Anda di halaman 1dari 14

COBIT 4.

1 Controles Importância
Implementados

Parcial

Média
Nível
Não

Alta
Sim

N\A
Processos TI
PO Planejamento e Organização
PO1 Definir um Plano Estratégico de TI
PO2 Definir a Arquitetura da Informação
PO3 Determinar as Diretrizes de Tecnologia
PO4 Definir os Processos, Organização e Relacionamentos de TI
PO5 Gerenciar o Investimento em TI
PO6 Comunicar Metas e Diretrizes Gerenciais
PO7 Gerenciar Recursos Humanos de TI
PO8 Gerenciar Qualidade
PO9 Avaliar e Gerenciar Riscos de TI
PO10 Gerenciar Projetos
AI Aquisição e Implementação
AI1 Identificar Soluções Automatizadas
AI2 Adquirir e Manter Software Aplicativo
AI3 Adquirir e Manter Infraestrutura Tecnológica
AI4 Habilitar Operação e Uso
AI5 Obter Recursos de TI
AI6 Gerenciar Mudanças
AI7 Instalar e Homologar Soluções e Mudanças
DS Entrega e Suporte
DS1 Definir e Gerenciar Níveis de Serviço
DS2 Gerenciar Serviços Terceirizados
DS3 Gerenciar Desempenho e Capacidade
DS4 Assegurar Continuidade dos Serviços
DS5 Garantir a Segurança de Sistemas
DS6 Identificar e Alocar Custos
DS7 Educar e Treinar Usuários
DS8 Gerenciar a Central de Serviços e os Incidentes
DS9 Gerenciar a Configuração
DS10 Gerenciar Problemas
DS11 Gerenciar Dados
DS12 Gerenciar o Ambiente Físico
DS13 Gerenciar Operações
ME Monitoramento e Avaliação
ME1 Monitorar e Avaliar o Desempenho de TI
ME2 Monitorar e Avaliar Controle Interno
ME3 Assegurar a Conformidade com Requisitos Externos
ME4 Prover Governança de TI
ImportânciaNenhuma

Impedimentos Percebidos Observação


Baixa

N\A
COBIT 4.1 Controles Importância
Implementados

Nenhuma
Parcial

Média

Baixa
Nível
Não

Alta
Sim

N\A

N\A
Processos TI
PO Planejamento e Organização
PO1 Definir um Plano Estratégico de TI
Planejamento estratégico de TI x x
Planejamento tático de TI x x
Portfólio de projetos de TI x x
Portfólio de serviços de TI x x
Estratégia de fornecimento de TI x x
Estratégia de aquisição de TI x x
PO2 Definir a Arquitetura da Informação
Estrutura de classificação de dados
Plano otimizado de sistemas de negócio
Dicionário de dados x x
Arquitetura da informação x x
Classificações atribuídas a dados x x
Procedimentos e ferramentas de classificação
PO3 Determinar as Diretrizes de Tecnologia x x
Oportunidades tecnológicas
Padrões tecnológicos
Atualizações periódicas do “estado da tecnologia”
Planejamento da infraestrutura tecnológica
Requisito de infraestrutura
PO4 Definir os Processos, Organização e Relacionamentos de TI x x
Estrutura de processos de TI
Proprietários formais dos sistemas
Organização e relacionamentos de TI
Estrutura de processos de TI, papéis, funções e responsabilidades
documentadas
Documentação de papéis, funções e responsabilidades
PO5 Gerenciar o Investimento em TI x x
Relatórios de custo/benefício
Orçamentos de TI
Portfólio de serviços de TI atualizado
Portfólio de projetos de TI atualizado
PO6 Comunicar Metas e Diretrizes Gerenciais
Estrutura corporativa de controles de TI
Políticas de TI
PO7 Gerenciar Recursos Humanos de TI x x
Políticas e procedimentos de RH para TI
Matriz de habilidades em TI
Descrição de cargos x x
Habilidades e competências de usuários, incluindo treinamento
individual
Requisitos de treinamentos específicos x x
Papéis, funções e responsabilidades
PO8 Gerenciar Qualidade x x
Padrões para aquisição
Padrões para desenvolvimento
Padrões de qualidade e requisitos de métricas
Ações de melhoria da qualidade
PO9 Avaliar e Gerenciar Riscos de TI x x
Avaliação crítica de riscos
Relatório de riscos
Diretrizes para a gestão de riscos de TI
Planos de ação para remediação de riscos de TI
PO10 Gerenciar Projetos x x
Relatórios de desempenho de projetos
Plano de gerenciamento de risco de projetos
Diretrizes de gerenciamento de projetos
Planejamento detalhado de projetos
Portfólio de projetos de TI atualizado
AI Aquisição e Implementação
AI1 Identificar Soluções Automatizadas x x
Estudo de viabilidade dos requisitos de negócio
AI2 Adquirir e Manter Software Aplicativo x x
COBIT 4.1 Controles Importância
Implementados

