Este documento apresenta um módulo de um curso sobre COBIT 4.1. Ele introduz o curso, discute sua estrutura e conteúdo, que inclui módulos sobre governança de TI, COBIT e processos. O documento também fornece detalhes sobre o instrutor e como acessar os recursos do curso.
1. Curso COBIT 4.1 Foundation
Instrutor: Fernando Palma
fpalma@portalgsti.com.br
www.portalgsti.com.br
Módulo 1
COBIT 4.1
2. www.portalgsti.com.brPor Fernando Palma
Módulo 1 – Apresentação do Curso
Neste módulo, você irá conhecer todo o conteúdo do curso e
recursos quais terá acesso.
Obs.: COBIT® é uma marca registrada da ISACA e do IT Governance
Institute (ITGI). Outros nomes de produtos e marcas registradas
podem ser mencionados no decorrer destes slides, tais marcas são
utilizadas apenas com finalidade de ensino, em benefício exclusivo do
dono da marca, sem intenção de infringir suas regras de utilização.
4. www.portalgsti.com.brPor Fernando Palma
Estrutura do curso
O curso tem o objetivo de habilitar o aluno as seguintes tópicos
Conhecimento do Framework do
COBIT e Governança de TI
Preparação para
a certificação
COBIT
Foundation
Utilização do
COBIT na prática
8. www.portalgsti.com.brPor Fernando Palma
Módulo 1 – Apresentação do Curso
Módulo 2 - Introdução a Governança de TI
Módulo 3 - O que é o COBIT, conceitos básicos e estrutura
Módulo 4 - Introdução aos processos do COBIT
Módulo 5 - Principais processos - Parte 1
Módulo 6 - Principais processos – Parte 2
Módulo 7- BSC e COBIT (utilizando o Balanced scorecards para
priorizar processos do COBIT)
Módulo 8 - Produtos da ITGI que suportam o framework do COBIT
Obs.: é recomendável que o aluno conheça conceitos de processos e pelo menos
um modelo de gestão como o ITIL e PMBOK
11. Curso COBIT 4.1 Foundation
Instrutor: Fernando Palma
fpalma@portalgsti.com.br
www.portalgsti.com.br
Módulo 2
12. www.portalgsti.com.brPor Fernando Palma
Módulo 2 – Introdução a Governança de TI
Neste módulo você irá conhecer a origem e motivação da
Governança de TI, seus objetivos, conceitos e relação com a
Governança Coorporativa.
Será também abordada a importância que a Tecnologia tem par as
organizações e os desafios vividos por este setor / prestador de
serviços
14. www.portalgsti.com.brPor Fernando Palma
Provedor
de
Tecnologia
Maturidade de TI
Provedor
de
Serviços
Parceiro
Estratégico
Tempo
GIETI
GSTI
Governança TI
GIETI: Gerenciamento de Infra-estrutura TI
GSTI: Gerenciamento de Serviços de TI
Provedor de
Tecnologia
.Busca Eficiência
.Independente do
Negocio
.TI nível operacional
Provedor de serviços
. Pessoas, processos e
produtos
. TI tática
Parceiro Estratégico
.Busca crescimento do
Negócio
.TI é integrada ao
negócio
.TI Estratégica 14
A Importância do Setor de TI
15. www.portalgsti.com.brPor Fernando Palma
A importância do setor de TI nas empresas
O que o setor de TI representa para a empresa?
Re: depende da visão e necessidade que a empresa
tem sob TI
TI TI
TI
TI
TI
TI
Provedor de Tecnologia Provedor de Serviços Parceiro Estratégico
Área de atuação de TI dentro da empresa
16. www.portalgsti.com.brPor Fernando Palma
A importância do setor de TI nas empresas
Alinhamento entre TI e área de Negócio
Provedor de Tecnologia
Provedor de Serviços
Parceiro Estratégico
TI Negócio
TI Negócio
NegócioTI
17. www.portalgsti.com.brPor Fernando Palma
Provedor de Tecnologia
•TI é vista apenas como uma sustentação da operação da Empresa
•O setor é visto como um custo
•Orçamentos são produzidos em comparação com o mercado
•Gerentes são técnicos e têm visão interna
Provedor de Serviços
•TI é vista como um serviço prestado
•Os processos de TI devem responder a processos de negócio
•Busca eficiência dos processos, através de cumprimento de metas
•Orçamentos são baseados nas metas estabelecidas para o setor
Parceiro Estratégico
•TI é vista como oportunidade de crescimento
•O setor é visto como investimento
•Busca crescimento do negócio e orçamentos são baseados e seus objetivos
•Diretores de TI ou CIO´s são solucionadores de problemas do negócio
A importância do setor de TI nas empresas
18. www.portalgsti.com.brPor Fernando Palma
Alguns possíveis impactos da ineficiência de TI
Perda de Oportunidades de Crescimento
Perda de Credibilidade
Multas contratuais
Perda de Lucros
Fim da empresa
A importância do setor de TI nas empresas
20. www.portalgsti.com.brPor Fernando Palma
Os desafios da TI
Alinhar os objetivos de TI aos objetivos de Negócio
Entregar valor
Demonstrar o Retorno de Investimento (ROI)
Diminuir Custos
Gerenciar Segurança da Informação
21. www.portalgsti.com.brPor Fernando Palma
Os desafios da TI
Gerenciar a complexidade da Infra Estrutura de TI
Entregar projetos dentro do custo, tempo e qualidade
Gerenciar fornecedores externos
Manter a disponibilidade dos serviços
Estar em conformidade com regulamentos
22. www.portalgsti.com.brPor Fernando Palma
Os desafios da TI
Para conviver com estes desafios o setor de TI precisa:
Definir metas alinhadas com as metas de negócio
Priorizar recursos e projetos de TI
Dirigir e controlar processos para alcançar metas
Definir papéis e responsabilidades
Manter conhecimento técnico e de boas práticas de gestão
24. www.portalgsti.com.brPor Fernando Palma
O que é Governança de TI
Consiste de liderança, estruturas organizacionais e processos que
garantam que a organização de TI suporte e amplie as estratégias e
objetivos da empresa
A Governança de TI é de responsabilidade da alta administração da
empresa
Faz parte da Governança Empresarial, que por sua vez subdivide-se
em Governança de Negócios e Governança Coorporativa
A Governança de TI deve estar alinhada tanto a Governança de
Negócios (metas de performance) quanto a Governança Coorporativa
(requisitos obrigatórios e geração de valor)
25. www.portalgsti.com.brPor Fernando Palma
O que é Governança de TI
Tipos de Governança
Governança
Empresarial
Governança
Coorporativa
Governança
de Negócios
Governança
de TI
26. www.portalgsti.com.brPor Fernando Palma
O que é Governança de TI
Tipos de GovernançaGovernança de Negócios
•Visa cumprir as metas de performance do negócio da empresa
•Preocupa-se com Geração de Valor
•Busca crescimento da empresa
Governança Coorporativa
•Visa o cumprimento de requisitos obrigatórios
•Preocupa-se com a conformidade em relação a legislação e regulamentos internos
e externos
•Cobre papéis, estrutura e responsabilidades da diretoria e dos executivos
Governança de TI
•Preocupa-se em atender todos os objetivos empresariais
•Preocupa-se com conformidade e performance
•É parte da Governança Empresarial, mas pode ser também mencionada como parte
Da Governança Coorporativa
Tipos de Governança
27. www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso?
1. ( ) Multas contratuais é um dos possíveis impactos que pode
ser resultante de uma má eficiência do setor de TI
2. ( ) Entregar valor e reduzir custos são dois entre os maiores
desafios vividos por TI
3. ( ) A Governança de TI é parte da Governança Coorporativa
4. ( ) A Governança de TI é parte da Governança Empresarial
28. www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso? - Respostas
1. ( V ) Multas contratuais é um dos possíveis impactos que
pode ser resultante de uma má eficiência do setor de TI
2. ( V ) Entregar valor e reduzir custos são dois entre os maiores
desafios vividos por TI
3. ( V ) A Governança de TI é parte da Governança Coorporativa
4. ( V ) A Governança de TI é parte da Governança Empresarial
30. www.portalgsti.com.brPor Fernando Palma
Motivação
Meados de 2001, ocorreram escândalos coorporativos:
Enron – maior empresa de energia dos EUA no ramo
energético;
• Série de denuncias fraudes fiscais, ocasionando no
fechamento da empresa com dívida de 13 bilhões;
• Muitas empresas e investidores faliram junto;
Worldcom – 20 mil demitidos
• A empresa declarou como investimento o que era na
realidade uma despesa, distorcendo os ganhos financeiros da
empresa para atrair investidores;
31. www.portalgsti.com.brPor Fernando Palma
Motivação
O senador americano Paul Sarbanes e o deputado Michael Oxley
decretam decretaram o ato Sarbanes-Oxley (2002);
A lei se aplica a qualquer empresa americana de capital aberto
(ações negociadas na bolsa de valores);
A lei responsabiliza criminalmente os Executivos das empresas;
Obriga as empresas a exercer controles financeiros e portanto
aplicar uma estrutura de Governança Coorporativa;
O framework recomendado para cumprir os requisitos, através de
uma governança coorporativa é o COSO
Sarbanes-Oxley
32. www.portalgsti.com.brPor Fernando Palma
Motivação
Para manter os controles efetivos sob a informação financeira a
organização precisa garantir requisitos da informação, tais como:
Eficácia
Eficiência
Integridade
Disponibilidade
Confiabilidade
Sarbanes-Oxley Governança de TI
Não é possível manter os requisitos da informação sem exercer
controles sob a tecnologia da informação : sistemas, infra-
estrutura, bancos de dados ;
35. www.portalgsti.com.brPor Fernando Palma
O que é Governança de TI
Princípios da Governança de TI (Segundo o framework do COBIT)
Direção
Controle
Responsabilidade
Prestação de contas
Alinhamento das atividades de TI
37. www.portalgsti.com.brPor Fernando Palma
Áreas de foco da Governança de TI
Áreas de foco da Governança de TI, segundo o COBIT:
Gerenciamento
de recursos
Domínios
Governança
de TI
Consiste em alinhar os objetivos de TI aos
objetivos de Negócio;
Para tanto, é preciso que o Plano
Estratégico de TI seja baseado no Plano
Estratégico de Negócio;
Foco em soluções que contribuam para o
crescimento da empresa ou cumprimento
de requisitos;
Pode ser utilizado o BSC para desdobrar a
estratégia da organização;
38. www.portalgsti.com.brPor Fernando Palma
Áreas de foco da Governança de TI
Áreas de foco da Governança de TI, segundo o COBIT:
Gerenciamento
de recursos
Domínios
Governança
de TI
Foca na otimização de custos para
fornecer maior valor;
Busca a compreensão dos níveis de
serviço necessários para entregar valor a
área de negócio;
39. www.portalgsti.com.brPor Fernando Palma
Áreas de foco da Governança de TI
Áreas de foco da Governança de TI, segundo o COBIT:
Gerenciamento
de recursos
Domínios
Governança
de TI
Requer Conscientização dos gestores da
empresa e compreensão clara do apetite
para riscos;
Foco nos planos de recuperação para
manter continuidade do negócio;
Exige transparência, avaliação e
conscientização contínua;
40. www.portalgsti.com.brPor Fernando Palma
Áreas de foco da Governança de TI
Áreas de foco da Governança de TI, segundo o COBIT:
Gerenciamento
de recursos
Domínios
Governança
de TI
Foca na otimização da alocação de
recursos;
Maximização da eficiência dos recursos;
Inclui preocupações com treinamentos;
Engloba ainda controle de serviços
terceirizados;
41. www.portalgsti.com.brPor Fernando Palma
Áreas de foco da Governança de TI
Áreas de foco da Governança de TI, segundo o COBIT:
Gerenciamento
de recursos
Domínios
Governança
de TI
Acompanha e monitora a implantação da
estratégia, condução dos projetos, uso dos
recursos e desempenho dos processos;
Pode ser utilizado um BSC de TI para
definir e acompanhar metas;
Inclui realização de auditorias;
42. www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso?
