124903711 fundamentos de cobit fundacao bradesco pdf

5/21/2018 124903711 Fundamentos de CobiT Fundacao Bradesco PDF


2

Fundamentos de CobiT

Fundao Bradesco

Transcrio do curso de Fundamentos de COBIT da Fundao Bradesco, com52 horas.

Produzi essa transcrio para poder estudar melhor offline, em meu tempolivre longe do PC ou do notebook. Mas note que no uma transcrioliteral. Pode haver contedos que no estavam no texto original, explicaescoletadas em outros sites, grifos e algumas observaes minhas.

Faa o curso, ele gratuito:

http://www.ev.org.br/Use este texto como material de apoio.

Transcrito por:

Carlos Mendes "Martini"

E-mail:[email protected]/blog:http://mendesmartini.com/
http://www.ev.org.br/http://www.ev.org.br/mailto:[email protected]:[email protected]:[email protected]://mendesmartini.com/http://mendesmartini.com/http://mendesmartini.com/https://www.facebook.com/mendesmartinihttps://twitter.com/MendesMartinihttp://br.linkedin.com/in/mendesmartinihttp://mendesmartini.com/mailto:[email protected]://www.ev.org.br/


3

SUMRIO

Sumrio ............................................................................................................. 3

Introduo ....................................................................................................... 11

Empresas e TI .............................................................................................. 11

A complexidade da TI ...................................................................................... 13

Conceito de Risco ........................................................................................ 13

Gesto do Risco ........................................................................................... 14A Falta de Gesto de Riscos ........................................................................ 15

A Atuao dos CIOs ..................................................................................... 15

Gerenciando os Riscos ................................................................................ 16

Gesto de Riscos ......................................................................................... 16

Introduo ao CobiT ........................................................................................ 18

Modelo ........................................................................................................ 19

Prticas do COBIT ........................................................................................ 20

Descrio do COBIT ..................................................................................... 20

O Framework COBIT .................................................................................... 22

Gesto do Risco em TI ................................................................................. 23

Caractersticas do COBIT ............................................................................. 24

Foco do COBIT ............................................................................................. 25

Objetivos do COBIT ..................................................................................... 25

Histrico do COBIT ...................................................................................... 26

Estrutura Atual do COBIT ............................................................................ 26

Desempenho e Progresso ........................................................................... 27

Vantagens do COBIT .................................................................................... 27O Pblico do COBIT ..................................................................................... 28


4

Evoluo do COBIT ...................................................................................... 29

Estrutura do COBIT ...................................................................................... 29

Caractersticas do Framework .................................................................... 30

Componentes do COBIT .............................................................................. 31

Critrios da Informao .............................................................................. 31

Recursos de TI ............................................................................................. 32

Processos de TI ............................................................................................ 33

O Cubo do COBIT ......................................................................................... 33

As Metas do COBIT ...................................................................................... 34

Monitoramento e Performance .................................................................. 35

Diretrizes de Gerenciamento ...................................................................... 35

Modelos de Maturidade ............................................................................. 38

Diretrizes de Auditoria ................................................................................ 40

Diretrizes de Gerenciamento ...................................................................... 41Pontos Fracos .............................................................................................. 42

Excelncia em TI .......................................................................................... 42

Requisitos para a Auditoria de Processos de TI .......................................... 43

Processos e Plataformas ............................................................................. 43

Estrutura do Processo de Auditoria ............................................................ 44

Processo de TI ............................................................................................. 44

Compreenso dos Riscos dos Processos ..................................................... 45

Avaliao dos controles sobre os processos ............................................... 45

Avaliao da conformidade dos processos ................................................. 46

Apontando Riscos ....................................................................................... 46

Prticas de Controle .................................................................................... 47

Tratamento dos riscos................................................................................. 47


5

Mitigao de Riscos ..................................................................................... 48

Transferncia de riscos ............................................................................... 48

Evitar riscos ................................................................................................. 48

Aceitao de riscos ...................................................................................... 48

Modelo RACI ............................................................................................... 49

Matriz de responsabilidades do RACI ......................................................... 49

Definir os Processos de TI, a Organizao e Relacionamentos ................... 50

COBIT e Outros Padres .............................................................................. 50

Framework de Controle .............................................................................. 51

Domnios e Objetivos de Controle do CobiT ................................................... 52

Domnios do CobiT ...................................................................................... 52

Objetivos de Controle do CobiT .................................................................. 52

Planejar e Organizar .................................................................................... 53

Adquirir e Implementar .............................................................................. 53Entregar e Suportar ..................................................................................... 54

Monitoramento e Avaliao ....................................................................... 54

Processos de Controle ................................................................................. 55

Framework de Controle .............................................................................. 55

Processos do CobiT ..................................................................................... 56

Objetivos de Controle Genricos ................................................................ 56

PC1Objetivos e Metas do Processo ..................................................... 57

PC2Proprietrio do Processo .............................................................. 57

PC3Repetio do Processo .................................................................. 57

PC4Papis e Responsabilidades .......................................................... 57

PC5Poltica, Planos e Procedimentos .................................................. 58

PC6Melhoria da Performance do Processo ......................................... 58


6

Objetivos SMARRT ...................................................................................... 58

[S]pecif: Especfico .................................................................................. 59

[M]easurable: Mensurvel ...................................................................... 59

[A]ttainable ou Achievable: Alcanvel .................................................. 60

[R]ealistic: Realista .................................................................................. 60

[T]imely ou Time-bounded: em tempo ................................................... 61

Controles de Aplicao ............................................................................... 61

Funes dos Controles de Aplicao ........................................................... 62

AC1Autorizao e Preparao da Fonte de Dados .............................. 62

AC2Coleo de Fonte de Dados e Alimentao .................................. 62

AC3Verificao de Preciso, Completude e Autencidade ................... 63

AC4Processamento com Integridade e Validade ................................ 63

AC5Reviso de Sadas, Reconciliao e Tratamento de Erros ............. 63

AC6Integridade e Autenticao de Transaes .................................. 63Planejar e Organizar ........................................................................................ 64

Descrio do Processo ................................................................................ 64

Domnio planejar e organizar (PO) .............................................................. 65

PO1Definir um Plano Estratgico de TI ............................................... 65

PO2Definir a Arquitetura da Informao ............................................ 66

PO3Determinar a Direo Tecnolgica ............................................... 68

PO4 Determinar os Processos de TI, sua Organizao eRelacionamentos ..................................................................................... 69

PO5Gerenciar os Investimentos em TI ................................................ 70

PO6Comunicar Metas Gerenciais e Direcionamento .......................... 71

PO7Gerenciar Recursos Humanos de TI .............................................. 73

PO8Gerenciar Qualidade ..................................................................... 74

PO9Avaliar e Gerenciar Riscos de TI.................................................... 75


7

PO10Gerenciar Projetos ...................................................................... 76

Adquirir e Implementar .................................................................................. 78


Adquirir e implementar (AI) ........................................................................ 79

AI1Identificar Solues Automatizadas ............................................... 79

AI2Adquirir e Manter Software Aplicativo .......................................... 80

AI3Adquirir e Manter Infraestrutura Tecnolgica ............................... 81

AI4Habilitar Operao e Uso ............................................................... 82

AI5Obteno de Recursos de TI .......................................................... 83

AI6Gerenciar Mudanas ...................................................................... 84

AI7Instalar e Validar Solues e Mudanas ........................................ 85

Entregar e Suportar ......................................................................................... 87


Entregar e suportar (DS) ............................................................................. 88DS1Definir e Gerenciar Nveis de Servio ............................................ 88

DS2Gerenciar Servios de Terceiros .................................................... 89

DS3Gerenciar Performance e Capacidade .......................................... 90

DS4Garantir a Continuidade dos Servios ........................................... 91

DS5Garantir a Segurana dos Sistemas ............................................... 92

DS6Identificar e Alocar Custos ............................................................ 94

DS7Educar e Treinar Usurios ............................................................. 95

DS8Gerenciar Central de Servios e Incidentes .................................. 96

DS9Gerenciar a Configurao ............................................................. 97

DS10Gerenciar Problemas .................................................................. 97

DS11Gerenciar Dados.......................................................................... 98

DS12Gerenciar os Ambientes Fsicos .................................................. 99


8

DS13Gerenciar Operaes ................................................................ 100

Monitorar e Avaliar ....................................................................................... 102

Descrio do Processo .............................................................................. 102

Monitorar e Avaliar (ME) .......................................................................... 103

ME1Monitorar e Avaliar a Performance da TI .................................. 103

ME2Monitorar e Avaliar Controles Internos ..................................... 104

ME3Assegurar Aderncia com Requisitos Externos.......................... 105

ME4Prover Governana de TI ........................................................... 106

Famlia de Produtos do CobiT ....................................................................... 108

COBIT Online ............................................................................................. 108

COBIT Quickstart ....................................................................................... 109

Guia de Implementao de Governana de TI .......................................... 109

COBIT Security Baseline ............................................................................ 110

Val IT .......................................................................................................... 110Exame de Certificao ................................................................................... 111

