Curso completo COBIT 4.1

Curso COBIT 4.1 Foundation
Instrutor: Fernando Palma
fpalma@portalgsti.com.br
www.portalgsti.com.br
Módulo 1
COBIT 4.1

www.portalgsti.com.brPor Fernando Palma
Módulo 1 – Apresentação do Curso
Neste módulo, você irá conhecer todo o conteúdo do curso e
recursos quais terá acesso.
Obs.: COBIT® é uma marca registrada da ISACA e do IT Governance
Institute (ITGI). Outros nomes de produtos e marcas registradas
podem ser mencionados no decorrer destes slides, tais marcas são
utilizadas apenas com finalidade de ensino, em benefício exclusivo do
dono da marca, sem intenção de infringir suas regras de utilização.

Agenda
Objetivos
Estrutura
Conteúdo

Estrutura do curso
O curso tem o objetivo de habilitar o aluno as seguintes tópicos
Conhecimento do Framework do
COBIT e Governança de TI
Preparação para
a certificação
COBIT
Foundation
Utilização do
COBIT na prática

Estrutura do curso
Este curso é composto de:
1. Material Didático - Slides
2. Exercícios de Simulado
3. Exercícios Práticos
4. Exemplos reais

Módulo 1 – Apresentação do Curso
Módulo 2 - Introdução a Governança de TI
Módulo 3 - O que é o COBIT, conceitos básicos e estrutura
Módulo 4 - Introdução aos processos do COBIT
 Módulo 5 - Principais processos - Parte 1
 Módulo 6 - Principais processos – Parte 2
 Módulo 7- BSC e COBIT (utilizando o Balanced scorecards para
priorizar processos do COBIT)
 Módulo 8 - Produtos da ITGI que suportam o framework do COBIT
Obs.: é recomendável que o aluno conheça conceitos de processos e pelo menos
um modelo de gestão como o ITIL e PMBOK

Fim
Módulo 1

Módulo 2

Módulo 2 – Introdução a Governança de TI
Neste módulo você irá conhecer a origem e motivação da
Governança de TI, seus objetivos, conceitos e relação com a
Governança Coorporativa.
Será também abordada a importância que a Tecnologia tem par as
organizações e os desafios vividos por este setor / prestador de
serviços

Agenda
A importância do Setor de TI
Os Desafios da TI
O que é Governança de TI
Motivação
Governança de TI e COBIT

Provedor
de
Tecnologia
Maturidade de TI
Provedor
de
Serviços
Parceiro
Estratégico
Tempo
GIETI
GSTI
Governança TI
GIETI: Gerenciamento de Infra-estrutura TI
GSTI: Gerenciamento de Serviços de TI
Provedor de
Tecnologia
.Busca Eficiência
.Independente do
Negocio
.TI nível operacional
Provedor de serviços
. Pessoas, processos e
produtos
. TI tática
Parceiro Estratégico
.Busca crescimento do
Negócio
.TI é integrada ao
negócio
.TI Estratégica 14
A Importância do Setor de TI

A importância do setor de TI nas empresas
O que o setor de TI representa para a empresa?
Re: depende da visão e necessidade que a empresa
tem sob TI
TI TI
TI
TI
TI
TI
Provedor de Tecnologia Provedor de Serviços Parceiro Estratégico
Área de atuação de TI dentro da empresa

Alinhamento entre TI e área de Negócio
Provedor de Tecnologia
Provedor de Serviços
TI Negócio
TI Negócio
NegócioTI

Provedor de Tecnologia
•TI é vista apenas como uma sustentação da operação da Empresa
•O setor é visto como um custo
•Orçamentos são produzidos em comparação com o mercado
•Gerentes são técnicos e têm visão interna
Provedor de Serviços
•TI é vista como um serviço prestado
•Os processos de TI devem responder a processos de negócio
•Busca eficiência dos processos, através de cumprimento de metas
•Orçamentos são baseados nas metas estabelecidas para o setor
•TI é vista como oportunidade de crescimento
•O setor é visto como investimento
•Busca crescimento do negócio e orçamentos são baseados e seus objetivos
•Diretores de TI ou CIO´s são solucionadores de problemas do negócio

Alguns possíveis impactos da ineficiência de TI
Perda de Oportunidades de Crescimento
Perda de Credibilidade
Multas contratuais
Perda de Lucros
Fim da empresa

Os desafios da TI
Alinhar os objetivos de TI aos objetivos de Negócio
Entregar valor
Demonstrar o Retorno de Investimento (ROI)
Diminuir Custos
Gerenciar Segurança da Informação

Os desafios da TI
Gerenciar a complexidade da Infra Estrutura de TI
Entregar projetos dentro do custo, tempo e qualidade
Gerenciar fornecedores externos
Manter a disponibilidade dos serviços
Estar em conformidade com regulamentos

Os desafios da TI
Para conviver com estes desafios o setor de TI precisa:
Definir metas alinhadas com as metas de negócio
Priorizar recursos e projetos de TI
Dirigir e controlar processos para alcançar metas
Definir papéis e responsabilidades
Manter conhecimento técnico e de boas práticas de gestão

O que é Governança de TI
Consiste de liderança, estruturas organizacionais e processos que
garantam que a organização de TI suporte e amplie as estratégias e
objetivos da empresa
A Governança de TI é de responsabilidade da alta administração da
empresa
Faz parte da Governança Empresarial, que por sua vez subdivide-se
em Governança de Negócios e Governança Coorporativa
A Governança de TI deve estar alinhada tanto a Governança de
Negócios (metas de performance) quanto a Governança Coorporativa
(requisitos obrigatórios e geração de valor)

Tipos de Governança
Governança
Empresarial
Governança
Coorporativa
Governança
de Negócios
Governança
de TI

Tipos de GovernançaGovernança de Negócios
•Visa cumprir as metas de performance do negócio da empresa
•Preocupa-se com Geração de Valor
•Busca crescimento da empresa
Governança Coorporativa
•Visa o cumprimento de requisitos obrigatórios
•Preocupa-se com a conformidade em relação a legislação e regulamentos internos
e externos
•Cobre papéis, estrutura e responsabilidades da diretoria e dos executivos
Governança de TI
•Preocupa-se em atender todos os objetivos empresariais
•Preocupa-se com conformidade e performance
•É parte da Governança Empresarial, mas pode ser também mencionada como parte
Da Governança Coorporativa
Tipos de Governança

Verdadeiro ou Falso?
1. ( ) Multas contratuais é um dos possíveis impactos que pode
ser resultante de uma má eficiência do setor de TI
2. ( ) Entregar valor e reduzir custos são dois entre os maiores
desafios vividos por TI
3. ( ) A Governança de TI é parte da Governança Coorporativa
4. ( ) A Governança de TI é parte da Governança Empresarial

Verdadeiro ou Falso? - Respostas
1. ( V ) Multas contratuais é um dos possíveis impactos que
pode ser resultante de uma má eficiência do setor de TI
2. ( V ) Entregar valor e reduzir custos são dois entre os maiores
desafios vividos por TI
3. ( V ) A Governança de TI é parte da Governança Coorporativa
4. ( V ) A Governança de TI é parte da Governança Empresarial

Motivação
Meados de 2001, ocorreram escândalos coorporativos:
Enron – maior empresa de energia dos EUA no ramo
energético;
• Série de denuncias fraudes fiscais, ocasionando no
fechamento da empresa com dívida de 13 bilhões;
• Muitas empresas e investidores faliram junto;
Worldcom – 20 mil demitidos
• A empresa declarou como investimento o que era na
realidade uma despesa, distorcendo os ganhos financeiros da
empresa para atrair investidores;

Motivação
O senador americano Paul Sarbanes e o deputado Michael Oxley
decretam decretaram o ato Sarbanes-Oxley (2002);
A lei se aplica a qualquer empresa americana de capital aberto
(ações negociadas na bolsa de valores);
A lei responsabiliza criminalmente os Executivos das empresas;
Obriga as empresas a exercer controles financeiros e portanto
aplicar uma estrutura de Governança Coorporativa;
O framework recomendado para cumprir os requisitos, através de
uma governança coorporativa é o COSO
Sarbanes-Oxley

Motivação
Para manter os controles efetivos sob a informação financeira a
organização precisa garantir requisitos da informação, tais como:
Eficácia
Eficiência
Integridade
Disponibilidade
Confiabilidade
Sarbanes-Oxley  Governança de TI
 Não é possível manter os requisitos da informação sem exercer
controles sob a tecnologia da informação : sistemas, infra-
estrutura, bancos de dados ;

COSO
BSC
Modelos e frameworks utilizados
Governança
Coorporativa
Governança
de Negócios
Governança
de TI

Princípios da Governança de TI (Segundo o framework do COBIT)
Direção
Controle
Responsabilidade
Prestação de contas
Alinhamento das atividades de TI

Áreas de foco da Governança de TI
Áreas de foco da Governança de TI, segundo o COBIT:
Gerenciamento
de recursos
Domínios
Governança
de TI

Gerenciamento
de recursos
Domínios
Governança
de TI
 Consiste em alinhar os objetivos de TI aos
objetivos de Negócio;
Para tanto, é preciso que o Plano
Estratégico de TI seja baseado no Plano
Estratégico de Negócio;
Foco em soluções que contribuam para o
crescimento da empresa ou cumprimento
de requisitos;
Pode ser utilizado o BSC para desdobrar a
estratégia da organização;

Gerenciamento
de recursos
Domínios
Governança
de TI
 Foca na otimização de custos para
fornecer maior valor;
Busca a compreensão dos níveis de
serviço necessários para entregar valor a
área de negócio;

Gerenciamento
de recursos
Domínios
Governança
de TI
 Requer Conscientização dos gestores da
empresa e compreensão clara do apetite
para riscos;
Foco nos planos de recuperação para
manter continuidade do negócio;
Exige transparência, avaliação e
conscientização contínua;

Gerenciamento
de recursos
Domínios
Governança
de TI
 Foca na otimização da alocação de
recursos;
Maximização da eficiência dos recursos;
Inclui preocupações com treinamentos;
Engloba ainda controle de serviços
terceirizados;

Gerenciamento
de recursos
Domínios
Governança
de TI
 Acompanha e monitora a implantação da
estratégia, condução dos projetos, uso dos
recursos e desempenho dos processos;
Pode ser utilizado um BSC de TI para
definir e acompanhar metas;
Inclui realização de auditorias;

1. ( ) A direção é um dos princípios da Governança de TI
2. ( ) Os domínios da Governança de TI são:
 Alinhamento Estratégico
 Entrega de Valor
 Gerenciamento de Riscos
 Gerenciamento de Recursos
 Monitoramento de Desempenho
3. ( ) Um dos focos do domínio de Gerenciamento de
Recursos é planejar a recuperação dos serviços de TI para
manter a continuidade do negócio;

1. ( V ) A direção é um dos princípios da Governança de TI
2. ( V ) Os domínios da Governança de TI são:
 Alinhamento Estratégico
 Entrega de Valor
 Gerenciamento de Riscos
 Gerenciamento de Recursos
 Monitoramento de Desempenho
3. ( F ) Um dos focos do domínio de Gerenciamento de
Recursos é planejar a recuperação dos serviços de TI para
manter a continuidade do negócio; Esta preocupação faz parte do
domínio de gerenciamento de riscos

Fim do módulo
Perguntas?
Módulo 2

Por Fernando Palma www.portalgsti.com.br
Módulo 3

Módulo 3 – Introdução ao COBIT
 Neste módulo, você irá conhecer a definição do COBIT, seus
benefícios, a estrutura do COBIT e suas características

Agenda
O que é COBIT
Características
Estrutura

O que é COBIT
 COBIT Significa Control Objectives for Information and Related
Tecnology
 Traduzindo: Objetivos de Controle para a Informação e Tecnologia
Relacionada
 É baseado em práticas utilizadas por organizações que foram
reunidas e desenvolvidas em um framework baseado em controles,
pela ITGI (antes ISACA)
ITGI: IT Governance Institute
ISACA: Information Systems Audit and Control Association

O que é COBIT
 Pode ser baixado gratuitamente pelo site da ISACA : www.isaca.org
Adotado mundialmente
Inicialmente era um modelo voltado para auditoria, hoje é
considerado um framework de Governança de TI
O COBIT pode ser utilizado para alinhar os objetivos de negócio
(obtidos através de planejamento estratégico) aos objetivos de TI
Fornece apoio a Governança de TI, Gerenciamento de projetos de
TI e de Serviços de TI
Pode ser utilizado para qualquer empresa, qualquer tamanho

O que NÃO é o COBIT
 Não é uma norma
Não é considerado um modelo de auditoria

O que é COBIT
“Pesquisar, desenvolver, publicar e promover um
modelo de controle para governança de TI
atualizado e internacionalmente
reconhecido para ser adotado por organizações e
utilizado no dia-a-dia por gerentes de negócios,
profissionais de TI e profissionais
de avaliação."
Missão do COBIT (ITGI)

O que é COBIT
Benefícios
 É aceito por órgãos reguladores
É compatível com outros modelos e frameworks de qualidade
e governança de TI e coorporativa
Facilita auditorias internas e externas
Pode ser utilizado como passo inicial para a aplicação de
projetos de governança de TI
Baseado em praticas vividas, experimentadas e
documentadas por especialistas

Características
 Principais Características do COBIT:
Focado no
Negócio
Orientado a
Processos
Baseado em
Controles
Orientado
por Métricas

Características
 O COBIT deve ser utilizado
“de fora para dentro”, ou seja,
da área de Negócio para a
área de TI;
Deve ser baseado em
objetivos de Negócio da
empresa
 Os Objetivos de negócio incluem: requisitos obrigatórios
e requisitos de negócio (regulamentos e performance)
Os processos buscam traduzir os objetivos de processo
em objetivos de TI
Focado no
Negócio
Orientado a
Processos
Baseado em
Controles
Orientado
por Métricas

Características
O COBIT divide os objetivos
de controle em 34 processos;
Os processos estão
distribuídos em 04 domínios
 Os domínios são:
1. Organização e Planejamento
2. Aquisição e Implementação
3. Entrega e Suporte
4. Monitoração e Avaliação
Focado no
Negócio
Orientado a
Processos
Baseado em
Controles
Orientado
por Métricas

Características
Para cada processo de TI,
existem objetivos de controle
definidos
 São ao todo 210 objetivos
de controle
Cada objetivo de controle contém, ainda, práticas de
controle para auxiliar sua utilização
Focado no
Negócio
Orientado a
Processos
Baseado em
Controles
Orientado
por Métricas

Características
Sugere um conjunto de
indicadores que permitem
medir o desempenho das
atividades
 São Indicadores de Performance e Indicadores e Meta
(eficiência e eficácia)
Focado no
Negócio
Orientado a
Processos
Baseado em
Controles
Orientado
por Métricas

CMMI
Características
Foco do COBIT
O COBIT foca em “O que precisa ser alcançado” em vez de “Como
alcançar”. Para complementar o COBIT, existem outros padrões de
gestão e boas práticas que podem ser utilizados.
ISO
20.000
ITIL
BS
25999
PMBOK
ISO
9001
PRINCE
2
COBIT
O QUÊ?
COMO?
ISO
27002

Características
Framework de Controle
O COBIT suporta os 05 requisitos que um framework de controle
deve ter
Focado no
Negócio
Orientado a
Processos
Linguagem
em comum
Requisitos
Regulatórios
Aceitabilidade
Geral

Características
Foi projetado para ser utilizado por
Gestores Executivos:
para garantia de cumprimento de requisitos, gestão de risco
e controle da performance de TI
Gestores de Negócio e Usuários:
para obterem transparência e certificarem dos controles
fornecidos pelo setor de TI
Gestores de TI:
para demonstrar que os serviços de TI atendem as
expectativas de Negócio
Auditores de TI:
para contribuir com modelos de auditoria e subsidiar
opiniões

Características
Premissa do COBIT
COBIT é baseado na premissa de que Recursos de TI precisam ser gerenciados
por um conjunto de processos de TI que fornecem informação para os processo
de negócio com o fim de atingir-se os objetivos do negócio
Recursos de TI
Processos de TI Processos de Negócio
Informação
Metas
Gerenciados
por
Fornecem
Para
Para
atingir

1. ( ) O COBIT deve ser utilizado apenas por grandes empresas, que
precisam atender a regulamentos financeiros
2. ( ) A sigla COBIT significa Objetivos de Controle para a Informação e
Tecnologia Relacionada
3. ( ) O COBIT pode fornecer apoio a gestão de projetos de TI
4. ( ) O COBIT pode fornecer apoio ao gerenciamento de serviços de TI
5. ( ) O COBIT pode fornecer apoio a Governança de TI
6. ( ) São três as principais características do COBIT
• Focado em negócio
• Orientado a Processos
• Baseado em controles

7. ( ) Cada objetivo de controle dentro dos processos do COBIT contém
práticas de controle específicas
8. ( ) Um dos benefícios do COBIT é que ele pode ser implementado
rapidamente
9. ( ) O modelo do CMMI não é compatível com o COBIT
10. ( ) As boas práticas de gerenciamento de projetos do PMBOK são
compatíveis com o framework do COBIT, pois podem agir de forma
complementar
11. ( ) Chefes Executivos e Gerentes de TI são dois exemplos de
possíveis interessados no framework do COBIT
12. ( ) A premissa do COBIT é que Recursos de TI precisam ser
gerenciados por um conjunto de processos de TI que fornecem
informação para os processo de negócio com o fim de atingir-se os
objetivos do negócio

1. ( F ) O COBIT deve ser utilizado apenas por grandes empresas, que
precisam atender a regulamentos financeiros Pode ser utilizado pro
qualquer empresa, qualquer tamanho. Os objetivos de controle não são
projetados para atender apenas a regulamentos, mas também objetivos de
performance de negócio.
2. ( V ) A sigla COBIT significa Objetivos de Controle para a Informação
e Tecnologia Relacionada
3. ( V ) O COBIT pode fornecer apoio a gestão de projetos de TI
4. ( V ) O COBIT pode fornecer apoio ao gerenciamento de serviços de
TI
5. ( V ) O COBIT pode fornecer apoio a Governança de TI

6. ( F ) São três as principais características do COBIT
• Focado em negócio
• Orientado a processos
São quatro principais características. Faltou : orientado por métricas
7. ( V ) Cada objetivo de controle dentro dos processos do COBIT
contém práticas de controle específicas
8. ( F ) Um dos benefícios do COBIT é que ele pode ser implementado
rapidamente Nada garante uma rápida implementação
9. ( F ) O modelo do CMMI não é compatível com o COBIT O COBIT é
compatível com a maior parte dos padrões de mercado e pode funcionar como
um complemento, fornecendo pontos de controle e diretrizes

10. ( V ) As boas práticas de Gerenciamento de projetos do PMBOK são
compatíveis com o framework do COBIT, pois podem agir de forma
complementar
11. ( V ) Chefes Executivos e Gerentes de TI são dois exemplos de possíveis
interessados no framework do COBIT
12. ( V )A premissa do COBIT é que Recursos de TI precisam ser gerenciados
por um conjunto de processos de TI que fornecem informação para os
processo de negócio com o fim de atingir-se os objetivos do negócio