1. ( ) A direção é um dos princípios da Governança de TI
2. ( ) Os domínios da Governança de TI são:
Alinhamento Estratégico
Entrega de Valor
Gerenciamento de Riscos
Gerenciamento de Recursos
Monitoramento de Desempenho
3. ( ) Um dos focos do domínio de Gerenciamento de
Recursos é planejar a recuperação dos serviços de TI para
manter a continuidade do negócio;
43. www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso?
1. ( V ) A direção é um dos princípios da Governança de TI
2. ( V ) Os domínios da Governança de TI são:
Alinhamento Estratégico
Entrega de Valor
Gerenciamento de Riscos
Gerenciamento de Recursos
Monitoramento de Desempenho
3. ( F ) Um dos focos do domínio de Gerenciamento de
Recursos é planejar a recuperação dos serviços de TI para
manter a continuidade do negócio; Esta preocupação faz parte do
domínio de gerenciamento de riscos
45. Por Fernando Palma www.portalgsti.com.br
Curso COBIT 4.1 Foundation
Instrutor: Fernando Palma
fpalma@portalgsti.com.br
www.portalgsti.com.br
Módulo 3
46. www.portalgsti.com.brPor Fernando Palma
Módulo 3 – Introdução ao COBIT
Neste módulo, você irá conhecer a definição do COBIT, seus
benefícios, a estrutura do COBIT e suas características
48. www.portalgsti.com.brPor Fernando Palma
O que é COBIT
COBIT Significa Control Objectives for Information and Related
Tecnology
Traduzindo: Objetivos de Controle para a Informação e Tecnologia
Relacionada
É baseado em práticas utilizadas por organizações que foram
reunidas e desenvolvidas em um framework baseado em controles,
pela ITGI (antes ISACA)
ITGI: IT Governance Institute
ISACA: Information Systems Audit and Control Association
49. www.portalgsti.com.brPor Fernando Palma
O que é COBIT
Pode ser baixado gratuitamente pelo site da ISACA : www.isaca.org
Adotado mundialmente
Inicialmente era um modelo voltado para auditoria, hoje é
considerado um framework de Governança de TI
O COBIT pode ser utilizado para alinhar os objetivos de negócio
(obtidos através de planejamento estratégico) aos objetivos de TI
Fornece apoio a Governança de TI, Gerenciamento de projetos de
TI e de Serviços de TI
Pode ser utilizado para qualquer empresa, qualquer tamanho
51. www.portalgsti.com.brPor Fernando Palma
O que é COBIT
“Pesquisar, desenvolver, publicar e promover um
modelo de controle para governança de TI
atualizado e internacionalmente
reconhecido para ser adotado por organizações e
utilizado no dia-a-dia por gerentes de negócios,
profissionais de TI e profissionais
de avaliação."
Missão do COBIT (ITGI)
52. www.portalgsti.com.brPor Fernando Palma
O que é COBIT
Benefícios
É aceito por órgãos reguladores
É compatível com outros modelos e frameworks de qualidade
e governança de TI e coorporativa
Facilita auditorias internas e externas
Pode ser utilizado como passo inicial para a aplicação de
projetos de governança de TI
Baseado em praticas vividas, experimentadas e
documentadas por especialistas
55. www.portalgsti.com.brPor Fernando Palma
Características
O COBIT deve ser utilizado
“de fora para dentro”, ou seja,
da área de Negócio para a
área de TI;
Deve ser baseado em
objetivos de Negócio da
empresa
Os Objetivos de negócio incluem: requisitos obrigatórios
e requisitos de negócio (regulamentos e performance)
Os processos buscam traduzir os objetivos de processo
em objetivos de TI
Focado no
Negócio
Orientado a
Processos
Baseado em
Controles
Orientado
por Métricas
56. www.portalgsti.com.brPor Fernando Palma
Características
O COBIT divide os objetivos
de controle em 34 processos;
Os processos estão
distribuídos em 04 domínios
Os domínios são:
1. Organização e Planejamento
2. Aquisição e Implementação
3. Entrega e Suporte
4. Monitoração e Avaliação
Focado no
Negócio
Orientado a
Processos
Baseado em
Controles
Orientado
por Métricas
57. www.portalgsti.com.brPor Fernando Palma
Características
Para cada processo de TI,
existem objetivos de controle
definidos
São ao todo 210 objetivos
de controle
Cada objetivo de controle contém, ainda, práticas de
controle para auxiliar sua utilização
Focado no
Negócio
Orientado a
Processos
Baseado em
Controles
Orientado
por Métricas
58. www.portalgsti.com.brPor Fernando Palma
Características
Sugere um conjunto de
indicadores que permitem
medir o desempenho das
atividades
São Indicadores de Performance e Indicadores e Meta
(eficiência e eficácia)
Focado no
Negócio
Orientado a
Processos
Baseado em
Controles
Orientado
por Métricas
59. www.portalgsti.com.brPor Fernando Palma
CMMI
Características
Foco do COBIT
O COBIT foca em “O que precisa ser alcançado” em vez de “Como
alcançar”. Para complementar o COBIT, existem outros padrões de
gestão e boas práticas que podem ser utilizados.
ISO
20.000
ITIL
BS
25999
PMBOK
ISO
9001
PRINCE
2
COBIT
O QUÊ?
COMO?
ISO
27002
61. www.portalgsti.com.brPor Fernando Palma
Características
Foi projetado para ser utilizado por
Gestores Executivos:
para garantia de cumprimento de requisitos, gestão de risco
e controle da performance de TI
Gestores de Negócio e Usuários:
para obterem transparência e certificarem dos controles
fornecidos pelo setor de TI
Gestores de TI:
para demonstrar que os serviços de TI atendem as
expectativas de Negócio
Auditores de TI:
para contribuir com modelos de auditoria e subsidiar
opiniões
62. www.portalgsti.com.brPor Fernando Palma
Características
Premissa do COBIT
COBIT é baseado na premissa de que Recursos de TI precisam ser gerenciados
por um conjunto de processos de TI que fornecem informação para os processo
de negócio com o fim de atingir-se os objetivos do negócio
Recursos de TI
Processos de TI Processos de Negócio
Informação
Metas
Gerenciados
por
Fornecem
Para
Para
atingir
63. www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso?
1. ( ) O COBIT deve ser utilizado apenas por grandes empresas, que
precisam atender a regulamentos financeiros
2. ( ) A sigla COBIT significa Objetivos de Controle para a Informação e
Tecnologia Relacionada
3. ( ) O COBIT pode fornecer apoio a gestão de projetos de TI
4. ( ) O COBIT pode fornecer apoio ao gerenciamento de serviços de TI
5. ( ) O COBIT pode fornecer apoio a Governança de TI
6. ( ) São três as principais características do COBIT
• Focado em negócio
• Orientado a Processos
• Baseado em controles
64. www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso?
7. ( ) Cada objetivo de controle dentro dos processos do COBIT contém
práticas de controle específicas
8. ( ) Um dos benefícios do COBIT é que ele pode ser implementado
rapidamente
9. ( ) O modelo do CMMI não é compatível com o COBIT
10. ( ) As boas práticas de gerenciamento de projetos do PMBOK são
compatíveis com o framework do COBIT, pois podem agir de forma
complementar
11. ( ) Chefes Executivos e Gerentes de TI são dois exemplos de
possíveis interessados no framework do COBIT
12. ( ) A premissa do COBIT é que Recursos de TI precisam ser
gerenciados por um conjunto de processos de TI que fornecem
informação para os processo de negócio com o fim de atingir-se os
objetivos do negócio
65. www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso? - Respostas
1. ( F ) O COBIT deve ser utilizado apenas por grandes empresas, que
precisam atender a regulamentos financeiros Pode ser utilizado pro
qualquer empresa, qualquer tamanho. Os objetivos de controle não são
projetados para atender apenas a regulamentos, mas também objetivos de
performance de negócio.