Situao do mercado atual (2008 a 2012) ................................................ 111

COBIT Foundations .................................................................................... 112

Fatores Crticos de Sucesso ....................................................................... 112

Resumo ......................................................................................................... 114

Resumo dos principais tpicos do curso ................................................... 114

Governana de TI ...................................................................................... 114

Objetivo da Governana de TI ................................................................... 114

Conceitos Bsicos do CobiT ....................................................................... 115

Componentes do COBIT (cubo do COBIT) ................................................. 115

Processos de TI ...................................................................................... 115

Recursos de TI ....................................................................................... 116


9

Critrios de informao / Requisitos de negcio .................................. 116

Indicadores ................................................................................................ 116

Outcome Measures (Indicadores de Resultado)................................... 116

Performance Indicators (Indicadores de Performance)........................ 116

RACI e Maturidade .................................................................................... 117

Matriz RACI ........................................................................................... 117

Modelos de Maturidade ....................................................................... 117

Informaes .............................................................................................. 117

Diretrizes de auditoria .......................................................................... 117

Prticas de Controle .............................................................................. 118

Produtos do COBIT ................................................................................ 118

Dica Importante .................................................................................... 118

A equao da TI ..................................................................................... 118

Encerramento ........................................................................................... 119Glossrio........................................................................................................ 120

Balanced Scorecard ................................................................................... 120

COSO ......................................................................................................... 120

Eficincia ................................................................................................... 121

Eficcia ...................................................................................................... 121

ISO 20000 .................................................................................................. 121

ISO 27001 .................................................................................................. 122

Anexo 1 ......................................................................................................... 123

Matriz RACI ............................................................................................... 123

Anexo 2 ......................................................................................................... 124

Lei Sarbanes-Oxley .................................................................................... 124

Requisitos da Lei ....................................................................................... 125


10

Seo 404 .................................................................................................. 125

Anexo 3 ......................................................................................................... 126

Teste Simulado .......................................................................................... 126

Gabarito .................................................................................................... 136


11

INTRODUO

Este mdulo tem como objetivo trazer a voc uma viso geral sobre toda aestrutura, conceitos, modelos de trabalho, reas de aplicao, vantagens edesvantagens do COBIT. Dominar os conceitos aqui apresentados dar a voctotal condio de prestar o exame de certificao COBIT Foundations.

Empresas e TI

Atualmente as empresas, de um modo geral, esto com seus processosinternos cada vez mais dependentes de recursos de Tecnologia daInformao (TI), o que implica em uma necessidade cada vez maior de fazeruma gesto sobre os riscos em TI para no comprometer a continuidade donegcio.

Alm disso, e possvel observar que em empresas de pequeno, mdio ougrande porte, nacionais ou multinacionais, a dependncia da TI tosignificativa a ponto de se tornar praticamente invivel pensar na operaodo negcio sem considerar os recursos tecnolgicos envolvidos.

H casos, nos mais diversos segmentos de mercado, onde a TI integra-setotalmente ao negcio a ponto de que isso se torne um diferencialcompetitivo no mercado e assegura o futuro da empresa.

O segmento bancrio um excelente exemplo onde a tecnologia se tornouvital para o negcio da empresa.

Partindo desta anlise fica evidente que a gesto sobre os riscos de TI fundamental para assegurar a continuidade dos negcios.

Assim, a proposta deste mdulo apresentar a voc como a estrutura do

CobiT permite aplicar as melhores prticas de mercado para a Gesto deRiscos de TI e como possvel, por meio desta iniciativa, alcanar no s a


12

excelncia operacional, mas tambm estabelecer um modelo de governanaque mantenha a rea de TI integrada aos objetivos de negcio e oferea aempresa condies adequadas para alcanar seus objetivos estratgicos.

importante ter em mente que possvel integrar os principais modelos demercado para gerenciar adequadamente os riscos de TI em um cenrio cadavez mais complexo e competitivo, e onde o tempo de resposta da TI emrelao s necessidades do negcio faz a diferena entre permanecer nomercado ou perder espao para a concorrncia.


13

ACOMPLEXIDADE DA TI

Conceito de Risco

Segundo o dicionrio Houaiss, risco :

"A probabilidade de insucesso, de malogro de determinada coisa, em funode acontecimento eventual, incerto, cuja ocorrncia no dependeexclusivamente da vontade dos interessados."

Trazendo este conceito a realidade de mercado, do ponto de vista de Gesto

Empresarial, necessrio considerar, no mnimo, risco de mercado, decrdito, legal e operacional, sendo que podemos definir o clculo do riscocomo a tentativa de se medir o grau de incerteza na obteno do retorno

esperado em uma determinada aplicao financeira ou investimento

realizado.


14

Gesto do Risco

Todos estes conceitos so tratados no Mdulo I Fundamentos emGovernana de TIdesta Unidade de Estudo. No entanto, antes de comear atratar o framework do COBIT e como ele oferece uma base para a Gesto deRiscos em TI, vamos conhecer um caso real sobre os benefcios ounecessidades de se fazer uma Gesto de Riscos para o negcio da empresa.

Um exemplo deste cenrio pode ser observado na prpria OrganizaoBradesco. Est definido em seu portal que:

Considerar o gerenciamento de riscos essencial em todas as suasatividades, utilizando-o com o objetivo de adicionar valor ao seunegcio, na medida em que proporciona suporte s reas comerciais noplanejamento de suas atividades, maximizando a utilizao de recursosprprios e de terceiros, em benefcio dos acionistas e da sociedade.

Dentro da Organizao Bradesco considera-se, ainda, que:

A atividade de gerenciamento de riscos altamente relevante emvirtude da crescente complexidade dos servios e produtos ofertadospela Organizao e tambm em funo da globalizao de seusnegcios.

Por esse motivo, a Organizao aprimora continuadamente suas

atividades relacionadas ao gerenciamento de riscos, atividades estasdevidamente alinhadas com as regulamentaes aplicveis, aderentess recomendaes e melhores prticas utilizadas internacionalmente eadaptadas nossa realidade.

A Organizao Bradesco no o nico exemplo, na realidade, empresasde todos os segmentos, no mundo inteiro, esto presenciando umdesenvolvimento significativo da tecnologia em relao aos negcios.


15

A Organizao realiza considerveis investimentos nas aesrelacionadas aos processos de gerenciamento de riscos especialmente

na capacitao do quadro de funcionrios, com o objetivo de elevar aqualidade da execuo e de garantir o necessrio foco, intrnsecos aestas atividades, que produzem forte valor agregado.

Fonte: BANCO BRADESCO, Gerenciamento de Risco e Compliance.(Acesso em 22 ago. 2009). Disponvel em:Bradescori

A Falta de Gesto de Riscos

A TI deixou de lado o papel de dar suporte ao negcio e, principalmente narea financeira, se tornou a estratgia do prprio negcio. O nvel dedependncia de tecnologia para o mercado financeiro algo muito difcil deser mensurado, no entanto, se entendermos que a TI um conjuntoestrutural na qual a empresa depende para realizar suas atividades, o nvelde dependncia 100%.

Este quadro deixa evidente a necessidade das empresas em estabelecer eimplementar mecanismos de controle, no s no que diz respeito Gestode Riscos, como tambm pelo fato de que estas esto sujeitas a legislao eregulamentao existente para o mercado nacional ou internacional, e exatamente respondendo a este tipo de necessidade que o CobiT pode seraplicado.

A Atuao dos CIOs

Os CIOs de hoje precisam assegurar alinhamento dos servios de TI com asnecessidades atuais e futuras da empresa. Os investimentos em TI devem serdirecionados de modo a possibilitar que a empresa alcance os resultadosdesejados, onde a prontido tecnolgica torna-se fundamental para a

empresa vencer os desafios de curto, mdio e longo prazo.
http://www.bradescori.com.br/http://www.bradescori.com.br/http://www.bradescori.com.br/http://www.bradescori.com.br/


16

Por outro lado, por no haver maturidade nas empresas em relao anecessidade de se adotar prticas de Governana de TI, inmeras tecnologiasforam incorporadas aos negcios em resposta imediata necessidades da

empresa e aumentaram a complexidade dos ambientes de TI. Aliado a estefator tambm existe a questo de crescimento ou expanso das empresas,levando inclusive a ampliar suas instalaes no s dentro do pas, comotambm no exterior.

Gerenciando os Riscos

A TI est incorporada pelo negcio de tal maneira que agora, caso os serviosde TI sejam interrompidos por qualquer que seja o motivo, as operaes daempresa so impactadas de uma maneira a trazer impactos financeiros nosresultados.

Outro desafio que os CIOs esto enfrentando atualmente a necessidade dereduzir custos e gerenciar riscos de modo que eventuais falhas na

infraestrutura de TI no tenham impacto para o negcio.

A dependncia cada vez maior do negcio em relao aos servios de TIgerou grandes investimentos em projetos e processos, de modo que o CIOrecebe forte presso do CEO e do conselho de administrao para minimizarcustos operacionais por meio de uma melhor gesto nos projetos, alm degerenciar adequadamente os riscos relacionados a mudanas nainfraestrutura de TI.