Estrutura do COBIT
Os componentes chave da estrutura do COBIT
Critérios da Informação
ProcessosdeTI
RecursosdeTI
Domínios
Processos
Atividades
Aplicações
Informação
Infraestrutura
Pessoas

Estrutura do COBIT
Os Processos de TI
Planejar e
Organizar
Adquirir e
Implementar
Monitorar e
Avaliar
Entregar e
Suportar
Os quatro
Domínios do
COBIT

Estrutura do COBIT
É o domínio que tem o foco em
relacionar os objetivos do negócio
aos objetivos de TI
Planejar e
Organizar
É o domínio onde deve ser desenvolvido o
Plano Estratégico de TI, alinhado ao Plano
Estratégico de Negócio
Garante que toda a organização conheça as
metas estratégicas

Estrutura do COBIT
Processos:Planejar e
Organizar
PO1 Definir um Plano Estratégico de TI
P02 Definir a Arquitetura da Informação
PO3 Determinar o Direcionamento Tecnológico
PO4 Definir os Processos, Organização e os
Relacionamentos de TI
PO5 Gerenciar o Investimento de TI
PO6 Comunicar as Diretrizes e Expectativas da Diretoria
PO7 Gerenciar os Recursos Humanos de TI
PO8 Gerenciar a Qualidade
PO9 Avaliar e Gerenciar os Riscos de TI
PO10 Gerenciar Projetos

Estrutura do COBIT
É o domínio que tem o foco no
desenvolvimento ou aquisição da
solução
Adquirir e
Implementar
Garante que mudanças necessárias em
sistemas serão tratadas
Cobre também a validação das soluções
implantadas e modificações

Estrutura do COBIT
Processos:Adquirir e
Implementar
AI1 Identificar Solução Automatizadas
AI2 Adquirir e Manter Software Aplicativo
AI3 Adquirir e Manter Infraestrutura de
Tecnologia
AI4 Habilitar Operação e Uso
AI5 Adquirir Recursos de TI
AI6 Gerenciar Mudanças
AI7 Instalar e Homologar Soluções e Mudanças

Estrutura do COBIT
É o domínio que mantém foco na
operação, comunicação e
funcionamento dos serviços
Entregar e
Suportar
Deve garantir que os serviços de TI estão
alinhados ao negócio conforme planejado e
desenvolvido nos domínios anteriores
Deve trabalhar de forma a otimizar custos,
treinar equipe e manter a estabilidade e
qualidade dos serviços

Estrutura do COBIT
Processos:Entregar e
Suportar
DS1 Definir e Gerenciar Níveis de Serviços
DS2 Gerenciar Serviços de Terceiros
DS3 Gerenciar Capacidade e Desempenho
DS4 Assegurar Continuidade de Serviços
DS5 Assegurar a Segurança dos Serviços
DS6 Identificar e Alocar Custos
DS7 Educar e Treinar os Usuários
DS8 Gerenciar a Central de Serviço e os Incidentes
DS9 Gerenciar a Configuração
DS10 Gerenciar os Problemas
DS11 Gerenciar os Dados
DS12 Gerenciar o Ambiente Físico
DS13 Gerenciar as Operações

Estrutura do COBIT
É o domínio que mantém foco na
avaliação constante dos processos
de TI
Monitorar e
Avaliar
Este domínio endereça o gerenciamento de
desempenho e Governança de TI
Responsável por monitorar os controles
internos

Estrutura do COBIT
Processos:Monitorar e
Avaliar
ME1 Monitorar e Avaliar o Desempenho
ME2 Monitorar e Avaliar os Controles Internos
ME3 Assegurar a Conformidade com Requisitos
Externos
ME4 Prover a Governança de TI

Estrutura do COBIT
Os recursos de TI precisam ser gerenciados por processos para
gerar informação aos processos de negócio que buscam atingir
aos objetivos
Aplicativos
•Sistemas de Informação para processar as informações
Informações
•Dados que são processados por todos os sistemas de informação
Infraestrutura
•Toda estrutura de tecnologia necessária, tal como hardware, SO, estrutura de rede
Pessoas
•Recursos Humanos necessários para Planejar, Desenvolver, Entregar e Avaliar os
serviços

Estrutura do COBIT
Requisitos do Negócio para a informação
• Qualidade (relacionado a SLA)
• Entrega (relacionado a tempo)
• Custo
Requisitos da
Qualidade
• Eficácia e Eficiência operacional
• Confiabilidade da Informação
• Cumprimento de regulamentos
Requisitos
Fiduciários
• Confidencialidade
• Integridade
• Disponibilidade
Requisitos de
Segurança

Estrutura do COBIT
Critérios da Informação do COBIT para atender ao negócio
• Eficácia
• Eficiência
Requisitos da
Qualidade
• Conformidade
• Confiabilidade
Requisitos
Fiduciários
• Confidencialidade
• Integridade
• Disponibilidade
Requisitos de
Segurança

Estrutura do COBIT
Requisitos de Qualidade
• Eficácia está relacionado com
atingir ao objetivo.
• Informação eficaz é aquela que é
entregue de um modo correto,
consistente e útil
Eficácia
• Capacidade de atingir o objetivo
com a melhor performance possível
• Pode estar relacionado com menor
tempo ou custo e esforço (recursos)
Eficiência

Estrutura do COBIT
Requisitos Fiduciários
• Disponibilizar informações que
comprovem o cumprimento dos
regulamentos
Conformidade
• Informação confiável é a
informação livre de falhas
• Informação apropriada
Confiabilidade

Estrutura do COBIT
Requisitos de Segurança
• Informação disponível apenas a
quem tem direito
Confidencialida
de
• Exatidão da informaçãoIntegridade
• Capacidade da informação de estar
disponível no momento que requisitadaDisponibilidade

1. ( ) Os principais componentes do COBIT são:
• Processos de TI
• Recursos de TI
• Critérios da Informação
2. ( ) Os processos de TI estão subdivididos em cinco domínios
3. ( ) O domínio Adquirir e Implementar é o domínio que tem o foco
em relacionar os objetivos do negócio aos objetivos de TI
4. ( ) Gerenciar serviços de Terceiros é um processo pertencente ao
Domínio Entregar e Suportar
5. ( ) Segundo o framework do COBIT, os requisitos da Informação de
TI subdividem-se em Requisitos da Qualidade, Segurança e Fiduciários

6. ( ) Os requisitos da Qualidade, segundo o framework do COBIT são:
Eficiência e Efetividade
7. ( ) Os requisitos de Segurança, segundo o framweork do COBIT são:
Confidencialidade, Integridade e Confiabilidade
8. ( ) Conformidade é um requisito Fiduciário, segundo o framework
do COBIT
9. ( ) Aplicações, Informação, Infraestrutura e documentos, são os
recursos de TI definidos pelo modelo do COBIT

1. ( V ) Os principais componentes do COBIT são:
• Processos de TI
• Recursos de TI
• Critérios da Informação
2. ( F ) Os processos de TI estão subdivididos em cinco domínios Quatro
Domínios
3. ( F ) O domínio Adquirir e Implementar é o domínio que tem o foco
em relacionar os objetivos do negócio aos objetivos de TI Este é o foco
do domínio Planejar e Organizar
4. ( V ) Gerenciar serviços de Terceiros é um processo pertencente ao
Domínio Entregar e Suportar
5. ( V ) Segundo o framework do COBIT, os requisitos da Informação de
TI subdividem-se em Requisitos da Qualidade, Segurança e Fiduciários

6. ( F ) Os requisitos da Qualidade, segundo o framework do COBIT são:
Eficiência e Efetividade Eficácia e Eficiência
7. ( F ) Os requisitos de Segurança, segundo o framweork do COBIT são:
Confidencialidade, Integridade e Confiabilidade Confidencialidade,
Integridade e Disponibilidade (lembrar da sigla CID). Confiabilidade é um
requisito fiduciário
8. ( V ) Conformidade é um requisito Fiduciário, segundo o framework
do COBIT
9. ( F ) Aplicações, Informação, Infraestrutura e Documentos, são os
recursos de TI definidos pelo modelo do COBIT Todos os itens estão
corretos, exceto “documentos”. O elemento de recursos de TI que está faltando é
“Pessoas”

Fim do módulo
Perguntas?
Módulo 3

Módulo 4

Módulo 4 – Introdução aos Processos COBIT
 Neste módulo, você irá conhecer estrutura dos processos do
COBIT, suas subdivisões; irá conhecer características dos
processos como requisitos genéricos e níveis de maturidade; irá
entender cada um dos processos do COBIT através de uma breve
descrição de cada um deles

Agenda
Organização dos Processos do COBIT
Características e escopo
Descrição dos Processos

Processos do COBIT
Estruturação dos processos do COBIT
4
Domínios
34 Processos de TI
210 Objetivos de Controle
Mais de 1.500 Práticas de Controle
03 a 15 por Processo
de TI
03 a 10 por Objetivo
de controle

Processos do COBIT
4
Domínios
São os domínios vistos do módulo
anterior
1. Planejar e Organizar
2. Adquirir e Implementar
3. Entregar e Suportar
4. Monitorar e Avaliar

Processos do COBIT
34 Processos de TI
O COBIT não irá definir a estruturação do processo em si,
mas o que deve ser controlado, medido e alcançado
Nomenclaturas: PO1, PO2, PO3, PO4...

210 Objetivos de Controle
Cada processo de TI possui, no mínimo, 3 objetivos
de controle
Os objetivos de controle podem ser utilizados para
avaliar o nível de maturidade do processo de TI
Nomenclaturas: PO1.1, PO2.4, PO3.1, PO4.3...
Processos do COBIT

Mais de 1.500 Práticas de Controle
As práticas auxiliam a alcançar os objetivos de
controle
As práticas de controle não fazem parte do
framework publico co COBIT
Pode ser adquirida pelo site da ISACA
Processos do COBIT

Características e Escopo dos Processos
 Requisitos de Controle Genéricos
Cada processo do COBIT possui requisitos de controle genéricos identificados por
PC(n), que indica o número de controle do processo. Eles devem ser considerados
junto com os objetivos de controle dos processos para que se tenha uma visão
completa dos requisitos de controle
PC1 Metas e
Objetivos do
Processo
PC2 Propriedades
do Processo
PC3
Repetibilidade do
Processo
PC 4 Papéis e
Responsabilidades
PC 5 Políticas
Planos e
Procedimentos
PC6 Melhoria do
Processo de
Performance

PC1 Metas e
Objetivos do
Processo
PC2 Propriedades
do Processo
PC3
Repetibilidade do
Processo
PC 4 Papéis e
Responsabilidades
PC 5 Políticas
Planos e
Procedimentos
PC6 Melhoria do
Processo de
Performance
 Define e comunica as metas e objetivos específicos
Objetivos devem ser: específicos, mensuráveis, acionáveis, realísticos,
orientados a resultados e no tempo apropriado (SMARRT)
Assegura que eles estão ligados aos objetivos de negócios e que são
suportados por métricas apropriadas

PC1 Metas e
Objetivos do
Processo
PC2 Propriedades
do Processo
PC3
Repetibilidade do
Processo
PC 4 Papéis e
Responsabilidades
PC 5 Políticas
Planos e
Procedimentos
PC6 Melhoria do
Processo de
Performance
Designa um proprietário para cada processo de TI
Define os papéis e responsabilidades de cada proprietário de processo
Inclui, por exemplo, a responsabilidade pela elaboração do processo,
interação com outros processos, responsabilidade pelos
resultados finais, medidas da performance do processo e a identificação de
oportunidades de melhorias.

PC1 Metas e
Objetivos do
Processo
PC2 Propriedades
do Processo
PC3
Repetibilidade do
Processo
PC 4 Papéis e
Responsabilidades
PC 5 Políticas
Planos e
Procedimentos
PC6 Melhoria do
Processo de
Performance
 Elabora e estabelece cada processo-chave de TI de maneira que possa ser
repetido e produzir de maneira consistente os resultados esperados
 Fornece uma seqüência lógica mas flexível das atividades que levarão ao
resultado desejado, sendo ágil o suficiente para lidar com exceções e
emergências
Usa processos consistentes, quando possível, e processos personalizados
apenas quando inevitável.

PC1 Metas e
Objetivos do
Processo
PC2 Propriedades
do Processo
PC3
Repetibilidade do
Processo
PC 4 Papéis e
Responsabilidades
PC 5 Políticas
Planos e
Procedimentos
PC6 Melhoria do
Processo de
Performance
 Define as atividades-chaves e as entregas do processo.
 Designa e comunica papéis e responsabilidades para uma efetiva e
eficiente execução das atividades-chave e sua documentação bem como a
responsabilização pelo processo e suas entregas

PC1 Metas e
Objetivos do
Processo
PC2 Propriedades
do Processo
PC3
Repetibilidade do
Processo
PC 4 Papéis e
Responsabilidades
PC 5 Políticas
Planos e
Procedimentos
PC6 Melhoria do
Processo de
Performance
 Define e comunica como todas as políticas, planos e procedimentos que
direcionam os processos de TI para garantir que eles são documentados,
revisados, mantidos, aprovados, armazenados, comunicados e utilizados para
treinamento.
 Designa responsabilidades para cada uma dessas atividades e em
momentos apropriados verifica se elas são executadas corretamente
 Assegura que as políticas, planos e procedimentos sejam acessíveis,
corretos, entendidos e atualizados.

PC1 Metas e
Objetivos do
Processo
PC2 Propriedades
do Processo
PC3
Repetibilidade do
Processo
PC 4 Papéis e
Responsabilidades
PC 5 Políticas
Planos e
Procedimentos
PC6 Melhoria do
Processo de
Performance
 Identifica um conjunto de métricas que fornecem direcionamento para os
resultados e performance dos processos
Estabelece metas que refletem nos objetivos dos processos e indicadores
de performance que permitem atingir os objetivos dos processos
 Definem como os dados são obtidos
 Compara as medições reais com as metas e toma medidas quanto aos
desvios quando necessário

 Nível de Maturidade dos Processos
O COBIT demonstra como os níveis de Maturidade podem ser mensurados para
cada processo. O objetivo é conhecer a situação atual e utilizar o framework para
estabelecer e chegar à situação pretendida.
Nível 0
Inexistente
Nível 1
Inicial
Nível 2
Repetível
Nível 3
Definido
Nível 4
Gerenciado
Nível 5
Otimizado
Modelo de Maturidade Genérico dos Processos

 Modelo de Maturidade Genérico dos Processos
Nível 0
Inexistente
Nível 1
Inicial
Nível 2
Repetível
Completa falta de um processo reconhecido. A empresa nem mesmo
reconheceu que existe uma questão a ser trabalhada.
Existem evidências que a empresa reconheceu que existem questões e
que precisam ser trabalhadas. No entanto, não existe processo
padronizado; ao contrário, existem enfoques Ad Hoc que tendem a ser
aplicados individualmente ou caso-a-caso. O enfoque geral de
gerenciamento é desorganizado.
Os processos evoluíram para um estágio onde procedimentos similares
são seguidos. Não existe um treinamento formal ou comunicação dos
procedimentos padronizados e a responsabilidade é deixada com o
indivíduo. Há um alto grau de confiança no conhecimento dos
indivíduos e conseqüentemente erros podem ocorrer.

 Nível de Maturidade dos Processos
Nível 3
Definido
Nível 4
Gerenciado
Nível 5
Otimizado
Procedimentos foram padronizados, documentados e comunicados
através de treinamento. É mandatório que esses processos sejam
seguidos; no entanto, possivelmente desvios não serão detectados. Os
procedimentos não são sofisticados mas existe a formalização das
práticas existentes.
A gerencia monitora e mede a aderência aos procedimentos e adota
ações onde os processos parecem não estar funcionando muito bem.
Os processos estão debaixo de um constante aprimoramento e
fornecem boas práticas. Automação e ferramentas são utilizadas de
uma maneira limitada ou fragmentada.
Os processos foram refinados a um nível de boas práticas, baseado no
resultado de um contínuo aprimoramento e modelagem da
maturidade como outras organizações. TI é utilizada como um caminho
integrado para automatizar o fluxo de trabalho, provendo ferramentas
para aprimorar a qualidade e efetividade, tornando a organização
rápida em adaptar-se.

 Matriz RACI – Matriz de Responsabilidades
É uma ferramenta utilizada pelo COBIT, assim como em outros modelos, para
definir as responsabilidades. Para cada processo dentro do framework do COBIT,
existem sugestões de responsabilidades a serem atribuídas.
• Responsible: quem faz (Responsável por executar, o executor)
• Accontable: responde pela atividade (dono), é a Autoridade, o
Responsabilizado
• Consulted: deve ser consultado
• Informed: deve ser Informado

 Matriz RACI – Matriz de Responsabilidades (Exemplo)
Gerente do
Projeto
Analista de
Sistema
Analista de
Testes
Gerente de
Configuração
Planejamento A/R I I I
Análise de
Requisitos
A/I/C R I -
Codificação A/I I/C - -
Testes A/I/C I/C R
Implantação A I/C I I/C
Versionamento A/I I/C - R
Monitoração e
Controle
A/R I - -
Processo de Desenvolvimento de Sistemas

 Medidas de Controle
As medidas de controle para TI não satisfazem todos os requisitos no mesmo grau. O COBIT
define três níveis de satisfação : Primário, Secundário e em branco. Para cada processo, o
framework mapeia o nível em que o processo atende a cada um dos requisitos.
Primário
Impacta diretamente no
requisito da informação a qual
se refere
Secundário
Impacta indiretamente ou
parcialmente no critério de
informação a qual se refere
Em branco
Pode ser aplicável, entretanto os
requisitos são mais satisfeitos
por outra medida de controle ou
mesmo por outro processo
Requisito
P Eficácia
P Eficiência
S Confidencialidade
Integridade
S Disponibilidade
Conformidade
Confiabilidade

 Medidas de Controle (Exemplo)
Requisito
P Eficácia
S Eficiência
Confidencialidade
S Integridade
S Disponibilidade
Conformidade
Confiabilidade
AI7 Instalar e Homologar Soluções e Mudanças
Descrição
Novos sistemas precisam ser colocados em
operação uma vez concluído seu
desenvolvimento. É necessária a realização de
testes apropriados em um ambiente dedicado,
com dados de teste relevantes, definição de
instruções de implantação e migração,
planejamento de liberação e mudanças no
ambiente de produção e uma revisão pós-
implementação.