Nenhuma
Parcial

Média

Baixa
Nível
Não

Alta
Sim

N\A

N\A
Processos TI
Especificações de controles para segurança de Aplicações
Conhecimento de aplicações e pacotes de software
Decisões de aquisição
Acordos de nível de serviços (SLAs) planejados inicialmente
Especificações de disponibilidade, continuidade e recuperação
AI3 Adquirir e Manter Infraestrutura Tecnológica x x
Decisões de aquisição
Sistema configurado para ser testado/instalado
Requisitos do ambiente físico
Atualizações para padrões tecnológicos
Requisitos de monitoramento de sistema
Conhecimento da infraestrutura
Acordos de nível operacional (OLAs) planejados inicialmente
AI4 Habilitar Operação e Uso x x

Manuais de usuário, operação, suporte, técnico e administração


Requisitos de transferência de conhecimento para implementação
de soluções
Materiais de treinamento
AI5 Adquirir Recursos de TI
Requisitos de gerenciamento de relacionamento com terceiros x x
Itens adquiridos
Tratativas contratuais
AI6 Gerenciar Mudanças x x
Descrição do processo de mudanças
Relatórios de status das mudanças
Autorização de mudanças
AI7 Instalar e Homologar Soluções e Mudanças x x
Itens de configuração liberados
Erros conhecidos e aceitos
Migração para produção
Liberação de software e planejamento de distribuição
Revisão pós-implementação
Monitoramento de controles internos
DS Entrega e Suporte

DS1 Definir e Gerenciar Níveis de Serviço x x


Relatório de revisão de contratos
Relatórios de desempenho de processos
Requisitos novos ou atualizados de serviços
SLAs
OLAs
Portfólio de serviços de TI atualizado

DS2 Gerenciar Serviços Terceirizados x x


Relatórios de desempenho de processos
Catálogo de fornecedores
Riscos de fornecedores

DS3 Gerenciar Desempenho e Capacidade x x


Informação de desempenho e capacidade
Planejamento de desempenho e capacidade (requisitos)
Mudanças necessárias
Relatórios de desempenho de processos
DS4 Assegurar Continuidade dos Serviços x x
Resultados dos testes de contingência
Criticidade dos itens de configuração de TI
Plano de guarda e proteção de cópias de segurança (backups)
Níveis de incidentes/desastres
Requisitos de serviço para desastres, incluindo papéis e
responsabilidades
Relatórios de desempenho de processos
DS5 Garantir a Segurança de Sistemas x x
Definição de Incidente de Segurança
COBIT 4.1 Controles Importância
Implementados

Nenhuma
Parcial

Média

Baixa
Nível
Não

Alta
Sim

N\A

N\A
Processos TI
Requisitos específicos de treinamento em conscientização de
segurança
Relatórios de desempenho de processos
Mudanças de segurança necessárias
Vulnerabilidades e ameaças de segurança
Políticas e Plano de Segurança de TI
DS6 Identificar e Alocar Custos x x
Aspectos financeiros de TI
Relatórios de desempenho de processos

DS7 Educar e Treinar Usuários x x


Relatórios de desempenho de processos

Atualizações necessárias de documentações

DS8 Gerenciar a Central de Serviços e os Incidentes x x


Solicitações de serviço/solicitações de mudança
Relatórios de incidentes
Relatórios de desempenho de processos
Relatórios sobre satisfação de usuários
DS9 Gerenciar a Configuração x x
Detalhes dos Ativos de TI e Configurações de TI
Solicitações de mudança (como e onde aplicar a correção)
Relatórios de desempenho de processos
DS10 Gerenciar Problemas x x
Solicitações de mudança (como e onde aplicar a correção)
Registros de problemas
Relatórios de desempenho de processos
Problemas e erros conhecidos e soluções alternativas
DS11 Gerenciar Dados x x
Relatórios de desempenho de processos
Instruções de gestão de dados para os operadores

