"eam o+9etivos concisos6 p"anos e tarefas compreendidas e aceitos pe"o neg1cio e da T;
PO2 -e.inir a !r3/itet/ra de In.orma45o
! fun)o dos sistemas de informa)o deve criar e atua"i2ar regu"armente um mode"o de informa)o de neg1cio e definir os
sistemas apropriados para otimi2ar o uso da informa)o; sso inc"ua o desenvo"vimento de um dicion%rio coorporativo de dados
com as regras de sinta=e da organi2a)o6 es3uema de c"assifica)o de dados e nveis de segurana; $ste processo me":ora a
3ua"idade de decis.es feitas pe"as gerencias e assegura 3ue informa.es confi%veis e seguras s)o providas e isso :a+i"ita de
raciona"i2ar recursos de sistemas de informa)o para atender apropriadamente as estrat5gias de neg1cio; $ste processo da T
tam+5m necessita de aumentar a responsa+i"idade so+re a integridade e segurana dos dados e me":orar a efetividade e contro"e
so+re o comparti":amento de informa)o atrav5s de ap"ica.es e entidades;
PO3 -eterminar a -ire45o Te2nol61i2a
! fun)o dos servios de informa)o deve determinar a dire)o tecno"1gica para suportar o neg1cio; sso re3uer a cria)o de um
p"ano da infra>estrutura tecno"1gica e um comit? de ar3uitetura 3ue fi=a e gerencia e=pectativas c"aras e rea"sticas o 3ue a
tecno"ogia pode oferecer em termos de produtos6 servios e mecanismos de entrega; - p"ano deve ser atua"i2ado regu"armente e
inc"uir aspectos como a ar3uitetura de sistemas6 dire)o tecno"1gica6 p"anos de a3uisi)o6 padr.es6 estrat5gias de migra)o e
conting?ncia; sso :a+i"ita uma resposta em tempo para mudar para um am+iente competitiva6 economias em esca"a com o
pessoa" e os investimentos em sistemas de informa)o e um investimento 3ue me":ora a interopera+i"idade de p"ataformas e
ap"ica.es;
PO4 -e.inir Pro2essos de TI7 Or1ani8a45o e $ela2ionamento
@ma organi2a)o da T precisa ser definida6 considerando os re3uerimentos para pessoas6 :a+i"idades6 fun.es6 responsa+i"idade6
autoridade6 papeis e supervis)o; $sta organi2a)o deve estar em+utida dentro um frame4or' de processos da T 3ue asseguram
transpar?ncia e contro"e6 como tam+5m envo"vem os e=ecutivos s?nior e gerentes de neg1cio; @m comit? estrat5gico deve
assegurar uma vis)o gera" da T e um ou mais comit?s de dire)o6 em 3uais os participantes do neg1cio e da T devem determinar
a priori2a)o dos recursos da T em "in:a com as necessidades do neg1cio; Processos6 po"ticas e procedimentos administrativos
necessitam de ser imp"ementadas para todas as fun.es6 com aten)o especifica para o contro"e6 garantia de 3ua"idade6
gerenciamento de riscos6 segurana de informa)o6 propriedade para dados e sistemas e segrega)o de direitos; Para assegurar
um suporte em tempo para os re3uerimentos do neg1cio6 a T deve estar envo"vida em processos re"evantes de decis)o;
PO9 %eren2iar o Investimento em TI
$sta+e"ecer e manter um frame4or' para gerenciar programas 3ue :a+i"item investimentos em T e 3ue a+rangem custos6
+enefcios6 priori2a)o nos oramentos6 um processo forma" de oramentos e gerenciamento em re"a)o dos oramentos;
Tra+a":ar com os sta'e:o"der<s para identificar e contro"ar o tota" dos custos e +enefcios dentro do conte=to dos p"anos
estrat5gicos e t%ticos da T e iniciar a.es corretivas 3uando necess%rias; - processo deve favorecer os re"acionamentos entre a
T e sta'e:o"der<s do neg1cio6 :a+i"itar o uso efetivo e eficiente dos recursos da T e prover transpar?ncia e responsa+i"idade nos
custos totais de propriedade6 a re"a)o do +eneficio para o neg1cio e o retorno so+re investimentos 3ue :a+i"itam a T;
PO: Com/ni2ar Metas e -iretivas %eren2iais
! administra)o deve desenvo"ver um frame4or' de contro"e empresaria" da T e definir e comunicar po"ticas; @m programa
