Processos de TI do COBIT 4.

1
PLANEJAMENTO E ORGANIZAO
PO1 Definir um Plano Estratgico de TI
O planejamento estratgico requerido para gerenciar e direcionar todos os recursos da TI em linha com as estratgias e
prioridades do negcio. A funo da TI e os stakeholders do negcio so responsveis para assegurar que um valor otimizado
realizado atravs dos portfolios dos projetos e servios. O plano estratgico deve aumentar a compreenso dos stakeholders
chaves em relao das oportunidades e limites da TI, avaliar o desempenho atual e esclarecer o nvel de investimentos requeridos.
A estratgia e as prioridades do negcio devem ser refletidas nos portfolios e executadas atravs dos planos tticos da TI, os quais
estabeleam objetivos concisos, planos e tarefas compreendidas e aceitos pelo negcio e da TI.

PO2 Definir a Arquitetura de Informao

A funo dos sistemas de informao deve criar e atualizar regularmente um modelo de informao de neg cio e definir os sistemas
apropriados para otimizar o uso da informao. Isso inclua o desenvolvimento de um dicionrio coorporativo de dados com as regras
de sintaxe da organizao, esquema de classificao de dados e nveis de segurana. Este processo melhora a qualidade de
decises feitas pelas gerencias e assegura que informaes confiveis e seguras so providas e isso habilita de racionalizar
recursos de sistemas de informao para atender apropriadamente as estratgias de negcio. Este processo da TI tambm
necessita de aumentar a responsabilidade sobre a integridade e segurana dos dados e melhorar a efetividade e controle sobre o
compartilhamento de informao atravs de aplicaes e entidades.

PO3 Determinar a Direo Tecnolgica

A funo dos servios de informao deve determinar a direo tecnolgica para suportar o negcio. Isso requer a criao de um
plano da infra-estrutura tecnolgica e um comit de arquitetura que fixa e gerencia expectativas claras e realsticas o que a
tecnologia pode oferecer em termos de produtos, servios e mecanismos de entrega. O plano deve ser atualizado regularmente e
incluir aspectos como a arquitetura de sistemas, direo tecnolgica, planos de aquisio, padres, estratgias de migrao e
contingncia. Isso habilita uma resposta em tempo para mudar para um ambiente competitiva, economias em escala com o pessoal
e os investimentos em sistemas de informao e um investimento que melhora a interoperabilidade de plataformas e aplicaes .

PO4 Definir Processos de TI, Organizao e Relacionamento

Uma organizao da TI precisa ser definida, considerando os requerimentos para pessoas, habilidades, funes, responsabilidade,
autoridade, papeis e superviso. Esta organizao deve estar embutida dentro um framework de processos da TI que asseguram
transparncia e controle, como tambm envolvem os executivos snior e gerentes de negcio. Um comit estratgico deve
assegurar uma viso geral da TI e um ou mais comits de direo, em quais os participantes do negcio e da TI devem determina r a
priorizao dos recursos da TI em linha com as necessidades do negcio. Processos, polticas e procedimentos administrativos
necessitam de ser implementadas para todas as funes, com ateno especifica para o controle, garantia de qualidade,
gerenciamento de riscos, segurana de informao, propriedade para dados e sistemas e segregao de direitos. Para assegurar
um suporte em tempo para os requerimentos do negcio, a TI deve estar envolvida em processos relevantes de deciso.

PO5 Gerenciar o Investimento em TI

Estabelecer e manter um framework para gerenciar programas que habilitem investimentos em TI e que abrangem custos,
benefcios, priorizao nos oramentos, um processo formal de oramentos e gerenciamento em relao dos oramentos. Trabalhar
com os stakeholders para identificar e controlar o total dos custos e benefcios dentro do contexto dos planos estratgicos e tticos
da TI e iniciar aes corretivas quando necessrias. O processo deve favorecer os relacionamentos entre a TI e stakeholders do
negcio, habilitar o uso efetivo e eficiente dos recursos da TI e prover transparncia e responsabilidade nos custos totais de
propriedade, a relao do beneficio para o negcio e o retorno sobre investimentos que habilitam a TI.

PO6 Comunicar Metas e Diretivas Gerenciais

A administrao deve desenvolver um framework de controle empresarial da TI e definir e comunicar polticas. Um programa
continua de comunicao deve ser implementada para articular a misso, objetivos de servio, polticas e procedimentos, etc.
aprovados e suportados pela administrao. A comunicao suporta o atingimento dos objetivos da TI e assegura conscientizao e
compreenso em relao do negcio e os riscos, objetivos e a direo da TI. O processo deve assegurar a conformidade com leis e
regulamentos.