2. ( V ) A sigla COBIT significa Objetivos de Controle para a Informação
e Tecnologia Relacionada
3. ( V ) O COBIT pode fornecer apoio a gestão de projetos de TI
4. ( V ) O COBIT pode fornecer apoio ao gerenciamento de serviços de
TI
5. ( V ) O COBIT pode fornecer apoio a Governança de TI
• Baseado em controles
66. www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso? - Respostas
6. ( F ) São três as principais características do COBIT
• Focado em negócio
• Orientado a processos
• Baseado em controles
São quatro principais características. Faltou : orientado por métricas
7. ( V ) Cada objetivo de controle dentro dos processos do COBIT
contém práticas de controle específicas
8. ( F ) Um dos benefícios do COBIT é que ele pode ser implementado
rapidamente Nada garante uma rápida implementação
9. ( F ) O modelo do CMMI não é compatível com o COBIT O COBIT é
compatível com a maior parte dos padrões de mercado e pode funcionar como
um complemento, fornecendo pontos de controle e diretrizes
67. www.portalgsti.com.brPor Fernando Palma
10. ( V ) As boas práticas de Gerenciamento de projetos do PMBOK são
compatíveis com o framework do COBIT, pois podem agir de forma
complementar
11. ( V ) Chefes Executivos e Gerentes de TI são dois exemplos de possíveis
interessados no framework do COBIT
12. ( V )A premissa do COBIT é que Recursos de TI precisam ser gerenciados
por um conjunto de processos de TI que fornecem informação para os
processo de negócio com o fim de atingir-se os objetivos do negócio
Verdadeiro ou Falso? - Respostas
69. www.portalgsti.com.brPor Fernando Palma
Estrutura do COBIT
Os componentes chave da estrutura do COBIT
Critérios da Informação
ProcessosdeTI
RecursosdeTI
Domínios
Processos
Atividades
Aplicações
Informação
Infraestrutura
Pessoas
70. www.portalgsti.com.brPor Fernando Palma
Estrutura do COBIT
Os componentes chave da estrutura do COBIT
Critérios da Informação
ProcessosdeTI
RecursosdeTI
Domínios
Processos
Atividades
Aplicações
Informação
Infraestrutura
Pessoas
73. www.portalgsti.com.brPor Fernando Palma
Estrutura do COBIT
É o domínio que tem o foco em
relacionar os objetivos do negócio
aos objetivos de TI
Planejar e
Organizar
É o domínio onde deve ser desenvolvido o
Plano Estratégico de TI, alinhado ao Plano
Estratégico de Negócio
Garante que toda a organização conheça as
metas estratégicas
74. www.portalgsti.com.brPor Fernando Palma
Estrutura do COBIT
Processos:Planejar e
Organizar
PO1 Definir um Plano Estratégico de TI
P02 Definir a Arquitetura da Informação
PO3 Determinar o Direcionamento Tecnológico
PO4 Definir os Processos, Organização e os
Relacionamentos de TI
PO5 Gerenciar o Investimento de TI
PO6 Comunicar as Diretrizes e Expectativas da Diretoria
PO7 Gerenciar os Recursos Humanos de TI
PO8 Gerenciar a Qualidade
PO9 Avaliar e Gerenciar os Riscos de TI
PO10 Gerenciar Projetos
76. www.portalgsti.com.brPor Fernando Palma
Estrutura do COBIT
É o domínio que tem o foco no
desenvolvimento ou aquisição da
solução
Adquirir e
Implementar
Garante que mudanças necessárias em
sistemas serão tratadas
Cobre também a validação das soluções
implantadas e modificações
77. www.portalgsti.com.brPor Fernando Palma
Estrutura do COBIT
Processos:Adquirir e
Implementar
AI1 Identificar Solução Automatizadas
AI2 Adquirir e Manter Software Aplicativo
AI3 Adquirir e Manter Infraestrutura de
Tecnologia
AI4 Habilitar Operação e Uso
AI5 Adquirir Recursos de TI
AI6 Gerenciar Mudanças
AI7 Instalar e Homologar Soluções e Mudanças
79. www.portalgsti.com.brPor Fernando Palma
Estrutura do COBIT
É o domínio que mantém foco na
operação, comunicação e
funcionamento dos serviços
Entregar e
Suportar
Deve garantir que os serviços de TI estão
alinhados ao negócio conforme planejado e
desenvolvido nos domínios anteriores
Deve trabalhar de forma a otimizar custos,
treinar equipe e manter a estabilidade e
qualidade dos serviços
80. www.portalgsti.com.brPor Fernando Palma
Estrutura do COBIT
Processos:Entregar e
Suportar
DS1 Definir e Gerenciar Níveis de Serviços
DS2 Gerenciar Serviços de Terceiros
DS3 Gerenciar Capacidade e Desempenho
DS4 Assegurar Continuidade de Serviços
DS5 Assegurar a Segurança dos Serviços
DS6 Identificar e Alocar Custos
DS7 Educar e Treinar os Usuários
DS8 Gerenciar a Central de Serviço e os Incidentes
DS9 Gerenciar a Configuração
DS10 Gerenciar os Problemas
DS11 Gerenciar os Dados
DS12 Gerenciar o Ambiente Físico
DS13 Gerenciar as Operações
82. www.portalgsti.com.brPor Fernando Palma
Estrutura do COBIT
É o domínio que mantém foco na
avaliação constante dos processos
de TI
Monitorar e
Avaliar
Este domínio endereça o gerenciamento de
desempenho e Governança de TI
Responsável por monitorar os controles
internos
83. www.portalgsti.com.brPor Fernando Palma
Estrutura do COBIT
Processos:Monitorar e
Avaliar
ME1 Monitorar e Avaliar o Desempenho
ME2 Monitorar e Avaliar os Controles Internos
ME3 Assegurar a Conformidade com Requisitos
Externos
ME4 Prover a Governança de TI
84. www.portalgsti.com.brPor Fernando Palma
Estrutura do COBIT
Os componentes chave da estrutura do COBIT
Critérios da Informação
ProcessosdeTI
RecursosdeTI
Domínios
Processos
Atividades
Aplicações
Informação
Infraestrutura
Pessoas
85. www.portalgsti.com.brPor Fernando Palma
Estrutura do COBIT
Os recursos de TI precisam ser gerenciados por processos para
gerar informação aos processos de negócio que buscam atingir
aos objetivos
Aplicativos
•Sistemas de Informação para processar as informações
Informações
•Dados que são processados por todos os sistemas de informação
Infraestrutura
•Toda estrutura de tecnologia necessária, tal como hardware, SO, estrutura de rede
Pessoas
•Recursos Humanos necessários para Planejar, Desenvolver, Entregar e Avaliar os
serviços
86. www.portalgsti.com.brPor Fernando Palma
Estrutura do COBIT
Os componentes chave da estrutura do COBIT
Critérios da Informação
ProcessosdeTI
RecursosdeTI
Domínios
Processos
Atividades
Aplicações
Informação
Infraestrutura
Pessoas
87. www.portalgsti.com.brPor Fernando Palma
Estrutura do COBIT
Requisitos do Negócio para a informação
• Qualidade (relacionado a SLA)
• Entrega (relacionado a tempo)
• Custo
Requisitos da
Qualidade
• Eficácia e Eficiência operacional
• Confiabilidade da Informação
• Cumprimento de regulamentos
Requisitos
Fiduciários
• Confidencialidade
• Integridade
• Disponibilidade
Requisitos de
Segurança
88. www.portalgsti.com.brPor Fernando Palma
Estrutura do COBIT
Critérios da Informação do COBIT para atender ao negócio
• Eficácia
• Eficiência
Requisitos da
Qualidade
• Conformidade
• Confiabilidade
Requisitos
Fiduciários
• Confidencialidade
• Integridade
• Disponibilidade
Requisitos de
Segurança
89. www.portalgsti.com.brPor Fernando Palma
Estrutura do COBIT
Requisitos de Qualidade
• Eficácia está relacionado com
atingir ao objetivo.
• Informação eficaz é aquela que é
entregue de um modo correto,
consistente e útil
Eficácia
• Capacidade de atingir o objetivo
com a melhor performance possível
• Pode estar relacionado com menor
tempo ou custo e esforço (recursos)
Eficiência
90. www.portalgsti.com.brPor Fernando Palma
Estrutura do COBIT
Requisitos Fiduciários
• Disponibilizar informações que
comprovem o cumprimento dos
regulamentos
Conformidade
• Informação confiável é a
informação livre de falhas
• Informação apropriada
Confiabilidade
91. www.portalgsti.com.brPor Fernando Palma
Estrutura do COBIT
Requisitos de Segurança
• Informação disponível apenas a
quem tem direito
Confidencialida
de
• Exatidão da informaçãoIntegridade
• Capacidade da informação de estar
disponível no momento que requisitadaDisponibilidade
92. www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso?
1. ( ) Os principais componentes do COBIT são:
• Processos de TI
• Recursos de TI
• Critérios da Informação
2. ( ) Os processos de TI estão subdivididos em cinco domínios
3. ( ) O domínio Adquirir e Implementar é o domínio que tem o foco
em relacionar os objetivos do negócio aos objetivos de TI
4. ( ) Gerenciar serviços de Terceiros é um processo pertencente ao
Domínio Entregar e Suportar
5. ( ) Segundo o framework do COBIT, os requisitos da Informação de
TI subdividem-se em Requisitos da Qualidade, Segurança e Fiduciários
93. www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso?
6. ( ) Os requisitos da Qualidade, segundo o framework do COBIT são:
Eficiência e Efetividade
7. ( ) Os requisitos de Segurança, segundo o framweork do COBIT são:
Confidencialidade, Integridade e Confiabilidade
8. ( ) Conformidade é um requisito Fiduciário, segundo o framework
do COBIT
9. ( ) Aplicações, Informação, Infraestrutura e documentos, são os
recursos de TI definidos pelo modelo do COBIT
94. www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso? - Respostas
1. ( V ) Os principais componentes do COBIT são:
• Processos de TI
• Recursos de TI
• Critérios da Informação
2. ( F ) Os processos de TI estão subdivididos em cinco domínios Quatro
Domínios
3. ( F ) O domínio Adquirir e Implementar é o domínio que tem o foco
em relacionar os objetivos do negócio aos objetivos de TI Este é o foco
do domínio Planejar e Organizar
4. ( V ) Gerenciar serviços de Terceiros é um processo pertencente ao
Domínio Entregar e Suportar
5. ( V ) Segundo o framework do COBIT, os requisitos da Informação de
TI subdividem-se em Requisitos da Qualidade, Segurança e Fiduciários
95. www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso? - Respostas
6. ( F ) Os requisitos da Qualidade, segundo o framework do COBIT são:
Eficiência e Efetividade Eficácia e Eficiência
7. ( F ) Os requisitos de Segurança, segundo o framweork do COBIT são:
Confidencialidade, Integridade e Confiabilidade Confidencialidade,
Integridade e Disponibilidade (lembrar da sigla CID). Confiabilidade é um
requisito fiduciário
8. ( V ) Conformidade é um requisito Fiduciário, segundo o framework
do COBIT
9. ( F ) Aplicações, Informação, Infraestrutura e Documentos, são os
recursos de TI definidos pelo modelo do COBIT Todos os itens estão
corretos, exceto “documentos”. O elemento de recursos de TI que está faltando é
“Pessoas”
97. Curso COBIT 4.1 Foundation
Instrutor: Fernando Palma
fpalma@portalgsti.com.br
www.portalgsti.com.br
Módulo 4
98. www.portalgsti.com.brPor Fernando Palma
Módulo 4 – Introdução aos Processos COBIT
Neste módulo, você irá conhecer estrutura dos processos do
COBIT, suas subdivisões; irá conhecer características dos
processos como requisitos genéricos e níveis de maturidade; irá
entender cada um dos processos do COBIT através de uma breve
descrição de cada um deles
100. www.portalgsti.com.brPor Fernando Palma
Processos do COBIT
Estruturação dos processos do COBIT
4
Domínios
34 Processos de TI
210 Objetivos de Controle
Mais de 1.500 Práticas de Controle
03 a 15 por Processo
de TI
03 a 10 por Objetivo
de controle
101. www.portalgsti.com.brPor Fernando Palma
Processos do COBIT
4
Domínios
São os domínios vistos do módulo
anterior
1. Planejar e Organizar
2. Adquirir e Implementar
3. Entregar e Suportar
4. Monitorar e Avaliar
102. www.portalgsti.com.brPor Fernando Palma
Processos do COBIT
34 Processos de TI
O COBIT não irá definir a estruturação do processo em si,
mas o que deve ser controlado, medido e alcançado
Nomenclaturas: PO1, PO2, PO3, PO4...
103. www.portalgsti.com.brPor Fernando Palma
210 Objetivos de Controle
Cada processo de TI possui, no mínimo, 3 objetivos
de controle
Os objetivos de controle podem ser utilizados para
avaliar o nível de maturidade do processo de TI
Nomenclaturas: PO1.1, PO2.4, PO3.1, PO4.3...
Processos do COBIT
104. www.portalgsti.com.brPor Fernando Palma
Mais de 1.500 Práticas de Controle
As práticas auxiliam a alcançar os objetivos de
controle
As práticas de controle não fazem parte do
framework publico co COBIT
Pode ser adquirida pelo site da ISACA
Processos do COBIT
106. www.portalgsti.com.brPor Fernando Palma
Características e Escopo dos Processos
Requisitos de Controle Genéricos
Cada processo do COBIT possui requisitos de controle genéricos identificados por
PC(n), que indica o número de controle do processo. Eles devem ser considerados
junto com os objetivos de controle dos processos para que se tenha uma visão
completa dos requisitos de controle
PC1 Metas e
Objetivos do
Processo
PC2 Propriedades
do Processo
PC3
Repetibilidade do
Processo
PC 4 Papéis e
Responsabilidades
PC 5 Políticas
Planos e
Procedimentos
PC6 Melhoria do
Processo de
Performance
107. www.portalgsti.com.brPor Fernando Palma
Características e Escopo dos Processos
PC1 Metas e
Objetivos do
Processo
PC2 Propriedades
do Processo
PC3
Repetibilidade do
Processo
PC 4 Papéis e
Responsabilidades
PC 5 Políticas
Planos e
Procedimentos
PC6 Melhoria do
Processo de
Performance
Define e comunica as metas e objetivos específicos
Objetivos devem ser: específicos, mensuráveis, acionáveis, realísticos,
orientados a resultados e no tempo apropriado (SMARRT)
Assegura que eles estão ligados aos objetivos de negócios e que são
suportados por métricas apropriadas
108. www.portalgsti.com.brPor Fernando Palma
Características e Escopo dos Processos
PC1 Metas e
Objetivos do
Processo
PC2 Propriedades
do Processo
PC3
Repetibilidade do
Processo
PC 4 Papéis e
Responsabilidades
PC 5 Políticas
Planos e
Procedimentos
PC6 Melhoria do
Processo de
Performance
Designa um proprietário para cada processo de TI
Define os papéis e responsabilidades de cada proprietário de processo
Inclui, por exemplo, a responsabilidade pela elaboração do processo,
interação com outros processos, responsabilidade pelos
resultados finais, medidas da performance do processo e a identificação de
oportunidades de melhorias.