 Metas e Métricas (diretrizes de gerenciamento)
O COBIT utiliza dois tipos de métricas: Medidas de Resultado (na versão anterior,
conhecida como KGI) e Indicadores de Performance (na versão anterior, conhecido
como KPI).
Medidas de
Resultado (OM)
Indicam se os objetivos foram atingidos. Esses
podem ser medidos somente após os fatos e
portanto são chamados de indicadores históricos
(lag indicators).
Indicadores de
Performance
(PI)
Indicam se os objetivos serão possivelmente
atingidos. Eles são medidos antes que os
resultados sejam claros e portanto são chamados
de indicadores futuros (lead indicators).
OM = Outcame Masures PI= Performance Indicators

 Medidas de Resultado e Indicadores (Exemplo)
Medidas de
Resultado
Indicadores de
Performance
 Número de projetos que foram entregues dentro do
cronograma
 Quantidade de incidentes ocorridos no período de um
mês
 Quantidade de falhas de segurança detectadas em um
determinado sistema no ultimo semestre
 Número de projetos que estão dentro do cronograma
 Tempo decorrido de um determinado incidente até o
momento (antes de ser encerrado)
 Quantidade de erros encontrado durante uma
homologação que ainda está ocorrendo

 Níveis das Metas e Métricas (03 níveis)
Metas e
métricas de TI
Metas e
métricas de
Processos
Metas e
métricas de
atividades
Metas de Negócio • O que o negócio
espera de TI
• As metas dos
processos para que TI
atinja os resultados
• O que as atividades
precisam entregar para
suportar metas do
processo

 RESUMO – características e escopo
PC1 Metas e
Objetivos do
Processo
PC2 Propriedades
do Processo
PC3 Repetibilidade
do Processo
PC 4 Papéis e
Responsabilidades
PC 5 Políticas
Planos e
Procedimentos
PC6 Melhoria do
Processo de
Performance
Requisitos de Controle Genéricos
Nível 0
Inexistente
Nível 1
Inicial
Nível 2
Repetível
Nível 3
Definido
Nível 4
Gerenciado
Nível 5
Otimizado
Nível de Maturidade
Gerente do
Projeto
Analista de
Sistema
Analista
de Testes
Gerente
de
Configuraç
ão
Planejament
o
A/R I I I
Análise de
Requisitos
A/I/C R I -
Codificação A/I I/C - -
Testes A/I/C I/C R
Implantação A I/C I I/C
Versioname
nto
A/I I/C - R
Monitoração
e Controle
A/R I - -
Matriz RACI
Primário
Impacta diretamente no requisito da informação a
qual se refere
Secundário
Impacta indiretamente ou parcialmente no critério de
informação a qual se refere
Em branco
Pode ser aplicável, entretanto os requisitos são mais
satisfeitos por outra medida de controle ou mesmo
por outro processo
Nível de Medidas de controle
Indicadores de
Performance (PI)
Medidas de
Resultado (OM)
Indicam se os objetivos foram atingidos.
Esses podem ser medidos somente após os fatos e portanto
são chamados de indicadores históricos (lag indicators).
Indicam se os objetivos serão possivelmente
atingidos. Eles são medidos antes que os resultados sejam
claros e portanto são chamados de indicadores futuros (lead
indicators).
Metas e Métricas
Metas e
métricas
de TI
Metas e
métricas
de
Processo
s
Metas e
métricas
de
atividade
s

1. ( ) Os processos do COBIT estão divididos em 04 domínios
2. ( ) Os domínios dos processos do COBIT são:
• Planejar e Organizar
• Adquirir e Implementar
• Entregar e Monitorar
• Suportar e Avaliar
3. ( ) As práticas de controle estão subdivididas em, no mínimo, três
objetivos de controle
4. ( ) Um dos requisitos genéricos dos processos do COBIT é o “PC 5
Políticas Planos e Procedimentos”
5. ( ) O requisito genérico PC2 Propriedades do Processo trata sobre
atribuição das responsabilidades do dono do processo.

6. ( ) As medidas de controle para TI satisfazem todos os requisitos da
informação no mesmo grau.
7. ( ) O COBIT estabelece 05 níveis de maturidade para avaliar os
processos, descrevendo as características de cada nível
8. ( ) A descrição ao lado corresponde ao nível 3 de maturidade :
“Existem evidências que a empresa reconheceu que existem questões e
padronizado.”
9. ( ) A descrição ao lado pertence ao nível 4 de maturidade: “Os
processos foram refinados a um nível de boas práticas, baseado no
resultado de um contínuo aprimoramento e modelagem da maturidade
como outras organizações. “

10. ( ) A descrição ao lado corresponde ao nível 0 de Maturidade:
“Completa falta de um processo reconhecido. A empresa nem mesmo
reconheceu que existe uma questão a ser trabalhada.”
11. ( ) No modelo RACI, o “R” (responsável) é quem Será
responsabilizado pela atividade, é quem responde por ela.
12. ( ) Quando uma medida de controle de um processo impacta em
nível secundário um requisito da informação, significa que ele impacta
indiretamente ou parcialmente no critério de informação a qual se
refere.
13. ( ) Medidas de resultado indicam objetivos a serem atingidos.

1. ( V ) Os processos do COBIT estão divididos em 04 domínios
2. ( F ) Os domínios dos processos do COBIT são:
• Planejar e Organizar
• Adquirir e Implementar
• Entregar e Monitorar e Suportar
• Suportar e Avaliar Monitorar e
3. ( F ) As práticas de controle estão subdivididas em, no mínimo, três
objetivos de controle Os processos estão subdivididos em , no mínimo, três
objetivos de controle. Um objetivo de controle possui práticas de controle que
auxiliam sua implementação.
4. ( V ) Um dos requisitos genéricos dos processos do COBIT é o “PC 5
Políticas Planos e Procedimentos”
5. ( V ) O requisito genérico PC2 Propriedades do Processo trata sobre
atribuição das responsabilidades do dono do processo

6. ( F ) As medidas de controle para TI satisfazem todos os requisitos da
informação no mesmo grau. As medidas de controle para TI não satisfazem
todos os requisitos no mesmo grau. O COBIT define três níveis de satisfação :
Primário, Secundário e em branco. Para cada processo, o framework mapeia o
nível em que o processo atende a cada um dos requisitos.
7. ( F ) O COBIT estabelece 05 níveis de maturidade para avaliar os
processos, descrevendo as características de cada nível. São 06 níveis de
maturidade: do nível zero ao nível cinco.
8. ( F ) A descrição ao lado corresponde ao nível 3 de maturidade :
“Existem evidências que a empresa reconheceu que existem questões e
padronizado.” Essa descrição corresponde ao nível 1
9. ( F ) A descrição ao lado pertence ao nível 4 de maturidade: “Os
processos foram refinados a um nível de boas práticas, baseado no
resultado de um contínuo aprimoramento e modelagem da maturidade
como outras organizações. “ Essa descrição corresponde ao nível 5

10. ( V ) A descrição ao lado corresponde ao nível 0 de Maturidade:
“Completa falta de um processo reconhecido. A empresa nem mesmo
reconheceu que existe uma questão a ser trabalhada.”
11. ( F ) No modelo RACI, o “R” (responsável) é quem Será
responsabilizado pela atividade, é quem responde por ela. “R”
corresponde a “Responsible”: quem faz (Responsável por executar, o executor).
O responsabilizado é o “A” ,“Accontable “ , quem responde pela atividade ou
processo.
12. ( V ) Quando uma medida de controle de um processo impacta em
nível secundário um requisito da informação, significa que ele impacta
indiretamente ou parcialmente no critério de informação a qual se
refere.
13. ( V ) Medidas de resultado indicam objetivos a serem atingidos.

Estrutura do COBIT
Planejar e
Organizar
Adquirir e
Implementar
Monitorar e
Avaliar
Entregar e
Suportar
PO1 ao PO10

Descrição dos Processos
PO1 Definir um Plano Estratégico de TI
O planejamento estratégico de TI é necessário para gerenciar todos os recursos de
TI em alinhamento com as prioridades e estratégias de negócio. A função de TI e
as partes interessadas pelo negócio são responsáveis por garantir a otimização do
valor a ser obtido do portfólio de projetos e serviços. O plano estratégico deve
melhorar o entendimento das partes interessadas no que diz respeito a
oportunidades e limitações da TI, avaliar o desempenho atual e esclarecer o nível
de investimento requerido. A estratégia e as prioridades de negócio devem ser
refletidas nos portfólios e executadas por meio de planos táticos de TI que
estabeleçam objetivos concisos, tarefas e planos bem definidos e aceitos por
ambos, negócio e TI.
Importante conhecer a descrição Importante conhecer todo o processo

PO2 Definir a Arequitetura da Informação
Os sistemas de informação devem criar e atualizar regularmente um modelo de
informação do negócio e definir os sistemas apropriados para otimizar o uso dessa
informação. Isso abrange o desenvolvimento de um dicionário de dados
corporativo com as regras de sintaxe de dados, o esquema de classificação de
dados e os níveis de segurança da organização. Esse processo melhora a qualidade
de decisão do gerenciamento certificando-se de que informações seguras e
confiáveis sejam fornecidas e permite racionalizar os recursos de sistemas de
informação para atender às estratégias de negócio de forma apropriada. Esse
processo de TI também é necessário para permitir um maior grau de
responsabilização pela integridade e a segurança dos dados e melhorar a
efetividade e o controle do compartilhamento da informação através das
aplicações e entidades.

PO3 Determinar as Diretrizes da Tecnologia
Os responsáveis pelos serviços de informação determinam um direcionamento
tecnológico que suporta o negócio. Isso demanda a criação de um plano de
infraestrutura tecnológica e um conselho de arquitetura que estabeleça e gerencie
expectativas claras e realistas do que a tecnologia pode oferecer em termos de
produtos, serviços e mecanismos de entrega. O plano é atualizado regularmente
e abrange aspectos como arquitetura de sistemas, direcionamento tecnológico,
plano de aquisições, padrões, estratégias de migração e contingência. Isso permite
respostas rápidas a mudanças em um ambiente competitivo, economia de escala
em equipes e em investimentos de sistemas de informação, bem como melhor
interoperabilidade entre plataformas e aplicações.

PO4 Definir os Processos, Organização e Relacionamentos de TI
Uma organização de TI é definida considerando os requisitos de pessoal,
habilidades, funções, autoridade, papéis e responsabilidades, rastreabilidade e
supervisão. Essa organização deve fazer parte de uma estrutura de processos de TI
que assegure transparência e controle, assim como o envolvimento de executivos
sênior e a Direção do negócio. Um comitê estratégico deve assegurar a supervisão
da Direção de TI, e um ou mais comitês dos quais as áreas de negócio e TI
participem devem definir a priorização dos recursos de TI em linha com as
necessidades do negócio. Os processos, as políticas administrativas e os
procedimentos precisam estar estabelecidos para todas as funções, com especial
atenção às de controle, garantia da qualidade, gestão de risco, segurança da
informação, propriedade de sistemas e dados e segregação de funções. Para
assegurar o rápido atendimento das exigências do negócio, a TI deve ser envolvida
nos processos de decisão relevantes.

PO5 Gerenciar o Investimento de TI
Estabelecer e manter uma estrutura para gerenciar os programas de investimentos
em TI que contemple custos, benefícios, prioridade dentro do orçamento, um
processo formal de definição orçamentária e gerenciamento de acordo com o
orçamento. As partes interessadas são consultadas para identificar e controlar os
custos totais e os benefícios dentro dos contextos estratégicos e táticos da TI e
iniciar ações de correção quando necessário. O processo promove a parceria entre
a TI e as partes interessadas do negócio, permite o uso eficaz e eficiente dos
recursos de TI, provê transparência, atribui responsabilidade pelo custo total de
propriedade (TCO, Total Cost of Ownership), realização dos benefícios do negócio e
do retorno sobre os investimentos em TI.

PO6 Comunicar Metas e Diretrizes Gerenciais
A Direção deve desenvolver uma estrutura de controle de TI corporativo e definir
e comunicar políticas. Um programa de comunicação contínuo aprovado e apoiado
pela Direção deve ser implementado para articular missão, metas, políticas,
procedimentos etc. A comunicação apóia o alcance dos objetivos de TI e assegura
a consciência e o entendimento dos negócios, dos riscos de TI, dos objetivos e das
diretrizes. O processo deve assegurar conformidade com leis e regulamentos
relevantes.
PO7 Gerenciar Recursos Humanos
Adquirir, manter e motivar uma força de trabalho competente para criar e
entregar serviços de TI para o negócio. Isso é alcançado seguindo práticas definidas
e acordadas de recrutamento, treinamento, avaliação de desempenho, promoção
e desligamento. Esse processo é crítico porque as pessoas são ativos importantes
e a governança e o ambiente de controle de dados são altamente dependentes
da motivação e da competência dessas pessoas.

PO8 Gerenciar a Qualidade
Deve ser desenvolvido e mantido um sistema de gestão da qualidade, que inclua
padrões e processos comprovados de desenvolvimento e aquisição. Isso é feito
através de planejamento, implementação e manutenção de um sistema de gestão
de qualidade que gere requisitos, procedimentos e políticas de qualidade claros.
Requisitos de qualidade devem ser definidos e comunicados em indicadores
quantificáveis e atingíveis. A melhoria contínua pode ser alcançada por constante
monitoramento, análise e atuação sobre desvios e na comunicação dos resultados
às partes interessadas. A gestão da qualidade é essencial para assegurar que a TI
esteja fornecendo valor para o negócio, melhoria contínua e transparência para as
partes interessadas.

PO9 Avaliar e Gerenciar Riscos de TI
Criar e manter uma estrutura de gestão de risco. Esta estrutura documenta um
nível comum e acordado de riscos de TI, estratégias de mitigação e riscos
residuais. Qualquer impacto em potencial nos objetivos da empresa causado por
um evento não planejado deve ser identificado, analisado e avaliado. Estratégias de
mitigação de risco devem ser adotadas para minimizar o risco residual a níveis
aceitáveis. O resultado da avaliação deve ser entendido pelas partes interessadas e
expresso em termos financeiros para permitir que as partes interessadas alinhem o
risco a níveis de tolerância aceitáveis.

PO10 Gerenciar Projetos
Estabelecer um programa e uma estrutura de gestão de projeto para o
gerenciamento de todos os projetos de TI. Essa estrutura deve assegurar a correta
priorização e a coordenação de todos os projetos. A estrutura deve incluir um
plano mestre, atribuição de recursos, definição dos resultados a serem entregues,
provação dos usuários, uma divisão por fases de entrega, garantia da qualidade, um
plano de teste formal e uma revisão pós-implementação para assegurar a gestão de
risco do projeto e a entrega de valor para o negócio. Esta abordagem reduz o risco
de custos inesperados e de cancelamentos de projeto, aperfeiçoa a comunicação,
melhora o envolvimento das áreas de negócio e dos usuários finais, assegura o
valor e a qualidade dos resultados do projeto e maximiza a contribuição para os
programas de investimentos em TI.

Estrutura do COBIT
Planejar e
Organizar
Adquirir e
Implementar
Monitorar e
Avaliar
Entregar e
Suportar
AI1 ao AI7

AI1 Identificar Soluções Automatizadas
A necessidade de uma nova aplicação ou função requer uma análise prévia à
aquisição ou ao desenvolvimento para assegurar que os requisitos de negócio
sejam atendidos através de uma abordagem eficaz e eficiente. Este processo
contempla a definição das necessidades, considera fontes alternativas, a revisão de
viabilidade econômica e tecnológica, a execução das análises de risco e de custo-
benefício e a obtenção de uma decisão final por “desenvolver” ou “comprar”. Todos
esses passos permitem às organizações minimizar os custos de aquisição e
implementação de soluções e permitem ao negócio alcançar seus objetivos.

AI2 Adquirir e Manter Software Aplicativo
As aplicações devem ser disponibilizadas em alinhamento com os requisitos do
negócio. Este processo contempla o projeto das aplicações, a inclusão de controles
e requisitos de segurança apropriados, o desenvolvimento e a configuração de
acordo com padrões. Isso permite às organizações apoiarem de forma adequada
as operações do negócio com as aplicações corretas.
AI3 Adquirir e Manter Infraestrutura de Tecnologia
As organizações devem ter processos de aquisição, implementação e atualização
da infraestrutura de tecnologia. Isso requer uma abordagem planejada de
aquisição, manutenção e proteção da infraestrutura em alinhamento com as
estratégias tecnológicas acordadas e o fornecimento de ambientes de
desenvolvimento e teste. Isso assegura um apoio tecnológico contínuo às
aplicações de negócio.

AI4 Habilitar Operação e Uso
Conhecimento sobre novos sistemas deve estar disponível. Este processo requer a
elaboração de documentação e manuais para usuários e para TI e a promoção de
treinamentos para assegurar a operação e uso apropriado das aplicações e
infraestrutura.
AI5 Adquirir Recursos de TI
Recursos de TI, incluindo pessoas, hardware, software e serviços precisam ser
adquiridos. Isso requer a definição e a aplicação de procedimentos de aquisição, a
seleção de fornecedores, o estabelecimento de arranjos contratuais e a aquisição
propriamente dita. Assim assegura-se que a organização tenha todos os recursos de
TI necessários a tempo e com boa relação custo-benefício.

AI6 Gerenciar Mudanças
Todas as mudanças, incluindo manutenções e correções de emergência,
relacionadas com a infraestrutura e as aplicações no ambiente de produção são
formalmente gerenciadas de maneira controlada. As mudanças (incluindo
procedimentos, processos, parâmetros de sistemas e de serviço) devem ser
registradas, avaliadas e autorizadas antes da implementação e revisadas em
seguida, tendo como base os resultados efetivos e planejados. Isso assegura a
mitigação de riscos de impactos negativos na estabilidade ou na integridade do
ambiente de produção.

AI7 Instalar e Homologar Soluções de Mudanças
Novos sistemas precisam ser colocados em operação uma vez concluído seu
desenvolvimento. É necessária a realização de testes apropriados em um ambiente
dedicado, com dados de teste relevantes, definição de instruções de implantação e
migração, planejamento de liberação e mudanças no ambiente de produção e uma
revisão pós-implementação. Isso assegura que os sistemas operacionais estejam
alinhados com as expectativas e os resultados acordados.

Estrutura do COBIT
Planejar e
Organizar
Adquirir e
Implementar
Monitorar e
Avaliar
Entregar e
Suportar
DS1 ao DS13

DS1 Definir e Gerenciar Níveis de Serviços
A comunicação eficaz entre a Direção de TI e os clientes de negócio sobre os
serviços necessários é possibilitada por um acordo definido e documentado que
aborda os serviços de TI e os níveis de serviço esperados. Este processo também
inclui monitoramento e relatório oportuno às partes interessadas quanto ao
atendimento dos níveis de serviço. Este processo permite o alinhamento entre os
serviços de TI e os respectivos requisitos do negócio.
DS2 Gerenciar Serviços de Terceiros
A necessidade de assegurar que os serviços prestados por fornecedores satisfaçam
aos requisitos do negócio requer um processo efetivo de gestão da terceirização.
Esse processo é realizado definindo-se claramente os papéis, responsabilidades e
expectativas nos acordos de terceirização bem como revisando e monitorando tais
acordos quanto à efetividade e à conformidade. A gestão eficaz dos serviços
terceirizados minimiza os riscos de negócio associados aos fornecedores que não
cumprem seu papel.