DS12 Gerenciar o Ambiente Físico x x


Relatórios de desempenho de processos

DS13 Gerenciar Operações x


Chamados de incidentes
Registros de erros
Relatórios de desempenho de processos
ME Monitoramento e Avaliação
ME1 Monitorar e Avaliar o Desempenho de TI
Informações de desempenho para planejamento de TI
Planos de ação para remediações
Histórico de eventos e tendências de riscos
Relatórios de desempenho de processos
ME2 Monitorar e Avaliar Controle Interno
Relatórios sobre a eficácia dos controles de TI
ME3 Assegurar a Conformidade com Requisitos Externos
Catálogo de requisitos legais e regulatórios relacionados com a
entrega de serviços de TI
Relatórios sobre a conformidade das atividades de TI com
requisitos externos legais e regulatórios
ME4 Prover Governança de TI
Melhorias na estrutura de processos
Relatórios de status de governança de TI
Resultados de negócio esperados a partir dos investimentos em
negócios habilitados por TI
Direcionamento estratégico corporativo para TI
Grau aceitável corporativo de riscos de TI
COBIT 4.1 Controles Importância
Implementados

Nenhuma
Parcial

Média

Baixa
Nível
Não

Alta
Sim

N\A

N\A
Processos TI
Gestao de Marca
Gerenciar a marca de TI
Publicações
Participações em Congressos
Número de Clientes / Conveniados
Impedimentos Percebidos Observação

Política interna sem a flexibilidade necessária para atingir os objetivos TI.

Falta de RH especializado.

Falta de RH especializado.
Impedimentos Percebidos Observação

Custos podem ser altos para implantar


automatização.
Falta de RH especializado.

Falta de RH especializado. (qualidade e


documentação).

Custos podem ser altos para implantar


automatização devido a limitação de orçamento.
Falta de RH especializado.

igual DS3

igual DS3
Impedimentos Percebidos Observação

Falta o processo de gestão de capacitação na


empresa (RH Não se manifesta)
Falta de RH especializado para padronização.
Falta de RH especializado para documentação e
instrução.

Tamanho da empresa não comporta um helpdesk sofisticado.

igual DS3
Perguntas para o nível de maturidade
Passo 1 Descreva a saída do processo.
Pergunte se tal saída já foi produzida pela organização. Se nunca então o
Passo 2
nível de maturidade é 0, senão vá para o passo 3.
Pergunte quando e quantas vezes tal saída foi produzida pela organização.
Passo 3 Se não é regularmente (a cada ocasião similar) então o nível de maturidade é
1, senão vá para o passo 4.
Pegunte como (quais atividades executadas) a saída é produzida pela
organização. Se não existe política formal ou guia indicando quando e como
Passo 4
ele deve ser executado então o nível de maturidade 2, senão vá para o passo
5.
Pergunte como a qualidade da saída ou a efetividade das atividades é
Passo 5 medida pela organização. Se não existe tal medida o nível de maturidade é 3,
senão vá para o passo 6.

Pergunte se e como as atividades que produzem a saída tem sido


Passo 6 aperfeiçoadas ao longo do tempo. Se não existe tal aperfeiçoamento então a
o nível de maturidade é 4, senão vá para o passo 7.

Passo7 Assinale ao processo o nível de maturidade 5.


Critério para cada nível de maturidade do processo
Nível
Maturidade Categoria Critério

O processo não existe.


0 Inexistente

O processo é executado quando


necessário, sem padrão.
1 Ad hoc

O processo é executado
repetidamente, mas sem
documentação.
2 Repetível
O processo é executado
repetidamente, de acordo com
3 Definido documentação padronizada.
O processo é executado
repetidamente, de acordo com
documentação padronizada e é
4 Gerenciado medido.

