Cobit

Conceitos e definies
A governana de TI de responsabilidade dos executivos e da alta direo, consistindo em aspectos de liderana, estrutura organizacional e processos que garantam que a rea de TI da organizao suporte e aprimore os objetivos e as estratgias da organizao. As boas prticas do CobiT representam o consenso de especialistas. Elas so fortemente focadas mais nos controles e menos na execuo. Essas prticas iro ajudar a otimizar os investimentos em TI, assegurar a entrega dos servios e prover mtricas para julgar quando as coisas saem erradas.

CRITRIOS DE INFORMAO DO COBIT Efetividade - lida com a informao relevante e pertinente para o processo de negcio bem como a mesma sendo entregue em tempo, de maneira correta, consistente e utilizvel. Eficincia - relaciona-se com a entrega da informao atravs do melhor (mais produtivo e econmico) uso dos recursos. Confidencialidade - est relacionada com a proteo de informaes confidenciais para evitar a divulgao indevida. Integridade - relaciona-se com a fidedignidade e totalidade da informao bem como sua validade de acordo os valores de negcios e expectativas. Disponibilidade - relaciona-se com a disponibilidade da informao quando exigida pelo processo de negcio hoje e no futuro. Tambm est ligada salvaguarda dos recursos necessrios e capacidades associadas. Conformidade - lida com a aderncia a leis, regulamentos e obrigaes contratuais aos quais os processos de negcios esto sujeitos, isto , critrios de negcios impostos externamente e polticas internas. Confiabilidade - relaciona-se com a entrega da informao apropriada para os executivos para administrar a entidade e exercer suas responsabilidades fiducirias e de governana. RECURSOS DE TI Aplicativos - so os sistemas automatizados para usurios e os procedimentos manuais que processam as informaes. Informaes - so os dados em todas as suas formas, a entrada, o processamento e a sada fornecida pelo sistema de informao em qualquer formato a ser utilizado pelos negcios. Infraestrutura - refere-se tecnologia e aos recursos (ou seja, hardware, sistemas operacionais, sistemas de gerenciamento de bases de dados, redes, multimdia e os ambientes que abrigam e do suporte a eles) que possibilitam o processamento dos aplicativos. Pessoas - so os funcionrios requeridos para planejar, organizar, adquirir, implementar, entregar, suportar, monitorar e avaliar os sistemas de informao e servios. Eles podem ser internos, terceirizados ou contratados, conforme necessrio. DOMNIOS DO COBIT Planejar e Organizar (PO) - Prov direo para entrega de solues (AI) e entrega de servios (DS) Adquirir e Implementar (AI) - Prov as solues e as transfere para tornarem-se servios Entregar e Suportar (DS) - Recebe as solues e as torna passveis de uso pelos usurios finais Monitorar e Avaliar (ME) - Monitora todos os processos para garantir que a direo definida seja seguida. PLANEJAR E ORGANIZAR (PO)

Este domnio cobre a estratgia e as tticas, preocupando-se com a identificao da maneira em que TI pode melhor contribuir para atingir os objetivos de negcios. Uma apropriada organizao bem como uma adequada infraestrutura tecnolgica devem ser colocadas em funcionamento. Este domnio tipicamente ajuda a responder as seguintes questes gerenciais: As estratgias de TI e de negcios esto alinhadas? A empresa est obtendo um timo uso dos seus recursos? Todos na organizao entendem os objetivos de TI? Os riscos de TI so entendidos e esto sendo gerenciados? A qualidade dos sistemas de TI adequada s necessidades de negcios?