DS3 Gerenciar o Desempenho e a Capacidade
A necessidade de gerenciar o desempenho e a capacidade dos recursos de TI
requer um processo que realize análises críticas periódicas do desempenho e da
capacidade atuais dos recursos de TI. Esse processo inclui a previsão de
necessidades futuras com base em requisitos de carga de trabalho,
armazenamento e contingência. Esse processo assegura que os recursos de
informação que suportam os requisitos do negócio estejam sempre disponíveis.
DS4 Assegurar a Continuidade dos Serviços
Prover a continuidade dos serviços de TI requer o desenvolvimento, manutenção e
teste de um plano de continuidade de TI, armazenamento de cópias de segurança
(backup) em instalações remotas (offsite) e realizar treinamentos periódicos do
plano de continuidade. Um processo eficaz de continuidade de serviços minimiza a
probabilidade e o impacto de uma interrupção de um serviço chave de TI nas
funções e processos críticos de negócio.

DS5 Garantir a Segurança de Sistemas
Para manter a integridade da informação e proteger os ativos de TI, é necessário
implementar um processo de gestão de segurança. Esse processo inclui o
estabelecimento e a manutenção de papéis, responsabilidades, políticas, padrões
e procedimentos de segurança de TI. A gestão de segurança inclui o
monitoramento, o teste periódico e a implementação de ações corretivas das
deficiências ou dos incidentes de segurança. A gestão eficaz de segurança protege
todos os ativos de TI e minimiza o impacto sobre os negócios de vulnerabilidades
e incidentes de segurança.

DS6 Identificar e Alocar Custos
A necessidade de um sistema justo e equitativo de alocação de custo de TI para o
negócio requer avaliação precisa dos custos de TI e acordo com os usuários do
negócio sobre uma alocação razoável. Este processo contempla a construção e a
operação de um sistema para capturar, alocar e reportar os custos de TI aos
usuários dos serviços. Um sistema de alocação justo permite à empresa tomar
decisões mais embasadas sobre o uso dos serviços.

DS7 Educar e Treinar os Usuários
A educação efetiva de todos os usuários de sistemas de TI, inclusive daqueles
dentro da própria TI, requer a identificação das necessidades de treinamento de
cada grupo de usuário. Como complemento à identificação dessas necessidades,
esse processo compreende a definição e a execução de uma estratégia eficaz de
treinamento e medição dos resultados. Um programa de treinamento eficaz
aumenta o uso efetivo da tecnologia através da redução dos erros de usuário,
aumento da produtividade e aumento da conformidade com os controles
principais (como as medidas de segurança do usuário).

DS8 Gerenciar Central de Serviços e Incidentes
A resposta efetiva e em tempo adequado a dúvidas e problemas dos usuários de TI
requer uma central de serviço (service desk) e processos de gerenciamento de
incidentes bem projetados e implementados. Esse processo inclui a implementação
de uma central de serviços capacitada para o tratamento de incidentes, incluindo
registro, encaminhamento, análise de tendências, análise de causa-raiz e resolução.
Os benefícios ao negócio incluem aumento de produtividade por meio de
resolução rápida dos chamados dos usuários. Complementarmente, as áreas de
negócio podem tratar as causas-raiz (como treinamento deficiente de usuário),
através de relatórios efetivos.

DS9 Gerenciar Configuração
Assegurar a integridade das configurações de hardware e software requer o
estabelecimento e a manutenção de um repositório de configuração preciso e
completo. Esse processo inclui a coleta inicial das informações de configuração, o
estabelecimento de um perfil básico, a verificação e a auditoria das informações de
configuração e a atualização do repositório de configuração conforme necessário.
Um gerenciamento de configuração eficaz facilita uma maior disponibilidade do
sistema, minimiza as questões de produção e soluciona problemas com mais
rapidez.

DS10 Gerenciar Problemas
O efetivo gerenciamento de problemas requer identificação e classificação dos
problemas, análise de causas-raiz e respectiva resolução. O processo de
gerenciamento de problemas também contempla a identificação de
recomendações para melhoria, manutenção dos registros de problemas e revisão
da situação das ações corretivas. Um processo efetivo de gerenciamento de
problemas melhora os níveis de serviço, reduz os custos e aumenta a conveniência
e a satisfação do cliente.

DS11 Gerenciar Dados
O efetivo gerenciamento de dados requer a identificação dos requisitos de dados.
O processo de gerenciamento de dados também contempla o estabelecimento de
procedimentos efetivos para controlar a biblioteca de mídia, cópia de segurança
(backup), recuperação de dados e a dispensa de mídias de forma adequada. O
efetivo gerenciamento de dados ajuda a assegurar a qualidade, a rapidez e
disponibilidade dos dados de negócio.

DS12 Gerenciar o Ambiente Físico
A proteção de pessoas e equipamento de informática requer instalações físicas bem
planejadas e gerenciadas. O processo de gerenciamento do ambiente físico inclui a
definição dos requisitos do local físico, a escolha de instalações apropriadas, o
projeto de processos eficazes de monitoramento dos fatores ambientais e o
gerenciamento de acessos físicos. O gerenciamento eficaz do ambiente físico reduz
as interrupções nos negócios provocadas por danos causados a equipamentos ou
pessoas.
DS13 Gerenciar as Operações
O processamento preciso e completo de dados requer um gerenciamento eficaz do
processamento de dados e diligente manutenção de hardware. Este processo inclui
a definição de políticas e procedimentos de operações para o gerenciamento
eficaz do processamento agendado, proteção de resultados sigilosos, o
monitoramento de infraestrutura e manutenção preventiva de hardware. O
efetivo gerenciamento de operações ajuda a manter a integridade dos dados e
reduzir atrasos e custos de operação de TI.

Estrutura do COBIT
Planejar e
Organizar
Adquirir e
Implementar
Monitorar e
Avaliar
Entregar e
Suportar
ME1 ao ME4

ME1 Monitorar e Avaliar o Desempenho de TI
A gestão eficaz de desempenho de TI exige um processo de monitoramento. Esse
processo inclui a definição de indicadores de desempenho relevantes, informes de
desempenho sistemáticos e oportunos e uma pronta ação em relação aos desvios
encontrados. O monitoramento é necessário para assegurar que as atividades
corretas estejam sendo feitas e que estejam em alinhamento com as políticas e
diretrizes estabelecidas.
ME2 Monitorar e Avaliar os Controles Internos
Estabelecer um programa eficaz de controles internos de TI requer um processo de
monitoramento bem definido. Esse processo inclui o monitoramento e reporte das
exceções de controle, dos resultados de auto avaliação e avaliação de terceiros.
Um benefício importante do monitoramento dos controles internos é assegurar
uma operação eficaz e eficiente e a conformidade com as leis e os regulamentos
aplicáveis.

ME3 Assegurar a Conformidade com Requisitos Externos
A supervisão eficaz da conformidade requer o estabelecimento de um processo de
revisão para assegurar a conformidade com as leis e regulamentações e os
requisitos contratuais. Esse processo inclui identificar os requisitos de
conformidade, otimizar e avaliar a resposta, assegurar que os requisitos sejam
atendidos e integrar os relatórios de conformidade de TI com os das áreas de
negócios.
ME4 Prover Governança de TI
O estabelecimento de uma efetiva estrutura de governança envolve a definição das
estruturas organizacionais, dos processos, da liderança, dos papéis e respectivas
responsabilidades para assegurar que os investimentos corporativos em TI estejam
alinhados e sejam entregues em conformidade com as estratégias e os objetivos da
organização.

1. ( ) Definir os sistemas apropriados para otimizar o uso dessa
informação faz parte dos objetivos do processo PO2 Definir a
Arequitetura da Informação .
2. ( ) Definir um plano estratégico é um objetivo que está contido em
um processo do domínio Adquirir e Implementar.
3. ( ) Estabelecer um programa e uma estrutura de gestão de projeto
para o gerenciamento de todos os projetos é um objetivo do PO3
Gerenciar Projetos.
4. ( ) Habilitar Operação e Uso e Adquirir Recursos de TI são dois
processos pertencentes ao domínio de Aquisição e Implementação.
5. ( ) O processo DS5 Garantir a Segurança de Sistemas traz como
benefício a proteção todos os ativos de TI e minimiza o impacto sobre
os negócios.

1. ( V ) Definir os sistemas apropriados para otimizar o uso dessa
informação faz parte dos objetivos do processo PO2 Definir a
Arequitetura da Informação .
2. ( F ) Definir um plano estratégico é um objetivo que está contido em
um processo do domínio Adquirir e Implementar. Está Contido no
domínio de Planejamento e Organização, no PO1
3. ( F ) Estabelecer um programa e uma estrutura de gestão de projeto
para o gerenciamento de todos os projetos é um objetivo do PO3
Gerenciar Projetos. O processo é o PO10
4. ( V ) Habilitar Operação e Uso e Adquirir Recursos de TI são dois
processos pertencentes ao domínio de Aquisição e Implementação.
5. ( V ) O processo DS5 Garantir a Segurança de Sistemas traz como
benefício a proteção todos os ativos de TI e minimiza o impacto sobre
os negócios.

Fim do módulo
Perguntas?
Módulo 4

Módulo 5

 Neste módulo, você irá conhecer os processos mais
importantes do framework do COBIT.

Agenda
 Processos
Definir um Plano Estratégico de TI
Gerenciar Projetos
Habilitar Operação em Uso
Gerenciar Mudanças
Definir e Gerenciar Níveis de Serviço
Gerenciar Serviços de Terceiros
Monitorar e Avaliar o desempenho de TI

Os Processos a serem vistos
Planejar e
Organizar
Adquirir e
Implementar
Monitorar e
Avaliar
Entregar e
Suportar
PO1
•Definir um Plano
Estratégico de TI
PO10
•Gerenciar Projetos
AI4
•Habilitar Operação em
Uso
AI6
•Gerenciar Mudanças
DS2
•Definir e Gerenciar
Níveis de Serviço
DS1
•Gerenciar Serviços de
Terceiros
ME1
•Monitorar e Avaliar
o Desempenho de TI

Planejar e
Organizar
Adquirir e
Implementar
Monitorar e
Avaliar
Entregar e
Suportar
PO1
•Definir um Plano
Estratégico de TI
PO10
AI4
•Habilitar operação em
uso
AI6
DS1
Níveis de Serviço
DS2
Terceiros
ME1
o desempenho de TI

Definir um Plano Estratégico de TI
Objetivos
Melhorar o entendimento das partes interessadas
Criar objetivos de TI alinhado aos objetivos de negócio
Esclarecer o nível de investimento requerido
Refletir no Portfólio de TI a estratégia da organização
Realizar planos aceitos tanto por TI quanto área de
Negócio

Critérios da Informação que o processo satisfaz
Requisito
P Eficácia
S Eficiência
Confidencialidade
Integridade
Disponibilidade
Conformidade
Confiabilidade
 Os processos de TI
devem prover a entrega
eficaz e eficiente dos
componentes de TI.

Áreas de Foco da Governança que o Processo satisfaz
Domínios
Governança
de TI
Gerenciamento
de recursos
Primário
Secundário

Comprometimento da Alta Direção do
alinhamento do planejamento estratégico de
TI com as necessidades atuais e futuras;
Entendimento da capacidade atual de TI;
Estabelecimento de um esquema de
priorização de objetivos de negócio, que
quantifique os requisitos de negócio;
Atividades necessárias
Os objetivos desse processo são alcançados através de:

Objetivos de Controle
 PO1.1 Gerenciamento de Valor da TI
Trabalhar na direção do Negócio
Reconhecer os investimentos obrigatórios
Reconhecer os Investimentos Sustentáveis
Prévia advertência do impacto de qualquer desvio do plano, incluindo
custo, cronograma ou funcionalidade
 Estabelecer avaliação adequada, transparente, repetível e comparável de
estudos de caso de negócio
PO1.2 Alinhamento entre TI e Negócio
 Estabelecer processos de educação bi-direcional
 Envolvimento recíproco no planejamento estratégico

 PO1.3 Avaliação da Capacidade e Desempenho Correntes
 Avaliar a capacidade e o desempenho atuais das entregas de soluções e
serviços
 Estabelecer um modelo com o qual os requisitos futuros podem ser
comparados
 Definir o desempenho: funcionalidades, estabilidade, complexidade,
custos, pontos fortes e fragilidades
 PO1.4 Plano Estratégico de TI
 Criar um Plano Estratégico de TI
 Envolver partes interessadas
 Descrever como TI contribui para os objetivos de Negócio
 Quais os custos e riscos relacionados
 Contemplar o orçamento operacional e de investimento
 Contemplar como a TI aplicará os programas de investimentos

 PO1.5 Planos Táticos de TI
 Criar um portfólio de planos táticos de TI derivados do plano estratégico de TI
 Descrever quais são as iniciativas de TI requeridas
 Descrever quais os recursos necessários
 Como o uso de recursos e os benefícios alcançados serão monitorados
e administrados
 Os planos de projeto serão baseados nos planos táticos
 PO1.6 Gerenciamento do Portfólio de TI
 Gerenciar o portfólio dos programas de investimentos de TI
 Esclarecer os resultados de negócio desejados
 Entender o esforço necessário para atingir os resultados
 Atribuir responsabilidades com medidas de suporte
 Definir projetos dentro do programa

Entradas
Origem Entrada
PO5 Relatórios de custo/benefício;
PO9 Avaliação de riscos;
PO10 Portfólio de projetos de TI atualizado;
DS1
Requisitos novos ou atualizados de serviços;
Portfólio de Serviços de TI atualizado;
** Estratégia e Prioridades de Negócio;
** Portfólio de Programas;
ME1 Informações de desempenho para planejamento de TI;
ME4 Relatórios de Status de governança de TI;

Saídas
Saída Destino
Planejamento estratégico de TI; PO2 PO6 PO8 PO9 AI1 DS1
Planejamento tático de TI; PO2 PO6 PO9 AI1
Portfólio de projetos de TI; PO5 PO6 PO10AI6
Portfólio de serviços de TI; PO5 PO6 PO9 DS1
Estratégia de fornecimento de
TI; DS2
Estratégia de aquisição de TI; AI5

Matriz RACI
Vincular objetivos de negócio
com objetivos de TI; C I A/R R C
Identificar as dependências
críticas e o desempenho atual; C C R A/R C C C C C C
Produzir um plano estratégico
de TI; A C C R I C C C C I C
Produzir um plano tático de TI; C I A C C C C C R I
Analisar o portfólio de
programas e gerenciar
portfólio de projetos e
serviços; C I I A R R C R C C I

 Níveis de Maturidade
Nível 0
Inexistente
Nível 1
Inicial
Nível 2
Repetível
O plano estratégico de TI não é executado. A Direção não está
conscientizada de que o planejamento estratégico de TI é necessário
para sustentar as metas de negócio.
A necessidade de um planejamento estratégico de TI é conhecida pela
Direção de TI. O planejamento de TI é realizado caso a caso, em
resposta a um requisito específico de negócio. O alinhamento de
requisitos de negócio, aplicações e tecnologia ocorre de forma reativa
O planejamento estratégico de TI é compartilhado com a Direção do
Negócio conforme a necessidade. A atualização dos planos de TI
acontece em resposta aos pedidos da Direção. As decisões estratégicas
são tomadas projeto a projeto, sem consistência com uma estratégia
corporativa.

Nível 3
Definido
Nível 4
Gerenciado
Nível 5
Otimizado
Uma política define quando e como realizar um planejamento
estratégico de TI. O planejamento segue uma abordagem estruturada,
que é documentada e conhecida por envolvidos. O processo do
planejamento é adequado. Entretanto, a implementação do processo
fica a critério de cada Direção e não há procedimentos para examinar o
processo.
O planejamento estratégico de TI é uma prática padrão cujas exceções
são detectadas pela Direção. O planejamento estratégico de TI é uma
função da Direção com nível sênior de responsabilidade. A Direção é
capaz de monitorar o processo de planejamento estratégico de TI,
tomar decisões baseadas nesse processo e medir sua efetividade.
O planejamento estratégico de TI é um processo documentado e
dinâmico, sempre considerado no estabelecimento dos objetivos de
negócio, e resulta em valor de negócio identificável através dos
investimentos em TI. As considerações de risco e o valor agregado são
continuamente atualizados no processo de planejamento estratégico
de TI.

Grau de aprovação por proprietários de negócios
dos planos estratégicos/táticos de TI;
Grau de conformidade com requisitos do negócio e
de governança;
Nível de satisfação do negócio com o estado atual
(quantidade, escopo, etc) dos projetos e aplicações
em portfólio;
Metas e Métricas de TI
TI pode ser mensurada (em relação ao alinhamento com
negócio) por:

Percentual dos objetivos de TI no plano estratégico
de TI que sustentam o plano estratégico de negócio;
Percentual de projetos no portfólio de projetos de
TI que podem ser diretamente relacionados ao
plano tático de TI;
Metas e Métricas de do Processo
Processo pode ser medido por:

 Demora entre a atualização dos planos estratégicos/
táticos de negócio e a atualização dos planos estratégicos/táticos de
TI
 Percentual de reuniões de planejamento estratégico/
tático de TI em que representantes das áreas
de negócios participaram ativamente;
 Percentual de planos táticos de TI em conformidade
com as estruturas predefinidas desses planos
Metas e Métricas das atividades
As atividades do processo podem ser medidas por:

1. ( ) Um dos objetivos do processo PO1. Definir um Plano
Estratégico de TI é criar objetivos de negócio alinhados com objetivos
de TI
2. ( ) A premissa do processo PO1. Definir um Plano Estratégico de TI
é que “Os processos de TI devem prover a entrega eficaz e eficiente dos
componentes de TI”. Portanto, a eficiência e eficácia são dos critérios da
informação que são satisfeitos pro este processos, sendo o primeiro
satisfeito primariamente e o segundo secundário, respectivamente.
3. ( ) Processo PO1. Definir um Plano Estratégico de TI pertence ao
domínio Planejar e Organizar.
4. ( ) O Portfólio de Serviços de TI atualizado é uma das possíveis
saídas do processo PO1. Definir um Plano Estratégico de TI

5. ( ) A estratégia de aquisição de TI é uma das possíveis saídas do
processo PO1. Definir um Plano Estratégico de TI .
6. ( ) O processo PO1. Definir um Plano Estratégico de TI é um dos
únicos que possui matriz RACI bem definida.
7. ( ) A afirmação ao lado pertence ao nível três de maturidade,
quando relacionada ao processo PO1. Definir um Plano Estratégico de
TI : “O planejamento segue uma abordagem estruturada, que é
documentada e conhecida por envolvidos. “
8. ( ) “Percentual de projetos no portfólio de projetos de TI que
podem ser diretamente relacionados ao plano tático de TI” é uma
possível métrica para o processo PO1. Definir um Plano Estratégico de
TI

1. ( F ) Um dos objetivos do processo PO1. Definir um Plano
Estratégico de TI é criar objetivos de negócio alinhados com objetivos
de TI Um dos objetivos do processo PO1. Definir um Plano Estratégico de TI é
criar objetivos de TI alinhados com objetivos de Negócio
2. ( V ) A premissa do processo PO1. Definir um Plano Estratégico de
TI é que “Os processos de TI devem prover a entrega eficaz e eficiente
dos componentes de TI”. Portanto, a eficiência e eficácia são dos
critérios da informação que são satisfeitos pro este processos, sendo o
primeiro satisfeito primariamente e o segundo secundário,
respectivamente.
3. ( V ) Processo PO1. Definir um Plano Estratégico de TI pertence ao
domínio Planejar e Organizar.
4. ( V ) O Portfólio de Serviços de TI atualizado é uma das possíveis
saídas do processo PO1. Definir um Plano Estratégico de TI

5. ( V ) A estratégia de aquisição de TI é uma das possíveis saídas do
processo PO1. Definir um Plano Estratégico de TI .
6. ( F ) O processo PO1. Definir um Plano Estratégico de TI é um dos
únicos que possui matriz RACI bem definida. Todos processos devem
possuir uma matriz RACI bem definida
7. ( V ) A afirmação ao lado pertence ao nível três de maturidade,
quando relacionada ao processo PO1. Definir um Plano Estratégico de
TI : “O planejamento segue uma abordagem estruturada, que é
documentada e conhecida por envolvidos. “
8. ( V ) “Percentual de projetos no portfólio de projetos de TI que
podem ser diretamente relacionados ao plano tático de TI” é uma
possível métrica para o processo PO1. Definir um Plano Estratégico de
TI

Gerenciar Projetos
Objetivos
 Estabelecer um programa de projetos alinhado com a
estratégia de TI
 Estabelecer uma estrutura de gestão de projeto para
o gerenciamento de todos os projetos de TI
Assegurar a correta priorização e a coordenação de
todos os projetos
 Reduzir o risco de custos inesperados e de
cancelamentos de projeto

Gerenciar Projetos
Requisito
P Eficácia
P Eficiência
Confidencialidade
Integridade
Disponibilidade
Conformidade
Confiabilidade
 O processo de
Gerenciamento de
Projetos deve garantir que
resultados de projetos
dentro do tempo, do
orçamento e da qualidade
acordados.