O processo é executado
repetidamente, de acordo com
documentação padronizada, é medido
e continuamente aperfeiçoado.
5 Otimizado
COBIT 4.1 Controles Importância
Implementados
Observação

Nenhuma
Parcial

Média

Baixa
Nível

Alta
Não
Sim

N\A

N\A
Objetivo TI / Processos TI
1 Responder aos requerimentos de negócios de maneira
alinhada com a estratégia de negócios.
PO1 Definir um Plano Estratégico de TI
PO2 Definir a Arquitetura da Informação
PO4 Definir os Processos, Organização e Relacionamentos de TI
PO10 Gerenciar Projetos
AI1 Identificar Soluções Automatizadas
AI6 Gerenciar Mudanças
AI7 Instalar e Homologar Soluções e Mudanças
DS1 Definir e Gerenciar Níveis de Serviço
DS3 Gerenciar Desempenho e Capacidade
ME1 Monitorar e Avaliar o Desempenho de TI
2 Responder aos requerimentos de governança em linha com
a Alta Direção.
PO1 Definir um Plano Estratégico de TI
PO4 Definir os Processos, Organização e Relacionamentos de TI
PO10 Gerenciar Projetos
ME1 Monitorar e Avaliar o Desempenho de TI
ME4 Prover Governança de TI
3 Assegurar a satisfação dos usuários finais com a oferta e
níveis de serviços.
PO8 Gerenciar Qualidade
AI4 Habilitar Operação e Uso
DS1 Definir e Gerenciar Níveis de Serviço
DS2 Gerenciar Serviços Terceirizados
DS7 Educar e Treinar Usuários
DS8 Gerenciar a Central de Serviços e os Incidentes
DS10 Gerenciar Problemas
DS13 Gerenciar Operações
4 Otimizar o uso da informação.
PO2 Definir a Arquitetura da Informação
DS11 Gerenciar Dados
5 Criar agilidade para TI.
PO2 Definir a Arquitetura da Informação
PO4 Definir os Processos, Organização e Relacionamentos de TI
PO7 Gerenciar Recursos Humanos de TI
AI3 Adquirir e Manter Infraestrutura Tecnológica

6 Definir como funções de negócios e requerimentos de


controles são convertidos em soluções automatizadas
efetivas e eficientes.
AI1 Identificar Soluções Automatizadas
AI2 Adquirir e Manter Software Aplicativo
AI6 Gerenciar Mudanças
7 Adquirir e manter sistemas aplicativos integrados e
padronizados.
PO3 Determinar as Diretrizes de Tecnologia
AI2 Adquirir e Manter Software Aplicativo
AI5 Obter Recursos de TI
8 Adquirir e manter uma infraestrutura de TI integrada e
padronizada.
AI3 Adquirir e Manter Infraestrutura Tecnológica
AI5 Obter Recursos de TI
9 Adquirir e manter habilidades de TI que atendam as
estratégias de TI.
PO7 Gerenciar Recursos Humanos de TI
AI5 Obter Recursos de TI
10 Assegurar a satisfação mútua no relacionamento com
terceiros.
DS2 Gerenciar Serviços Terceirizados
11 Assegurar a integração dos aplicativos com os processos
de negócios.
PO2 Definir a Arquitetura da Informação
AI4 Habilitar Operação e Uso
AI7 Instalar e Homologar Soluções e Mudanças

12 Assegurar a transparência e o entendimento dos custos,


benefícios, estratégia, políticas e níveis de serviços de TI.
PO5 Gerenciar o Investimento em TI
PO6 Comunicar Metas e Diretrizes Gerenciais
DS1 Definir e Gerenciar Níveis de Serviço
DS2 Gerenciar Serviços Terceirizados
COBIT 4.1 Controles Importância
Implementados
Observação

Nenhuma
Parcial

Média

Baixa
Nível

Alta
Não
Sim

N\A

N\A
Objetivo TI / Processos TI
DS6 Identificar e Alocar Custos
ME1 Monitorar e Avaliar o Desempenho de TI
ME4 Prover Governança de TI
13 Assegurar apropriado uso e a performance das soluções
de aplicativos e de tecnologia.
PO6 Comunicar Metas e Diretrizes Gerenciais
AI4 Habilitar Operação e Uso
AI7 Instalar e Homologar Soluções e Mudanças
DS7 Educar e Treinar Usuários
DS8 Gerenciar a Central de Serviços e os Incidentes