PO7 Gerenciar Recursos Humanos

Adquire, mantm e motiva uma fora de trabalho competente para criar e entregar servios da Ti para o negcio. Isso atingido
seguindo praticas definidos e acordadas que suportam o recrutamento, treinamento, avaliao do desempenho, promoo e
demisso. Este processo critico, como as pessoas so um ativo e de governana importante e o ambiente interno de controle
depende bastante da motivao e competncia do pessoal.

PO8 Gerenciar Qualidade

Um sistema de gerenciamento da qualidade deve ser desenvolvido e mantido, o qual inclua um processo de desenvolvimento e
aquisio comprovado e padronizado. Isso habilitado atravs do planejamento, implementao e manuteno do sistema de
qualidade que provm requerimentos claros de qualidade, procedimentos e polticas. Requerimentos de qualidade devem ser
determinados e comunicados, com indicadores quantificveis e atingveis. Melhorias contnuas so atingidas atravs de um
monitoramento operacional, analises e aes sobre desvios e a comunicao dos resultados para os stakeholders. Gerenciamento
da qualidade essencial para assegurar que a TI entrega valor para o negcio, melhorias contnuas e transparncia para
stakeholders.

PO9 Avaliar e Gerenciar Riscos

Criar e manter um framework de gerenciamento de riscos. O framework documenta um nvel de riscos da TI comum e acordado,
estratgias de mitigao e acordos sobre riscos residuais. Qualquer impacto potencial sobre as metas da organizao, causada por
eventos no planejados, deve ser identificado, levantado e avaliado. Estratgias de mitigao de riscos devem ser adotadas para
minimizar riscos residuais ao um nvel aceitvel. O resultado da avaliao deve ser compreensvel para os stakeholders e expresso
em termos financeiros, para habilitar os stakeholders de alinhar os riscos com um nvel aceitvel de tolerncia.

PO10 Gerenciar Projetos

Estabelecer um framework de gerenciamento de programas e projetos para gerenciar todos os projetos da TI. Este framework deve
assegurar a correta priorizao e coordenao de todos os projetos. O framework deve incluir um plano mestre, atribuio de
recursos, definio de entregveis, aprovaes pelos usurios, uma abordagem em fases para as entregveis, garantia de
qualidade, um plano formal de teste, testes e revises ps-implementao aps da instalao para assegurar o gerenciamento de
risco e a entrega do valor para o negcio. Esta abordagem reduz o risco de custos no esperados e cancelamento de projetos,
aumenta a comunicao com os envolvidos do negcio e usurios finais, assegura o valor e a qualidade dos entregveis do projeto
e maximiza a contribuio de programas que habilitam investimentos em TI.

AQUISIO E IMPLEMENTAO
AI1 Identificar solues automatizadas
A necessidade para novas aplicaes ou funes requer uma anlise antes da aquisio ou criao para assegurar que os
requerimentos do negcio so satisfeitos numa abordagem efetiva e eficiente. Este processo cubra a definio das necessidades,
considerando fontes alternativas, reviso da viabilidade tecnolgica e econmica, execuo de anlise de risco e anlise de custo /
beneficio e a concluso de uma deciso final de fazer ou comprar. Todos estes passos habilitam a organizao de minimizar os
custos de adquirir e implementar solues, enquanto asseguram que estes habilitam o negcio de atingir seus objetivos.

AI2 Adquirir e manter software aplicativo

Aplicaes devem estar disponveis em linha com os requerimentos de negcio. Este processo envolve o desenho de aplicaes, a
incluso apropriada de controles de aplicao e requerimentos de segurana e o atual desenvolvimento e configurao conforme os
padres. Isso permita as organizaes de suportar apropriadamente as operaes de negcio com as corretas aplicaes
automatizadas.

AI3 Adquirir e manter arquitetura tecnolgica

Organizaes devem haver um processo para a aquisio, implementao e atualizao da infra-estrutura tecnolgica. Isso requer
uma abordagem planejada para a aquisio, manuteno e proteo da infra-estrutura em linha com as estratgias tecnolgicas
acordadas e a proviso de ambientes de desenvolvimento e teste. Isso assegura que o suporte tecnolgico operacional suporta a s
aplicaes de negcio.

AI4 Manter operao e uso

Conhecimento sobre novos sistemas necessita de ser disponibilizado. Este processo requer a produo de documentao e
manuais para usurios e TI e prover treinamento que assegura o uso e a operao apropriado de aplicaes e infra -estrutura.