109. www.portalgsti.com.brPor Fernando Palma
Características e Escopo dos Processos
PC1 Metas e
Objetivos do
Processo
PC2 Propriedades
do Processo
PC3
Repetibilidade do
Processo
PC 4 Papéis e
Responsabilidades
PC 5 Políticas
Planos e
Procedimentos
PC6 Melhoria do
Processo de
Performance
Elabora e estabelece cada processo-chave de TI de maneira que possa ser
repetido e produzir de maneira consistente os resultados esperados
Fornece uma seqüência lógica mas flexível das atividades que levarão ao
resultado desejado, sendo ágil o suficiente para lidar com exceções e
emergências
Usa processos consistentes, quando possível, e processos personalizados
apenas quando inevitável.
110. www.portalgsti.com.brPor Fernando Palma
Características e Escopo dos Processos
PC1 Metas e
Objetivos do
Processo
PC2 Propriedades
do Processo
PC3
Repetibilidade do
Processo
PC 4 Papéis e
Responsabilidades
PC 5 Políticas
Planos e
Procedimentos
PC6 Melhoria do
Processo de
Performance
Define as atividades-chaves e as entregas do processo.
Designa e comunica papéis e responsabilidades para uma efetiva e
eficiente execução das atividades-chave e sua documentação bem como a
responsabilização pelo processo e suas entregas
111. www.portalgsti.com.brPor Fernando Palma
Características e Escopo dos Processos
PC1 Metas e
Objetivos do
Processo
PC2 Propriedades
do Processo
PC3
Repetibilidade do
Processo
PC 4 Papéis e
Responsabilidades
PC 5 Políticas
Planos e
Procedimentos
PC6 Melhoria do
Processo de
Performance
Define e comunica como todas as políticas, planos e procedimentos que
direcionam os processos de TI para garantir que eles são documentados,
revisados, mantidos, aprovados, armazenados, comunicados e utilizados para
treinamento.
Designa responsabilidades para cada uma dessas atividades e em
momentos apropriados verifica se elas são executadas corretamente
Assegura que as políticas, planos e procedimentos sejam acessíveis,
corretos, entendidos e atualizados.
112. www.portalgsti.com.brPor Fernando Palma
Características e Escopo dos Processos
PC1 Metas e
Objetivos do
Processo
PC2 Propriedades
do Processo
PC3
Repetibilidade do
Processo
PC 4 Papéis e
Responsabilidades
PC 5 Políticas
Planos e
Procedimentos
PC6 Melhoria do
Processo de
Performance
Identifica um conjunto de métricas que fornecem direcionamento para os
resultados e performance dos processos
Estabelece metas que refletem nos objetivos dos processos e indicadores
de performance que permitem atingir os objetivos dos processos
Definem como os dados são obtidos
Compara as medições reais com as metas e toma medidas quanto aos
desvios quando necessário
113. www.portalgsti.com.brPor Fernando Palma
Características e Escopo dos Processos
Nível de Maturidade dos Processos
O COBIT demonstra como os níveis de Maturidade podem ser mensurados para
cada processo. O objetivo é conhecer a situação atual e utilizar o framework para
estabelecer e chegar à situação pretendida.
Nível 0
Inexistente
Nível 1
Inicial
Nível 2
Repetível
Nível 3
Definido
Nível 4
Gerenciado
Nível 5
Otimizado
Modelo de Maturidade Genérico dos Processos
114. www.portalgsti.com.brPor Fernando Palma
Características e Escopo dos Processos
Modelo de Maturidade Genérico dos Processos
Nível 0
Inexistente
Nível 1
Inicial
Nível 2
Repetível
Completa falta de um processo reconhecido. A empresa nem mesmo
reconheceu que existe uma questão a ser trabalhada.
Existem evidências que a empresa reconheceu que existem questões e
que precisam ser trabalhadas. No entanto, não existe processo
padronizado; ao contrário, existem enfoques Ad Hoc que tendem a ser
aplicados individualmente ou caso-a-caso. O enfoque geral de
gerenciamento é desorganizado.
Os processos evoluíram para um estágio onde procedimentos similares
são seguidos. Não existe um treinamento formal ou comunicação dos
procedimentos padronizados e a responsabilidade é deixada com o
indivíduo. Há um alto grau de confiança no conhecimento dos
indivíduos e conseqüentemente erros podem ocorrer.
115. www.portalgsti.com.brPor Fernando Palma
Características e Escopo dos Processos
Nível de Maturidade dos Processos
Nível 3
Definido
Nível 4
Gerenciado
Nível 5
Otimizado
Procedimentos foram padronizados, documentados e comunicados
através de treinamento. É mandatório que esses processos sejam
seguidos; no entanto, possivelmente desvios não serão detectados. Os
procedimentos não são sofisticados mas existe a formalização das
práticas existentes.
A gerencia monitora e mede a aderência aos procedimentos e adota
ações onde os processos parecem não estar funcionando muito bem.
Os processos estão debaixo de um constante aprimoramento e
fornecem boas práticas. Automação e ferramentas são utilizadas de
uma maneira limitada ou fragmentada.
Os processos foram refinados a um nível de boas práticas, baseado no
resultado de um contínuo aprimoramento e modelagem da
maturidade como outras organizações. TI é utilizada como um caminho
integrado para automatizar o fluxo de trabalho, provendo ferramentas
para aprimorar a qualidade e efetividade, tornando a organização
rápida em adaptar-se.
116. www.portalgsti.com.brPor Fernando Palma
Características e Escopo dos Processos
Matriz RACI – Matriz de Responsabilidades
É uma ferramenta utilizada pelo COBIT, assim como em outros modelos, para
definir as responsabilidades. Para cada processo dentro do framework do COBIT,
existem sugestões de responsabilidades a serem atribuídas.
• Responsible: quem faz (Responsável por executar, o executor)
• Accontable: responde pela atividade (dono), é a Autoridade, o
Responsabilizado
• Consulted: deve ser consultado
• Informed: deve ser Informado
117. www.portalgsti.com.brPor Fernando Palma
Características e Escopo dos Processos
Matriz RACI – Matriz de Responsabilidades (Exemplo)
Gerente do
Projeto
Analista de
Sistema
Analista de
Testes
Gerente de
Configuração
Planejamento A/R I I I
Análise de
Requisitos
A/I/C R I -
Codificação A/I I/C - -
Testes A/I/C I/C R
Implantação A I/C I I/C
Versionamento A/I I/C - R
Monitoração e
Controle
A/R I - -
Processo de Desenvolvimento de Sistemas
118. www.portalgsti.com.brPor Fernando Palma
Características e Escopo dos Processos
Medidas de Controle
As medidas de controle para TI não satisfazem todos os requisitos no mesmo grau. O COBIT
define três níveis de satisfação : Primário, Secundário e em branco. Para cada processo, o
framework mapeia o nível em que o processo atende a cada um dos requisitos.
Primário
Impacta diretamente no
requisito da informação a qual
se refere
Secundário
Impacta indiretamente ou
parcialmente no critério de
informação a qual se refere
Em branco
Pode ser aplicável, entretanto os
requisitos são mais satisfeitos
por outra medida de controle ou
mesmo por outro processo
Requisito
P Eficácia
P Eficiência
S Confidencialidade
Integridade
S Disponibilidade
Conformidade
Confiabilidade
119. www.portalgsti.com.brPor Fernando Palma
Características e Escopo dos Processos
Medidas de Controle (Exemplo)
Requisito
P Eficácia
S Eficiência
Confidencialidade
S Integridade
S Disponibilidade
Conformidade
Confiabilidade
AI7 Instalar e Homologar Soluções e Mudanças
Descrição
Novos sistemas precisam ser colocados em
operação uma vez concluído seu
desenvolvimento. É necessária a realização de
testes apropriados em um ambiente dedicado,
com dados de teste relevantes, definição de
instruções de implantação e migração,
planejamento de liberação e mudanças no
ambiente de produção e uma revisão pós-
implementação.
120. www.portalgsti.com.brPor Fernando Palma
Características e Escopo dos Processos
Metas e Métricas (diretrizes de gerenciamento)
O COBIT utiliza dois tipos de métricas: Medidas de Resultado (na versão anterior,
conhecida como KGI) e Indicadores de Performance (na versão anterior, conhecido
como KPI).
Medidas de
Resultado (OM)
Indicam se os objetivos foram atingidos. Esses
podem ser medidos somente após os fatos e
portanto são chamados de indicadores históricos
(lag indicators).
Indicadores de
Performance
(PI)
Indicam se os objetivos serão possivelmente
atingidos. Eles são medidos antes que os
resultados sejam claros e portanto são chamados
de indicadores futuros (lead indicators).
OM = Outcame Masures PI= Performance Indicators
121. www.portalgsti.com.brPor Fernando Palma
Características e Escopo dos Processos
Medidas de Resultado e Indicadores (Exemplo)
Medidas de
Resultado
Indicadores de
Performance
Número de projetos que foram entregues dentro do
cronograma
Quantidade de incidentes ocorridos no período de um
mês
Quantidade de falhas de segurança detectadas em um
determinado sistema no ultimo semestre
Número de projetos que estão dentro do cronograma
Tempo decorrido de um determinado incidente até o
momento (antes de ser encerrado)
Quantidade de erros encontrado durante uma
homologação que ainda está ocorrendo
122. www.portalgsti.com.brPor Fernando Palma
Características e Escopo dos Processos
Níveis das Metas e Métricas (03 níveis)
Metas e
métricas de TI
Metas e
métricas de
Processos
Metas e
métricas de
atividades
Metas de Negócio • O que o negócio
espera de TI
• As metas dos
processos para que TI
atinja os resultados
• O que as atividades
precisam entregar para
suportar metas do
processo
123. www.portalgsti.com.brPor Fernando Palma
Características e Escopo dos Processos
RESUMO – características e escopo
PC1 Metas e
Objetivos do
Processo
PC2 Propriedades
do Processo
PC3 Repetibilidade
do Processo
PC 4 Papéis e
Responsabilidades
PC 5 Políticas
Planos e
Procedimentos
PC6 Melhoria do
Processo de
Performance
Requisitos de Controle Genéricos
Nível 0
Inexistente
Nível 1
Inicial
Nível 2
Repetível
Nível 3
Definido
Nível 4
Gerenciado
Nível 5
Otimizado
Nível de Maturidade
Gerente do
Projeto
Analista de
Sistema
Analista
de Testes
Gerente
de
Configuraç
ão
Planejament
o
A/R I I I
Análise de
Requisitos
A/I/C R I -
Codificação A/I I/C - -
Testes A/I/C I/C R
Implantação A I/C I I/C
Versioname
nto
A/I I/C - R
Monitoração
e Controle
A/R I - -
Matriz RACI
Primário
Impacta diretamente no requisito da informação a
qual se refere
Secundário
Impacta indiretamente ou parcialmente no critério de
informação a qual se refere
Em branco
Pode ser aplicável, entretanto os requisitos são mais
satisfeitos por outra medida de controle ou mesmo
por outro processo
Nível de Medidas de controle
Indicadores de
Performance (PI)
Medidas de
Resultado (OM)
Indicam se os objetivos foram atingidos.