Gesto de Riscos

Neste mdulo voc aprendeu que as melhores prticas descritas na ITIL soto relevantes que se tornaram um padro de fato no mercado de TI.

Seus conceitos so aplicados aos nveis operacional e ttico e permitem que a

rea de TI estruture o ciclo de vida de seus servios como um todo, de modoa alcanar excelncia operacional.


17

J o framework do CobiT focado no nvel estratgico e, por se tratar de umframework de controle, possibilita que a TI tenha seu desempenho

mensurado e seus riscos devidamente apontados e tratados.

Sendo assim, estudaremos toda a estrutura do CobiT nos mdulos seguintes.


18

INTRODUO AO COBIT

COBITControl Objectives for Information and Related Technology

Objetivos de Controle para Informaes e Tecnologias Relacionadas

Explicando:

Objetivos de Controle para as Informaes (da organizao) eTecnologias Relacionadas ( informao, ou seja, os ativosinformacionais da organizao)

O COBIT, atualmente na verso 4.1, um framework de controle que setornou mundialmente aceito nas empresas em funo dos benefcios queproporciona.

Diferente do framework do COSO, que um modelo de controle genrico, O

COBIT focado unicamente em TI e sua estrutura oferece uma base slidapara se estabelecer um modelo de Governana de TI.

A misso apresentada no COBIT 4.1 (2007, p.13) :

"Pesquisar, desenvolver, publicar e promover um conjunto deobjetivos de controle para tecnologia que seja embasado, atual,internacional e aceito em geral para o uso do dia-a-dia de gerentes

de negcio e auditores."

Ao estudar o framework do COBIT com maior profundidade possvelidentificar que ele especifica os objetivos de controle, mas no detalha comoos processos podem ser definidos.

O COBIT no um padro, no uma norma como as ISO 20.000, ISO 17.799

ou ISO 9.001, e ele tambm no serve como guia para maximizar osbenefcios da TI.


19

Em vez disso, o COBIT ajuda a direcionar ou priorizar os esforos e recursosda TI para atender aos requisitos do negcio. A adoo do COBIT no tem

como meta controlar todos os processos, mas apenas identificar quaisprocessos da TI esto impactando, ou gerando riscos para o negcio, demodo a priorizar o gerenciamento destes processos.

O framework de controle do COBIT segue a premissa que no possvelgerenciar aquilo que no se mede. Desta forma ele prope uma srie deobjetivos de controle e seus respectivos indicadores de desempenho.

Modelo

O modelo tambm considera que a TI precisa entregar a informao que aempresa precisa para alcanar os seus objetivos de negcio.

Alm disso, possvel identificar tambm que o COBIT compatvel com

outros padres de mercado, pois ele se posiciona em um nvel genrico,abrangendo vrios processos de TI, definindo os objetivos de cada um ecomo devem ser controlados. No entanto, o COBIT no foca em como cadaprocesso deve ser implementado, sendo exatamente este o motivo que oleva a ser compatvel ou complementar a outros modelos existentes.

O framework do COBIT foi criado tendo como principais caractersticas o focono negcio, a orientao a processos, ser baseado em controles e

direcionado por mtricas.

Adotar COBIT ajuda uma empresa a implementar boas prticas emgovernana de TI, pois ele oferece um guia de melhores prticas edirecionamento.

Sua estrutura classifica os processos em 4 domnios, e apresenta atividadesem uma estrutura gerencivel e lgica.


20


Prticas do COBIT

As boas prticas do COBIT representam um consenso entre especialistas noque diz respeito a Governana de TI, pois seu framework extremamentefocado no controle e pouco focado na execuo.

Estas prticas ajudam a otimizar os investimentos em TI, assegurando aentrega do servio e fornecendo uma mensurao que possibilita identificar aperformance de cada objetivo de controle e, como consequncia, tomaraes gerenciais para mitigar riscos e atingir os resultados desejados.

O COBIT independente da plataforma de TI adotada nas empresas, tambm totalmente independente do tipo de negcio e do valor e participao quea tecnologia da informao tem na cadeia produtiva da empresa.

O framework do COBIT hoje uma referncia mundial utilizado na avaliaode controles e maturidade de processos de TI e, por esta razo, tem sidoadotado em diversos projetos de governana de TI

Descrio do COBIT

H alguns anos, o mercado de TI tinha uma tendncia de buscar alinhamentoao negcio. Dentro deste contexto, a TI tinha foco ttico e operacional enormalmente era tratada como um centro de custo. Seu papel era darsuporte a estratgia de negcio e precisava ser gil.

Porm, o mercado atual mostra que agilidade e alinhamento soimportantes, mas no so suficientes. A TI precisa ser um meio de ativaopara a empresa, ela passa a ser parte da estratgia de negcios, funciona

totalmente orientada a servios de modo que a rea de TI acabe alavancandovantagem competitiva.


21

O Mdulo I deste curso mostra que para negociar papis na Bolsa de NovaYorque (NYSE) as empresas precisam se adequar as exigncias da Lei

Sarbanes-Oxley / SOX (Anexo 2). Esta, por sua vez, determina a criao doPublic Company Accounting Oversight Board (PCAOB), ou seja, um Conselhode Auditores de Companhias Abertas.

Esse conselho de auditores (o PCAOB) tem como misso estabelecer asnormas de auditoria, controle de qualidade, tica e independncia emrelao aos processos de inspeo e a emisso dos relatrios de auditoria.

O PCAOB recomenda que as empresas utilizem um framework adequado, ereconhecido no mercado, para avaliar seus controles internos, e citaespecificamente o framework doCOSO.

No que diz respeito governana de TI, o COBIT framework de controlepara processos de TI que melhor atende as exigncias do COSO.

O framework do COBIT, por sua vez, est situado em um nvel maisestratgico e sugere o uso de outros frameworks que podem ser vistos comocomplementares e necessrios para que se estabelea um modelo degovernana de TI.

Inmeros modelos, referncias e guias de melhores prticaspodem ser adotados para estabelecer um modelo de

governana de TI para as organizaes.


22

As caractersticas do COBIT o deixam posicionado em um nvel maisestratgico quando comparado a outros frameworks, normas ou padres que

se complementam, a figura acima ilustra o posicionamento e os pontos deintegrao do COBIT em relao a outros modelos.

Cabe aos executivos avaliar qual o melhor modelo para atender asnecessidades de negcio de suas empresas, mas evidente que aregulamentao externa (SOX/Basilia II) direciona fortemente a adoo doCOBIT em suas prticas de governana de TI.

Um fator extremamente significativo o que o COBIT, por ser um frameworkde controle de alto nvel, aponta o que deve ser controlado, mas no dizcomo fazer. Ele se encaixa perfeitamente com as melhores prticas paragesto de servios de TI descritas na IT Infrastructure Library (ITIL), que temfoco mais ttico e operacional em relao aos processos internos de TI.

O Framework COBITOs frameworks do COBIT e do ITIL se complementam e cobrem grande

parte dos aspectos da organizao da TI, de modo que quando as prticasestabelecidas em cada modelo so adotadas pelas organizaes de TI, emseus processos internos, o risco operacional de TI reduzido de maneirasignificativa.

vlido aproveitar este momento e destacar que para tratar da Gesto deRiscos em TI na sua totalidade, necessrio tambm tratar os riscos emprojetos de TI.

O foco deste estudo para o Gerenciamento de Projetos de TI so as prticasdescritas no Project Management Body of Knowledge (PMBOK) publicado emantido pelo Project Management Institute (PMI).


23

Gesto do Risco em TI

Voc poder aprender sobre a Gesto de Risco em projetos de TI em umcurso de Gesto de Projetos que siga o PMBOK. Por hora, basta considerarque no basta fazer gesto de riscos somente na operao do negcio ou naoperao da TI.

Na sequncia sero apresentadas as verticais que devem ser gerenciadaspara a integrao entre TI e o negcio, bem como quais modelos de mercadocujas prticas podem ser aplicadas em cada vertical.

Chegar a uma combinao relevante e importante de elementos permitirestabelecer uma possvel estrutura para as prticas de governana de TI,relacionando os frameworks, normas tcnicas e guias de melhores prticas,dentre outros, nas diversas frentes existentes entre o negcio e a operaoda TI.

Tudo isso visa fazer com que a TI se torne um parceiro estratgico para que

as empresas possam alcanar seus objetivos de negcio.

A Tecnologia da Informao relativamente nova se comparada aEngenharia, Arquitetura, Medicina ou Advocacia, no entanto, o conjunto demelhores prticas que ser apresentado a seguir vem passando por um ciclode melhoria contnua cujos resultados positivos vem sendo comprovadospelo marcado h pelo menos 10 anos.


24

Caractersticas do COBIT

Como dito anteriormente, o framework de controle do COBIT parte dapremissa que no possvel gerenciar aquilo que no se mede. Desta formaele prope uma srie de objetivos de controle e seus respectivos indicadoresde desempenho.


Alm disso, o COBIT compatvel com outros padres de mercado,pois elese posiciona em um nvel genrico, abrangendo vrios processos de TI,definindo os objetivos de cada um dos processos e como devem sercontrolados.