AI5 Obter Recursos de TI

Recursos de TI, inclusive pessoas, hardware, software e servios, necessitam ser obtidos. Isso requer uma definio e sano de
procedimentos de aquisio, a seleo de fornecedores, a realizao de arranjos contratuais e a aquisio em se. Fazer assim
assegura que a organizao tem todos os recursos de TI requeridos em tempo e de maneira efetivo em custo.

AI6 Gerenciar mudanas

Todas as mudanas, inclusive mudanas emergenciais e correes, relacionados infra-estrutura e aplicaes dentro de um
ambiente de produo precisam ser gerenciados formalmente de uma maneira controlada. Mudanas (incluindo procedimentos,

processos, sistemas e parmetros de servios) precisam ser registradas, avaliados e autorizadas antes de implementar e revisa dos
em relao dos resultados planejados em seguida da implementao. Isso assegura a mitigao de riscos de impactos negativos
sobre a estabilidade ou integridade de ambientes produtivos.

AI7 Instalar e certificar Solues e Mudanas

Novos sistemas precisam ser feitos operacionais uma vez que o desenvolvimento completo. Isso requer testes apropriados em um
ambiente dedicado com dados de teste relevantes, definio da introduo e instrues de migrao, planejamento de liberaes ,
promoo atual para a produo e revises ps-implementao. Isso assegura que sistemas operacionais esto em linha com as
expectativas e resultados acordados.

ENTREGA E SUPORTE
DS1 Definir nveis de Servios
Comunicao efetiva entre a gerncia da TI e os clientes do negcio, em relao dos servios requeridos, habil itado atravs da
documentao e o acordo de servios da TI e nveis de servios. Este processo tambm inclua o monitoramento e o reporte em
tempo para os stakeholders sobre o cumprimento dos nveis de servios. Este processo habilita o alinhamento entre os servios da
TI o os requerimentos de negcio associados.

DS2 Gerenciar Servios de Terceiros

A necessidade de assegurar que servios providos por terceiros atendem os requerimentos do negcio requer um processo efetivo
de gerenciamento de terceiros. Este processo efetuado com papeis claramente definidos, responsabilidades e expectativas em
acordos com terceiros, como tambm com reviso e monitoramento destes acordos para efetividade e conformidade .
Gerenciamento efetivo de servios de terceiros minimiza os riscos de negcio associados com fornecedores no conformes.

DS3 Gerenciar Performance e Capacidade

A necessidade de gerenciar o desempenho e a capacidades dos recursos de TI requer um processo para rever periodicamente o
desempenho e a capacidade atual dos recursos da TI. Este processo inclua a previso das futuras necessidades baseada na carga
de trabalho, requerimentos de armazenamento e de contingncia. Este processo provm a garantia que os recursos da informtica ,
que suportam os requerimentos de negcio, so continuamente avaliados.

DS4 Garantir Continuidade dos Servios

A necessidade de prover servios contnuos de TI requer o desenvolvimento, manuteno e testes de planos de continuidade da T I,
armazenamento externo de backup e treinamento peridico para o plano de continuidade. Um processo efetivo da continuidade de
servio minimiza a probabilidade e o impacto de interrupes maiores de servio sobre funes e processos de negcio.

DS5 Garantir Segurana dos Sistemas

A necessidade de manter a integridade da informao e proteger os ativos da TI requer um processo de gerenciamento de
segurana. Este processo inclui de estabelecer e manter papeis e responsabilidades, polticas, padres e procedimentos da
segurana de TI. Gerenciamento da segurana tambm inclui realizar monitoramento da segurana, testes peridicos e implementar
aes corretivas para identificar fraquezas ou incidentes de segurana. Um gerenciamento efetivo de segurana proteja todos os
ativos da TI para minimizar o impacto sobre o negcio das vulnerabilidades e incidentes de segurana.

DS6 Identificar e Alocar Custos

A necessidade para um justo e imparcial sistema de alocar custos para o negcio requer a medio exata de custos da TI e acor dos
com usurios de negcio para uma alocao correta. Este processo inclua a criao e operao de um sistema de captura, alocao
e reporte dos custos da TI para os usurios de servios. Um sistema justo de alocao habilita o negcio de fazer mais decis es
informadas em relao do uso de servios da TI.

DS7 Educar e Treinar usurios

Educao efetiva de todos os usurios de sistemas de TI, incluindo estes dentro da TI, requer a identificao das necessidade s de
treinamento de cada grupo de usurios. Em adio da identificao da necessidade, este processo inclua a definio e execuo de
uma estratgia para um treinamento efetivo e medio de resultados. Um programa efetivo de treinamento aumenta o uso efetivo da
tecnologia com a reduo de erros de usurios, aumenta a produtividade e aumenta a conformidade com controles chaves como as
medidas de segurana de usurios.