Esses podem ser medidos somente após os fatos e portanto
são chamados de indicadores históricos (lag indicators).
Indicam se os objetivos serão possivelmente
atingidos. Eles são medidos antes que os resultados sejam
claros e portanto são chamados de indicadores futuros (lead
indicators).
Metas e Métricas
Metas e
métricas
de TI
Metas e
métricas
de
Processo
s
Metas e
métricas
de
atividade
s
124. www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso?
1. ( ) Os processos do COBIT estão divididos em 04 domínios
2. ( ) Os domínios dos processos do COBIT são:
• Planejar e Organizar
• Adquirir e Implementar
• Entregar e Monitorar
• Suportar e Avaliar
3. ( ) As práticas de controle estão subdivididas em, no mínimo, três
objetivos de controle
4. ( ) Um dos requisitos genéricos dos processos do COBIT é o “PC 5
Políticas Planos e Procedimentos”
5. ( ) O requisito genérico PC2 Propriedades do Processo trata sobre
atribuição das responsabilidades do dono do processo.
125. www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso?
6. ( ) As medidas de controle para TI satisfazem todos os requisitos da
informação no mesmo grau.
7. ( ) O COBIT estabelece 05 níveis de maturidade para avaliar os
processos, descrevendo as características de cada nível
8. ( ) A descrição ao lado corresponde ao nível 3 de maturidade :
“Existem evidências que a empresa reconheceu que existem questões e
que precisam ser trabalhadas. No entanto, não existe processo
padronizado.”
9. ( ) A descrição ao lado pertence ao nível 4 de maturidade: “Os
processos foram refinados a um nível de boas práticas, baseado no
resultado de um contínuo aprimoramento e modelagem da maturidade
como outras organizações. “
126. www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso?
10. ( ) A descrição ao lado corresponde ao nível 0 de Maturidade:
“Completa falta de um processo reconhecido. A empresa nem mesmo
reconheceu que existe uma questão a ser trabalhada.”
11. ( ) No modelo RACI, o “R” (responsável) é quem Será
responsabilizado pela atividade, é quem responde por ela.
12. ( ) Quando uma medida de controle de um processo impacta em
nível secundário um requisito da informação, significa que ele impacta
indiretamente ou parcialmente no critério de informação a qual se
refere.
13. ( ) Medidas de resultado indicam objetivos a serem atingidos.
127. www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso? - Respostas
1. ( V ) Os processos do COBIT estão divididos em 04 domínios
2. ( F ) Os domínios dos processos do COBIT são:
• Planejar e Organizar
• Adquirir e Implementar
• Entregar e Monitorar e Suportar
• Suportar e Avaliar Monitorar e
3. ( F ) As práticas de controle estão subdivididas em, no mínimo, três
objetivos de controle Os processos estão subdivididos em , no mínimo, três
objetivos de controle. Um objetivo de controle possui práticas de controle que
auxiliam sua implementação.
4. ( V ) Um dos requisitos genéricos dos processos do COBIT é o “PC 5
Políticas Planos e Procedimentos”
5. ( V ) O requisito genérico PC2 Propriedades do Processo trata sobre
atribuição das responsabilidades do dono do processo
128. www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso? - Respostas
6. ( F ) As medidas de controle para TI satisfazem todos os requisitos da
informação no mesmo grau. As medidas de controle para TI não satisfazem
todos os requisitos no mesmo grau. O COBIT define três níveis de satisfação :
Primário, Secundário e em branco. Para cada processo, o framework mapeia o
nível em que o processo atende a cada um dos requisitos.
7. ( F ) O COBIT estabelece 05 níveis de maturidade para avaliar os
processos, descrevendo as características de cada nível. São 06 níveis de
maturidade: do nível zero ao nível cinco.
8. ( F ) A descrição ao lado corresponde ao nível 3 de maturidade :
“Existem evidências que a empresa reconheceu que existem questões e
que precisam ser trabalhadas. No entanto, não existe processo
padronizado.” Essa descrição corresponde ao nível 1
9. ( F ) A descrição ao lado pertence ao nível 4 de maturidade: “Os
processos foram refinados a um nível de boas práticas, baseado no
resultado de um contínuo aprimoramento e modelagem da maturidade
como outras organizações. “ Essa descrição corresponde ao nível 5
129. www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso? - Respostas
10. ( V ) A descrição ao lado corresponde ao nível 0 de Maturidade:
“Completa falta de um processo reconhecido. A empresa nem mesmo
reconheceu que existe uma questão a ser trabalhada.”
11. ( F ) No modelo RACI, o “R” (responsável) é quem Será
responsabilizado pela atividade, é quem responde por ela. “R”
corresponde a “Responsible”: quem faz (Responsável por executar, o executor).
O responsabilizado é o “A” ,“Accontable “ , quem responde pela atividade ou
processo.
12. ( V ) Quando uma medida de controle de um processo impacta em
nível secundário um requisito da informação, significa que ele impacta
indiretamente ou parcialmente no critério de informação a qual se
refere.
13. ( V ) Medidas de resultado indicam objetivos a serem atingidos.
132. www.portalgsti.com.brPor Fernando Palma
Descrição dos Processos
PO1 Definir um Plano Estratégico de TI
O planejamento estratégico de TI é necessário para gerenciar todos os recursos de
TI em alinhamento com as prioridades e estratégias de negócio. A função de TI e
as partes interessadas pelo negócio são responsáveis por garantir a otimização do
valor a ser obtido do portfólio de projetos e serviços. O plano estratégico deve
melhorar o entendimento das partes interessadas no que diz respeito a
oportunidades e limitações da TI, avaliar o desempenho atual e esclarecer o nível
de investimento requerido. A estratégia e as prioridades de negócio devem ser
refletidas nos portfólios e executadas por meio de planos táticos de TI que
estabeleçam objetivos concisos, tarefas e planos bem definidos e aceitos por
ambos, negócio e TI.
Importante conhecer a descrição Importante conhecer todo o processo
133. www.portalgsti.com.brPor Fernando Palma
Descrição dos Processos
PO2 Definir a Arequitetura da Informação
Os sistemas de informação devem criar e atualizar regularmente um modelo de
informação do negócio e definir os sistemas apropriados para otimizar o uso dessa
informação. Isso abrange o desenvolvimento de um dicionário de dados
corporativo com as regras de sintaxe de dados, o esquema de classificação de
dados e os níveis de segurança da organização. Esse processo melhora a qualidade
de decisão do gerenciamento certificando-se de que informações seguras e
confiáveis sejam fornecidas e permite racionalizar os recursos de sistemas de
informação para atender às estratégias de negócio de forma apropriada. Esse
processo de TI também é necessário para permitir um maior grau de
responsabilização pela integridade e a segurança dos dados e melhorar a
efetividade e o controle do compartilhamento da informação através das
aplicações e entidades.
Importante conhecer a descrição Importante conhecer todo o processo
134. www.portalgsti.com.brPor Fernando Palma
Descrição dos Processos
PO3 Determinar as Diretrizes da Tecnologia
Os responsáveis pelos serviços de informação determinam um direcionamento
tecnológico que suporta o negócio. Isso demanda a criação de um plano de
infraestrutura tecnológica e um conselho de arquitetura que estabeleça e gerencie
expectativas claras e realistas do que a tecnologia pode oferecer em termos de
produtos, serviços e mecanismos de entrega. O plano é atualizado regularmente
e abrange aspectos como arquitetura de sistemas, direcionamento tecnológico,
plano de aquisições, padrões, estratégias de migração e contingência. Isso permite
respostas rápidas a mudanças em um ambiente competitivo, economia de escala
em equipes e em investimentos de sistemas de informação, bem como melhor
interoperabilidade entre plataformas e aplicações.
Importante conhecer a descrição Importante conhecer todo o processo
135. www.portalgsti.com.brPor Fernando Palma
Descrição dos Processos
PO4 Definir os Processos, Organização e Relacionamentos de TI
Uma organização de TI é definida considerando os requisitos de pessoal,
habilidades, funções, autoridade, papéis e responsabilidades, rastreabilidade e
supervisão. Essa organização deve fazer parte de uma estrutura de processos de TI
que assegure transparência e controle, assim como o envolvimento de executivos
sênior e a Direção do negócio. Um comitê estratégico deve assegurar a supervisão
da Direção de TI, e um ou mais comitês dos quais as áreas de negócio e TI
participem devem definir a priorização dos recursos de TI em linha com as
necessidades do negócio. Os processos, as políticas administrativas e os
procedimentos precisam estar estabelecidos para todas as funções, com especial
atenção às de controle, garantia da qualidade, gestão de risco, segurança da
informação, propriedade de sistemas e dados e segregação de funções. Para
assegurar o rápido atendimento das exigências do negócio, a TI deve ser envolvida
nos processos de decisão relevantes.
Importante conhecer a descrição Importante conhecer todo o processo
136. www.portalgsti.com.brPor Fernando Palma
Descrição dos Processos
PO5 Gerenciar o Investimento de TI
Estabelecer e manter uma estrutura para gerenciar os programas de investimentos
em TI que contemple custos, benefícios, prioridade dentro do orçamento, um
processo formal de definição orçamentária e gerenciamento de acordo com o
orçamento. As partes interessadas são consultadas para identificar e controlar os
custos totais e os benefícios dentro dos contextos estratégicos e táticos da TI e
iniciar ações de correção quando necessário. O processo promove a parceria entre
a TI e as partes interessadas do negócio, permite o uso eficaz e eficiente dos
recursos de TI, provê transparência, atribui responsabilidade pelo custo total de
propriedade (TCO, Total Cost of Ownership), realização dos benefícios do negócio e
do retorno sobre os investimentos em TI.
Importante conhecer a descrição Importante conhecer todo o processo
137. www.portalgsti.com.brPor Fernando Palma
Descrição dos Processos
PO6 Comunicar Metas e Diretrizes Gerenciais
A Direção deve desenvolver uma estrutura de controle de TI corporativo e definir
e comunicar políticas. Um programa de comunicação contínuo aprovado e apoiado
pela Direção deve ser implementado para articular missão, metas, políticas,
procedimentos etc. A comunicação apóia o alcance dos objetivos de TI e assegura
a consciência e o entendimento dos negócios, dos riscos de TI, dos objetivos e das
diretrizes. O processo deve assegurar conformidade com leis e regulamentos
relevantes.
Importante conhecer a descrição Importante conhecer todo o processo
PO7 Gerenciar Recursos Humanos
Adquirir, manter e motivar uma força de trabalho competente para criar e
entregar serviços de TI para o negócio. Isso é alcançado seguindo práticas definidas
e acordadas de recrutamento, treinamento, avaliação de desempenho, promoção
e desligamento. Esse processo é crítico porque as pessoas são ativos importantes
e a governança e o ambiente de controle de dados são altamente dependentes
da motivação e da competência dessas pessoas.
138. www.portalgsti.com.brPor Fernando Palma
Descrição dos Processos
PO8 Gerenciar a Qualidade
Deve ser desenvolvido e mantido um sistema de gestão da qualidade, que inclua
padrões e processos comprovados de desenvolvimento e aquisição. Isso é feito
através de planejamento, implementação e manutenção de um sistema de gestão
de qualidade que gere requisitos, procedimentos e políticas de qualidade claros.