O COBIT no foca em como cada processo deve ser implementado, sendoexatamente este o motivo que o leva a ser compatvel ou complementar aoutros modelos existentes.


25

O framework do COBIT foi criado tendo como principais caractersticas:

O foco no negcio

A orientao a processos

Ser baseado em controles

Ser direcionado por mtricas

Foco do COBIT

Sua estrutura classifica os processos em 4 domnios, e apresenta atividadesem uma estrutura gerencivel e lgica.

As boas prticas do COBIT representam um consenso entre especialistas, poisseu framework extremamente focado no controle. Estas prticas ajudam aotimizar os investimentos em TI, assegurando a entrega do servio efornecendo uma mensurao que possibilita identificar a performance decada objetivo de controle e tomar aes gerenciais para mitigar riscos e

atingir os resultados desejados.

O COBIT independente da plataforma de TI adotada nas empresas, tambm totalmente independente do tipo de negcio e do valor e participao quea tecnologia da informao tem na cadeia produtiva da empresa.

O framework do COBIT hoje uma referncia mundial utilizado na avaliaode controles e maturidade de processos de TI e, por esta razo, tem sidoadotado em diversos projetos de governana de TI.

Objetivos do COBIT

O COBIT tem como objetivos:

Ser um padro aceito nas melhores prticas de governana de TI. Aplicar as melhores prticas a partir de uma matriz de domnios,

processos e atividades estruturados de forma lgica e gerencivel.


26

Auxiliar na associao entre:

Os riscos no negcio As necessidades de controle

Aspectos tecnolgicos

Histrico do COBIT

O COBIT teve sua primeira publicao realizada em 1996 com foco nocontrole e anlise dos sistemas de informao. Sua segunda edio, em 1998,

ampliou a base de recursos adicionando o guia prtico de implementao eexecuo. A edio atual (4.1) j sob a coordenao do IT GovernanceInstitute (ITGI), introduz as recomendaes de gerenciamento de ambientesde TI dentro de um modelo de maturidade de governana.

O COBIT foi desenvolvido inicialmente pela fundao do Information SystemsAudit and Control Association (ISACA), que uma instituio fundada em1967, e atualmente mantido pelo ITGI, cuja fundao ocorreu em 1998.

Para maiores informaes sobre o ISACA e o ITGI, visite os sites:Isaca,Itgi.

Estrutura Atual do COBIT

O COBIT chegou a sua estrutura atual contando com um conjunto decontribuies de vrias empresas e organismos internacionais, entre eles

podemos citar:

Padres tcnicos da ISO e EDIFACT, dentre outros. Cdigos de conduta emitidos pelo Conselho de Europa, OECD, ISACA

e outros.

Critrios de qualificao para TI e processos: ITSEC, TCSEC, ISO 9000,SPICE, TickIT dentre outros.

Padres profissionais para controles internos e auditoria, como o

COSO, IFAC, AICPA, CICA, ISACA, IIA, PCIE, GAO e outros.
http://www.isaca.org/http://www.isaca.org/http://www.isaca.org/http://www.itgi.org/http://www.itgi.org/http://www.itgi.org/http://www.itgi.org/http://www.isaca.org/


27

Prticas e exigncias dos fruns da indstria e das plataformasrecomendadas pelos governos (IBAG, NIST, DTI), etc..

Exigncias das indstrias emergentes como operao bancria,comrcio eletrnico e engenharia de software.

Com a dependncia cada vez maior nos recursos de tecnologia asorganizaes passam a ter a necessidade de demonstrar controlescrescentes em segurana.

Desempenho e Progresso

Cada organizao deve buscar a compreenso de seu prprio desempenho edeve medir o seu progresso. O benchmarking (comparativo) com outrasorganizaes passa a fazer parte da estratgia das empresas para conseguir amelhor competitividade em TI.

O COBIT, por meio de suas recomendaes de gerenciamento e com aorientao no modelo de maturidade em governana, auxilia os gerentes de

TI no cumprimento de seus objetivos, alinhados com os objetivos daorganizao.

As diretrizes de gerenciamento do COBIT focam na gerncia pordesempenho, usando os princpios do Balanced ScoreCard (BSC). Seusindicadores principais identificam e medem os resultados dos processos,avaliando seu desempenho e alinhamento com os objetivos dos negcios daorganizao.

Vantagens do COBIT

Adotar o COBIT como modelo de governana torna-se vantajoso por:

Mapear os maiores padres e frameworks de mercado, como o ITIL,

aISO 20.000e a ISO27.001. Ajudar a entender os requisitos regulatrios.

Ser compatvel com o COSO quanto ao controle do ambiente de TI.


28

Definir uma linguagem comum entre TI e o negcio.

Ser focado nos requisitos de negcio. Ser aceito internacionalmente como framework de modelo para

Governana de TI;.

Ser orientado a processos.

Ser suportado por ferramentas e treinamento.

Estar em desenvolvimento contnuo.

O Pblico do COBIT

O COBIT foi projetado para ser utilizado por trs pblicos distintos.

Administradores podem fazer uso do COBIT para auxili-los na avaliaoentre risco, investimento e controle de ambientes muitas vezes imprevisveis,como o de TI.

Usurios podem utilizar para se certificarem da segurana e dos controlesdos servios de TI fornecidos internamente ou por terceiros.


29

Por ltimo, mas no menos importante, o COBIT tambm pode ser utilizadopor Auditores de Sistemas,onde serve como subsdio das opinies emitidasou para prover aconselhamento aos administradores sobre os controles

internos.

Evoluo do COBIT

Observe na linha do tempo apresentada a seguir a evoluo do COBIT e ofoco principal de cada publicao realizada.

Estrutura do COBITO princpio da estrutura do COBIT o de proverum link entre as expectativas e asresponsabilidades de gerenciamento de TI. Oobjetivo facilitar a governana de TI paraagregar valor a TI, por meio do gerenciamentodos riscos de TI.

O princpio do framework derivado de um


30

modelo que mostra a informao com qualidade sendo produzida poreventos realizados ou executados nos recursos de TI, conforme apresentadona figura ao lado.

O COBIT um framework e tambm uma base de conhecimento para os

processos de TI e o gerenciamento destes. Ele no um padro definitivo edeve ser adaptado para a realidade de cada empresa. Trata-se de umframework de controle que tem o propsito deassegurar que os recursos deTI estaro alinhados com os objetivos da organizao.

O framework tambm baseado na premissa de que a TI precisa entregarinformao que a empresa necessita para atingir seus objetivos, fazendo comque a TI seja mais responsiva ao negcio.

Caractersticas do Framework

Define uma linguagem comum entre

TI e o negcio Ajuda a entender os

requisitos regulatrios

um padro aceito entreempresas

orientado aprocessos

focado nos

requisitos denegcio


31

Componentes do COBIT

praticamente impossvel falardos componentes do COBIT semcitar o termo conhecido nomercado como cubo do COBIT. Oconceito de cubo utilizado pararepresentar como oscomponentes se inter-relacionam,pois ele ilustra de maneira

fidedigna as dimenses e seurespectivo relacionamento.

A figura ao lado ilustra que oframework do COBIT considera a necessidade de relacionar os processos deTI, os recursos de TI e os critrios de informao, conforme ser tratado aseguir.

Critrios da Informao

Efetividade - trata das informaes que so relevantes e pertinentes aosprocessos de negcio. Essas informaes precisam estar disponveis emtempo hbil, corretas, consistentes, e devem ser apresentadas de uma formatil.

Eficincia- trata do provimento de informaes pelo melhor (mais produtivoe econmico) uso dos recursos.

Confidencialidade - trata da proteo das informaes contra acessos no-autorizados.

Integridade- trata da preciso e da totalidade (integridade) das informaes,assim como sua validade e concordncia com os valores e as expectativas do

negcio.


32

Disponibilidade - trata da disponibilidade da informao quando requeridapelos processos do negcio, em qualquer momento. Trata tambm dasalvaguarda dos recursos necessrios e capacidades associadas.

Conformidade- trata do cumprimento das leis, regulamentos e contratos aosquais os processos de negcio esto sujeitos, ou seja, externamenteimpostos, assim como do cumprimento das polticas internas.

Confiabilidade- trata do provisionamento de informaes apropriadas para ogerenciamento, a operao e o exerccio das responsabilidades fiducirias e

de governana da instituio.

Recursos de TI

O COBIT considera que Recursos de TI so gerenciados pelos processos de TIpara fornecer as informaes que a empresa necessita para atingir seusobjetivos. O framework estabelece 4 tipos de recursos, conforme relao

apresentada a seguir:

Aplicaes - so os sistemas automatizados e procedimentos manuais paraprocessar informaes.

Informao- so os dados de todos os formulrios de entrada, processados eexibidos pelos sistemas de informao, podendo ser qualquer formulriousado pelo negcio.

Infraestrutura - considera os itens de hardware, software, sistemas debancos de dados, rede, e quaisquer itens necessrios para o funcionamentodas aplicaes.