continua de comunica)o deve ser imp"ementada para articu"ar a miss)o6 o+9etivos de servio6 po"ticas e procedimentos6 etc;
aprovados e suportados pe"a administra)o; ! comunica)o suporta o atingimento dos o+9etivos da T e assegura conscienti2a)o
e compreens)o em re"a)o do neg1cio e os riscos6 o+9etivos e a dire)o da T; - processo deve assegurar a conformidade com
"eis e regu"amentos;
PO; %eren2iar $e2/rsos </manos
!d3uire6 mant?m e motiva uma fora de tra+a":o competente para criar e entregar servios da Ti para o neg1cio; sso 5 atingido
seguindo praticas definidos e acordadas 3ue suportam o recrutamento6 treinamento6 ava"ia)o do desempen:o6 promo)o e
demiss)o; $ste processo 5 critico6 como as pessoas s)o um ativo e de governana importante e o am+iente interno de contro"e
depende +astante da motiva)o e compet?ncia do pessoa";
PO= %eren2iar )/alidade
@m sistema de gerenciamento da 3ua"idade deve ser desenvo"vido e mantido6 o 3ua" inc"ua um processo de desenvo"vimento e
a3uisi)o comprovado e padroni2ado; sso 5 :a+i"itado atrav5s do p"ane9amento6 imp"ementa)o e manuten)o do sistema de
3ua"idade 3ue prov?m re3uerimentos c"aros de 3ua"idade6 procedimentos e po"ticas; 0e3uerimentos de 3ua"idade devem ser
determinados e comunicados6 com indicadores 3uantific%veis e atingveis; /e":orias contnuas s)o atingidas atrav5s de um
monitoramento operaciona"6 ana"ises e a.es so+re desvios e a comunica)o dos resu"tados para os sta'e:o"der<s;
Gerenciamento da 3ua"idade 5 essencia" para assegurar 3ue a T entrega va"or para o neg1cio6 me":orias contnuas e
transpar?ncia para sta'e:o"der<s.
PO> !valiar e %eren2iar $is2os
Criar e manter um frame4or' de gerenciamento de riscos; - frame4or' documenta um nve" de riscos da T comum e acordado6
estrat5gias de mitiga)o e acordos so+re riscos residuais; 8ua"3uer impacto potencia" so+re as metas da organi2a)o6 causada
por eventos n)o p"ane9ados6 deve ser identificado6 "evantado e ava"iado; $strat5gias de mitiga)o de riscos devem ser adotadas
para minimi2ar riscos residuais ao um nve" aceit%ve"; - resu"tado da ava"ia)o deve ser compreensve" para os sta'e:o"der<s e
e=presso em termos financeiros6 para :a+i"itar os sta'e:o"der<s de a"in:ar os riscos com um nve" aceit%ve" de to"erAncia;
PO1? %eren2iar Projetos
$sta+e"ecer um frame4or' de gerenciamento de programas e pro9etos para gerenciar todos os pro9etos da T; $ste frame4or'
deve assegurar a correta priori2a)o e coordena)o de todos os pro9etos; - frame4or' deve inc"uir um p"ano mestre6 atri+ui)o de
recursos6 defini)o de entreg%veis6 aprova.es pe"os usu%rios6 uma a+ordagem em fases para as entreg%veis6 garantia de
3ua"idade6 um p"ano forma" de teste6 testes e revis.es p1s>imp"ementa)o ap1s da insta"a)o para assegurar o gerenciamento de
risco e a entrega do va"or para o neg1cio; $sta a+ordagem redu2 o risco de custos n)o esperados e cance"amento de pro9etos6
aumenta a comunica)o com os envo"vidos do neg1cio e usu%rios finais6 assegura o va"or e a 3ua"idade dos entreg%veis do
pro9eto e ma=imi2a a contri+ui)o de programas 3ue :a+i"itam investimentos em T;
!)*I+I'(O E IMPEME"T!'(O
!I1 Identi.i2ar sol/4@es a/tomati8adas
! necessidade para novas ap"ica.es ou fun.es re3uer uma an%"ise antes da a3uisi)o ou cria)o para assegurar 3ue os
re3uerimentos do neg1cio s)o satisfeitos numa a+ordagem efetiva e eficiente; $ste processo cu+ra a defini)o das necessidades6
considerando fontes a"ternativas6 revis)o da via+i"idade tecno"1gica e econBmica6 e=ecu)o de an%"ise de risco e an%"ise de custo C
+eneficio e a conc"us)o de uma decis)o fina" de Dfa2erE ou DcomprarE; Todos estes passos :a+i"itam a organi2a)o de minimi2ar os