Requisitos de qualidade devem ser definidos e comunicados em indicadores
quantificáveis e atingíveis. A melhoria contínua pode ser alcançada por constante
monitoramento, análise e atuação sobre desvios e na comunicação dos resultados
às partes interessadas. A gestão da qualidade é essencial para assegurar que a TI
esteja fornecendo valor para o negócio, melhoria contínua e transparência para as
partes interessadas.
Importante conhecer a descrição Importante conhecer todo o processo
139. www.portalgsti.com.brPor Fernando Palma
Descrição dos Processos
PO9 Avaliar e Gerenciar Riscos de TI
Criar e manter uma estrutura de gestão de risco. Esta estrutura documenta um
nível comum e acordado de riscos de TI, estratégias de mitigação e riscos
residuais. Qualquer impacto em potencial nos objetivos da empresa causado por
um evento não planejado deve ser identificado, analisado e avaliado. Estratégias de
mitigação de risco devem ser adotadas para minimizar o risco residual a níveis
aceitáveis. O resultado da avaliação deve ser entendido pelas partes interessadas e
expresso em termos financeiros para permitir que as partes interessadas alinhem o
risco a níveis de tolerância aceitáveis.
Importante conhecer a descrição Importante conhecer todo o processo
140. www.portalgsti.com.brPor Fernando Palma
Descrição dos Processos
PO10 Gerenciar Projetos
Estabelecer um programa e uma estrutura de gestão de projeto para o
gerenciamento de todos os projetos de TI. Essa estrutura deve assegurar a correta
priorização e a coordenação de todos os projetos. A estrutura deve incluir um
plano mestre, atribuição de recursos, definição dos resultados a serem entregues,
provação dos usuários, uma divisão por fases de entrega, garantia da qualidade, um
plano de teste formal e uma revisão pós-implementação para assegurar a gestão de
risco do projeto e a entrega de valor para o negócio. Esta abordagem reduz o risco
de custos inesperados e de cancelamentos de projeto, aperfeiçoa a comunicação,
melhora o envolvimento das áreas de negócio e dos usuários finais, assegura o
valor e a qualidade dos resultados do projeto e maximiza a contribuição para os
programas de investimentos em TI.
Importante conhecer a descrição Importante conhecer todo o processo
142. www.portalgsti.com.brPor Fernando Palma
Descrição dos Processos
AI1 Identificar Soluções Automatizadas
A necessidade de uma nova aplicação ou função requer uma análise prévia à
aquisição ou ao desenvolvimento para assegurar que os requisitos de negócio
sejam atendidos através de uma abordagem eficaz e eficiente. Este processo
contempla a definição das necessidades, considera fontes alternativas, a revisão de
viabilidade econômica e tecnológica, a execução das análises de risco e de custo-
benefício e a obtenção de uma decisão final por “desenvolver” ou “comprar”. Todos
esses passos permitem às organizações minimizar os custos de aquisição e
implementação de soluções e permitem ao negócio alcançar seus objetivos.
Importante conhecer a descrição Importante conhecer todo o processo
143. www.portalgsti.com.brPor Fernando Palma
Descrição dos Processos
AI2 Adquirir e Manter Software Aplicativo
As aplicações devem ser disponibilizadas em alinhamento com os requisitos do
negócio. Este processo contempla o projeto das aplicações, a inclusão de controles
e requisitos de segurança apropriados, o desenvolvimento e a configuração de
acordo com padrões. Isso permite às organizações apoiarem de forma adequada
as operações do negócio com as aplicações corretas.
Importante conhecer a descrição Importante conhecer todo o processo
AI3 Adquirir e Manter Infraestrutura de Tecnologia
As organizações devem ter processos de aquisição, implementação e atualização
da infraestrutura de tecnologia. Isso requer uma abordagem planejada de
aquisição, manutenção e proteção da infraestrutura em alinhamento com as
estratégias tecnológicas acordadas e o fornecimento de ambientes de
desenvolvimento e teste. Isso assegura um apoio tecnológico contínuo às
aplicações de negócio.
144. www.portalgsti.com.brPor Fernando Palma
Descrição dos Processos
AI4 Habilitar Operação e Uso
Conhecimento sobre novos sistemas deve estar disponível. Este processo requer a
elaboração de documentação e manuais para usuários e para TI e a promoção de
treinamentos para assegurar a operação e uso apropriado das aplicações e
infraestrutura.
Importante conhecer a descrição Importante conhecer todo o processo
AI5 Adquirir Recursos de TI
Recursos de TI, incluindo pessoas, hardware, software e serviços precisam ser
adquiridos. Isso requer a definição e a aplicação de procedimentos de aquisição, a
seleção de fornecedores, o estabelecimento de arranjos contratuais e a aquisição
propriamente dita. Assim assegura-se que a organização tenha todos os recursos de
TI necessários a tempo e com boa relação custo-benefício.
145. www.portalgsti.com.brPor Fernando Palma
Descrição dos Processos
AI6 Gerenciar Mudanças
Todas as mudanças, incluindo manutenções e correções de emergência,
relacionadas com a infraestrutura e as aplicações no ambiente de produção são
formalmente gerenciadas de maneira controlada. As mudanças (incluindo
procedimentos, processos, parâmetros de sistemas e de serviço) devem ser
registradas, avaliadas e autorizadas antes da implementação e revisadas em
seguida, tendo como base os resultados efetivos e planejados. Isso assegura a
mitigação de riscos de impactos negativos na estabilidade ou na integridade do
ambiente de produção.
Importante conhecer a descrição Importante conhecer todo o processo
146. www.portalgsti.com.brPor Fernando Palma
Descrição dos Processos
AI7 Instalar e Homologar Soluções de Mudanças
Novos sistemas precisam ser colocados em operação uma vez concluído seu
desenvolvimento. É necessária a realização de testes apropriados em um ambiente
dedicado, com dados de teste relevantes, definição de instruções de implantação e
migração, planejamento de liberação e mudanças no ambiente de produção e uma
revisão pós-implementação. Isso assegura que os sistemas operacionais estejam
alinhados com as expectativas e os resultados acordados.
Importante conhecer a descrição Importante conhecer todo o processo
148. www.portalgsti.com.brPor Fernando Palma
Descrição dos Processos
DS1 Definir e Gerenciar Níveis de Serviços
A comunicação eficaz entre a Direção de TI e os clientes de negócio sobre os
serviços necessários é possibilitada por um acordo definido e documentado que
aborda os serviços de TI e os níveis de serviço esperados. Este processo também
inclui monitoramento e relatório oportuno às partes interessadas quanto ao
atendimento dos níveis de serviço. Este processo permite o alinhamento entre os
serviços de TI e os respectivos requisitos do negócio.
Importante conhecer a descrição Importante conhecer todo o processo
DS2 Gerenciar Serviços de Terceiros
A necessidade de assegurar que os serviços prestados por fornecedores satisfaçam
aos requisitos do negócio requer um processo efetivo de gestão da terceirização.
Esse processo é realizado definindo-se claramente os papéis, responsabilidades e
expectativas nos acordos de terceirização bem como revisando e monitorando tais
acordos quanto à efetividade e à conformidade. A gestão eficaz dos serviços
terceirizados minimiza os riscos de negócio associados aos fornecedores que não
cumprem seu papel.
149. www.portalgsti.com.brPor Fernando Palma
Descrição dos Processos
DS3 Gerenciar o Desempenho e a Capacidade
A necessidade de gerenciar o desempenho e a capacidade dos recursos de TI
requer um processo que realize análises críticas periódicas do desempenho e da
capacidade atuais dos recursos de TI. Esse processo inclui a previsão de
necessidades futuras com base em requisitos de carga de trabalho,
armazenamento e contingência. Esse processo assegura que os recursos de
informação que suportam os requisitos do negócio estejam sempre disponíveis.
Importante conhecer a descrição Importante conhecer todo o processo
DS4 Assegurar a Continuidade dos Serviços
Prover a continuidade dos serviços de TI requer o desenvolvimento, manutenção e
teste de um plano de continuidade de TI, armazenamento de cópias de segurança
(backup) em instalações remotas (offsite) e realizar treinamentos periódicos do
plano de continuidade. Um processo eficaz de continuidade de serviços minimiza a
probabilidade e o impacto de uma interrupção de um serviço chave de TI nas
funções e processos críticos de negócio.
150. www.portalgsti.com.brPor Fernando Palma
Descrição dos Processos
DS5 Garantir a Segurança de Sistemas
Para manter a integridade da informação e proteger os ativos de TI, é necessário
implementar um processo de gestão de segurança. Esse processo inclui o
estabelecimento e a manutenção de papéis, responsabilidades, políticas, padrões
e procedimentos de segurança de TI. A gestão de segurança inclui o
monitoramento, o teste periódico e a implementação de ações corretivas das
deficiências ou dos incidentes de segurança. A gestão eficaz de segurança protege
todos os ativos de TI e minimiza o impacto sobre os negócios de vulnerabilidades
e incidentes de segurança.
Importante conhecer a descrição Importante conhecer todo o processo
151. www.portalgsti.com.brPor Fernando Palma
Descrição dos Processos
DS6 Identificar e Alocar Custos
A necessidade de um sistema justo e equitativo de alocação de custo de TI para o
negócio requer avaliação precisa dos custos de TI e acordo com os usuários do
negócio sobre uma alocação razoável. Este processo contempla a construção e a
operação de um sistema para capturar, alocar e reportar os custos de TI aos
usuários dos serviços. Um sistema de alocação justo permite à empresa tomar
decisões mais embasadas sobre o uso dos serviços.
Importante conhecer a descrição Importante conhecer todo o processo
152. www.portalgsti.com.brPor Fernando Palma
Descrição dos Processos
DS7 Educar e Treinar os Usuários
A educação efetiva de todos os usuários de sistemas de TI, inclusive daqueles
dentro da própria TI, requer a identificação das necessidades de treinamento de
cada grupo de usuário. Como complemento à identificação dessas necessidades,
esse processo compreende a definição e a execução de uma estratégia eficaz de
treinamento e medição dos resultados. Um programa de treinamento eficaz
aumenta o uso efetivo da tecnologia através da redução dos erros de usuário,
aumento da produtividade e aumento da conformidade com os controles
principais (como as medidas de segurança do usuário).
Importante conhecer a descrição Importante conhecer todo o processo
153. www.portalgsti.com.brPor Fernando Palma
Descrição dos Processos
DS8 Gerenciar Central de Serviços e Incidentes
A resposta efetiva e em tempo adequado a dúvidas e problemas dos usuários de TI
requer uma central de serviço (service desk) e processos de gerenciamento de
incidentes bem projetados e implementados. Esse processo inclui a implementação
de uma central de serviços capacitada para o tratamento de incidentes, incluindo
registro, encaminhamento, análise de tendências, análise de causa-raiz e resolução.
Os benefícios ao negócio incluem aumento de produtividade por meio de
resolução rápida dos chamados dos usuários. Complementarmente, as áreas de
negócio podem tratar as causas-raiz (como treinamento deficiente de usuário),
através de relatórios efetivos.
Importante conhecer a descrição Importante conhecer todo o processo
154. www.portalgsti.com.brPor Fernando Palma
Descrição dos Processos
DS9 Gerenciar Configuração
Assegurar a integridade das configurações de hardware e software requer o
estabelecimento e a manutenção de um repositório de configuração preciso e
completo. Esse processo inclui a coleta inicial das informações de configuração, o
estabelecimento de um perfil básico, a verificação e a auditoria das informações de
configuração e a atualização do repositório de configuração conforme necessário.