Pessoas - so os recursos humanos necessrios para planejar, organizar,adquirir, implementar, entregar, suportar, monitorar e avaliar os sistemas deinformao e servios, podendo estes ser recursos internos ou terceirizados.


33

Processos de TI

Uma das faces do cubo do COBIT representa os processosde TI. O framework do COBIT apresenta aos processos deTI agrupados em 4 domnios, conforme segue:

Planejar e Organizar (Plan andOrganize - PO)

Adquirir e Implementar(Acquire and Implement - AI)

Entregar e Suportar (Deliverand Support - DS)

Monitorar e Avaliar (Monitorand Evaluate - ME)

O Cubo do COBIT

Como todos os componentes do COBIT esto inter-relacionados, a figura docubo utilizada para sumarizar que os recursos de TI so gerenciados pelos

processos de TI para alcanar as metas que correspondem aos requisitos donegcio.

Este o princpio bsico do framework do COBIT, e ilustrado por meio dafigura ao lado.

Por meio dele possvel observar que cada um dos 4 domnios e seus 34objetivos de controle de alto-nvel consomem Recursos de TI e necessitam

atender a requisitos de negcio.


34

Nos prximos mdulos, veremos como o desdobramento do cubo do COBITpara cada um dos 34 objetivos de controle de alto-nvel.

As Metas do COBIT

O COBIT estabelece metas e mtricas em 3 nveis:

O primeiro nvel trata de objetivos e mtricas de TI que definem o que onegcio espera da TI e como isso ser medido.

O segundo nvel trata dos objetivos e mtricas que definem o que osprocessos de TI devem entregar para suportar os objetivos de TI e como issoser medido.


35

O terceiro nvel trata dos objetivos de atividades e respectivas mtricas paraestabelecer o que precisa ocorrer dentro dos processos para alcanar aperformance desejada e como mensurar isso.

Os objetivos de TI so definidos em uma abordagem top-down, onde osobjetivos do negcio vo determinar o nmero de objetivos de TI que vosuportar o negcio.

Monitoramento e Performance

O monitoramento realizado por meio do acompanhamento de Indicadoresde Resultado (Outcome Measures), processados aps a execuo dosprocessos, e Indicadores de Performance (Performance Indicators),processados durante a execuo dos processos e utilizados para avaliar etomar aes corretivas para assegurar que os resultados esperados sejamalcanados.

Diretrizes de Gerenciamento

O framework do COBIT estabelece diretrizes de gerenciamento e estas, porsua vez, sugerem o uso da metodologiaBalanced Scorecards(BSC).


36

O BSC fornece meios para estabelecer mtricaspara alcanar as metas de TI.A metodologia do BSC v o negcio sob quatro perspectivas, estabelecendoos objetivos estratgicos da empresa e mapeando suas metas e Indicadores

de Performance, sendo que voc poder ver isso com maiores detalhes naunidade de estudo de Gesto de Servios de TI.

Por hora, importante saber que o BSC parte da definio da estratgia daempresa para, em seguida, estabelecer os objetivos estratgicos que aempresa deve alcanar sob as perspectivas Financeira, do cliente, deinovao, de aprendizado e crescimento, e de processos internos do

negcio.

A perspectiva do cliente trata dos valores que a empresa quer oferecer, ouseja, como ela quer ser vista sob a percepo do cliente.

A perspectiva de processos internosestabelece os objetivos estratgicos doque a empresa deve assumir para conseguir entregar os valoresestabelecidos na perspectiva do cliente.

A perspectiva do aprendizado e inovao trata da gesto do conhecimentoda empresa, de clima e cultura e de outros valores essenciais para a sade daempresa.

A perspectiva financeiratrata das questes de gesto financeira da empresa,quais os objetivos estratgicos para as despesas, investimentos e comoassegurar o futuro da empresa.

No h uma regra para estabelecer ou definir se h uma perspectiva mais oumenos importante, todas contm objetivos estratgicos e, portanto, todasso importantes para a empresa.

Ao avaliar os mapas estratgicos de diversas empresas, produzidos dentrodos conceitos da metodologia do BSC, possvel observar que normalmentea Perspectiva do Cliente apresentada em primeiro lugar quando a cultura

da empresa tem o foco principal no cliente.


37

J quando a cultura da empresa tem como foco principal a obteno de lucro,normalmente a perspectiva financeira apresentada em primeiro lugar.

O fato que isso realmente no importa, relevante estabelecer quais soos objetivos mais importantes da empresa, quem ser responsvel por cadaum deles (accountability) e como eles sero mensurados.

Ao avaliar a metodologia do BSC e as diretrizes de gerenciamento existentesno framework do COBIT, fica evidente que o COBIT v no BSC uma maneirade implementar o conceito do framework e estabelecer os pontos decontrole, trazendo total transparncia s partes interessadas, ou seja,clientes, parceiros, funcionrios e acionistas da empresa.


38

Modelos de Maturidade

Trata-se de modelos de referncia que possibilitam empresa avaliar eclassificar sua maturidade para um determinado processo.

O Gerenciamento e Controle sobre os processos de TI so baseados em ummtodo para avaliar sua organizao, de modo que ela pode ser classificadaem um nvel onde o processo inexistente (0 - zero) at o nvel otimizado (5).

Isto possibilita no s fazer comparaes com outras empresas

(benchmarking

1

), como tambm fazer a anlise de gap

2

avaliando onde aempresa se encontra, onde o mercado est posicionado e onde a empresadeseja chegar.

A abordagem dos modelos de maturidade do COBIT deriva do modelo dematuridade da capacidade para desenvolvimento de software definido peloSoftware Engineering Institute (SEI). Mas embora os conceitos do SEI tenhamsido seguidos, a implementao do COBIT difere do modelo original pois o

modelo de maturidade interpretado de acordo com a natureza dosprocessos de gerenciamento de TI definidos no COBIT.

Dentro de uma escala genrica com range variando entre 0 e 5, h ummodelo especfico interpretado para cada um dos 34 processos do COBIT.

1 Benchmarking a busca das melhores prticas na indstria que conduzem ao

desempenho superior. visto como um processo positivo e pr-ativo por meio doqual uma empresa examina como outra realiza uma funo especfica a fim demelhorar como realizar a mesma ou uma funo semelhante. O processo decomparao do desempenho entre dois ou mais sistemas chamado de

benchmarking, e as cargas usadas so chamadas de benchmark.2 a diferena entre o objetivo que desejamos atingir e o ponto aonde efetivamente

chegamos.


39

Maturidade Nvel 1: Inicial / Ad-Hoc - A organizao reconheceu queproblemas existem e devem ser resolvidos ou, pelo menos, endereados aquem os resolva. Entretanto, no h processos padronizados. Ao invs disso,abordagens pontuais so adotadas e h uma tendncia de serem aplicadasnuma base individual caso-a-caso. A abordagem geral de gerenciamento desorganizada.

Maturidade Nvel 2: Repetvel, mas Intuitivo Processos foramdesenvolvidos ao estgio onde procedimentos similares so seguidos por

diferentes pessoas executando a mesma tarefa. No h treinamento formalou comunicao sobre esses procedimentos padronizados e aresponsabilidade tratada de maneira individual. H um alto grau dedependncia do conhecimento de alguns indivduos e os erros so muitocomuns.

Maturidade Nvel 3: Processos Definidos Procedimentos forampadronizados, documentados e comunicados por meio de treinamento.

mandatrio que esses processos sejam seguidos e so incomuns os desvios.


40

Os procedimentos propriamente ditos no so sofisticados, mas existe umaformalizao sobre as prticas existentes.

Maturidade Nvel 4: Gerenciado e MensurvelO gerenciamento monitorae mede a aderncia aos procedimentos e toma aes onde os processosparecem no estar funcionando efetivamente. Processos esto sob melhoriaconstante e fornecem melhores prticas. Ferramentas automatizadas sousadas de modo limitado ou fragmentado.

Maturidade Nvel 5: Otimizado Processos foram definidos ao nvel das

melhores prticas, baseados nos resultados de melhoria contnua e nosmodelos de maturidade de outras organizaes. A TI usada de maneiraintegrada para automatizar os fluxos de trabalho, fornecendo ferramentaspara melhoria da qualidade e da efetividade, fazendo com que a organizaoadapte-se rapidamente.

Diretrizes de Auditoria

Alm das diretrizes de gerenciamento, o COBIT tambm traz um guia passo-a-passo para auxiliar auditores internos e externos a avaliar a performanceda empresa. Este guia conhecido no COBIT como Diretrizes de Auditoria.

A estrutura do processo de auditoria geralmente aceita pelo mercadocompreende o estgio ou etapa de identificao e documentao, ou seja, adefinio do escopo do trabalho. Na sequncia temos as etapas de avaliao,

testes de conformidade e testes substantivos.

A etapa de Identificao e Documentao visa obter umentendimento dos riscos relacionados aos requisitos de negcio emedidas de controle relevantes. J a etapa de avaliao tem comoprincipal objetivo avaliar os controles internos determinados.

A etapa de Avaliao tem como principal objetivo avaliar oscontroles internos determinados.