Gerenciar Projetos
Domínios
Governança
de TI
Gerenciamento
de recursos
Primário
Secundário
Gerenciamento
de recursos

Gerenciar Projetos
Definição e implantação de programas,
estruturas e abordagens de projeto;
Publicação de diretrizes de gestão de
projeto;
Realização de planejamento de projeto para
todo o portfólio de projetos;

Gerenciar Projetos
 PO10.1 Estrutura de Gestão de Programas
 Manter o programa de projetos
 Identificar, definir, avaliar, priorizar, selecionar, iniciar, gerenciar e
controlando projetos
 Coordenar as atividades e interdependências de múltiplos projetos
 Resolver requisitos e conflitos de recursos
 Assegurar que os projetos sustentem os objetivos dos programas
PO1.2 Estrutura de Gestão de Projetos
 Manter uma estrutura de gestão de projetos
 Estabelecer os métodos a serem adotados e aplicados a cada projeto
 Estrutura e as metodologias de suporte devem ser integradas aos
processos de gerenciamento de programas

Gerenciar Projetos
 PO10.3 Abordagem da Gestão de Projetos
 Estabelecer uma abordagem de gestão de projetos adequada ao
tamanho, à complexidade e aos requisitos regulatórios de cada
projeto
 PO10.4 Comprometimento das Partes Interessadas
 Obter comprometimento e participação das partes interessadas afetadas na
definição e na execução do projeto dentro do contexto do programa de
investimento geral de TI

Gerenciar Projetos
 PO10.5 Declaração do Escopo do Projeto
 Definir e documentar a natureza e o escopo do projeto
 Confirmar e desenvolver um entendimento comum do escopo do
projeto com as partes interessadas
 A definição deve ser formalmente aprovada pelo patrocinador
 PO10.6 Fase de Início do Projeto
Assegurar que a fase de início do projeto seja formalmente aprovada e
comunicada a todas as partes interessadas
 A aprovação das fases subseqüentes deve ser baseada na revisão e na
aceitação dos resultados entregues da fase anterior

Gerenciar Projetos
 PO10.7 Plano Integrado de Projeto
 Estabelecer um plano integrado de projeto formalizado e aprovado
 As atividades e interdependências de múltiplos projetos dentro de um
programa devem ser entendidas e documentadas
 O plano de projeto deve passar por manutenção durante todas as etapas
do projeto.
 PO10.8 Recursos do Projeto
 Definir responsabilidades, relacionamentos, autoridades e critérios de
desempenho para os membros
 A contratação de produtos e serviços necessários para cada projeto deve
ser planejada e gerenciada

Gerenciar Projetos
 PO10.9 Gestão de Risco do Projeto
 Eliminar ou minimizar riscos específicos associados a cada projeto
 Planejar, identificar, analisar, responder, monitorar e controlar riscos
 PO10.10 Plano de Qualidade de Projeto
 Preparar um plano de gestão de qualidade que descreva o sistema de
qualidade de projeto e como será implementado
 O plano deve ser formalmente revisado e aceito por todas as partes
envolvidas

Gerenciar Projetos
 PO10.11 Controle de Mudança de Projeto
 Estabelecer um sistema de controle de mudança para cada projeto
 Garantir que todas mudanças sejam avaliadas, aprovadas e incorporadas
ao plano do projeto em alinhamento a estrutura de governança
 PO10.12 Planejamento de métodos de validação
 Identificar as atividades necessárias para suportar a validação de novos
sistemas (ou suas modificações)
 Assegurar que os controles internos e aspectos de segurança
atendam aos requisitos definidos

Gerenciar Projetos
 PO10.13 Medição de Desempenho, Monitoramento e Reporte
do Projeto
 Avaliar o desempenho do projeto em comparação com critérios-chave
(como escopo, cronograma, qualidade, custo e risco)
 Reportar os resultados às principais partes interessadas
 PO10.14 Conclusão do Projeto
 Exigir que, ao final de cada projeto, as partes interessadas apurem se o
projeto gerou os resultados e benefícios planejados
 Identificar e documentar as lições aprendidas para usá-las em projetos e
programas futuros

Gerenciar Projetos
Entradas
Origem Entrada
PO1 Portfólio de projetos de TI;
PO5 Portfólio de projetos de TI atualizado;
PO7 Matriz de habilidades em TI;
PO8 Padrões para desenvolvimento;
AI17 Revisão pós-implementação;

Gerenciar Projetos
Saídas
Saída Destino
Relatórios de desempenho de
projetos; ME1
Plano de gerenciamento de
risco de projetos; PO9
Diretrizes de gerenciamento de
projetos; AI1...AI17
Planejamento detalhado de
projetos; PO8 AI1...AI17
Portfólio de projetos de TI
atualizado PO1 PO5

Gerenciar Projetos
Matriz RACI
Definir uma estrutura de
gerenciamento de programas
e portfólios para os
investimentos de TI; C C A R C C
Estabelecer e manter uma
estrutura de
gerenciamento de projetos; I I I A/R I C C C C R C
Estabelecer e manter um
sistema de gerenciamento,
monitoramento e
acompanhamento de
projetos de TI; I I I R C C C C A/R C

Gerenciar Projetos
Matriz RACI
Criar cronogramas, planos de
qualidade, orçamentos, planos
de comunicação e planos de
gerenciamento de riscos para
projetos; C C C C C C C A/R C
Assegurar a participação e
compromisso das partes
interessadas; I A R C C
Assegurar o controle eficaz de
projetos e de mudanças em
projetos; C C C C C A/R C
Definir e implementar uma
metodologia de revisão e
qualidade em projetos I C I A/R C

Gerenciar Projetos
Nível 0
Inexistente
Nível 1
Inicial
Nível 2
Repetível
Técnicas de gerenciamento de projeto não são utilizadas e a
organização não considera os impactos de negócio associados ao
gerenciamento equivocado.
O uso de abordagens e técnicas de gestão de projeto dentro da TI é
uma decisão a critério da Direção de TI. Há falta de comprometimento
da Direção de TI com a propriedade e a gestão de projeto. Decisões
críticas de gestão de projeto são tomadas sem o envolvimento do
gestor de negócio ou dos usuários.
A Alta Direção está consciente e comunica a necessidade de gestão de
projeto de TI. Há utilização de algumas técnicas e métodos de gestão de
projeto. Os projetos de TI têm definido informalmente os objetivos
técnicos e de negócios. Há envolvimento limitado das partes
interessadas no gerenciamento de projeto de TI.

Gerenciar Projetos
Nível 3
Definido
Nível 4
Gerenciado
Nível 5
Otimizado
O processo e a metodologia de gestão de projeto foram estabelecidos e
comunicados. Os projetos de TI são definidos com objetivos técnicos e
de negócio apropriados. Os gestores de TI e de negócio começam a se
envolver com a gestão dos projetos de TI. Utilização de marcos,
cronogramas e reporte.
A Direção requer a revisão de indicadores formais padronizados e lições
aprendidas em cada projeto logo após sua conclusão. A gestão de
projeto é medida e avaliada por toda a organização e não apenas
dentro da TI. Melhorias na gestão de projeto são formalizadas e
comunicadas
Uma metodologia comprovada de ciclo de vida de projeto está
implementada, imposta e integrada à cultura de toda a organização.
Uma iniciativa constante para identificar e institucionalizar as melhores
práticas de gestão de projetos foi implementada. Há uma coordenação
de projetos integrada responsável pelos projetos e programas desde o
início até a pós-implementação.

Gerenciar Projetos
 Percentual de projetos que atendem às
expectativas das partes interessadas (prazo,
orçamento e escopo ponderados de acordo com a
importância).
negócio) por:

Gerenciar Projetos
Percentual de projetos dentro do cronograma e
orçamento;
Percentual de projetos que atendem às
expectativas das partes interessadas.

Gerenciar Projetos
 Percentual de projetos que seguem práticas e
padrões de gestão de projetos;
Percentual de gerentes de projetos certificados
ou capacitados;
Percentual de projetos que recebem revisões
pós-implementação;
Percentual de partes interessadas com participação
em projetos (relação de envolvimento).

1. ( ) “Estabelecer uma estrutura de gestão de projeto para o
gerenciamento de todos os projetos de TI” é um dos principais objetivos
do processo PO10 Gerenciar Projetos.
2. ( ) Programas não devem ser definidos no processo PO10 Gerenciar
Projetos, já que esta é uma responsabilidade contida no processo
PO1. Definir um Plano Estratégico de TI.
3. ( ) A abordagem para gestão de projetos deve ser única para a
organização, independente do tamanho, complexidade e requisitos
4. ( ) O controle de mudanças do projeto não é estabelecido no processo
PO10 Gerenciar Projetos , já que existe um outro processo específico para
este controle AI6 Gerenciar Mudanças.
5. ( ) PO10 Gerenciar Projetos pertence ao domínio Planejar e Organizar.

6. ( ) O Portfólio de Projetos de TI é uma entrada para o PO10 Gerenciar
Projetos
7. ( ) O COBIT recomenda que o CIO da empresa seja o responsável por
Definir uma estrutura de gerenciamento de programas e portfólios para os
investimentos de TI
8. ( ) A descrição ao lado pertence ao nível 1 de maturidade, do processo
PO10 Gerenciar Projetos “O uso de abordagens e técnicas de gestão de
projeto dentro da TI é uma decisão a critério da Direção de TI. Há falta de
comprometimento da Direção de TI com a propriedade e a gestão de
projeto. Decisões críticas de gestão de projeto são tomadas sem o
envolvimento do gestor de negócio ou dos usuários.”
9. ( ) A métrica ao lado pode ser considerada uma métrica de TI para o
processo PO10 Gerenciar Projetos “Percentual de projetos que
seguem práticas e padrões de gestão de projetos”

1. ( V ) “Estabelecer uma estrutura de gestão de projeto para o
gerenciamento de todos os projetos de TI” é um dos principais objetivos
do processo PO10 Gerenciar Projetos.
2. ( F ) Programas não devem ser definidos no processo PO10 Gerenciar
Projetos, já que esta é uma responsabilidade contida no processo
PO1. Definir um Plano Estratégico de TI. Faz parte das atividades deste
processo (PO10)
3. ( F ) A abordagem para gestão de projetos deve ser única para a
organização, independente do tamanho, complexidade e requisitos. Deve
existir uma abordagem de gestão de projetos adequada ao tamanho, à
complexidade e aos requisitos regulatórios de cada projeto (ver PO 10.3)
4. ( F ) O controle de mudanças do projeto não é estabelecido no
processo PO10 Gerenciar Projetos , já que existe um outro processo
específico para este controle AI6 Gerenciar Mudanças. Controle de
mudanças de projetos devem ser estabelecidas por este processo (PO10)
5. ( V ) PO10 Gerenciar Projetos pertence ao domínio Planejar e
Organizar.

6. ( V ) O Portfólio de Projetos de TI é uma entrada para o PO10 Gerenciar
Projetos
7. ( V ) O COBIT recomenda que o CIO da empresa seja o responsável por
Definir uma estrutura de gerenciamento de programas e portfólios para os
investimentos de TI
8. ( V ) A descrição ao lado pertence ao nível 1 de maturidade, do processo
PO10 Gerenciar Projetos “O uso de abordagens e técnicas de gestão de
projeto dentro da TI é uma decisão a critério da Direção de TI. Há falta de
comprometimento da Direção de TI com a propriedade e a gestão de
projeto. Decisões críticas de gestão de projeto são tomadas sem o
envolvimento do gestor de negócio ou dos usuários.”
9. ( F ) A métrica ao lado pode ser considerada uma métrica de TI para o
processo PO10 Gerenciar Projetos “Percentual de projetos que
seguem práticas e padrões de gestão de projetos” Esta é uma métrica
de atividade.

Planejar e
Organizar
Adquirir e
Implementar
Monitorar e
Avaliar
Entregar e
Suportar
PO1
•Definir um Plano
Estratégico de TI
PO10
AI4
•Habilitar operação em
uso
AI6
DS1
Níveis de Serviço
DS2
Terceiros
ME1
o desempenho de TI
DS2

Habilitar Operação em Uso
Objetivos
 Manter conhecimento sobre novas soluções
disponível
 Disponibilizar manuais
 Disponibilizar treinamentos
 Assegurar o uso efetivo das soluções de TI
Transferência do conhecimento

Requisito
P Eficácia
P Eficiência
Confidencialidade
S Integridade
S Disponibilidade
S Conformidade
S Confiabilidade
O processo de Habilitar a
Operação em Uso deve
assegurar a satisfação de
usuários finais com ofertas
de serviços e níveis de
serviços e a completa
integração das aplicações e
soluções tecnológicas aos
processos de negócio

Domínios
Governança
de TI
Gerenciamento
de recursos
Primário
Secundário
Gerenciamento
de recursos

 Desenvolvimento e disponibilização
de documentação de transferência de
conhecimento
Comunicação e treinamento de
usuários, gestores de negócio, equipes
de suporte e equipes de operação
Produção de materiais de
treinamento

Habilitar a Operação em Uso
 AI4.1 Planejamento para Soluções Operacionais
 Desenvolver um plano para identificar e documentar todos os aspectos
técnicos, a capacidade operacional e os níveis de serviços necessários
AI4.2 Transferência de Conhecimento ao Gerenciamento do
Negócio
 Transferir o conhecimento ao gerenciamento do negócio
 Permitir que este assuma a propriedade do sistema e dados
 Permitir suas responsabilidades nos processos de entrega, qualidade de
serviço, controles internos e administração da aplicação

Habilitar a Operação em Uso
 AI4.3 Transferência de Conhecimento aos Usuários Finais
 Transferir conhecimento e habilidades para permitir aos usuários o uso
efetivo e eficiente dos sistemas aplicativos
 AI4.4 Transferência de Conhecimento às Equipes de Operações
e Suporte
 Transferir conhecimento e habilidades para permitir que as equipes de
operações e suporte técnico entreguem, suportem e mantenham os
sistemas e a infraestrutura associada de forma eficaz e eficiente

Entradas
Origem Entrada
PO10
Diretrizes de gerenciamento de projetos e
planejamento detalhado de projetos;
AI1 Estudo de viabilidade dos requisitos de negócio;
AI2 Conhecimento de aplicações e pacotes de software;
AI3 Conhecimento da infraestrutura;
AI7 Erros conhecidos e aceitos;
DS7 Atualizações necessárias de documentações

Saídas
Saída Destino
Manuais de usuário, operação,
suporte, técnico e administração; AI7 DS4 DS8 DS9 DS11 DS13
Requisitos de transferência de
conhecimento para implementação de
soluções; DS7
Materiais de treinamento DS7

Matriz RACI
Desenvolver estratégia para
operacionalizar a solução; A A R I
Desenvolver metodologia de
transferência de conhecimento; C A R C
Desenvolver manuais de
procedimentos para usuários
finais; A/R
Desenvolver documentação de
suporte técnico para equipes
de operação e suporte; A/R C C
Desenvolver e realizar
treinamento; A A R
Avaliar os resultados dos
treinamentos A A

Matriz RACI
Desenvolver estratégia para
operacionalizar a solução; R C
Desenvolver metodologia de
transferência de conhecimento; C R
Desenvolver manuais de
procedimentos para usuários
finais; C
Desenvolver documentação de
suporte técnico para equipes
de operação e suporte;
Desenvolver e realizar
treinamento; R
Avaliar os resultados dos
treinamentos R R

Nível 0
Inexistente
Nível 1
Inicial
Nível 2
Repetível
Não há nenhum processo estabelecido no que diz respeito à elaboração
de documentação de usuário, manuais de operações e material de
treinamento.
Há consciência de que a documentação de processos é necessária. A
documentação é ocasionalmente produzida e é inconsistentemente
distribuída a grupos limitados. A maioria da documentação e muitos
procedimentos estão desatualizados.
Métodos similares são utilizados para procedimentos e documentação,
porém não são baseados em uma abordagem estruturada. Programas de
treinamento de negócio e de usuários são providenciados ou facilitados,
mas não há um plano abrangente de cronograma e recursos para a
realização de treinamentos.e treinamentos.

Nível 3
Definido
Nível 4
Gerenciado
Nível 5
Otimizado
Há uma estrutura claramente definida, aceita e entendida para tratar
da documentação de usuários, manuais de operações e material de
treinamento. Os procedimentos são armazenados e mantidos em uma
biblioteca formal e podem ser acessados por qualquer pessoa que
precise conhecê-los.
Existem controles que asseguram a adoção de padrões, e são
desenvolvidos e mantidos procedimentos referentes a todos os
processos. Feedbacks das unidades de negócio e usuários sobre
documentação e treinamento são coletados e avaliados como parte de
um processo de melhoria contínua.
O processo da documentação operacional e de usuário é aprimorado
constantemente através da adoção de novas ferramentas e métodos.
Os materiais de procedimentos e de treinamento são considerados
uma base de conhecimento em constante evolução que é mantida
eletronicamente usando gerenciamento de atualização de
conhecimento, e tecnologias de distribuição.

Quantidade de aplicações nas quais procedimentos
de TI estão completamente integrados aos processos
de negócio;
Percentual de proprietários de negócio satisfeitos
com treinamentos e materiais de suporte para
aplicações.
negócio) por:

Quantidade de incidentes causados por treinamento/
documentação de
Quantidade de chamados de treinamento atendidos
Índices de satisfação com treinamentos documentação de
usuário e procedimentos
Quantidade de chamados pós implantações
Custo reduzido na produção/manutenção de
documentação de usuário e procedimentos operacionais

 Nível de participação de usuários e operadores
no treinamento de cada aplicação;
Intervalo entre as mudanças e atualizações dos
treinamentos, procedimentos e documentações;
Disponibilidade, abrangência e precisão da
documentação de operação e de usuário.