ADQUIRIR E IMPLEMENTAR (AI) Para executar a estratgia de TI, as solues de TI precisam ser identificadas, desenvolvidas ou adquiridas, implementas e integradas ao processo de negcios. Alm disso, alteraes e manutenes nos sistemas existentes so cobertas por esse domnio para assegurar que as solues continuem a atender aos objetivos de negcios. Este domnio tipicamente trata das seguintes questes de gerenciamento: Os novos projetos fornecero solues que atendam s necessidades de negcios? Os novos projetos sero entregues no tempo e oramento previstos? Os novos sistemas ocorreram apropriadamente quando implementado? As alteraes ocorrero sem afetar as operaes de negcios atuais? ENTREGAR E SUPORTAR (DS) Este domnio trata da entrega dos servios solicitados, o que inclui entrega de servio, gerenciamento da segurana e continuidade, servios de suporte para os usurios e o gerenciamento de dados e recursos operacionais. Trata geralmente das seguintes questes de gerenciamento: Os servios de TI esto sendo entregues de acordo com as prioridades de negcios? Os custos de TI esto otimizados? A fora de trabalho est habilitada para utilizar os sistemas de TI de maneira produtiva e segura? Os aspectos de confidencialidade, integridade e disponibilidade esto sendo contemplados para garantir a segurana da informao? MONITORAR E AVALIAR (ME) Todos os processos de TI precisam ser regularmente avaliados com o passar do tempo para assegurar a qualidade e a aderncia aos requisitos de controle. Este domnio aborda o gerenciamento de performance, o monitoramento do controle interno, a aderncia regulatria e a governana. Trata geralmente das seguintes questes de gerenciamento: A performance de TI mensurada para detectar problemas antes que seja muito tarde? O gerenciamento assegura que os controles internos sejam efetivos e eficientes? O desempenho da TI pode ser associado aos objetivos de negcio? Existem controles adequados para garantir confidencialidade, integridade e disponibilidade das informaes? MODELO DE MATURIDADE GENRICO 0 Inexistente Completa falta de um processo reconhecido. A empresa nem mesmo reconheceu que existe uma questo a ser trabalhada. 1 Inicial / Ad hoc Existem evidncias que a empresa reconheceu que existem questes e que precisam ser trabalhadas. No entanto, no existe processo padronizado; ao contrrio, existem enfoques Ad Hoc que tendem a ser aplicados individualmente ou caso-a-caso. O enfoque geral de gerenciamento desorganizado. 2 Repetvel, porm Intuitivo Os processos evoluram para um estgio onde procedimentos similares so seguidos por diferentes pessoas fazendo a mesma tarefa. No existe um

treinamento formal ou uma comunicao dos procedimentos padronizados e a responsabilidade deixado com o indivduo. H um alto grau de confiana no conhecimento dos indivduos e conseqentemente erros podem ocorrer. 3 Processo Definido Procedimentos foram padronizados, documentados e comunicados atravs de treinamento. mandatrio que esses processos sejam seguidos; no entanto, possivelmente desvios no sero detectados. Os procedimentos no so sofisticados mas existe a formalizao das prticas existentes. 4 Gerenciado e Mensurvel A gerencia monitora e mede a aderncia aos procedimentos e adota aes onde os processos parecem no estar funcionando muito bem. Os processos esto debaixo de um constante aprimoramento e fornecem boas prticas. Automao e ferramentas so utilizadas de uma maneira limitada ou fragmentada. 5 Otimizado Os processos foram refinados a um nvel de boas prticas, baseado no resultado de um contnuo aprimoramento e modelagem da maturidade como outras organizaes. TI utilizada como um caminho integrado para automatizar o fluxo de trabalho, provendo ferramentas para aprimorar a qualidade e efetividade, tornando a organizao rpida em adaptar-se.

ACEITABILIDADE DO COBIT Alta Direo: Para obter valor dos investimentos de TI, balancear os riscos e controlar o investimento em um ambiente de TI s vezes imprevisvel Executivos de negcios: Para assegurar que o gerenciamento e o controle dos servios de TI oferecidos internamente e por terceiros estejam funcionando de modo adequado Executivos de TI: Para prover os servios de TI de que o negcio precisa para suportar a estratgia de negcios de maneira controlada e gerenciada Auditores: Para substanciar suas opinies e/ou prover recomendaes sobre controles internos para os executivos MTRICAS DE RESULTADOS Medidas de resultados (sadas), anteriormente indicadores-chaves de objetivos (KGIs), indicam se os objetivos foram atingidos. Esses podem ser medidos somente aps os fatos e portanto so chamados de indicadores histricos (lag indicators). Indicadores de performance, anteriormente indicadores-chaves de performance (KPIs), indicam se os objetivos sero possivelmente atingidos. Eles so medidos antes que os resultados sejam claros e portanto so chamados de indicadores futuros (lead indicators).

PLANEJAR E ORGANIZAR
Po1 Definir um Plano Estratgico de TI P02 Definir a Arquitetura da Informao PO3 Determinar o Direcionamento Tecnolgico PO4 Definir os Processos, Organizao e os Relacionamentos de TI PO5 Gerenciar o Investimento de TI PO6 Comunicar as Diretrizes e Expectativas da Diretoria PO7 Gerenciar os Recursos Humanos de TI PO8 Gerenciar a Qualidade PO9 Avaliar e Gerenciar os Riscos de TI PO10 Gerenciar Projetos