41

A etapa de Testes de Conformidade visa avaliar a conformidadetestando se os controles determinados esto funcionando conformesua definio, consistentemente e continuamente.

E finalmente, a etapa de Testes Substantivos verifica os riscos dosobjetivos de controle que no esto sendo alcanados, por meio detcnicas analticas ou consultando fontes alternativas.

Levando estas quatro etapas em considerao, um processo de TI auditadopor meio da obteno do entendimento dos riscos relacionados com osrequisitos de negcio e medidas de controle relevantes. Na sequncia ocorre

a avaliao dos controles determinados, identificando se estes controles soapropriados ao que se prope.

Diretrizes de Gerenciamento

Posteriormente se executa a avaliao de conformidade por meio de testesque devem identificar se os controles estabelecidos esto funcionando como

previsto e, por ltimo, se executa a substanciao dos riscos dos objetivos decontrole que no esto sendo atingidos.

Estas etapas devem ser executadas em funo da necessidade que a altaadministrao tem de assegurar que as metas e os objetivos da TI sejamatingidos e que os controles principais estejam sendo aplicados no dia-a-dia.

As diretrizes de gerenciamento descrevem e sugerem atividades deauditoria/avaliao para serem executadas para cada um dos 34 objetivos decontrole de alto nvel do COBIT, de modo que dentre os principais objetivosdas diretrizes de auditoria possvel citar que estas devem fornecer umgerenciamento de modo a assegurar que os objetivos de controle estejamsendo alcanados.


42

Pontos Fracos

Outro ponto importante o fato de identificar pontos fracos em controlesque so significantes ao negcio da empresa, sendo que, para estes casos, asdiretrizes de auditoria direcionaro que estes pontos tenham os riscosverificados de modo que seja possvel aconselhar a alta administrao emrelao a aes corretivas para mitigar ou eliminar os riscos.

Assim, o propsito das diretrizes de auditoria fornecer uma estruturasimples para controles de auditoria e avaliao baseados em prticas de

auditoria geralmente aceitas pelo mercado.

De maneira geral, os negcios de uma organizao definem os requisitos paraos processos de TI, e estes, por sua vez, alimentam as reas de negcio cominformaes teis para a organizao.

Excelncia em TI

Assim, a estrutura do COBIT permite avaliar o desempenho dos processos deTI por meio dos indicadores de resultado (outcome measures) e por meio dosindicadores de desempenho (performance indicators), alm de tambmcontar com um modelo de maturidade para anlise de GAP entre o nvelatual de maturidade dos processos de TI e o nvel desejado pela empresa.

A excelncia operacional dos processos de TI alcanada por meio da busca

pelos objetivos de cada atividade dos processos.

Os processos, por sua vez, so controlados por meio dos objetivos decontrole do COBIT, que so implementados atravs de prticas de controle.

Assim, os objetivos de controle podem ser traduzidos em diretrizes deauditoria que so ento utilizadas para auditar os processos de TI.


43

Requisitos para a Auditoria de Processos de TI

Definir o escopo da auditoria fundamental para o dimensionamento doesforo necessrio para executar este processo de controle. Para que issoseja feito de maneira adequada, importante levar em conta a preocupaocom os processos de negcio, plataformas, sistemas e seu relacionamentocom o suporte aos processos de negcio e, finalmente, as funes eresponsabilidades na estrutura organizacional.

O prximo passo identificar requisitos de informao relevantes para os

processos do negcio. Para isso fundamental entender qual a relevnciade cada processo.

Na sequncia, necessrio identificar os riscos de TI inerentes aos processosalm de um nvel de controle abrangente.

Aqui devem ser levadas em considerao quaisquer mudanas recentes ouincidentes que impactaram o negcio ou o ambiente de TI, resultados de

auditorias anteriores, auto-avaliaes e certificaes que a empresa venha ater como, por exemplo, a ISO 20.000. Alm disso, tambm importanteavaliar os controles de monitorao que so aplicados pela administrao daempresa.

Processos e Plataformas

Aqui devem ser levadas em considerao quaisquer mudanas recentes ouincidentes que impactaram o negcio ou o ambiente de TI, resultados deauditorias anteriores, auto-avaliaes e certificaes que a empresa venha ater como, por exemplo, a ISO 20.000. Alm disso, tambm importanteavaliar os controles de monitorao que so aplicados pela administrao daempresa.

O prximo passo selecionar quais so os processos e plataformas a serem

auditadas. Isso ajuda a focar nos itens mais relevantes, lembrando que


44

importante no s considerar os processos, como os recursos envolvidosnestes.

O ltimo passo das diretrizes de auditoria o de criar uma estratgia deauditoria. neste ponto que se avaliam quais so os controles disponveis emrelao aos riscos identificados, quais sero os passos e tarefas necessriaspara executar a auditoria e quais sero os pontos de deciso.

Estrutura do Processo de Auditoria

O prximo passo selecionar quais so os processos e plataformas a seremauditadas. Isso ajuda a focar nos itens mais relevantes, lembrando que importante no s considerar os processos, como os recursos envolvidosnestes.

O ltimo passo das diretrizes de auditoria o de criar uma estratgia deauditoria. neste ponto que se avaliam quais so os controles disponveis em

relao aos riscos identificados, quaissero os passos e tarefas necessriaspara executar a auditoria e quais seroos pontos de deciso.

De modo geral, a estrutura do processode auditoria normalmente aceita pelomercado, compreende quatro etapas ou

estgios principais, conforme ilustradopela figura ao lado.

Processo de TI

Um processo de TI auditado por meio da compreenso dos riscosrelacionados com os requisitos de negcio e quais so as medidas de

controles relevantes para cada risco identificado.


45

A partir deste cenrio, se executa uma avaliao dos controles determinadoscom o objetivo de se certificar que estes so apropriados.

O prximo passo a avaliao da conformidade utilizando testes quepossibilitem verificar se um determinado ponto de controle est funcionandocomo planejado, de maneira consistente e contnua.

Por ltimo se executa a substanciao dos riscos relacionados aos objetivosde controle que no esto sendo alcanados. Isso pode ser feito por meio deanlises tcnicas ou utilizando referncias alternativas.

Compreenso dos Riscos dos Processos

Esta fase fundamental para documentar as atividades que estejamrelacionadas com os objetivos de controle, bem como para identificar asmedidas e procedimentos que sero aplicados.

A equipe de auditoria segue procedimentos especficos para obter esteconhecimento, sendo que para isso podem devem entrevistar osgestores/gerentes e equipes necessrias para obter conhecimento sobre:

Os requisitos do negcio e respectivos riscos;

Polticas e procedimentos da organizao;

Leis e regulamentos aplicveis; Estrutura da organizao;

Funes e responsabilidades; Pontos de controle j aplicados;

Relatrios gerenciais.

Avaliao dos controles sobre os processos

A etapa seguinte a avaliao dos controles utilizados em cada processo,

buscando identificar se so eficazes ao que se propem, neste sentido importante determinar o que ser testado e como os testes sero realizados.


46

A equipe de auditoria deve avaliar se as medidas de controle soapropriadas, de acordo com o critrio identificado e estabelecido, podendo

utilizar prticas e padres de mercado e tambm fazendo uso do julgamentoprofissional sobre o assunto.

Estes devem buscar determinar se os processos esto documentados, se assadas dos processos, tambm conhecidas como entregveis, soapropriadas, se as responsabilidades esto claras e se h controles decompensao nos casos em que estes devem ser aplicados.

Avaliao da conformidade dos processos

Nesta etapa a equipe de auditoria busca evidncias diretas ou indiretas paraos pontos selecionados, visando identificar se os procedimentos esto emconformidade com a especificao do processo.

Neste momento tambm importante determinar o nvel de testes e otrabalho necessrio para dar assegurar que o processo avaliado estadequado.

Isto feito com o objetivo de assegurar que as medidas de controleestabelecidas esto funcionando de acordo com o previsto e que soapropriadas para o ambiente controlado.

Apontando Riscos

Finalmente, os riscos identificados para os objetivos de controle que noesto alcanando os objetivos definidos devem ter suas deficinciasdocumentadas, apontando inclusive as ameaas possveis e vulnerabilidadesexistentes.

Uma vez realizada esta anlise, a equipe de auditoria deve identificar edocumentar o impacto atual e o impacto potencial do risco ou, em outras


47

palavras, quais as chances do risco identificado se tornar uma realidade paraa empresa.

Prticas de Controle

Antes de falar das prticas de controle, importante ter em mente que cadaum dos 34 objetivos de controle do COBIT possui diretrizes de auditoriaespecficas.

As prticas de controle do COBIT fornecem aos usurios um nvel adicional dedetalhes sobre os processos, estendendo assim a capacidade de uso deCOBIT.

Os processos de TI definidos no COBIT, os objetivos de controle e osrequisitos de negcio determinam o que deve ser feito para estabelecer umaestrutura de controle efetiva.

No entanto, as prticas de controle explicam como e porque estas sonecessrias para a administrao para avaliar controles especficos com basena anlise de riscos e na operao da TI.