1. ( ) “Reduzir o risco de custos inesperados e de cancelamentos de
projeto” é um dos principais objetivos do processo AI4 Habilitar
Operação e Uso.
2. ( ) Produção de materiais de treinamento é uma das atividades que
está sob a responsabilidade do processo processo AI4 Habilitar Operação
e Uso.
3. ( ) O processo AI4 Habilitar Operação e Uso pode contribuir para
maior produtividade do usuário final
4. ( ) A Transferência do conhecimento para a área de negócio é
essencial para habilitar a operação em uso.
5. ( ) “Conhecimento de aplicações e pacotes de software” é uma
possível entrada do processo AI4 Habilitar Operação e Uso ;

6. ( ) A descrição ao lado corresponde ao nível 01 de maturidade do
processo AI4 Habilitar Operação e Uso. “Não há nenhum processo
estabelecido no que diz respeito à elaboração de documentação de
usuário, manuais de operações e material de treinamento.”
7. ( ) A métrica “Percentual de proprietários de negócio satisfeitos
com treinamentos e materiais de suporte para aplicações” pode ser
utilizada para mensurar o setor de TI dentro do processo AI4 Habilitar
Operação e Uso.
8. ( ) Considerando que uma determinada empresa tenha como objetivo
estratégico de negócio “Aumentar o número de vendas mensais”, a
implantação do processo AI4 Habilitar Operação e Uso pode
contribuir para suportar este objetivo, através da disponibilização de
treinamentos e manuais de suporte para o sistema de vendas da
mesma empresa.

1. ( F ) “Reduzir o risco de custos inesperados e de cancelamentos de
projeto” é um dos principais objetivos do processo AI4 Habilitar
Operação e Uso. Este é um objetivo do PO10 Gerenciar Projetos
2. ( V ) Produção de materiais de treinamento é uma das atividades que
está sob a responsabilidade do processo processo AI4 Habilitar Operação
e Uso.
3. ( V ) O processo AI4 Habilitar Operação e Uso pode contribuir para
maior produtividade do usuário final
4. ( V ) A Transferência do conhecimento para a área de negócio é
essencial para habilitar a operação em uso.
5. ( V ) “Conhecimento de aplicações e pacotes de software” é uma
possível entrada do processo AI4 Habilitar Operação e Uso ;

6. ( F ) A descrição ao lado corresponde ao nível 01 de maturidade do
processo AI4 Habilitar Operação e Uso. “Não há nenhum processo
estabelecido no que diz respeito à elaboração de documentação de
usuário, manuais de operações e material de treinamento.” Pertence ao
Nível 0
7. ( V ) A métrica “Percentual de proprietários de negócio satisfeitos
com treinamentos e materiais de suporte para aplicações” pode ser
utilizada para mensurar o setor de TI dentro do processo AI4 Habilitar
Operação e Uso.
8. ( V ) Considerando que uma determinada empresa tenha como
objetivo estratégico de negócio “Aumentar o número de vendas mensais”,
a implantação do processo AI4 Habilitar Operação e Uso pode contribuir
para suportar este objetivo, através da disponibilização de treinamentos e
manuais de suporte para o sistema de vendas da mesma empresa.

Gerenciar Mudanças
Objetivos
 Controlar Mudanças
 Minimizar riscos de impacto das mudanças
 Garantir os requisitos das mudanças implementadas
 Garantir avaliação e aprovação de mudanças,
evitando mudanças não autorizadas
Melhorar a qualidade dos serviços de TI

Gerenciar Mudanças
Requisito
P Eficácia
P Eficiência
Confidencialidade
P Integridade
P Disponibilidade
Conformidade
S Confiabilidade
O processo de
Gerenciamento de
Mudanças deve assegurar
o atendimento aos
requisitos de negócio em
alinhamento com a
estratégia da organização,
reduzindo retrabalho e
defeitos na entrega de
soluções e serviços

Gerenciar Mudanças
Domínios
Governança
de TI
Gerenciamento
de recursos
Primário
Secundário
Gerenciamento
de recursos

Gerenciar Mudanças
 Definição e comunicação de
procedimentos de mudanças,
incluindo mudanças emergenciais.
Avaliação, priorização e autorização
de mudanças.
Acompanhamento de status e
apresentação de relatório de
mudanças.

Gerenciar Mudanças
 AI6.1 Padrões e Procedimentos de Mudança
 Estabelecer procedimentos formais de gerenciamento de mudanças
AI6.2 Avaliação de Impacto, Priorização e Autorização
 Avaliar todas as solicitações de mudança de modo estruturado
 Prevenir impacto negativo nos serviços
 Avaliar impacto em relação a outras mudanças
AI6.3 Mudanças de Emergência
 Estabelecer um processo para definição, solicitação, testes,
documentação, avaliação e autorização de mudanças de emergência

Gerenciar Mudanças
 AI6.4 Acompanhamento de Status e Relatórios de Mudanças
 Estabelecer um sistema de acompanhamento e relatórios de mudanças
 Comunicar o status de mudanças aprovadas e em andamento e executar
mudanças
 Garantir que as mudanças autorizadas sejam implementadas conforme
planejado.
AI6.5 Finalização da Mudança e Documentação
 Atualizar a documentação os procedimentos do sistema e de usuários
sempre que forem implementadas mudanças no sistema

Gerenciar Mudanças
Entradas
Origem Entrada
PO1 Portfólio de projetos de TI;
PO8 Ações de melhoria de qualidade;
PO9 Planos de ação para remediação de riscos de TI;
PO10
Diretrizes de gerenciamento de projetos e
planejamento detalhado de projetos;
DS3 Mudanças necessárias;
DS5 Mudanças de segurança necessárias;
DS8 Solicitações de serviço/solicitações de mudança;
DS9-10
Solicitações de mudança (como e onde aplicar
a correção);
DS10 Registros de problemas

Gerenciar Mudanças
Saídas
Saída Destino
Descrição do processo de mudanças; AI1 AI2 AI3
Relatórios de status das mudanças; ME1
Autorização de mudanças AI7 DS8 DS10

Gerenciar Mudanças
Matriz RACI
Desenvolver e implementar um
processo para registrar, avaliar e
priorizar de forma consistente
as solicitações de mudança; A I R C R C C C
Avaliar criticamente o impacto e
priorizar mudanças baseadas
em necessidades do negócio; I R A/R C R C R C
Assegurar que qualquer
mudança crítica e emergencial
siga o processo aprovado; I I
A/R
I R C
Autorizar mudanças; I C
A/R
R
Gerenciar e disseminar
informações relevantes
relacionadas a mudanças A I R C R I R C

Gerenciar Mudanças
Nível 0
Inexistente
Nível 1
Inicial
Nível 2
Repetível
Não há um processo de gerenciamento de mudanças formalmente
estabelecido, e as mudanças podem ser feitas praticamente sem
nenhum controle.
É reconhecido que as mudanças devem ser gerenciadas e controladas.
As práticas variam, e existe a probabilidade de execução de mudanças
não autorizadas. A documentação de mudança é insuficiente ou
inexistente.
Há um processo informal de gerenciamento de mudanças seguido na
maioria das mudanças ocorridas, porém esse processo é desestruturado,
rudimentar e propenso a erros.. A documentação de mudança é
insuficiente ou inexistente. A precisão da documentação de configuração
é inconsistente e existe avaliação limitados dos impactos.

Gerenciar Mudanças
Nível 3
Definido
Nível 4
Gerenciado
Nível 5
Otimizado
Há um processo formal de gerenciamento de mudanças, que inclui
categorização, priorização, procedimentos de emergência, autorização
de mudança e controle de versão, porém a conformidade com o
processo ainda é emergente. Com freqüência, os processos são
ignorados.
O processo de gerenciamento de mudanças é bem desenvolvido,
acompanha todas mudanças e as exceções são mínimas. Há maior
coordenação entre o gerenciamento de mudanças de TI e a redefinição
de processos de negócio. Há um processo para monitorar a qualidade e
o desempenho do processo de gerenciamento de mudanças.
O processo de gerenciamento de mudanças é revisado e atualizado
regularmente para permanecer em alinhamento com as boas práticas.
O processo de revisão reflete o resultado do monitoramento. As
informações de configuração são automatizadas por software e
propiciam o controle de versão.

Gerenciar Mudanças
 Quantidade de paradas ou erros em dados devido
a especificações inadequadas ou avaliações críticas
de impacto incompletas.
negócio) por:

Gerenciar Mudanças
Retrabalho em infraestrutura ou aplicação causado
por especificações inadequadas de mudança;
Redução de tempo e esforço necessário para
realizar mudanças;
Percentual de todas as mudanças que são correções
emergenciais;

Gerenciar Mudanças
Percentual de mudanças registradas e rastreadas
com ferramentas automatizadas;
Percentual de mudanças que seguem o processo
formal de controle de mudanças;
Proporção entre solicitações de mudança
aceitas e rejeitadas;

1. ( ) “Garantir os requisitos das mudanças implementadas” é um dos
objetivos do processo AI6. Gerenciar Mudanças
2. ( ) Acompanhar o status das mudanças é uma atividade comum ao
processo AI6. Gerenciar Mudanças
3. ( ) Mudanças de Emergência devem seguir os mesmos procedimentos
de qualquer mudança, para que não causem impacto. Devido a situação
de emergência, é adequado, apenas, que recursos sejam alocados para
agilizar a implementação da mudança.
4. ( ) Registros de Problemas não fazem parte das possíveis entradas
para o processo AI6. Gerenciar Mudanças
5. ( ) A autorização de mudança é uma possível entrada do processo AI6.
Gerenciar Mudanças

6. ( ) “Garantir os requisitos das mudanças implementadas” é um dos
7. ( ) A descrição ao lado corresponde ao nível 03 do Processo de AI6.
Gerenciar Mudanças “Há um processo informal de gerenciamento de
mudanças seguido na maioria das mudanças ocorridas, porém esse
processo é desestruturado, rudimentar e propenso a erros.. A
documentação de mudança é insuficiente ou inexistente. A precisão da
documentação de configuração é inconsistente e existe avaliação limitados
dos impactos.”
8. ( ) O COBIT sugere que o CIO seja o responsável por “Desenvolver e
implementar um processo para registrar, avaliar e priorizar de forma
consistente as solicitações de mudança“ dentro do processo AI6.
Gerenciar Mudanças
9. ( ) A métrica a seguir pode ser utilizada para medir o processo AI6.
Gerenciar Mudanças : “Redução de tempo e esforço necessário para
realizar mudanças;”

1. ( V ) “Garantir os requisitos das mudanças implementadas” é um dos
2. ( V ) Acompanhar o status das mudanças é uma atividade comum ao
processo AI6. Gerenciar Mudanças
3. ( F ) Mudanças de Emergência devem seguir os mesmos
procedimentos de qualquer mudança, para que não causem impacto.
Devido a situação de emergência, é adequado, apenas, que recursos sejam
alocados para agilizar a implementação da mudança. Procedimentos
específicos devem ser seguidos para mudanças emergenciais (AI 6.3).
4. ( F ) Registros de Problemas não fazem parte das possíveis entradas
para o processo AI6. Gerenciar Mudanças É uma entrada.
5. ( F ) A autorização de mudança é uma possível entrada do processo
AI6. Gerenciar Mudanças É uma possível saída.

6. ( F ) A descrição ao lado corresponde ao nível 03 do Processo de AI6.
Gerenciar Mudanças “Há um processo informal de gerenciamento de
mudanças seguido na maioria das mudanças ocorridas, porém esse
processo é desestruturado, rudimentar e propenso a erros.. A
documentação de mudança é insuficiente ou inexistente. A precisão da
documentação de configuração é inconsistente e existe avaliação limitados
dos impactos.” Nível 02, Repetível. No nível 03, o processo é formal.
7. ( F ) O COBIT sugere que o CIO seja o responsável por “Desenvolver e
implementar um processo para registrar, avaliar e priorizar de forma
consistente as solicitações de mudança“ dentro do processo AI6.
Gerenciar Mudanças O responsável por operações deve cuidar desta
atividade
8. ( V ) A métrica a seguir pode ser utilizada para medir o processo AI6.
Gerenciar Mudanças : “Redução de tempo e esforço necessário para
realizar mudanças;”

Fim do módulo
Perguntas?
Módulo 5

Módulo 6

Definir e Gerenciar Níveis de Serviço
Objetivos
Melhorar a comunicação entre a direção de TI e os
clientes de negócio
Definir e acordar os níveis de serviço necessários a
área de negócio
Monitorar e relatar os níveis de serviço entregues
Alinhar objetivos de performance TI a requisitos de
negócio

Requisito
P Eficácia
P Eficiência
S Confidencialidade
S Integridade
S Disponibilidade
S Conformidade
S Confiabilidade
 O Processo DS1 Definir e
Gerenciar Níveis de Serviço
assegura o alinhamento
dos principais serviços de
TI com a estratégia de
negócio

Domínios
Governança
de TI
Gerenciamento
de recursos
Primário
Secundário

 Formalização de acordos de níveis de
serviços internos e externos alinhados
com os requisitos e com a capacidade de
entrega.
Reporte do atendimento aos níveis de
serviços acordados (reuniões e relatórios)
Identificação e comunicação de requisitos de
serviços novos e atualizados para
o planejamento estratégico

Definir e Gerenciar Níveis e Serviço
 DS1.1 Estrutura de Gestão de Níveis de Serviço
 Processo formalizado
 Estrutura inclui como criar os RNS, ANS e ANO
 Esses atributos são organizados
em um catálogo de serviços
 DS1.2 Definição de Serviços
 Definição dos serviços baseado nas características de negócio

 DS1.3 Acordos de Nível de Serviço
 Definir e acordar os acordos de nível de serviço para todos os serviços
críticos de TI
 Balancear as necessidades do cliente com a capacidade de entrega de TI
 Inclui comprometimento do cliente, métricas, responsabilidades,
requisitos de continuidade, performance e segurança.
 DS1.4 Acordos de Nível Operacional
 Definir como os ANO irão suportar os ANS

 DS1.5 Monitoramento e Relatório de Realizações de Nível de
Serviço
 Monitorar continuamente os critérios de desempenho dos níveis de serviço
especificados
 Os relatórios devem ser disponibilizados em um formato compreensível às partes
interessadas
 As estatísticas de monitoramento são analisadas, e são tomadas medidas
gerenciais para revelar as tendências negativas e positivas
 DS1.6 Revisão dos Acordos de Nível de Serviço e dos Contratos
 Regularmente realizar análise crítica dos acordos de nível
 Considerar ajustes e mudanças

Entradas
Origem Entrada
PO1
Planejamentos estratégico e tático de TI;
Portfólio de serviços de TI;
PO2 Classificações atribuídas a dados;
PO5 Portfólio de serviços de TI atualizado;
AI2 SLAs planejados inicialmente;
AI3 OLAs planejados inicialmente;
DS4
Requisitos de serviço para desastres,
incluindo papéis e responsabilidades;
ME1 Informações de desempenho para planejamento de TI

Saídas
Saída Destino
Relatório de revisão de contratos; DS2
processos; ME1
Requisitos novos ou atualizados de
serviços; PO1
ANS´s AI1 DS2 DS3 DS4 DS6 DS8 DS13
ANO´s DS4 DS5 DS6 DS7 DS8 DS11 DS13
Portfólio de serviços de TI
atualizado PO1

Matriz RACI
Criar uma estrutura para a
definição de serviços de TI; C A C C I C C I C R
Produzir um catálogo de
serviços de TI; I A C C I C C I I R
Definir acordos de níveis de
serviços (SLAs) para
serviços críticos de TI; I I C C R I I I C C A/R
Definir acordos de níveis de
operação (OLAs) para
atendimento de SLAs; I C R I R R C C A/R
Monitorar e reportar o
desempenho do nível de
serviço fim-a-fim; I I R I I I A/R

Matriz RACI
Revisar contratos de SLA e
de fornecedores de
Serviços; I I C R R R C A/R
Revisar e atualizar o catálogo
de serviços de TI; I A C C I C C I I R
Criar plano de melhoria de
serviços; I A I R I R C C I R

Nível 0
Inexistente
Nível 1
Inicial
Nível 2
Repetível
A Direção não reconhece a necessidade de um processo para definir os
níveis de serviço. Não são atribuídas responsabilidades
para monitorá-los.
Há consciência da necessidade de gerenciar os níveis de serviço, mas o
processo é informal e reativo. Responsabilidades não estão definidas.
Quando medições e metas existem, são qualitativas e imprecisas.
Relatórios são informais e inconsistentes.
Existem níveis de serviço acordados, porém são informais e não
analisados criticamente. O relatório de nível de serviço é incompleto,
pode ser irrelevante ou enganoso aos clientes e depende das
habilidades e da iniciativa individual dos gerentes.

Nível 3
Definido
Nível 4
Gerenciado
Nível 5
Otimizado
As responsabilidades são bem definidas, porém com autoridade
baseada em julgamento individual. Serviços e níveis de serviço são
definidos, documentados e acordados seguindo um processo padrão.
Os níveis de serviço são acordados, mas podem não atender às
necessidades do negócio.
Os níveis de serviço são cada vez mais estabelecidos na fase de
definição dos requisitos de sistema e incorporados ao projeto da
aplicação e dos ambientes operacionais. A satisfação dos clientes é
rotineiramente medida e avaliada. As métricas de desempenho
refletem as necessidades dos clientes e não as metas de TI.
Os níveis de serviço são continuamente reavaliados para assegurar o
alinhamento entre os objetivos de TI e de negócio, considerando o
custo/benefício da tecnologia. Todos os processos de gerenciamento
de níveis de serviço estão sujeitos a melhoria contínua. Os níveis de
satisfação dos clientes são constantemente monitorados e gerenciados.

Percentual de partes interessadas do negócio
satisfeitas com o atendimento dos serviços
entregues aos níveis de serviço acordados;
Percentual dos usuários satisfeitos com o
atendimento dos serviços entregues aos níveis de
serviço acordados (desafio)
negócio) por:

Quantidade de serviços entregues que não estão
no catálogo;
Percentual de serviços que atendem aos níveis
de serviço;
Percentual de níveis de serviço que são medidos.

Quantidade de reuniões formais de revisão com
as áreas de negócios por ano;
Percentual dos níveis de serviço reportados;
Percentual dos níveis de serviço reportados de
forma automática;
Quantidade de dias de trabalho para ajustar um
nível de serviço após acordo com cliente final.

1. ( ) O processo DS1 Definir e Gerenciar Níveis de Serviço, contribui para
Melhorar a comunicação entre a direção de TI e os clientes de negócio.
2. ( ) O processo DS1 Definir e Gerenciar Níveis de Serviço contribui
para atender primariamente(P) a área de foco de Governança de TI
“Entrega de valor”.
3. ( ) O COBIT não considera um requisito obrigatório o Reporte do
atendimento aos níveis de serviços acordados (reuniões e relatórios)
dentro do processo DS1 Definir e Gerenciar Níveis de Serviço , por isso
insere esta consideração como um objetivo de controle opcional.
4. ( ) ANS´s e ANO´s são exemplos de saídas do processo DS1 Definir e
5. ( ) O processo DS1 Definir e Gerenciar Níveis de Serviço contribui para
satisfazer todos os critérios da informação.