DS8 Gerenciar Service Desk e Incidentes

Respostas em tempo e efetivos para as perguntas e problemas dos usurios da TI requerem uma central de servio bem desenhada
e implementada e um processo de gerenciamento de incidentes. Este processo inclua a implementao da funo da central de
servios com registro, escalao, tendncias, anlise de causas raiz e resoluo de incidentes. O benefcio para o negcio i nclua um

aumento de produtividade atravs da resoluo rpido das perguntas dos usurios. Em adio, o negcio pode enderear causas
raiz (como um pobre treinamento de usurios) atravs de um reporte efetivo.

DS9 Gerenciar a Configurao

Assegurar a integridade da configurao de hardware e software requer de estabelecer e manter um preciso e completo repositrio
da configurao. Este processo inclua a coleta inicial de informao da configurao, estabelecer referncias, verificar e auditar a
informao da configurao e atualizar o repositrio da configurao quando necessrio. Gerenciamento efetivo da configurao
facilita a disponibilidade maior do sistema, minimizar assuntos de produo e resolver estes assuntos mais rpidos.

DS10 Gerenciar Problemas

Um gerenciamento efetivo de problemas requer a identificao e classificao de problemas, anlise da causa raiz e resoluo de
problemas. O processo do gerenciamento de problemas tambm inclua a identificao de recomendaes para melhorar a
manuteno de registros de problemas e revisar o status de aes corretivas. Um processo do gerenciamento de problemas efetivo
melhora nveis de servio, reduz custos e melhora a convenincia e satisfao.

DS11 Gerenciar Dados

Gerenciamento efetivo de dados requer a identificao de requerimentos para dados. O processo de gerenciamento de dados
tambm inclua estabelecer procedimentos efetivos para gerenciar a biblioteca de mdias, backup e recuperao e disponibilizar
mdias apropriadas. Gerenciamento efetivo de dados ajuda assegurar a qualidade, oportunidade e disponibilidade de dados do
negcio.

DS12 Gerenciar os Ambientes Fsicos

A proteo para equipamentos de computao e pessoal requer instalaes bem desenhadas e bem gerenciadas. O processo de
gerenciar o ambiente fsico inclua de definir os requerimentos para um lugar fsico, seleo de instalaes apropriadas e desenho
efetivo dos processos para monitorar elementos ambientais e gerenciar o acesso fsico. Gerenciamento efetivo do ambiente fsico
reduz interrupes do negcio devida de danos nos equipamentos de computao e no pessoal.

DS13 Gerenciar Operaes

Processamento completo e exato de dados requer o gerenciamento efetivo do processamento de dados e a manuteno
hardware. Este processo inclua a definio de polticas e procedimentos operacionais para um gerenciamento efetivo
programao do processamento, proteo de output sensitivo, monitoramento da infra-estrutura e manuteno preventiva
hardware. Gerenciamento efetivo da operao ajuda de manter a integridade de dados e reduz atrasos no negcio e custos
operao da TI.

de
da
de
da

MONITORAO E AVALIAO
ME1 Monitorar e Avaliar a Performance de TI
Assegura que a administrao estabelea um framework geral de monitoramento e uma abordagem que defina o escopo,
metodologia e processos para serem seguidos para o monitoramento da TI contribua para os resultados do gerenciamento do
portfolio empresarial e processos de programas gerenciais e estes processos que so especficos para entregar as competncias e
servios da TI. O framework deve estar integrado com o sistema de gerenciamento de desempenho da companhia.

ME2 Monitorar e Avaliar Controle Interno

Estabelecer um programa de controle interno efetivo para a TI requer um processo de monitorao bem definido. Este processo
inclui monitorao e reporte de excees de controle, resultados da auto-avaliao e reviso de fornecedores (terceiros). Um
benefcio principal do controle interno de monitorao fornecer segurana relacionada eficincia e eficcia das operacionais e
conformidade com leis e regulamentos.

ME3 Assegurar Conformidade Regulatria

Uma vigilncia regulatria eficiente requer o estabelecimento de um processo de reviso independente para garantir a conformi dade
com leis e regulamentos. Este processo inclui definir um auditor independente, tica profissional e padres, planejamento,
desempenho do trabalho de auditoria, e reporte do acompanhamento das atividades de auditoria. O propsito deste processo
fornecer uma garantia positiva relacionada conformidade da TI com leis e regulamentos.

ME4 Fornecer Governana de TI

Estabelecer um framework efetivo de governana, incluindo a definio de estruturas organizacionais, processos, liderana, papeis e
responsabilidades para assegurar que os investimentos em TI empresarial so alinhados e entregas de acordo com as estratgias e
objetivos empresariais.