Um gerenciamento de configuração eficaz facilita uma maior disponibilidade do
sistema, minimiza as questões de produção e soluciona problemas com mais
rapidez.
Importante conhecer a descrição Importante conhecer todo o processo
155. www.portalgsti.com.brPor Fernando Palma
Descrição dos Processos
DS10 Gerenciar Problemas
O efetivo gerenciamento de problemas requer identificação e classificação dos
problemas, análise de causas-raiz e respectiva resolução. O processo de
gerenciamento de problemas também contempla a identificação de
recomendações para melhoria, manutenção dos registros de problemas e revisão
da situação das ações corretivas. Um processo efetivo de gerenciamento de
problemas melhora os níveis de serviço, reduz os custos e aumenta a conveniência
e a satisfação do cliente.
Importante conhecer a descrição Importante conhecer todo o processo
156. www.portalgsti.com.brPor Fernando Palma
Descrição dos Processos
DS11 Gerenciar Dados
O efetivo gerenciamento de dados requer a identificação dos requisitos de dados.
O processo de gerenciamento de dados também contempla o estabelecimento de
procedimentos efetivos para controlar a biblioteca de mídia, cópia de segurança
(backup), recuperação de dados e a dispensa de mídias de forma adequada. O
efetivo gerenciamento de dados ajuda a assegurar a qualidade, a rapidez e
disponibilidade dos dados de negócio.
Importante conhecer a descrição Importante conhecer todo o processo
157. www.portalgsti.com.brPor Fernando Palma
Descrição dos Processos
DS12 Gerenciar o Ambiente Físico
A proteção de pessoas e equipamento de informática requer instalações físicas bem
planejadas e gerenciadas. O processo de gerenciamento do ambiente físico inclui a
definição dos requisitos do local físico, a escolha de instalações apropriadas, o
projeto de processos eficazes de monitoramento dos fatores ambientais e o
gerenciamento de acessos físicos. O gerenciamento eficaz do ambiente físico reduz
as interrupções nos negócios provocadas por danos causados a equipamentos ou
pessoas.
Importante conhecer a descrição Importante conhecer todo o processo
DS13 Gerenciar as Operações
O processamento preciso e completo de dados requer um gerenciamento eficaz do
processamento de dados e diligente manutenção de hardware. Este processo inclui
a definição de políticas e procedimentos de operações para o gerenciamento
eficaz do processamento agendado, proteção de resultados sigilosos, o
monitoramento de infraestrutura e manutenção preventiva de hardware. O
efetivo gerenciamento de operações ajuda a manter a integridade dos dados e
reduzir atrasos e custos de operação de TI.
159. www.portalgsti.com.brPor Fernando Palma
Descrição dos Processos
ME1 Monitorar e Avaliar o Desempenho de TI
A gestão eficaz de desempenho de TI exige um processo de monitoramento. Esse
processo inclui a definição de indicadores de desempenho relevantes, informes de
desempenho sistemáticos e oportunos e uma pronta ação em relação aos desvios
encontrados. O monitoramento é necessário para assegurar que as atividades
corretas estejam sendo feitas e que estejam em alinhamento com as políticas e
diretrizes estabelecidas.
Importante conhecer a descrição Importante conhecer todo o processo
ME2 Monitorar e Avaliar os Controles Internos
Estabelecer um programa eficaz de controles internos de TI requer um processo de
monitoramento bem definido. Esse processo inclui o monitoramento e reporte das
exceções de controle, dos resultados de auto avaliação e avaliação de terceiros.
Um benefício importante do monitoramento dos controles internos é assegurar
uma operação eficaz e eficiente e a conformidade com as leis e os regulamentos
aplicáveis.
160. www.portalgsti.com.brPor Fernando Palma
Descrição dos Processos
ME3 Assegurar a Conformidade com Requisitos Externos
A supervisão eficaz da conformidade requer o estabelecimento de um processo de
revisão para assegurar a conformidade com as leis e regulamentações e os
requisitos contratuais. Esse processo inclui identificar os requisitos de
conformidade, otimizar e avaliar a resposta, assegurar que os requisitos sejam
atendidos e integrar os relatórios de conformidade de TI com os das áreas de
negócios.
Importante conhecer a descrição Importante conhecer todo o processo
ME4 Prover Governança de TI
O estabelecimento de uma efetiva estrutura de governança envolve a definição das
estruturas organizacionais, dos processos, da liderança, dos papéis e respectivas
responsabilidades para assegurar que os investimentos corporativos em TI estejam
alinhados e sejam entregues em conformidade com as estratégias e os objetivos da
organização.
161. www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso?
1. ( ) Definir os sistemas apropriados para otimizar o uso dessa
informação faz parte dos objetivos do processo PO2 Definir a
Arequitetura da Informação .
2. ( ) Definir um plano estratégico é um objetivo que está contido em
um processo do domínio Adquirir e Implementar.
3. ( ) Estabelecer um programa e uma estrutura de gestão de projeto
para o gerenciamento de todos os projetos é um objetivo do PO3
Gerenciar Projetos.
4. ( ) Habilitar Operação e Uso e Adquirir Recursos de TI são dois
processos pertencentes ao domínio de Aquisição e Implementação.
5. ( ) O processo DS5 Garantir a Segurança de Sistemas traz como
benefício a proteção todos os ativos de TI e minimiza o impacto sobre
os negócios.
162. www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso? - Respostas
1. ( V ) Definir os sistemas apropriados para otimizar o uso dessa
informação faz parte dos objetivos do processo PO2 Definir a
Arequitetura da Informação .
2. ( F ) Definir um plano estratégico é um objetivo que está contido em
um processo do domínio Adquirir e Implementar. Está Contido no
domínio de Planejamento e Organização, no PO1
3. ( F ) Estabelecer um programa e uma estrutura de gestão de projeto
para o gerenciamento de todos os projetos é um objetivo do PO3
Gerenciar Projetos. O processo é o PO10
4. ( V ) Habilitar Operação e Uso e Adquirir Recursos de TI são dois
processos pertencentes ao domínio de Aquisição e Implementação.
5. ( V ) O processo DS5 Garantir a Segurança de Sistemas traz como
benefício a proteção todos os ativos de TI e minimiza o impacto sobre
os negócios.
166. www.portalgsti.com.brPor Fernando Palma
Agenda
Processos
Definir um Plano Estratégico de TI
Gerenciar Projetos
Habilitar Operação em Uso
Gerenciar Mudanças
Definir e Gerenciar Níveis de Serviço
Gerenciar Serviços de Terceiros
Monitorar e Avaliar o desempenho de TI
167. www.portalgsti.com.brPor Fernando Palma
Os Processos a serem vistos
Planejar e
Organizar
Adquirir e
Implementar
Monitorar e
Avaliar
Entregar e
Suportar
PO1
•Definir um Plano
Estratégico de TI
PO10
•Gerenciar Projetos
AI4
•Habilitar Operação em
Uso
AI6
•Gerenciar Mudanças
DS2
•Definir e Gerenciar
Níveis de Serviço
DS1
•Gerenciar Serviços de
Terceiros
ME1
•Monitorar e Avaliar
o Desempenho de TI
168. www.portalgsti.com.brPor Fernando Palma
Agenda
Processos
Definir um Plano Estratégico de TI
Gerenciar Projetos
Habilitar Operação em Uso
Gerenciar Mudanças
Definir e Gerenciar Níveis de Serviço
Gerenciar Serviços de Terceiros
Monitorar e Avaliar o desempenho de TI
169. www.portalgsti.com.brPor Fernando Palma
Os Processos a serem vistos
Planejar e
Organizar
Adquirir e
Implementar
Monitorar e
Avaliar
Entregar e
Suportar
PO1
•Definir um Plano
Estratégico de TI
PO10
•Gerenciar Projetos
AI4
•Habilitar operação em
uso
AI6
•Gerenciar Mudanças
DS1
•Definir e Gerenciar
Níveis de Serviço
DS2
•Gerenciar Serviços de
Terceiros
ME1
•Monitorar e Avaliar
o desempenho de TI
170. www.portalgsti.com.brPor Fernando Palma
Definir um Plano Estratégico de TI
Objetivos
Melhorar o entendimento das partes interessadas
Criar objetivos de TI alinhado aos objetivos de negócio
Esclarecer o nível de investimento requerido
Refletir no Portfólio de TI a estratégia da organização
Realizar planos aceitos tanto por TI quanto área de
Negócio
171. www.portalgsti.com.brPor Fernando Palma
Definir um Plano Estratégico de TI
Critérios da Informação que o processo satisfaz
Requisito
P Eficácia
S Eficiência
Confidencialidade
Integridade
Disponibilidade
Conformidade
Confiabilidade
Os processos de TI
devem prover a entrega
eficaz e eficiente dos
componentes de TI.
172. www.portalgsti.com.brPor Fernando Palma
Definir um Plano Estratégico de TI
Áreas de Foco da Governança que o Processo satisfaz
Domínios
Governança
de TI
Gerenciamento
de recursos
Primário
Secundário
173. www.portalgsti.com.brPor Fernando Palma
Definir um Plano Estratégico de TI
Comprometimento da Alta Direção do
alinhamento do planejamento estratégico de
TI com as necessidades atuais e futuras;
Entendimento da capacidade atual de TI;
Estabelecimento de um esquema de
priorização de objetivos de negócio, que
quantifique os requisitos de negócio;
Atividades necessárias
Os objetivos desse processo são alcançados através de:
174. www.portalgsti.com.brPor Fernando Palma
Definir um Plano Estratégico de TI
Objetivos de Controle
PO1.1 Gerenciamento de Valor da TI
Trabalhar na direção do Negócio
Reconhecer os investimentos obrigatórios
Reconhecer os Investimentos Sustentáveis
Prévia advertência do impacto de qualquer desvio do plano, incluindo
custo, cronograma ou funcionalidade
Estabelecer avaliação adequada, transparente, repetível e comparável de
estudos de caso de negócio
PO1.2 Alinhamento entre TI e Negócio
Estabelecer processos de educação bi-direcional
Envolvimento recíproco no planejamento estratégico
175. www.portalgsti.com.brPor Fernando Palma
Definir um Plano Estratégico de TI
Objetivos de Controle
PO1.3 Avaliação da Capacidade e Desempenho Correntes
Avaliar a capacidade e o desempenho atuais das entregas de soluções e
serviços
Estabelecer um modelo com o qual os requisitos futuros podem ser
comparados
Definir o desempenho: funcionalidades, estabilidade, complexidade,
custos, pontos fortes e fragilidades
PO1.4 Plano Estratégico de TI
Criar um Plano Estratégico de TI
Envolver partes interessadas
Descrever como TI contribui para os objetivos de Negócio
Quais os custos e riscos relacionados
Contemplar o orçamento operacional e de investimento
Contemplar como a TI aplicará os programas de investimentos
176. www.portalgsti.com.brPor Fernando Palma
Definir um Plano Estratégico de TI
Objetivos de Controle
PO1.5 Planos Táticos de TI
Criar um portfólio de planos táticos de TI derivados do plano estratégico de TI
Descrever quais são as iniciativas de TI requeridas
Descrever quais os recursos necessários
Como o uso de recursos e os benefícios alcançados serão monitorados
e administrados
Os planos de projeto serão baseados nos planos táticos
PO1.6 Gerenciamento do Portfólio de TI
Gerenciar o portfólio dos programas de investimentos de TI
Esclarecer os resultados de negócio desejados
Entender o esforço necessário para atingir os resultados
Atribuir responsabilidades com medidas de suporte
Definir projetos dentro do programa
177. www.portalgsti.com.brPor Fernando Palma
Definir um Plano Estratégico de TI
Entradas
Origem Entrada
PO5 Relatórios de custo/benefício;
PO9 Avaliação de riscos;
PO10 Portfólio de projetos de TI atualizado;
DS1
Requisitos novos ou atualizados de serviços;
Portfólio de Serviços de TI atualizado;
** Estratégia e Prioridades de Negócio;
** Portfólio de Programas;
ME1 Informações de desempenho para planejamento de TI;
ME4 Relatórios de Status de governança de TI;
178. www.portalgsti.com.brPor Fernando Palma
Definir um Plano Estratégico de TI
Saídas
Saída Destino
Planejamento estratégico de TI; PO2 PO6 PO8 PO9 AI1 DS1
Planejamento tático de TI; PO2 PO6 PO9 AI1
Portfólio de projetos de TI; PO5 PO6 PO10AI6
Portfólio de serviços de TI; PO5 PO6 PO9 DS1
Estratégia de fornecimento de
TI; DS2
Estratégia de aquisição de TI; AI5
179. www.portalgsti.com.brPor Fernando Palma
Definir um Plano Estratégico de TI
Matriz RACI
Vincular objetivos de negócio
com objetivos de TI; C I A/R R C
Identificar as dependências
críticas e o desempenho atual; C C R A/R C C C C C C
Produzir um plano estratégico
de TI; A C C R I C C C C I C
Produzir um plano tático de TI; C I A C C C C C R I
Analisar o portfólio de
programas e gerenciar
portfólio de projetos e
serviços; C I I A R R C R C C I
180. www.portalgsti.com.brPor Fernando Palma
Definir um Plano Estratégico de TI
Níveis de Maturidade
Nível 0
Inexistente
Nível 1
Inicial
Nível 2
Repetível
O plano estratégico de TI não é executado. A Direção não está
conscientizada de que o planejamento estratégico de TI é necessário
para sustentar as metas de negócio.