custos de ad3uirir e imp"ementar so"u.es6 en3uanto asseguram 3ue estes :a+i"itam o neg1cio de atingir seus o+9etivos;
!I2 !d3/irir e manter so.tware aAli2ativo
!p"ica.es devem estar disponveis em "in:a com os re3uerimentos de neg1cio; $ste processo envo"ve o desen:o de ap"ica.es6
a inc"us)o apropriada de contro"es de ap"ica)o e re3uerimentos de segurana e o atua" desenvo"vimento e configura)o conforme
os padr.es; sso permita as organi2a.es de suportar apropriadamente as opera.es de neg1cio com as corretas ap"ica.es
automati2adas;
!I3 !d3/irir e manter ar3/itet/ra te2nol61i2a
-rgani2a.es devem :aver um processo para a a3uisi)o6 imp"ementa)o e atua"i2a)o da infra>estrutura tecno"1gica; sso re3uer
uma a+ordagem p"ane9ada para a a3uisi)o6 manuten)o e prote)o da infra>estrutura em "in:a com as estrat5gias tecno"1gicas
acordadas e a provis)o de am+ientes de desenvo"vimento e teste; sso assegura 3ue o suporte tecno"1gico operaciona" suporta as
ap"ica.es de neg1cio;
!I4 Manter oAera45o e /so
Con:ecimento so+re novos sistemas necessita de ser disponi+i"i2ado; $ste processo re3uer a produ)o de documenta)o e
manuais para usu%rios e T e prover treinamento 3ue assegura o uso e a opera)o apropriado de ap"ica.es e infra>estrutura;
!I9 Obter $e2/rsos de TI
0ecursos de T6 inc"usive pessoas6 :ard4are6 soft4are e servios6 necessitam ser o+tidos; sso re3uer uma defini)o e san)o de
procedimentos de a3uisi)o6 a se"e)o de fornecedores6 a rea"i2a)o de arran9os contratuais e a a3uisi)o em se; ,a2er assim
assegura 3ue a organi2a)o tem todos os recursos de T re3ueridos em tempo e de maneira efetivo em custo;
!I: %eren2iar m/dan4as
Todas as mudanas6 inc"usive mudanas emergenciais e corre.es6 re"acionados F infra>estrutura e ap"ica.es dentro de um
am+iente de produ)o precisam ser gerenciados forma"mente de uma maneira contro"ada; /udanas Ginc"uindo procedimentos6
processos6 sistemas e parAmetros de serviosH precisam ser registradas6 ava"iados e autori2adas antes de imp"ementar e
revisados em re"a)o dos resu"tados p"ane9ados em seguida da imp"ementa)o; sso assegura a mitiga)o de riscos de impactos
negativos so+re a esta+i"idade ou integridade de am+ientes produtivos;
!I; Instalar e 2erti.i2ar +ol/4@es e M/dan4as
Iovos sistemas precisam ser feitos operacionais uma ve2 3ue o desenvo"vimento 5 comp"eto; sso re3uer testes apropriados em
um am+iente dedicado com dados de teste re"evantes6 defini)o da introdu)o e instru.es de migra)o6 p"ane9amento de
"i+era.es6 promo)o atua" para a produ)o e revis.es p1s>imp"ementa)o; sso assegura 3ue sistemas operacionais est)o em
"in:a com as e=pectativas e resu"tados acordados;
E"T$E%! E +*PO$TE
-+1 -e.inir nBveis de +ervi4os
Comunica)o efetiva entre a ger?ncia da T e os c"ientes do neg1cio6 em re"a)o dos servios re3ueridos6 5 :a+i"itado atrav5s da
documenta)o e o acordo de servios da T e nveis de servios; $ste processo tam+5m inc"ua o monitoramento e o reporte em
tempo para os sta'e:o"ders so+re o cumprimento dos nveis de servios; $ste processo :a+i"ita o a"in:amento entre os servios da
T o os re3uerimentos de neg1cio associados;
-+2 %eren2iar +ervi4os de Ter2eiros
! necessidade de assegurar 3ue servios providos por terceiros atendem os re3uerimentos do neg1cio re3uer um processo efetivo
de gerenciamento de terceiros; $ste processo 5 efetuado com papeis c"aramente definidos6 responsa+i"idades e e=pectativas em
acordos com terceiros6 como tam+5m com revis)o e monitoramento destes acordos para efetividade e conformidade;
Gerenciamento efetivo de servios de terceiros minimi2a os riscos de neg1cio associados com fornecedores n)o conformes;
-+3 %eren2iar Per.orman2e e CaAa2idade