14 Responsabilizar-se por e proteger todos os ativos de TI.


PO9 Avaliar e Gerenciar Riscos de TI
DS5 Garantir a Segurança de Sistemas
DS9 Gerenciar a Configuração
DS12 Gerenciar o Ambiente Físico
ME2 Monitorar e Avaliar Controle Interno

15 Otimizar a infraestrutura, recursos e capacidades de TI.


PO3 Determinar as Diretrizes de Tecnologia
AI3 Adquirir e Manter Infraestrutura Tecnológica
DS3 Gerenciar Desempenho e Capacidade
DS7 Educar e Treinar Usuários
DS9 Gerenciar a Configuração
16 Reduzir os defeitos e re-trabalhos na entrega de serviços e
soluções.
PO8 Gerenciar Qualidade
AI4 Habilitar Operação e Uso
AI6 Gerenciar Mudanças
AI7 Instalar e Homologar Soluções e Mudanças
DS10 Gerenciar Problemas

17 Proteger os resultados alcançados pelos objetivos de TI.


PO9 Avaliar e Gerenciar Riscos de TI
DS10 Gerenciar Problemas
ME2 Monitorar e Avaliar Controle Interno
18 Estabelecer claramente os impactos para os negócios
resultantes de riscos de objetivos e recursos de TI.
PO9 Avaliar e Gerenciar Riscos de TI

19 Assegurar que informações confidenciais e críticas são


protegidas daqueles que não deveriam ter acesso às mesmas.
PO6 Comunicar Metas e Diretrizes Gerenciais
DS5 Garantir a Segurança de Sistemas
DS11 Gerenciar Dados
DS12 Gerenciar o Ambiente Físico
20 Assegurar que transações automatizadas de negócios e
trocas de informações podem ser confiáveis.
PO6 Comunicar Metas e Diretrizes Gerenciais
AI7 Instalar e Homologar Soluções e Mudanças
DS5 Garantir a Segurança de Sistemas
21 Assegurar que os serviços e infraestrutura de TI podem
resistir e recuperar-se de falhas devido a erros, ataques
deliberados ou desastres.
PO6 Comunicar Metas e Diretrizes Gerenciais
AI7 Instalar e Homologar Soluções e Mudanças
DS4 Assegurar Continuidade dos Serviços
DS5 Garantir a Segurança de Sistemas
DS12 Gerenciar o Ambiente Físico
DS13 Gerenciar Operações
ME2 Monitorar e Avaliar Controle Interno
22 Assegurar o mínimo impacto para os negócios no caso de
uma parada ou mudança nos serviços de TI.
PO6 Comunicar Metas e Diretrizes Gerenciais
AI6 Gerenciar Mudanças
DS4 Assegurar Continuidade dos Serviços
DS12 Gerenciar o Ambiente Físico
23 Garantir que os serviços de TI ficam disponíveis de acordo
com o requerido.
DS3 Gerenciar Desempenho e Capacidade
DS4 Assegurar Continuidade dos Serviços
COBIT 4.1 Controles Importância
Implementados
Observação

Nenhuma
Parcial

Média

Baixa
Nível

Alta
Não
Sim

N\A

N\A
Objetivo TI / Processos TI
DS8 Gerenciar a Central de Serviços e os Incidentes
DS13 Gerenciar Operações
24 Aprimorar a eficiência dos custos de TI e sua contribuição
para a lucratividade dos negócios.
PO5 Gerenciar o Investimento em TI
DS6 Identificar e Alocar Custos
25 Entregar projetos no tempo certo dentro do orçamento e
com os padrões de qualidade esperados.
PO8 Gerenciar Qualidade
PO10 Gerenciar Projetos
26 Manter a integridade da informação e da infraestrutura de
processamento.
AI6 Gerenciar Mudanças
DS5 Garantir a Segurança de Sistemas
27 Assegurar a conformidade de TI com leis, regulamentos e
contratos.
DS11 Gerenciar Dados
ME2 Monitorar e Avaliar Controle Interno
ME3 Assegurar a Conformidade com Requisitos Externos
ME4 Prover Governança de TI
28 Assegurar que TI oferece serviços de qualidade com custo
eficiente, contínuo aprimoramento e preparação para
mudanças futuras.
PO5 Gerenciar o Investimento em TI
DS6 Identificar e Alocar Custos
ME1 Monitorar e Avaliar o Desempenho de TI
ME4 Prover Governança de TI