A necessidade de um planejamento estratégico de TI é conhecida pela
Direção de TI. O planejamento de TI é realizado caso a caso, em
resposta a um requisito específico de negócio. O alinhamento de
requisitos de negócio, aplicações e tecnologia ocorre de forma reativa
O planejamento estratégico de TI é compartilhado com a Direção do
Negócio conforme a necessidade. A atualização dos planos de TI
acontece em resposta aos pedidos da Direção. As decisões estratégicas
são tomadas projeto a projeto, sem consistência com uma estratégia
corporativa.
181. www.portalgsti.com.brPor Fernando Palma
Definir um Plano Estratégico de TI
Níveis de Maturidade
Nível 3
Definido
Nível 4
Gerenciado
Nível 5
Otimizado
Uma política define quando e como realizar um planejamento
estratégico de TI. O planejamento segue uma abordagem estruturada,
que é documentada e conhecida por envolvidos. O processo do
planejamento é adequado. Entretanto, a implementação do processo
fica a critério de cada Direção e não há procedimentos para examinar o
processo.
O planejamento estratégico de TI é uma prática padrão cujas exceções
são detectadas pela Direção. O planejamento estratégico de TI é uma
função da Direção com nível sênior de responsabilidade. A Direção é
capaz de monitorar o processo de planejamento estratégico de TI,
tomar decisões baseadas nesse processo e medir sua efetividade.
O planejamento estratégico de TI é um processo documentado e
dinâmico, sempre considerado no estabelecimento dos objetivos de
negócio, e resulta em valor de negócio identificável através dos
investimentos em TI. As considerações de risco e o valor agregado são
continuamente atualizados no processo de planejamento estratégico
de TI.
182. www.portalgsti.com.brPor Fernando Palma
Definir um Plano Estratégico de TI
Grau de aprovação por proprietários de negócios
dos planos estratégicos/táticos de TI;
Grau de conformidade com requisitos do negócio e
de governança;
Nível de satisfação do negócio com o estado atual
(quantidade, escopo, etc) dos projetos e aplicações
em portfólio;
Metas e Métricas de TI
TI pode ser mensurada (em relação ao alinhamento com
negócio) por:
183. www.portalgsti.com.brPor Fernando Palma
Definir um Plano Estratégico de TI
Percentual dos objetivos de TI no plano estratégico
de TI que sustentam o plano estratégico de negócio;
Percentual de projetos no portfólio de projetos de
TI que podem ser diretamente relacionados ao
plano tático de TI;
Metas e Métricas de do Processo
Processo pode ser medido por:
184. www.portalgsti.com.brPor Fernando Palma
Definir um Plano Estratégico de TI
Demora entre a atualização dos planos estratégicos/
táticos de negócio e a atualização dos planos estratégicos/táticos de
TI
Percentual de reuniões de planejamento estratégico/
tático de TI em que representantes das áreas
de negócios participaram ativamente;
Percentual de planos táticos de TI em conformidade
com as estruturas predefinidas desses planos
Metas e Métricas das atividades
As atividades do processo podem ser medidas por:
185. www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso?
1. ( ) Um dos objetivos do processo PO1. Definir um Plano
Estratégico de TI é criar objetivos de negócio alinhados com objetivos
de TI
2. ( ) A premissa do processo PO1. Definir um Plano Estratégico de TI
é que “Os processos de TI devem prover a entrega eficaz e eficiente dos
componentes de TI”. Portanto, a eficiência e eficácia são dos critérios da
informação que são satisfeitos pro este processos, sendo o primeiro
satisfeito primariamente e o segundo secundário, respectivamente.
3. ( ) Processo PO1. Definir um Plano Estratégico de TI pertence ao
domínio Planejar e Organizar.
4. ( ) O Portfólio de Serviços de TI atualizado é uma das possíveis
saídas do processo PO1. Definir um Plano Estratégico de TI
186. www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso?
5. ( ) A estratégia de aquisição de TI é uma das possíveis saídas do
processo PO1. Definir um Plano Estratégico de TI .
6. ( ) O processo PO1. Definir um Plano Estratégico de TI é um dos
únicos que possui matriz RACI bem definida.
7. ( ) A afirmação ao lado pertence ao nível três de maturidade,
quando relacionada ao processo PO1. Definir um Plano Estratégico de
TI : “O planejamento segue uma abordagem estruturada, que é
documentada e conhecida por envolvidos. “
8. ( ) “Percentual de projetos no portfólio de projetos de TI que
podem ser diretamente relacionados ao plano tático de TI” é uma
possível métrica para o processo PO1. Definir um Plano Estratégico de
TI
187. www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso? - Respostas
1. ( F ) Um dos objetivos do processo PO1. Definir um Plano
Estratégico de TI é criar objetivos de negócio alinhados com objetivos
de TI Um dos objetivos do processo PO1. Definir um Plano Estratégico de TI é
criar objetivos de TI alinhados com objetivos de Negócio
2. ( V ) A premissa do processo PO1. Definir um Plano Estratégico de
TI é que “Os processos de TI devem prover a entrega eficaz e eficiente
dos componentes de TI”. Portanto, a eficiência e eficácia são dos
critérios da informação que são satisfeitos pro este processos, sendo o
primeiro satisfeito primariamente e o segundo secundário,
respectivamente.
3. ( V ) Processo PO1. Definir um Plano Estratégico de TI pertence ao
domínio Planejar e Organizar.
4. ( V ) O Portfólio de Serviços de TI atualizado é uma das possíveis
saídas do processo PO1. Definir um Plano Estratégico de TI
188. www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso? - Respostas
5. ( V ) A estratégia de aquisição de TI é uma das possíveis saídas do
processo PO1. Definir um Plano Estratégico de TI .
6. ( F ) O processo PO1. Definir um Plano Estratégico de TI é um dos
únicos que possui matriz RACI bem definida. Todos processos devem
possuir uma matriz RACI bem definida
7. ( V ) A afirmação ao lado pertence ao nível três de maturidade,
quando relacionada ao processo PO1. Definir um Plano Estratégico de
TI : “O planejamento segue uma abordagem estruturada, que é
documentada e conhecida por envolvidos. “
8. ( V ) “Percentual de projetos no portfólio de projetos de TI que
podem ser diretamente relacionados ao plano tático de TI” é uma
possível métrica para o processo PO1. Definir um Plano Estratégico de
TI
189. www.portalgsti.com.brPor Fernando Palma
Agenda
Processos
Definir um Plano Estratégico de TI
Gerenciar Projetos
Habilitar Operação em Uso
Gerenciar Mudanças
Definir e Gerenciar Níveis de Serviço
Gerenciar Serviços de Terceiros
Monitorar e Avaliar o desempenho de TI
190. www.portalgsti.com.brPor Fernando Palma
Os Processos a serem vistos
Planejar e
Organizar
Adquirir e
Implementar
Monitorar e
Avaliar
Entregar e
Suportar
PO1
•Definir um Plano
Estratégico de TI
PO10
•Gerenciar Projetos
AI4
•Habilitar operação em
uso
AI6
•Gerenciar Mudanças
DS1
•Definir e Gerenciar
Níveis de Serviço
DS2
•Gerenciar Serviços de
Terceiros
ME1
•Monitorar e Avaliar
o desempenho de TI
191. www.portalgsti.com.brPor Fernando Palma
Gerenciar Projetos
Objetivos
Estabelecer um programa de projetos alinhado com a
estratégia de TI
Estabelecer uma estrutura de gestão de projeto para
o gerenciamento de todos os projetos de TI
Assegurar a correta priorização e a coordenação de
todos os projetos
Reduzir o risco de custos inesperados e de
cancelamentos de projeto
192. www.portalgsti.com.brPor Fernando Palma
Gerenciar Projetos
Critérios da Informação que o processo satisfaz
Requisito
P Eficácia
P Eficiência
Confidencialidade
Integridade
Disponibilidade
Conformidade
Confiabilidade
O processo de
Gerenciamento de
Projetos deve garantir que
resultados de projetos
dentro do tempo, do
orçamento e da qualidade
acordados.
193. www.portalgsti.com.brPor Fernando Palma
Gerenciar Projetos
Áreas de Foco da Governança que o Processo satisfaz
Domínios
Governança
de TI
Gerenciamento
de recursos
Primário
Secundário
Gerenciamento
de recursos
194. www.portalgsti.com.brPor Fernando Palma
Gerenciar Projetos
Definição e implantação de programas,
estruturas e abordagens de projeto;
Publicação de diretrizes de gestão de
projeto;
Realização de planejamento de projeto para
todo o portfólio de projetos;
Atividades necessárias
Os objetivos desse processo são alcançados através de:
195. www.portalgsti.com.brPor Fernando Palma
Gerenciar Projetos
Objetivos de Controle
PO10.1 Estrutura de Gestão de Programas
Manter o programa de projetos
Identificar, definir, avaliar, priorizar, selecionar, iniciar, gerenciar e
controlando projetos
Coordenar as atividades e interdependências de múltiplos projetos
Resolver requisitos e conflitos de recursos
Assegurar que os projetos sustentem os objetivos dos programas
PO1.2 Estrutura de Gestão de Projetos
Manter uma estrutura de gestão de projetos
Estabelecer os métodos a serem adotados e aplicados a cada projeto
Estrutura e as metodologias de suporte devem ser integradas aos
processos de gerenciamento de programas