Tratamento dos riscos

importante que voc tenha em mente que o framework do COBIT

estabelece que os riscos devem ser gerenciados de 4 formas:

Mitigao de riscos;

Transferncia de riscos;

Evitar riscos;

Aceitao de riscos.


48

Mitigao de Riscos

Trata-se da implementao de controles que tragam proteo contra o tipode risco identificado, por exemplo, implementar um mecanismo deautenticao baseado em biometria traz maior proteo a acessos noautorizados a informaes confidenciais.

Transferncia de riscos

Trata-se de compartilhar os riscos com parceiros ou contratar seguroapropriado. Um exemplo tpico para estes casos ocorre quando voc contrataum seguro para o seu veculo, casa ou notebook. Ao fazer isso, voc estliteralmente transferindo o risco para um terceiro por avaliar que no seriavivel permanecer com o risco de ficar sem o seu bem em funo de furto,roubo, incndio ou outras causas.

Evitar riscosTrata-se de adotar uma opo diferente do cenrio original, de modo que orisco identificado seja totalmente evitado. Podemos dar um exemplo destetipo de tratamento quando uma empresa decide digitalizar toda a sua basede documentao e estes esto distribudos em diversas filiais. Em vez detrazer os documentos at um ponto central para digitalizao e correr o riscode perda do material em funo de manipulao inadequada ou problemas

com o transporte (furto de carga), opta-se por levar os recursos dedigitalizao para as filias, evitando assim o transporte dos documentos.

Aceitao de riscos

Trata-se de confirmar, aceitar e monitorar os riscos. Para estes casos fundamental ter um plano de resposta ao risco pronto para ser colocado em

ao, evitando assim dados significativos ao negcio ou a imagem daorganizao. Podemos ilustrar este caso com o monitoramento de tsunamis


49

que vrios pases esto executando. Ao detectar uma ocorrncia de tsunamique venha a afetar o Pas, o governo aciona o plano de resposta quenormalmente implica na evacuao da populao dos pontos prximos ao

mar.

Modelo RACI

Outro ponto relevante que o COBIT estabelece a definio clara dasresponsabilidades e papis para cada um dos 34 processos.

Isto feito com o uso de uma matriz de responsabilidades que aponta o quedeve ser delegado a quem, sendo que o framework determina claramente oslimites e comprometimento necessrio para cada um dos papeis citados aseguir seguindo o modelo RACI.

RACI o acrnimo, em ingls, para "Accountable, Responsible, Consulted andInformed", ou seja:

[R]define quem executa o processo

[A]define quem responsvel pelo resultado

[C]define quem deve ser consultado

[I]define quem deve ser informado

Matriz de responsabilidades do RACI

Papis normalmente definidos pelo COBIT por meio da matriz RACI:

Chief Executive Officer (CEO) Chief Financial Officer (CFO)

Executivos de Negcio Chief Information Officer (CIO)


50

Proprietrio de Processos de Negcio

Chefe de Operaes Chefe de arquitetura

Lder de desenvolvimento

Lder de administrao de TI (RH, oramento e controles internos)

Project Management Officer (PMO) Grupos de conformidade, auditoria, risco e segurana

Papis adicionais de acordo com especificidades de alguns processos

Definir os Processos de TI, a Organizao eRelacionamentos

Estude com cuidado a figura do Anexo 1, retirada do COBIT 4.1, com oobjetivo de compreender como este recurso ajuda a definir os papis para oprocesso Definir os processos de TI, a organizao e relacionamentos.

COBIT e Outros Padres

Dentre as vantagens de se adotar o framework de controle do COBIT, possvel destacar a sua compatibilidade com outros padres.

Este se posiciona em um nvel mais genrico e por isso pode ser utilizadopara avaliar processos implementados por outras normas tcnicas ou

frameworks, como ISO 17799 (segurana da informao) e ITIL.

O COBIT pode ser aplicado depois que outros padres que atuam em umnvel mais operacional j estejam aplicados, tendo em vista que o COBITservir para auditar estes processos.

O COSO um framework para controle interno, no somente de TI, e podeser utilizado em qualquer rea de negcio, j o COBIT especfico para a TI,

mas est 100% alinhado com o COSO.


51

Em relao compatibilidade com ITIL, o COBIT cobre a maioria dosprocessos ITIL, tanto na verso 2 quanto na verso 3, s que o ITIL tem osprocessos apresentados com maior nvel de detalhe. De maneira geral,

enquanto o ITIL est mais direcionado ao como, o COBIT foca no o que.

Framework de Controle

Assim, pode se dizer que o COBIT um framework de controle queestabelece o que tem que ser feito, mas no diz como deve ser feito.

Alm disso, o COBIT atende os requisitos regulatrios nos quais a empresaest submetida e exatamente por este motivo que pode ser utilizado paracumprir a conformidade com a lei Sarbanes-Oxley.

A figura a seguir apresenta os 34 Objetivos de Controle de alto nvel do COBITe mostra os seus pontos de interao com outros elementos. Isto mostraporque o framework do COBIT est sendo adotado em larga escala na

aplicao de prticas de governana de TI.


52

DOMNIOS E OBJETIVOS DE CONTROLE

DO COBITDomnios do CobiT

Por ser orientado a processos, o COBIT define as atividades de TI em ummodelo genrico de processos, agrupando estes em 4 domnios.

Como visto anteriormente, os domnios do COBIT so:

Planejar e Organizar (Plan and Organize - PO)

Adquirir e Implementar (Acquire and Implement - AI)

Entregar e Suportar (Deliver and Support - DS)

Monitorar e Avaliar (Monitor and Evaluate - ME)

Objetivos de Controle do CobiT

Estes domnios englobam as tradicionais reas de responsabilidade da TI, queso as de planejar, construir, executar e monitorar.

O COBIT oferece um modelo de referncia para os processos, alm de umalinguagem comum a todos na empresa, de modo que estes possam visualizar

e gerenciar as atividades de TI.

Como tambm visto anteriormente, um modelo de processos demanda quecada processo tenha um proprietrio, de forma a definir claramente asresponsabilidades e quem ser cobrado pelos resultados dos processos.

Assim, o nosso foco de estudo estar concentrado em cada um dos domniose seus respectivos processos.


53

Planejar e Organizar

O domnio do planejamento e organizao engloba as estratgias e tticasadotadas pela organizao de TI, e se preocupa em identificar a forma onde aTI possa contribuir da melhor maneira possvel para que os objetivos donegcio sejam alcanados.

A viso estratgica da TI deve ser planejada, comunicada e gerenciada sobdiferentes perspectivas. Alm disso, este domnio cobre tambm aorganizao da TI e a infraestrutura tecnolgica que deve ser implementada

na organizao.

Assim, basicamente, o domnio de planejamento e organizao ofereceresposta s questes relacionadas a seguir:

A TI e estratgia do negcio esto devidamente alinhados?

A organizao est tirando o melhor proveito possvel de seusrecursos?

Todos na organizao compreendem os objetivos da TI? Os riscos so compreendidos e gerenciados? A qualidade dos sistemas de TI apropriada para as necessidades do

negcio?

Adquirir e Implementar

Assim como citado nos domnios anteriores, o domnio de aquisio eimplementao demanda que as gerncias respondem as seguintes questes:

Os servios de TI esto sendo entregues alinhados com as prioridadesde negcio?

Os custos de TI so otimizados? A fora de trabalho capaz de utilizar os sistemas de TI de maneira

produtiva e segura?


54

H adequados nveis de confidencialidade, integridade edisponibilidade para a segurana da informao?

Entregar e Suportar

O domnio da entrega e suporte est focado na entrega atual dos serviosdemandados, e isto inclui a entrega de servios, o gerenciamento desegurana e da continuidade dos servios de TI, o suporte aos servios, ogerenciamento de dados e a operao das instalaes fsicas.

Para quem j estudou ITIL, fica bastante evidente a semelhana dos objetivosde controle que o COBIT trata neste domnio com as disciplinas ITIL, porm,como vimos, o COBIT est mais focado no controle e diz o que deve sercontrolado, em nenhum momento o framework do COBIT estabelece comoisso deve ser implementado.

As prticas descritas na ITIL oferecem mais detalhes para que se estruture

como os processos sero executados. Assim, ITIL e COBIT podem serperfeitamente integrados, no importando qual iniciativa a organizaoadotar antes.

Monitoramento e Avaliao

O domnio do monitoramento e avaliao considera que todos os processos

de TI devem ser regularmente avaliados com o passar do tempo,considerando sua qualidade a aderncia aos requisitos de controle.

Este o domnio que engloba o gerenciamento de performance, omonitoramento dos controles internos, a aderncia a legislao e normasespecficas e a governana propriamente dita.

Os processos deste domnio so tratados visando responder as seguintesquestes de gerenciamento:


55

A performance de TI medida de modo a identificar problemas antesque seja muito tarde?

O gerenciamento assegura os controles internos so eficientes eeficazes?

H alguma maneira que a performance da TI esteja ligada aosobjetivos de negcio?

H adequados nveis de confidencialidade, integridade edisponibilidade para a segurana da informao?