ENTREGAR E SUPORTAR
Ds1 Definir e Gerenciar Nveis de Servios DS2 Gerenciar Servios de Terceiros DS3 Gerenciar Capacidade e Desempenho DS4 Assegurar Continuidade de Servios DS5 Assegurar a Segurana dos Servios DS6 Identificar e Alocar Custos DS7 Educar e Treinar os Usurios

CRITRIOS DA INFORMAO

Efetividade

Eficincia

Confidencialidade

Integridade

Disponiblidade

Conformidade

Confiabilidade

DS8 Gerenciar a Central de Servio e os Incidentes DS9 Gerenciar a Configurao DS10 Gerenciar os Problemas DS11 Gerenciar os Dados DS12 Gerenciar o Ambiente Fsico DS13 Gerenciar as Operaes

RECURSOS DE TI

Aplicativos

Informaes

ADQUIRIR E IMPLEMENTAR
Ai1 Identificar Soluo Automatizadas AI2 Adquirir e Manter Software Aplicativo AI3 Adquirir e Manter Infraestrutura de Tecnologia AI4 Habilitar Operao e Uso AI5 Adquirir Recursos de TI AI6 Gerenciar Mudanas AI7 Instalar e Homologar Solues e Mudanas

Infaestrutura

Pessoas

MONITORAR E AVALIAR
Me1 Monitorar e Avaliar o Desempenho ME2 Monitorar e Avaliar os Controles Internos

ME3 Assegurar a Conformidade com Requisitos Externos ME4 Prover a Governana de TI

PLANEJAR E ORGANIZAR

ENTREGAR E SUPORTAR

CRITRIOS DA INFORMAO

RECURSOS DE TI

ADQUIRIR E IMPLEMENTAR

MONITORAR E AVALIAR

Cobit
Resumo dos processos
PLANEJAR E ORGANIZAR PO1 Definir um Plano Estratgico de TI - Criar um plano estratgico que defina, em cooperao com as partes interessadas relevantes, como a TI contribuir com os objetivos estratgicos da organizao (metas) e quais os custos e riscos relacionados. PO2 Definir a Arquitetura da Informao - abrange o desenvolvimento de um dicionrio de dados corporativo com as regras de sintaxe de dados, o esquema de classificao de dados e os nveis de segurana da organizao. PO3 Determinar as Diretrizes da Tecnologia - definir e implementar um plano de infraestrutura, arquitetura e padres de tecnologia (sistemas aplicativos, recursos e capacidades padronizados, integrados, estveis, com boa relao custo-benefcio) que reconhea e aproveite as oportunidades tecnolgicas. PO4 Definir os Processos, Organizao e Relacionamentos de TI - definir e implementar processos de TI com proprietrios (de sistemas e dados), papis e responsabilidades integrados aos processos de negcio e processos de deciso. PO5 Gerenciar o Investimento de TI - decidir o portflio e investimentos em TI de forma eficaz e eficiente e elaborar e rastrear os oramentosde TI em linha com estratgias de TI e decises de investimento. PO6 Comunicar Metas e Diretrizes Gerenciais - fornecer polticas, procedimentos, diretrizes e outras documentaes de forma precisa, compreensvel e aprovada para as partes interessadas, incorporada a uma estrutura de controles de TI. PO7 Gerenciar os Recursos Humanos de TI - Adquirir, manter e motivar uma fora de trabalho competente para criar e entregar servios de TI para o negcio. Isso alcanado seguindo prticas definidas e acordadas de recrutamento, treinamento, avaliao de desempenho, promoo e desligamento. PO8 Gerenciar a Qualidade - definir um sistema de gerenciamento de qualidade (SGQ), monitorar continuamente o desempenho baseado em objetivos predefinidos e implementar um programa de melhoria contnua dos servios de TI. PO9 Avaliar e Gerenciar os Riscos de TI - desenvolver uma estrutura de gerenciamento de risco integrada s estruturas corporativa e operacional de gerenciamento de risco, avaliao, mitigao e comunicao de risco residual. PO10 Gerenciar Projetos - aplicar aos projetos de TI um programa definido e uma abordagem de gesto de projetos que permitam a participao das partes interessadas e a monitorao do andamento e dos riscos do projeto. ADQUIRIR E IMPLEMENTAR AI1 Identificar Solues Automatizadas - identificar solues tecnicamente viveis e com boa relao custo-benefcio. AI2 Adquirir e Manter Software Aplicativo - tornar disponveis as aplicaes em alinhamento com os requisitos do negcio, no prazo desejado e com um custo razovel. AI3 Adquirir e Manter Infraestrutura de Tecnologia - Disponibilizar plataformas apropriadas s aplicaes de negcio em alinhamento com a arquitetura de TI definida e os padres tecnolgicos; AI4 Habilitar Operao e Uso - fornecer manuais de usurio, manuais operacionais e materiais de treinamento eficazes para transferir o conhecimento necessrio a operao e uso bem-sucedido do sistema. AI5 Adquirir Recursos de TI - Recursos de TI, incluindo pessoas, hardware, software e servios precisam ser adquiridos. Isso requer a definio e a aplicao de procedimentos de aquisio, a seleo de fornecedores, o estabelecimento de arranjos contratuais e a aquisio propriamente dita.