! necessidade de gerenciar o desempen:o e a capacidades dos recursos de T re3uer um processo para rever periodicamente o
desempen:o e a capacidade atua" dos recursos da T; $ste processo inc"ua a previs)o das futuras necessidades +aseada na
carga de tra+a":o6 re3uerimentos de arma2enamento e de conting?ncia; $ste processo prov5m a garantia 3ue os recursos da
inform%tica6 3ue suportam os re3uerimentos de neg1cio6 s)o continuamente ava"iados;
-+4 %arantir Contin/idade dos +ervi4os
! necessidade de prover servios contnuos de T re3uer o desenvo"vimento6 manuten)o e testes de p"anos de continuidade da
T6 arma2enamento e=terno de +ac'up e treinamento peri1dico para o p"ano de continuidade; @m processo efetivo da continuidade
de servio minimi2a a pro+a+i"idade e o impacto de interrup.es maiores de servio so+re fun.es e processos de neg1cio;
-+9 %arantir +e1/ran4a dos +istemas
! necessidade de manter a integridade da informa)o e proteger os ativos da T re3uer um processo de gerenciamento de
segurana; $ste processo inc"ui de esta+e"ecer e manter papeis e responsa+i"idades6 po"ticas6 padr.es e procedimentos da
segurana de T; Gerenciamento da segurana tam+5m inc"ui rea"i2ar monitoramento da segurana6 testes peri1dicos e
imp"ementar a.es corretivas para identificar fra3ue2as ou incidentes de segurana; @m gerenciamento efetivo de segurana
prote9a todos os ativos da T para minimi2ar o impacto so+re o neg1cio das vu"nera+i"idades e incidentes de segurana;
-+: Identi.i2ar e !lo2ar C/stos
! necessidade para um 9usto e imparcia" sistema de a"ocar custos para o neg1cio re3uer a medi)o e=ata de custos da T e
acordos com usu%rios de neg1cio para uma a"oca)o correta; $ste processo inc"ua a cria)o e opera)o de um sistema de
captura6 a"oca)o e reporte dos custos da T para os usu%rios de servios; @m sistema 9usto de a"oca)o :a+i"ita o neg1cio de
fa2er mais decis.es informadas em re"a)o do uso de servios da T;
-+; Ed/2ar e Treinar /s/Crios
$duca)o efetiva de todos os usu%rios de sistemas de T6 inc"uindo estes dentro da T6 re3uer a identifica)o das necessidades de
treinamento de cada grupo de usu%rios; $m adi)o da identifica)o da necessidade6 este processo inc"ua a defini)o e e=ecu)o
de uma estrat5gia para um treinamento efetivo e medi)o de resu"tados; @m programa efetivo de treinamento aumenta o uso
efetivo da tecno"ogia com a redu)o de erros de usu%rios6 aumenta a produtividade e aumenta a conformidade com contro"es
c:aves como as medidas de segurana de usu%rios;
-+= %eren2iar +ervi2e -esk e In2identes
0espostas em tempo e efetivos para as perguntas e pro+"emas dos usu%rios da T re3uerem uma centra" de servio +em
desen:ada e imp"ementada e um processo de gerenciamento de incidentes; $ste processo inc"ua a imp"ementa)o da fun)o da
centra" de servios com registro6 esca"a)o6 tend?ncias6 an%"ise de causas rai2 e reso"u)o de incidentes; - +enefcio para o
neg1cio inc"ua um aumento de produtividade atrav5s da reso"u)o r%pido das perguntas dos usu%rios; $m adi)o6 o neg1cio pode
enderear causas rai2 Gcomo um po+re treinamento de usu%riosH atrav5s de um reporte efetivo;
-+> %eren2iar a Con.i1/ra45o
!ssegurar a integridade da configura)o de :ard4are e soft4are re3uer de esta+e"ecer e manter um preciso e comp"eto reposit1rio
da configura)o; $ste processo inc"ua a co"eta inicia" de informa)o da configura)o6 esta+e"ecer refer?ncias6 verificar e auditar a
informa)o da configura)o e atua"i2ar o reposit1rio da configura)o 3uando necess%rio; Gerenciamento efetivo da configura)o
faci"ita a disponi+i"idade maior do sistema6 minimi2ar assuntos de produ)o e reso"ver estes assuntos mais r%pidos;
-+1? %eren2iar Problemas