6. ( ) Planejamentos estratégico e tático de TI são entradas importantes
para o processo DS1 Definir e Gerenciar Níveis de Serviço .
7. ( ) “Monitorar e reportar o desempenho do nível de serviço fim-a-fim”
é um atividade que deve ser responsabilizada ao Gerente de Serviços de
TI, segundo o modelo do COBIT.
8. ( ) A descrição ao lado está associada ao nível 04 de maturidade
dentro do processo DS1 Definir e Gerenciar Níveis de Serviço : “A
satisfação dos clientes é rotineiramente medida e avaliada. As métricas de
desempenho refletem as necessidades dos clientes e não as metas de TI.”
9. ( ) Percentual dos níveis de serviço reportados de forma automática é
considerada uma métrica de TI para o processo DS1 Definir e Gerenciar
Níveis de Serviço ;

1. ( V ) O processo DS1 Definir e Gerenciar Níveis de Serviço, contribui
para Melhorar a comunicação entre a direção de TI e os clientes de
negócio.
2. ( V ) O processo DS1 Definir e Gerenciar Níveis de Serviço contribui
para atender primariamente(P) a área de foco de Governança de TI
“Entrega de valor”.
3. ( F ) O COBIT não considera um requisito obrigatório o Reporte do
atendimento aos níveis de serviços acordados (reuniões e relatórios)
dentro do processo DS1 Definir e Gerenciar Níveis de Serviço , por isso
insere esta consideração como um objetivo de controle opcional. Não
existem objetivos de controle opcionais no framework do COBIT.
4. ( V ) ANS´s e ANO´s são exemplos de saídas do processo DS1 Definir e
5. ( V ) O processo DS1 Definir e Gerenciar Níveis de Serviço contribui
para satisfazer todos os critérios da informação.

6. ( V ) Planejamentos estratégico e tático de TI são entradas importantes
para o processo DS1 Definir e Gerenciar Níveis de Serviço .
7. ( V ) “Monitorar e reportar o desempenho do nível de serviço fim-a-
fim” é um atividade que deve ser responsabilizada ao Gerente de Serviços
de TI, segundo o modelo do COBIT.
8. ( V ) A descrição ao lado está associada ao nível 04 de maturidade
dentro do processo DS1 Definir e Gerenciar Níveis de Serviço : “A
satisfação dos clientes é rotineiramente medida e avaliada. As métricas de
desempenho refletem as necessidades dos clientes e não as metas de TI.”
9. ( V ) Percentual dos níveis de serviço reportados de forma automática é
considerada uma métrica de TI para o processo DS1 Definir e Gerenciar
Níveis de Serviço ; É uma métrica de atividades.

Gerenciar Serviços de Terceiros
Objetivos
 Assegurar que os serviços prestados por fornecedores
satisfaçam aos requisitos do negócio
 Definir papéis, responsabilidades e expectativas
nos acordos de terceirização
 Minimizar os riscos de negócio associados aos
fornecedores

Requisito
P Eficácia
P Eficiência
S Confidencialidade
S Integridade
S Disponibilidade
S Conformidade
S Confiabilidade
O Processo DS2 Gerenciar
Serviços de Terceiros
assegura que terceiros
forneçam serviços
satisfatórios e
transparentes do ponto de
vista de benefícios, custos
e riscos.

Domínios
Governança
de TI
Gerenciamento
de recursos
Primário
Secundário

Identificação e categorização dos
prestadores de serviços
Identificação e redução dos riscos associados
ao fornecedor
Monitoração e medição do desempenho do
fornecedor
Renovação e término de contratos

 DS2.1 Identificação do Relacionamento com Todos os
Fornecedores
 Identificar todos os serviços terceirizados e categorizá-los de acordo com
o tipo, a importância e a criticidade
 Manter documentação formal dos relacionamentos técnicos e
organizacionais
 Contemplar papéis e responsabilidades, metas e produtos esperados
 DS2.2 Gestão do Relacionamento com Fornecedores
 Formalizar o processo de gestão do relacionamento com cada
fornecedor.
 Contemplar a garantia da qualidade do relacionamento com base na
confiança e na transparência

 DS2.3 Gerenciamento de Riscos do Fornecedor
 Identificar e minimizar os riscos relacionados à capacidade dos
fornecedores
 Garantir que os contratos estejam em conformidade com os padrões
universais de negócios de acordo com as exigências legais e regulamentares
 Considerar acordos de confidencialidade
 DS2.4 Monitoramento de Desempenho do Fornecedor
 Estabelecer um processo para monitorar a prestação do serviço
 Obedecer os contratos e acordos de nível de serviço firmados

Entradas
Origem Entrada
PO1 Estratégia de fornecimento de TI;
PO8 Padrões para aquisição;
AI5
Tratativas contratuais; Requisitos de
gerenciamento de relacionamento com terceiros;
DS1 SLAs; Relatório de revisão de contratos;
DS4
Requisitos de serviço para desastres,
incluindo papéis e responsabilidades

Saídas
Saída Destino
processos; ME1
Catálogo de fornecedores; AI5
Riscos de fornecedores; PO9

Matriz RACI
Identificar e categorizar
relacionamentos com
prestadores de serviços
terceirizados; I C R C R A/R C C
Definir e documentar o
processo de gestão de
fornecedores; C A I R I R R C C
Estabelecer políticas e
procedimentos de seleção e
avaliação de fornecedores; C A C C C R C C
Identificar, avaliar criticamente
e mitigar riscos de
fornecimento; I A R R R C C

Matriz RACI
Monitorar a entrega de serviços
de fornecedores; R A R R R C C
Avaliar os objetivos de longo
prazo do relacionamento com
fornecedores de
serviços para todas as partes
interessadas C C C A/R C C C C R C C

Nível 0
Inexistente
Nível 1
Inicial
Nível 2
Repetível
As responsabilidades não estão definidas. Não há políticas e
procedimentos formais referentes à contratação de serviços
terceirizados.
A Direção está consciente da necessidade de haver políticas e
procedimentos documentados para a gestão da terceirização, incluindo
contratos assinados. Não há termos padronizados para acordos com
prestadores de serviço. A avaliação dos serviços prestados é informal e
reativa.
O processo para supervisionar os fornecedores de serviços
terceirizados, riscos associados e entrega dos serviços é informal. É
utilizado um contrato pro forma assinado, contendo termos e
condições padronizados pelos distribuidores/vendedores.

Nível 3
Definido
Nível 4
Gerenciado
Nível 5
Otimizado
Procedimentos bem documentados são implantados para governar os
terceirizados com processos claros para examinar e negociar com os
prestadores. A natureza dos serviços a serem prestados é detalhada no
contrato e contempla as exigências operacionais, legais e de controle. A
responsabilidade pela supervisão dos serviços terceirizados é definida.
São estabelecidos critérios para definir os termos de compromisso,
inclusive o escopo do serviço / produto fornecido, premissas,
programação, custos, modelos de cobrança e responsabilidades. Os
requisitos de serviço são definidos e vinculados aos objetivos do
negócio. Existe um processo de análise crítica do desempenho do
serviço frente aos termos contratuais
Os contratos assinados com terceiros são criticamente analisados em
intervalos predefinidos. Evidências de adesão contratual das medidas
de controle, legais e operacionais são monitoradas e ações corretivas
são impostas. O terceirizado está sujeito a auditorias periódicas. A
remuneração de terceiros está ligada ao alcance de níveis de serviço
amplos acordados.

Quantidade de reclamações de usuários devido aos
serviços contratados;
Percentual do volume de compras sujeito ao
processo competitivo de compra.
negócio) por:

Percentual dos principais fornecedores que
atendem aos requisitos e níveis de serviço
claramente definidos;
Quantidade de controvérsias formais com
fornecedores;
Percentual de faturas do fornecedor discutidas.

Percentual dos principais fornecedores sujeitos
aos requisitos e níveis de serviço claramente
definidos;
Percentual dos principais fornecedores sujeitos
ao monitoramento;
Nível de satisfação das áreas de negócios com a
eficácia da comunicação do fornecedor;

1. ( ) O processo DS2 Gerenciar Serviços de Terceiros contribui para
minimizar os riscos de negócio associados aos fornecedores
2. ( ) O processo DS2 Gerenciar Serviços de Terceiros pertence ao
domínio “Entrega e Suporte”
3. ( ) Segundo o modelo do COBIT, Serviços de terceirizados devem ser
categorizados de acordo com o tipo, a importância e a criticidade
4. ( ) “Estratégia de fornecimento de TI” é uma entrada do processo DS2
Gerenciar Serviços de Terceiros segundo o framework do COBIT.
5. ( ) O CIO deve Definir e documentar o processo de gestão de
fornecedores, segundo o processo DS2 Gerenciar Serviços de Terceiros

6. ( ) O nível de maturidade do processo DS2 Gerenciar Serviços de
Terceiros no qual “A avaliação dos serviços prestados é informal e reativa.”
é o nível 2.
7. ( ) Uma métrica do processo DS2 Gerenciar Serviços de Terceiros pode
ser “Percentual de faturas do fornecedor discutidas”, segundo o
framework do COBIT.

1. ( V ) O processo DS2 Gerenciar Serviços de Terceiros contribui para
minimizar os riscos de negócio associados aos fornecedores
2. ( V ) O processo DS2 Gerenciar Serviços de Terceiros pertence ao
domínio “Entrega e Suporte”
3. ( V ) Segundo o modelo do COBIT, Serviços de terceirizados devem ser
categorizados de acordo com o tipo, a importância e a criticidade
4. ( V ) “Estratégia de fornecimento de TI” é uma entrada do processo DS2
Gerenciar Serviços de Terceiros segundo o framework do COBIT.
5. ( F ) O CIO deve Definir e documentar o processo de gestão de
fornecedores, segundo o processo DS2 Gerenciar Serviços de Terceiros O
CIO é a autoridade desta atividade, é quem responde.

6. ( F ) O nível de maturidade do processo DS2 Gerenciar Serviços de
Terceiros no qual “A avaliação dos serviços prestados é informal e reativa.”
é o nível 2. Nível 1
7. ( V ) Uma métrica do processo DS2 Gerenciar Serviços de Terceiros
pode ser “Percentual de faturas do fornecedor discutidas”, segundo o
framework do COBIT.

Monitorar e Avaliar o Desempenho de TI
Objetivos
 Definição de indicadores de desempenho relevantes
Assegurar que as atividades corretas estejam sendo
feitas
 Assegurar que atividades estejam em alinhamento
com as políticas e diretrizes estabelecidas
 Garantia de Transparência e apoio a Governança

Requisito
P Eficácia
P Eficiência
S Confidencialidade
S Integridade
S Disponibilidade
S Conformidade
S Confiabilidade
O Processo ME1
Monitorar e Avaliar o
Desempenho de TI
assegura transparência e
entendimento de custos,
benefícios, estratégia,
políticas e níveis de
serviços
de TI, em conformidade
com os requisitos de
governança.

Domínios
Governança
de TI
Gerenciamento
de recursos
Primário
Secundário

Agrupamento e tradução dos relatórios de
desempenho de processos para relatórios
de gestão
Análise crítica de desempenho frente a
metas acordadas e a tomada de ações
corretivas necessárias

 ME1.1 Abordagem de Monitoramento
 Estabelecer uma abordagem e uma estrutura de monitoramento geral
 A metodologia e o processo a serem seguidos para avaliar a entrega de
soluções e serviços de TI
 A estrutura deve se integrar com o sistema de gestão de desempenho
corporativo.
 ME1.2 Definição e Coleta dos Dados de Monitoramento
 Trabalhar com o negócio na definição de um conjunto equilibrado de metas
de performance
 Metas devem ser aprovadas pelas áreas de negócio e demais partes
interessadas relevantes
 Identificar os dados disponíveis a serem coletados para medir as metas
 Estabelecer processos para coletar em tempo apropriado e de maneira correta

 ME1.3 Método de Monitoramento
 Analisar periodicamente o desempenho com base nas metas
 Estabelecer método que capture as medições, apresente uma visão ampla
e sucinta do desempenho da TI
 Método deve ser ajustado ao sistema de monitoramento corporativo
 ME1.4 Avaliação de Desempenho
 Analisar periodicamente o desempenho com base nas metas
 Executar análise de causa-raiz dos problemas
 Iniciar ação corretiva para tratar as causas ocultas.

 ME1.5 Relatórios para a Alta Direção
 Desenvolver informes para a Alta Direção sobre a contribuição de TI para
o negócio
 Incluir desempenho do portfólio da organização, programas de
investimentos em TI e soluções e serviços de cada programa
 Informar até que ponto os objetivos planejados foram atingidos
 ME1.6 Ações Corretivas
 Identificar e iniciar ações corretivas baseado nas fases anteriores

Entradas
Origem Entrada
PO5 Relatórios de custo/benefício;
PO10 Relatórios de desempenho de projetos;
AI6 Relatórios de status das mudanças;
DS1-13 Relatórios de desempenho de processos;
DS3 Planejamento de capacidade e desempenho (requisitos)
DS8 Relatórios sobre satisfação de usuários;
ME2 Relatórios sobre a eficácia dos controles de TI;
ME3
Relatórios sobre a conformidade das atividades
de TI com requisitos externos legais e regulatórios;
ME4 Relatórios sobre o status de governança de TI

Saídas
Saída Destino
Informações de desempenho para
planejamento de TI; PO1 PO2 DS1
Planos de ação para remediações; PO4 PO8
Histórico de eventos e tendências de
riscos; PO9
processos ME2

Matriz RACI
Estabelecer uma abordagem de
monitoração; A R C R I C I C I C
Identificar e coletar objetivos
mensuráveis que sustentem os
objetivos de negócio; C C C A R R R
Criar scorecards; A R C R C
Avaliar criticamente o
desempenho; I I A R R C R C
Reportar o desempenho; I I R A R R C R C I
Identificar e monitorar ações de
melhoria de desempenho A R R C R C C

Nível 0
Inexistente
Nível 1
Inicial
Nível 2
Repetível
A organização não tem um processo de monitoramento implementado.
A TI não executa de forma independente o monitoramento dos
projetos ou processos.
A Direção reconhece a necessidade de coletar e avaliar informações
sobre os processos de monitoramento. Processos de coleta e avaliação
padronizados não foram identificados. O monitoramento é
implementado, mas com métricas escolhidas caso a caso
Foram identificadas métricas básicas a serem monitoradas. Existem
métodos e técnicas de coleta e avaliação, porém os processos não
foram adotados por toda a organização. A interpretação dos resultados
do monitoramento é baseada na habilidade de pessoas-chave.

Nível 3
Definido
Nível 4
Gerenciado
Nível 5
Otimizado
A Direção comunicou e institucionalizou processos padrão de
monitoramento. Programas de educação e treinamento em
monitoramento foram implementados. Ferramentas para monitorar os
processos e níveis de serviço de TI foram definidas.
A direção definiu as tolerâncias sob as quais os processos devem
operar. Os relatórios de resultados do monitoramento estão sendo
padronizados e normalizados. Há integração das métricas entre todos
os processos e projetos de TI. As métricas da área de TI estão alinhadas
com as metas corporativas.
Um processo de melhoria contínua da qualidade é desenvolvido para
atualizar políticas e padrões corporativos de monitoramento e
incorporar as melhores práticas da indústria. Todos os processos de
monitoramento são otimizados e apóiam os objetivos corporativos.

 Quantidade de mudanças nas metas dos
indicadores de eficácia e eficiência dos processos de
TI;
Satisfação da Direção e da entidade de governança
com o relatório de desempenho;
Redução da quantidade de deficiências de
processos em aberto.
negócio) por:

 Satisfação de partes interessadas com o processo
de mensuração;
Percentual de processos críticos monitorados;
Quantidade de ações de melhoria disparadas por
atividades de monitoração;
Quantidade de metas de desempenho atingidas
(indicadores sob controle).

 Tempo utilizado na atualização de métricas
para refletir objetivos de desempenho, metas e
referências de mercado (benchmarkings);
Quantidade de métricas (por processos);
Quantidade de relações de causa e efeito identificadas
e incorporadas ao monitoramento;

1. ( ) O processo ME1 Monitorar e Avaliar o Desempenho de TI contribui
para satisfazer todos os critérios da informação.
2. ( ) A avaliação de desempenho é uma atividade de responsabilidade
exclusiva da alta direção.
3. ( ) Ações corretivas devem ser estabelecidas baseadas,
especificamente, na avaliação realizada pela alta direção.
4. ( ) Uma entrada para o processo ME1 Monitorar e Avaliar o
Desempenho de TI é “Relatórios de desempenho de projetos”, segundo o
framework do COBIT.
5. ( ) “Um processo de melhoria contínua da qualidade é desenvolvido
para atualizar políticas e padrões corporativos de monitoramento e
incorporar as melhores práticas da indústria. “ A descrição ao lado refere-se ao
nível 05 de maturidade do processo ME1 Monitorar e Avaliar o Desempenho
de TI , segundo o framework do COBIT.

1. ( V ) O processo ME1 Monitorar e Avaliar o Desempenho de TI
contribui para satisfazer todos os critérios da informação.
2. ( F ) A avaliação de desempenho é uma atividade de responsabilidade
exclusiva da alta direção. Ver matriz RACI
3. ( F ) Ações corretivas devem ser estabelecidas baseadas,
especificamente, na avaliação realizada pela alta direção. Baseadas em
todas as fases de avaliação descrita nos objetivos de controle
4. ( V ) Uma entrada para o processo ME1 Monitorar e Avaliar o
Desempenho de TI é “Relatórios de desempenho de projetos”, segundo o
framework do COBIT.
5. ( V ) “Um processo de melhoria contínua da qualidade é desenvolvido
para atualizar políticas e padrões corporativos de monitoramento e
incorporar as melhores práticas da indústria. “ A descrição ao lado refere-se ao
nível 05 de maturidade do processo ME1 Monitorar e Avaliar o Desempenho
de TI , segundo o framework do COBIT.

Fim do módulo
Perguntas?
Módulo 6

Módulo 7

Agenda
 Introdução ao Balanced Socorecard
 Balanced Scorecard x Governança de TI

 Neste módulo, você irá aprender como utilizar o Balanced
socorecard para priorizar os processos do COBIT.