Processos de Controle

Levando todos estes requisitos em considerao, a verso 4.1 do COBITidentificou 34 processos que so utilizados de maneira genrica.

Embora a maioria das organizaes tenha definido, planejado, construdo,executam e monitoram as responsabilidades da TI, sendo que a maioriatenham os mesmos processos chave, poucas empresas tero a mesma

estrutura de processos ou aplicam todos os 34 processos do COBIT.

Um dos grandes benefcios do COBIT que ele oferece uma lista completa deprocessos que podem ser utilizados para avaliar, controlar e monitorar asatividades e responsabilidades, no entanto, nem todos eles devem serobrigatoriamente aplicados. De maneira alternativa, os processos tambmpodem ser combinados de acordo com as necessidades da empresa.

Framework de Controle

O ponto aqui que o COBIT flexvel o suficente para atender uma pequenaempresa enquanto, ao mesmo tempo, a mesma estrutura de processos podeser til para empresas de mdio e grande porte, nacionais ou multinacionais.

O COBIT apresenta um link entre os objetivos de negcio e os objetivos da TIpara cada um dos 34 processos suportados. Ele tambm oferece informaessobre como os objetivos podem ser medidos, quais so as principais


56

atividades de cada processo e suas principais entregas ou resultados, almdisso, ele tambm prov direcionamento sobre quem o responsvel paracada atividade.

Por ser um framework de controle, naturamente o COBIT define objetivos decontrole para cada um dos 34 processos, alm de tambm estabelecerrequisitos de controle genricos para cada processo, bem como controles deaplicao.

Processos do CobiT

Cada um dos processos de TI definidos no COBIT tem sua respectivadescrio e um nmero de objetivos de controle.

Como um todo, eles so as caractersticas de um processo bem gerenciado.

Os objetivos de controle so identificados por uma referncia aos domnios

realizada por meio de dois caracteres (PO, AI, DS e ME) acrescidos de umnmero do processo e de um nmero do objetivo de controle.

Como dito anteriormente, alm dos objetivos de controle, cada processo doCOBIT tem seis requisitos de controle genricos que so identificados pelasigla PCn, onde n representa o nmero do processo.

Objetivos de Controle GenricosOs objetivos de controle genricos devem ser considerados junto com osobjetivos de controle do processo para que seja possvel ter uma visocompleta dos requerimentos de controle.

Objetivos de controle genricos (extrado do COBIT 4.1, traduzido eadaptado)


57

PC1 Objetivos e Metas do Processo

Defina e comunique objetivos e metas do processo de maneira especfica,

mensurvel, alcanvel, realista e dentro de um perodo claramente definido.Assegure que eles estejam vinculados aos objetivos de negcio e que sejamsuportados por mtricas adequadas.

PC2 Proprietrio do Processo

Atribua um proprietrio para cada processo de TI, e defina claramente os

papis e responsabilidades do proprietrio do processo. Inclua, por exemplo,a responsabilidade pelo desenho do processo, a interao com outrosprocessos, a responsabilidade sobre os resultados finais, a medio daperformance do processo e a identificao de oportunidades de melhoria.

PC3 Repetio do Processo

Projete e implemente cada processo chave de TI de maneira que ele sejarepetvel e produza os resultados esperados de maneira consistente.

Fornea uma sequncia lgica de atividades, que seja flexvel e escalonvelpara atingir os resultados desejados e que seja gil o suficiente para tratarexcees e emergenciais. Use processos consistentes, onde possvel, e trateexcees somente quando for inevitvel.

PC4 Papis e Responsabilidades

Defina as atividades principais e entregas finais do processos. Atribua ecomunique papis e responsabilidades de maneira clara para uma execuoefetiva e eficiente das principais atividades e sua documentao, assim comoa responsabilidade pelo processo e pelos entregveis.


58

PC5 Poltica, Planos e Procedimentos

Defina e comunique como todas as polticas, planos e procedimentos que

direcionam os processos de TI so documentados, revisados, mantidos,aprovados, armazenados, comunicados e utilizados para treinamento.

Atribua responsabilidades para cada uma destas atividades e, dentro dotempo apropriado, revise buscando identificar se estas esto sendocorretamente executadas.

Assegure que as polticas, planos e procedimentos estejam acessveis,corretos, compreensveis e atualizados.

PC6 Melhoria da Performance do Processo

Identifique um conjunto de mtricas que proporcione uma viso nosresultados e na performance do processo.

Estabelea metas que reflitam os objetivos do processo e indicadores deperformance que possibilitem que o objetivo do processo seja alcanado.Defina como os dados devem ser obtidos.

Compare os resultados atuais com as metas e tome aes em relao aosdesvios, quando necessrio. Alinhe mtricas, metas e mtodos com umaabordagem do monitoramento da performance geral da TI.

Objetivos SMARRT

Specific, Measurable, Actionable, Realistc, Results-oriented and Timely

Trata-se de um acrnimo com algumas variaes (SMART ou SMARRT) jbastante conhecido no mercado para a definio de objetivos. No entanto,

importante conhecer no s a traduo de cada letra, mas sim o raciocniomais amplo sobre o significado real deste conceito.


59

O conceito pode ser aplicado na definio de objetivos de negcio,profissional ou pessoal, e as melhores prticas estabelecem que objetivos

devem ser SMART, conforme veremos a seguir.

[S]pecif: Especfico

No deixe espao a interpretaes duvidosas ao definir um objetivo. Quantomais detalho for o objetivo, melhor ser sua compreenso e maiores sero aschances dele ser alcanado.

Depois de descrever o objetivo, confira se no h pontos que possam gerardvidas por falha de interpretao, por qualquer pessoa com conhecimentobsico sobre o assunto.

[M]easurable: Mensurvel

Objetivos devem ser transformados em nmeros, caso contrrio elespodero ser manipulados ou interpretados do modo mais conveniente paraos interessados, de modo que fica dvidas ou discusso em aberto sobrecomo definir se o objetivo foi alcanado ou no.

Outro ponto a considerar neste quesito se h ferramentas disponveis paramedir o objetivo da maneira desejada e adequada, caso contrrio,novamente possvel estabelecer valores a partir de qualquer parmetrodisponvel.

Sendo assim, fundamental ter definio clara sobre o sistema de medioque ser utilizado para monitorar o objetivo.

Lembre-se que os interessados podem ser colaboradores da sua equipe,pares, seu chefe, ou at mesmo acionistas!


60

[A]ttainable ou Achievable: Alcanvel

importante que objetivos tenham metas desafiadoras e que demandem

algum tipo de esforo para serem alcanados, mas fundamental que osobjetivos possam ser alcanados.

importante gerar um desafio para que as equipes superem, mesmoparecendo ser difcil, mas isso muito diferente de buscar nmerosimpossveis de serem atingidos. Em vez de motivar, o objetivo s causarfrustrao e desnimo.

Algumas variaes do uso deste recurso atribuem a letra A a objetivosestabelecidos em comum acordo (agreed upon), o que significa que osenvolvidos na execuo do objetivo esto de acordo com sua viabilidade ebenefcios.

[R]ealistic: Realista

Frequentemente objetivos traados so possveis de serem alcanados, noentanto, nem sempre refletem a realidade do negcio.

H alguns fatores que devem ser considerados neste aspecto e, dentre eles,se o objetivo est devidamente alinhado com a misso e viso da organizaoou se algum princpio tico/legal est sendo ferido pelo objetivo.

No adianta estabelecer como um objetivo entregar projetos no prazo e nocusto estabelecidos se os projetos entregues no agregam valor aosobjetivos estratgicos da empresa.

Tenha em mente que um lder que define um objetivo pouco realista estfora de sincronia com a empresa e com sua equipe.


61

[T]imely ou Time-bounded: em tempo

De certa forma esta caracterstica est vinculada a definio dos objetivos de

maneira especfica (S). O objetivo deve ter seu prazo para ser alcanadoclaramente estabelecido, e este perodo no pode ser to curto a ponto detornar o objetivo impossvel de ser alcanado, nem to longo a ponto de queocorra a perda de foco com o passar do tempo.Alguns autores tambmapresentam o T como Tangvel (Tanglible).

Exemplo:

Objetivo no- SMART:construir uma casa no campo.

Objetivo SMART: construir uma casa trrea no campo, na regio deSorocaba-SP, com rea til interna de 180 m, piso frio em todos os cmodos,3 sutes, sala com lareira, churrasqueira, garagem para at 10 carros, quadrade futsal, sistema de segurana com cmeras e alarme, dentro de um perodode 18 meses a contar desta data, com um oramento de at R$650.000.

Controles de Aplicao

Alm dos objetivos de controle genricos vistos anteriormente, o COBITtambm estabelece alguns objetivos denominados controles de aplicao.

Trata-se de controles existentes em aplicaes dos processos de negcio,

onde o COBIT assume que

124903711 fundamentos de cobit fundacao bradesco pdf

Documents

framework cobit

gesto do risco

gesto de riscos

curso de fundamentos

falta de gesto

conceito de risco

texto original

cobitfundao bradescotranscrio