@m gerenciamento efetivo de pro+"emas re3uer a identifica)o e c"assifica)o de pro+"emas6 an%"ise da causa rai2 e reso"u)o de
pro+"emas; - processo do gerenciamento de pro+"emas tam+5m inc"ua a identifica)o de recomenda.es para me":orar a
manuten)o de registros de pro+"emas e revisar o status de a.es corretivas; @m processo do gerenciamento de pro+"emas
efetivo me":ora nveis de servio6 redu2 custos e me":ora a conveni?ncia e satisfa)o;
-+11 %eren2iar -ados
Gerenciamento efetivo de dados re3uer a identifica)o de re3uerimentos para dados; - processo de gerenciamento de dados
tam+5m inc"ua esta+e"ecer procedimentos efetivos para gerenciar a +i+"ioteca de mdias6 +ac'up e recupera)o e disponi+i"i2ar
mdias apropriadas; Gerenciamento efetivo de dados a9uda assegurar a 3ua"idade6 oportunidade e disponi+i"idade de dados do
neg1cio;
-+12 %eren2iar os !mbientes FBsi2os
! prote)o para e3uipamentos de computa)o e pessoa" re3uer insta"a.es +em desen:adas e +em gerenciadas; - processo de
gerenciar o am+iente fsico inc"ua de definir os re3uerimentos para um "ugar fsico6 se"e)o de insta"a.es apropriadas e desen:o
efetivo dos processos para monitorar e"ementos am+ientais e gerenciar o acesso fsico; Gerenciamento efetivo do am+iente fsico
redu2 interrup.es do neg1cio devida de danos nos e3uipamentos de computa)o e no pessoa";
-+13 %eren2iar OAera4@es
Processamento comp"eto e e=ato de dados re3uer o gerenciamento efetivo do processamento de dados e a manuten)o de
:ard4are; $ste processo inc"ua a defini)o de po"ticas e procedimentos operacionais para um gerenciamento efetivo da
programa)o do processamento6 prote)o de output sensitivo6 monitoramento da infra>estrutura e manuten)o preventiva de
:ard4are; Gerenciamento efetivo da opera)o a9uda de manter a integridade de dados e redu2 atrasos no neg1cio e custos da
opera)o da T;
MO"ITO$!'(O E !,!I!'(O
ME1 Monitorar e !valiar a Per.orman2e de TI
!ssegura 3ue a administra)o esta+e"ea um frame4or' gera" de monitoramento e uma a+ordagem 3ue defina o escopo6
metodo"ogia e processos para serem seguidos para o monitoramento da T contri+ua para os resu"tados do gerenciamento do
portfo"io empresaria" e processos de programas gerenciais e estes processos 3ue s)o especficos para entregar as compet?ncias
e servios da T; - frame4or' deve estar integrado com o sistema de gerenciamento de desempen:o da compan:ia;
ME2 Monitorar e !valiar Controle Interno
$sta+e"ecer um programa de contro"e interno efetivo para a T re3uer um processo de monitora)o +em definido; $ste
processo inc"ui monitora)o e reporte de e=ce.es de contro"e6 resu"tados da auto>ava"ia)o e revis)o de fornecedores
GterceirosH; @m +enefcio principa" do contro"e interno de monitora)o 5 fornecer segurana re"acionada F efici?ncia e
efic%cia das operacionais e conformidade com "eis e regu"amentos;
ME3 !sse1/rar Con.ormidade $e1/lat6ria
@ma vigi"Ancia regu"at1ria eficiente re3uer o esta+e"ecimento de um processo de revis)o independente para garantir a
conformidade com "eis e regu"amentos; $ste processo inc"ui definir um auditor independente6 5tica profissiona" e
padr.es6 p"ane9amento6 desempen:o do tra+a":o de auditoria6 e reporte do acompan:amento das atividades de
auditoria; - prop1sito deste processo 5 fornecer uma garantia positiva re"acionada F conformidade da T com "eis e
regu"amentos;
ME4 Forne2er %overnan4a de TI
$sta+e"ecer um frame4or' efetivo de governana6 inc"uindo a defini)o de estruturas organi2acionais6 processos6 "iderana6 papeis
e responsa+i"idades para assegurar 3ue os investimentos em T empresaria" s)o a"in:ados e entregas de acordo com as
estrat5gias e o+9etivos empresariais;