Introdução ao Balanced Scorecard
O que é o Balanced Scorecard?
 Sistema gerencial que permite à organização implementar, divulgar e
gerenciar suas estratégias.
Foi criado por Robert Kaplan, em 19992
Em outras palavras, é um Sistema de Gestão Estratégica utilizado para:
 Esclarecer e obter consenso em relação à estratégia
 Comunicar a estratégia por toda a empresa
 Alinhar as metas departamentais e pessoais à estratégia
 Associar os objetivos estratégicos com metas de longo prazo e
orçamentos
anuais
 Identificar e alinhar as iniciativas estratégicas
 Realizar revisões estratégicas periódicas e sistemáticas
 Obter feedback para aprofundar o conhecimento da estratégia e
aperfeiçoá-la

Conceitos
Estratégia
• Segundo Porter*, Estratégia é
• Uma corrida para chegar a uma posição ideal
• É a criação de uma posição exclusiva e valiosa, envolvendo um conjunto diferente
de atividades.
• Definição (dicionário): estratégia é a definição de como recursos serão alcançados para
se atingir determinado objetivo. Usada originalmente na área militar, esta palavra hoje é
bastante usada na área de negócios.
*Michael Porter

Visão e Estratégia
Indicadores
Monitorados por
Objetivos Estratégicos
Traduzidas em
Metas
Associados a
Iniciativas
Alavancadas por
Ações
Desdobradas em
Como obter um modelo de gestão Estratégica ?

Objetivos da Empresa
Aumentar o número de clientes
Aumentar o número de vendas
Aumentar Produtividade
Aumentar Lucratividade
Melhorar a satisfação dos clientes
Reduzir riscos

Como funciona o Balanced Scorecards?
 Um BSC pode ser utilizado para traduzir missão em ações e
resultados
 Pode ser considerado um sistema de gestão que capacita a
empresa a traduzir a estratégia em atividades mensuráveis
 Em outras palavras, pode ser utilizado para desdobrar a
estratégia da empresa
 Atualmente, é utilizado pela Tecnologia da informação como
ferramenta de apoio

Como funciona o Balanced Scorecards?
Missão É a razão de existir da empresa
Valores Essenciais No que a empresa
acredita
Objetivos Estratégicos O Plano da empresa
Balenced Scorecard Como implantar e
focar
Planos de Ação, metas e indicadores
Objetivos por área e indivíduo

Perspectivas do BSC
O tradicional Balanced Scorecard realiza medições com indicadores
para monitoramento em quatro dimensões-chave:
Finanças
Processos
Internos
Clientes Aprendizado

Perspectivas do BSC
Finanças
Processos
Internos
Clientes Aprendizado
•Metas Financeiras
•Lucratividade
•Crescimento
•Satisfação
•Confiança
•Qualidade
•Segurança
•Agilidade
•Aperfeiçoamento
Operacional
•Novas Habilidades
•Conscientização
•Novas Tecnologias
•Habilidades

Perspectiva
Financeira
Perspectiva
dos Clientes
Perspectiva
dos Processos
Internos
Aumentar o
desempenho financeiro
Melhorar o atendimento
aos clientes
Implantar sistema de
relacionamento com clientes
Melhorar os
processos Internos
Implantar novas
tecnologias
Assegurar treinamento e
capacitação para a força de
trabalho
Lucro
Perspectiva da
Inovação e
Aprendizado
Causa-efeito

Aumentar
Lucratividade
Maximizar o
Mercado Reduzir os Custos
Oferecer Qualidade
diferenciada percebida e
valorizada pelo cliente
Oferecer produtos e serviços
competitivos
Desenvolver
novos
produtos
Melhorar e manter
produtividade
operacional
Otimizar a
operação de
atendimento da
demanda
Melhorar a
eficiência de
Processos
Produtivos
Manter
conformidade com
a legislação
ambiental
Melhorar a
Eficácia dos
Investimentos
Desenvolver
Competências
Orientar a
empresa a
resultados
Inovar
Perspectiva
Financeira
Perspectiva de
Pessoas e
Aprendizado
Perspectiva
de Processos
Mapa Estratégico
Perspectiva de
Clientes
Empresa de vendas Online

Missão
Valores Essenciais
Objetivos Estratégicos
Balenced Scorecard
Planos de Ação, metas e indicadores
Objetivos por área e indivíduo
 Para alcançar os
objetivos estratégicos,
eles precisas sem
desdobrados
 É preciso definir o que
controlar como
controlar, e o que fazer
para atingir
Em outras palavras, é preciso criar metas indicadores e ações
para atingir-se os objetivos estratégicos

Mapa Estratégico desdobrado em indicadores metas e ações
Objetivos Indicadores Metas Ações
. Maior Retorno
. Redução de
despesas
. Valor de Mercado
. Aumento
Faturamento
. 30%
. 25% a.a.
. Atrair Clientes
. Reter Clientes
. Preços menores
. % aumento
clientes
. Ranking clientes
. 40% a.a.
. 2º
. Implementar
sistema CRM
. Customizar
propaganda
. Menor tempo
de entrega
. Menos passos
para compra
online
. Tempo de
entrega
. Tempo de compra
. 48h
. 10min
. Buscar
fornecedores com
ANS´s
competitivos
. Melhorar
usabilidade
. Profissionais
alinhados com
estratégia
. Conhecimento
de
procedimentos
. Soluções
melhores
. Qtd profissionais
treinados
. % de aumento
base
conhecimento
. % satisfação com
sistema
. 2 mil
. 50%
. 80%
. Treinar
profissionais
. Documentar
processos e
procedimentos
. Programa de
comunicação
Desenvolver
Competências
Orientar a
empresa a
resultados
Otimizar a
operação de
atendimento da
demanda
Oferecer Qualidade
diferenciada percebida e
valorizada pelo cliente
Aumentar
Lucratividade
Perspectiva
Financeira
Perspectivados
ClientesPerspectivados
Processos
Perspectivado
Conhecimento

1. ( ) O Balanced scorecards pode ser considerado um Sistema gerencial
que permite à organização implementar, divulgar e gerenciar suas
estratégias.
2. ( ) Os objetivos estratégicos devem ser traduzidos em visão
estratégica
3. ( ) Segundo o mapa estratégico proposto pelo sistema de gestão BSC,
os objetivos estratégicos devem ser traduzidos em metas, indicadores e
ações.
4. ( ) As perspectivas de Balanced scorecards são: Financeira, Negócios,
Clientes e Conhecimento.
5. ( ) Produzir bons treinamentos para os seus profissionais pode
contribuir para uma empresa aumentar o número de vendas anuais.

1. ( V ) O Balanced scorecards pode ser considerado um Sistema gerencial
que permite à organização implementar, divulgar e gerenciar suas
estratégias.
2. ( F ) Os objetivos estratégicos devem ser traduzidos em visão
estratégica A visão estratégica deve ser traduzida em objetivos estratégicos
3. ( V ) Segundo o mapa estratégico proposto pelo sistema de gestão BSC,
os objetivos estratégicos devem ser traduzidos em metas, indicadores e
ações.
4. ( F ) As perspectivas de Balanced scorecards são: Financeira, Negócios,
Clientes e Conhecimento. Financeira, Processos Internos, Clientes e
Conhecimento.
5. ( V ) Produzir bons treinamentos para os seus profissionais pode
contribuir para uma empresa aumentar o número de vendas anuais.

Agenda
 Introdução ao Balanced Socorecard
Balanced Scorecard x Governança de TI

Balanced Scorecards x Governança de TI
Balanced Scorecards de TI
Existem segmentos que apóiam o uso de um BSC de TI. Alinhado com o BSC de
negócio
Aumentar
Lucratividade
Otimizar
Atendimento
Atrair e manter
Clientes
Desenvolver
competências
ROI sob TI
Eficácia na operação e
transição do serviço de
TI
Usabilidade e
orientação
Orientação ao futuro

ROI
. Maior Retorno de Inv.
. Maior valor agregadoPerspectiva
Financeira
Perspectiva
dos Clientes
Perspectiva
dos Processos
Internos
Usabilidade
. Interfaces intuitivas
Orientação
. Comunicação TI e negócio
. Satisfação no atendimento
Transição de
serviços eficaz
. Minimização de riscos
. Cumprimento de requisitos
Eficácia na Operação
. Disponibilidade dos serviços
. Tratamento de incidentes
Orientação ao Futuro
. Pesquisa de Tecnologias emergentes
. Apoio a soluções de Gestão de
Conhecimento
. Treinamento dos profissionais
Valor agregado
Perspectiva da
Inovação e
Aprendizado
Causa-efeito

ROI
Maior valor
agregado Reduzir os Custos
Satisfação durante o
processo de compras e no
atendimento
Criar Agilidade de TI
Garantir a Integração
Perfeita das Aplicações
para os processos de
Negócio
Tratamento de
falhas eficaz e
menor número de
falhas reincidentes
Adquirir e
manter sistemas
de informação
integrados e
padronizados
Maior soluções
de contorno em
primeiro nível e
estruturas resili
entes
Priorizações bem
definidas
Balanceamento
de Custo e
Capacidade dos
componentes de
TI
Orientação ao
Futuro
Apoio em gestão
do conhecimento
Treinamento dos
profissionais
Perspectiva
Financeira
Perspectiva de
Pessoas e
Aprendizado
Perspectiva
de Processos
Mapa Estratégico de TI
Perspectiva de
Clientes
Empresa de vendas Online

Objetivo de Negócio Objetivo de TI Processos do COBIT
 Aumentar a
Lucratividade
 Melhorar o
Custo/Benefício de TI e
sua contribuição para
lucratividade
 PO5 e DS6
 Oferecer Produtos e
serviços competitivos
 Criar agilidade de TI  PO2, PO4, PO7 e AI13
 Melhorar e manter
produtividade
operacional
 Garantir a Integração
Perfeita das Aplicações
para os processos de
Negócio
 PO2, AI4 e AI7
 Inovar  Entregar projetos no
prazo e dentro do custo,
atendendo requisitos de
qualidade
 PO8 e PO10
Fin
Cli
Pro
Con

Aumentar a Lucratividade
Melhorar o Custo/Benefício de TI e sua
contribuição para lucratividade
PO5 Gerenciar o Investimento de TI
PO5 – Meta /Objetivo
. Decidir o portfólio e investimentos em TI de forma
eficaz e eficiente e elaborar e rastrear os orçamentos
PO5 – Indicadores
. Percentual de serviços e projetos de TI cujo custo foi
documentado
. Percentual de soluções que atingiram o valor previsto
PO5 – Ações
· Previsão e alocação de orçamentos
· Definição do critério de investimento formal
. Recuperação de investimento
Objetivo de Negócio
Objetivo de TI
Processo

Oferecer Produtos e serviços competitivos
Criar agilidade de TI
AI3 Adquirir e Manter Infraestrutura de Tecnologia
AI3– Meta /Objetivo
. Disponibilizar plataformas apropriadas às aplicações
de negócio em alinhamento com a arquitetura de TI
definida e os padrões tecnológicos
AI3– Indicadores
. Percentual das plataformas que não estejam alinhadas com os
padrões definidos de tecnologia e arquitetura de TI
· Quantidade de processos críticos de negócio Sustentados por
infraestrutura obsoleta (ou próxima da obsolescência)
AI3– Ações
· Preparação de um plano de aquisição tecnológica alinhado com o plano de
infraestrutura tecnológica
· Planejamento da manutenção da infraestrutura
· Implementação de controles internos, medidas de segurança e de auditoria
Objetivo de TI
Processo

Melhorar e manter produtividade operacional
Garantir a Integração Perfeita das Aplicações
para os processos de Negócio
AI7 Instalar e Homologar Soluções de Mudanças
AI7– Meta /Objetivo
. Testar se as aplicações e as soluções de infraestrutura
atendem ao propósito pretendido e estão livres de erros e
planejar a implementação e a migração para produção
AI7– Indicadores
. Tempo de indisponibilidade da aplicação ou quantidade de
correções de dados devido a testes inadequados
· Percentual de sistemas que na avaliação pós-implementação
alcança os benefícios planejados originalmente
AI7– Ações
· Estabelecimento de metodologia de teste
· Realização de planejamento de liberação para produção
. Realização de revisões pós-implementação
Objetivo de TI
Processo

Inovar
Entregar projetos no prazo e dentro do custo,
atendendo requisitos de qualidade
PO8 Gerenciar a Qualidade
PO8 – Meta /Objetivo
. Melhorar continuamente e de forma mensurável a
qualidade dos serviços entregues pela TI
PO8 – Indicadores
. Percentual das partes interessadas satisfeitas com a qualidade da TI
· Percentual dos processos de TI formalmente revisados pelo processo
de garantia de qualidade periodicamente e que atingem metas e
objetivos de qualidade
PO8 – Ações
· Definição de práticas e padrões de qualidade
· Monitoração e revisão dos desempenhos interno e externo comparado às
práticas e padrões de qualidade definidas
· Melhoria contínua do SGQ
Objetivo de TI
Processo

1. ( ) Um Balanced Scorecards de TI pode ser produzido com base no
Balanced scorecards coorporativo, como auxílio a implementação da
Governança de TI
2. ( ) A satisfação de indicadores na perspectiva de Conhecimento tem
efeito indireto na perspectiva do cliente
3. ( ) A satisfação de indicadores na perspectiva de Processos tem efeito
indireto na perspectiva financeira
4. ( ) Se uma empresa deseja alcançar diferenciação no mercado, esta
pode obter apoio em processos de TI definido no COBIT, associando o
objetivo a metas de negócio, que por sua vez, serão associadas a metas de
TI.

1. ( V ) Um Balanced Scorecards de TI pode ser produzido com base no
Balanced scorecards coorporativo, como auxílio a implementação da
Governança de TI
2. ( V ) A satisfação de indicadores na perspectiva de Conhecimento tem
efeito indireto na perspectiva do cliente
3. ( V ) A satisfação de indicadores na perspectiva de Processos tem efeito
indireto na perspectiva financeira
4. ( V ) Se uma empresa deseja alcançar diferenciação no mercado, esta
pode obter apoio em processos de TI definido no COBIT, associando o
objetivo a metas de negócio, que por sua vez, serão associadas a metas de
TI.

Referencial Teórico
 1996: “O Balanced Scorecard - A Estratégia em Ação”;
 2000: “Organização Orientada para a Estratégia”;
 2004: “Mapas Estratégicos”.
Mais sobre BSC e Gestão Estratégica

Fim do módulo
Perguntas?
Módulo 7

Módulo 8

Por Fernando Palma www.portalgsti.com.br
Módulo 8 – Produtos de Suporte
 Neste módulo, você irá conhecer os produtos de apoio ao
framework do COBIT.

Agenda
 Os produtos de suporte

Produtos de Suporte
COBIT Quick
Start
Control Pratices
IT Assurance
Guide
COBIT Online
Security
Baseline
IT Governance
Implamentation
Guide
Val IT
Todos os produtos de
suporte são pagos
(gratuitos para
assinantes da ISACA)

Produtos de Suporte
COBIT Quick
Start
Control Pratices
IT Assurance
Guide
COBIT Online
Security
Baseline
IT Governance
Implamentation
Guide
Val IT

COBIT Quickstart
 Versão resumida do COBIT
 Direcionada a empresas de
pequeno porte
 Representa 20% do conteúdo
 Fornece ferramentas de auto-avaliação, para a empresa
verificar o que é adequado
Produtos de Suporte
COBIT COBIT Quick Start
Domínios 4 4
Processos 34 32
Objetivos de
Controle
210 59

Práticas de Controle (Control Pratices)
 Fornecem uma abordagem detalhada aos objetivos de controle,
contribuindo para a implementação
 Orientação de como implementar, enquanto objetivos de
controle orientam ao que implementar
 Para cada objetivo de controle existem 03 a 12 práticas de
controle
 Além de orientações, o guia sugere
os benefícios da implementação do
O.C. e riscos de não implementar
Produtos de Suporte

Práticas de Controle (Control Pratices)
 Exemplo: PO10.Gerenciar Projetos
 PO10.6. Fase de Iniciação do Projeto
Obter aprovação e assinatura dos entregáveis produzidos
por cada fase do projeto
 Embasar o processo de aceitação com critérios de
aprovação claramente definidos
 ...
Produtos de Suporte

Guia de Validação (IT Assurance Guide)
 Guia de Validação para profissionais que precisam garantir o
funcionamento dos controles internos e melhoria dos processos
 Fornece conselhos de como testar cada objetivo de controle,
assegurando se os controles são suficientes
 Ajuda a elaborar plano de auditoria
Produtos de Suporte

COBIT Online
 Recursos disponíveis na web
Produtos de Suporte
• Download em PDF de todas as publicações da ITGI
• Navegação por conteúdo de cada processoNavegação
• Comparação com outros usuários
• Visualização de níveis de maturidadeBenchmarking
• Fórum de discussãoComunidade
Feedback • Periodicamente, a ITGI realiza pesquisas com
os associados

COBIT Security Baseline
 Foca nos riscos específicos para segurança de TI
 Ajuda a conscientizar e compreender a importância
da segurança da informação
 Não é um guia técnico, possui linguagem acessível
 É uma destilação do COBIT em 44 passos para
alcançar a segurança
Produtos de Suporte

IT Governance Implementation Guide
 É um roadmap para o conselho de administração,
gerencia executiva, profissionais de controle e
auditores
 Estabelece um modelo de um ciclo de vida de
implementação de Governança de TI, utilizando o
COBIT
 Demonstra porque a Governança de TI é
importante, como o COBIT está vinculado
e partes interessadas
Produtos de Suporte

Val IT
 É um framework de governança baseado no COBIT
que possui orientações e processos de suporte
relacionados a avaliação e seleção de investimentos
 O objetivo é assegurar que a gerencia obtenha de
TI o valor adequado com custo razoável
 Complementa o COBIT através de uma perspectiva
financeira e de negócio
Contém cases
Produtos de Suporte

1. ( ) O COBIT Quickstart pode ser utilizado para benchmarking
2. ( ) As práticas de controle fornecem conselhos de como testar cada
objetivo de controle, assegurando se os controles são suficientes
3. ( ) O COBIT Security Baseline pode ser considerado uma destilação do
COBIT em 44 passos para alcançar a segurança
4. ( ) O IT Governance Implementation Guide ajuda a elaborar plano de
auditoria
5. ( ) Val IT e Objetivos de Controle detalhados são dois exemplos de
publicações de suporte ao framework do COBIT
6. ( ) Uma das atividades possíveis dentro do COBIT online é a obtenção
de feedback por parte da ITGI

1. ( F ) O COBIT Quickstart pode ser utilizado para benchmarking O COBIT
Online pode ser utilizado para este fim
2. ( F ) As práticas de controle fornecem conselhos de como testar cada
objetivo de controle, assegurando se os controles são suficientes O IT
Assurance Guide fornece estes conselhos
3. ( V ) O COBIT Security Baseline pode ser considerado uma destilação do
COBIT em 44 passos para alcançar a segurança
4. ( F ) O IT Governance Implementation Guide ajuda a elaborar plano de
auditoria O IT Assurance Guide fornece esta orientação
5. ( F ) Val IT e Objetivos de Controle detalhados são dois exemplos de
publicações de suporte ao framework do COBIT Objetivos de controle
Detalhados fazem parte do framework do COBIT (publicação principal, gratuita)
6. ( V ) Uma das atividades possíveis dentro do COBIT online é a obtenção
de feedback por parte da ITGI

Fim do módulo
Perguntas?
Módulo 8

Curso completo COBIT 4.1

Mais conteúdo relacionado

Mais procurados

Destaque

Semelhante a Curso completo COBIT 4.1

Mais de Fernando Palma

Curso completo COBIT 4.1