AI6 Gerenciar Mudanas - controlar a avaliao de impacto, autorizao e implementao de todas as mudanas na infraestrutura, nas aplicaes e nas solues tcnicas de TI, minimizar erros devido a especificaes de requisitos incompletas e interromper a implementao de mudanas no autorizadas. AI7 Instalar e Homologar Solues e Mudanas - Testar se as aplicaes e as solues de infraestrutura atendem ao propsito pretendido e esto livres de erros e planejar a implementao e a migrao para produo.

ENTREGAR E SUPORTAR DS1 Definir e Gerenciar Nveis de Servio - identificar os requisitos de servio, acordar os nveis de servio e monitorar o atendimento desses nveis de servio. DS2 Gerenciar Servios Terceirizados - estabelecer relacionamentos e responsabilidades bilaterais com prestadores de servio terceirizados qualificados e monitorar a entrega dos servios para verificar e assegurar o cumprimento dos acordos. DS3 Gerenciar o Desempenho e a Capacidade - atender aos requisitos de tempo de resposta dos diversos acordos de nvel de servio, minimizar o perodo de indisponibilidade e proporcionar melhorias contnuas no desempenho e na capacidade de TI atravs de monitoramento e medio. DS4 Assegurar a Continuidade dos Servios - incorporar a capacidade de recuperao em solues automatizadas e desenvolver, manter e testar os planos de continuidade. Um processo eficaz de continuidade de servios minimiza a probabilidade e o impacto de uma interrupo de um servio chave de TI nas funes e processos crticos de negcio. DS5 Garantir a Segurana dos Sistemas - definir polticas, procedimentos e padres de segurana de TI e monitorar, detectar, reportar e solucionar vulnerabilidades e incidentes de segurana. DS6 Identificar e Alocar Custos - coleta completa e precisa dos custos de TI, um sistema de alocao justo aceito pelos usurios do negcio e um sistema de reporte oportuno do uso da TI e dos custos alocados. DS7 Educar e Treinar os Usurios - entender claramente as necessidades do usurio em termos de treinamento em TI e executar uma estratgia eficaz de treinamento e medio dos resultados; DS8 Gerenciar a Central de Servio e os Incidentes - prover uma central de servios (service desk) profissional com respostas rpidas, procedimentos claros de escalonamento, anlise de tendncias e resoluo; DS9 Gerenciar a Configurao - Assegurar a integridade das configuraes de hardware e software. Estabelecer e manter um repositrio preciso e completo de atributos e perfis mnimos de configurao de ativos e comparar com a configurao atual dos ativos. DS10 Gerenciar os Problemas - registrar, rastrear e resolver problemas operacionais; investigar a causa-raiz de todos os problemas importantes e definir as solues para os problemas operacionais identificados. DS11 Gerenciar os Dados - manter a completude, a preciso, a disponibilidade e a proteo dos dados. DS12 Gerenciar o Ambiente Fsico - prover e manter um ambiente fsico adequado que proteja os recursos de TI contra acesso indevido, danos ou roubo. DS13 Gerenciar as Operaes - Este processo inclui a definio de polticas e procedimentos de operaes para o gerenciamento eficaz do processamento agendado, proteo de resultados sigilosos, monitoramento de infraestrutura e manuteno preventiva de hardware. ENTREGAR E SUPORTAR ME1 Monitorar e Avaliar o Desempenho de TI - monitorar e entregar relatrios sobre as mtricas dos processos de TI e identificar e implementar aes de melhoria de desempenho.

ME2 Monitorar e Avaliar os Controles Internos - monitorar os processos de controle interno de atividades de TI e identificar aes de melhoria. ME3 Assegurar a Conformidade com Requisitos Externos - identificar todas as leis, regulamentaes e contratos aplicveis e o respectivo nvel necessrio de conformidade de TI e otimizar processos de TI para reduzir o risco de no-conformidade. ME4 Prover Governana de TI - preparar relatrios gerenciais sobre a estratgia, o desempenho e os riscos de TI e atender aos requisitos de governana em alinhamento com as diretrizes da Alta Direo.