unid iii cálculo da banda de voz e vídeo em uma rede ip 1s14
DESCRIPTION
Unid III Cálculo da banda de voz e vídeo em uma rede IP 1S14TRANSCRIPT
-
GOVERNANA EM TECNOLOGIA
DA INFORMAO
Otvio Fernandes Frota
Fortaleza-2015
-
Qualificao do Instrutor
Otvio Frota
Mestre em Administrao, Especialista em Gesto para Executivos), Especialista em
Informtica (UNIFOR-1989) e em Redes de Computadores e Graduado em Engenharia
Civil .
Gerente de Informtica da Companhia de gua e Esgoto do Cear CAGECE
Certificaes em Project Management Professional (PMP) e Information Technology
Infrastructure Library (ITIL), Control Objectives for Information and related Technology
(COBIT), IT Service Management according to ISO/IEC 20000 e Six Sigma Green Belt
Atuou como Diretor Financeiro do PMI Cear no perodo de 2008 a 2011
Coordenador do Curso de MBA em Governana de TI, Desenvolvimento Java, Gerncia
de Sistemas da Estcio do Cear
Professor de cursos de Ps Graduao em Universidades/Faculdades (Estcio do Cear,
FGV, UNIFOR, UECE, CHRISTUS, FANOR, ATENEU)
Treinamento de ITIL in company (Synapsis, Marcosa, Granja ReginaTribunal Regional do
Trabalho Macei, J Macedo, Procuradoria Geral do Estado, Softium Informtica, Auriga,
Tribunal de Justia do Cear, DER - Departamento de Edificaes e Rodovias, DAE
Departamento de Arquitetura e Engenharia, Escola de Gesto Pblica do Cear)
-
9982-8645
-
Objetivos gerais
Apresentar e discutir os conceitos fundamentais do alinhamento estratgico
da TI ao negcio, da governana de tecnologia da informao, bem como as
principais normas, estruturas e melhores prticas para gesto de TI.
Objetivos especficos
O aluno estar apto a:
Compreender a importncia da governana de TI
Identificar responsabilidades e objetivos da governana de TI
Identificar os principais controles e tcnicas para a governana de TI
Objetivos
-
Governana Corporativa;
Governana de TI;
Alinhamento entre Estratgia Corporativa e a Tecnologia da
Informao;
Normas, processos e indicadores de desempenho para a rea de TI;
Modelos de apoio para Governana de TI;
Maturidade dos modelos de governana de TI;
Estruturao de um Plano de Implantao de um modelo de
Governana de TI.
Ementa
-
GTI
Governana
Corporativa
O alinhamento entre
estratgia corporativa e TI
Responsabilidades da
Governana Corporativa
Princpios e conceitos da
Governana Corporativa
Governana de
Tecnologia da Informao
Capacidades da Governana de TI
Modelos de Governana de TI
Responsabilidades da
Governana de TI
Implementao da Governana de TI
Processo de deciso na
Governana de TI
Centralizao vs. Descentralizao
da Governana em TI
Planejamento e
Controle da TI
Estrutura do COBIT
Objetivos de Controle
Novos modelos
organizacionais para TI
Controles para a
Governana de TI
Diretrizes de Gerenciamento
Prticas de Controle
Modelos e Melhores Prticas
Diretrizes de Auditoria
Anlise de maturidade do
modelo de governava de TI
VAL IT
ISOx 27001 e 27002
eSCM-SP e eSCM-CL
CMMI
BSC
Seis Sigma
SAS 70
-
Referncia Bibliogrfica
Bibliografia bsica
Estratgias de Governana de tecnologia da Informao Estrutura e Praticas - Rosa Maria de Moura
Albertin, Alberto Luiz Albertin Editora Campus ISBN:978-85-352-3706-1
Tecnologia da Informao Tomada de deciso estratgica para administradores Henry C. Lucas, Jr.
Editora LTC ISBN: 85-216-1518-3
FERNANDES, Aguinaldo Aragon; ABREU, Vladimir Ferraz de. Implantando a governana de TI: da
estratgia gesto dos processos e servios. 2. ed. Brasport. Rio de Janeiro, 2008.
B. LAHTI, Christian ; PETERSON, Roderick. Sarbanes-Oxley: Conformidade de TI Usando COBIT e
Ferramentas Open Source Editora Alta Books 2006 ISBN: 85-7608-114-8;
Bibliografia complementar
ANDRADE, Adriana; ROSSETTI, Jose Paschoal. Governanca Corporativa: Fundamentos,
Desenvolvimento e Tendncias. 2.Ed. Sao Paulo: Atlas, 2006.
ROTONDARO, Roberto G. (org.). Seis Sigma: Estrategica Gerencial Para Melhoria De Processos,
Produtos E Servicos. Sao Paulo: Atlas, 2002. 375p.
IT GOVERNANCE Institute. The Control Objectives for Information and Related Technologies (COBIT).
Disponvel em http://www.isaca.org/cobit
-
Governana
Corporativa
-
Fonte: IBGC, Cdigo das Melhores Prticas de Governana Corporativa
Transparncia
Equidade Prestao de
Contas
Responsabilidade
Corporativa
GOVERNANA CORPORATIVA
Governana Corporativa
-
Metodologias e Frameworks
-
Segundo o Instituto Brasileiro de Governana Corporativa (IBGC),
governana corporativa um sistema pelo qual as sociedades so dirigidas
e monitoradas, envolvendo os acionistas e os cotistas, Conselho de
Administrao, Diretoria, Auditoria Independente e Conselho Fiscal.
As boas prticas de governana corporativa tm a finalidade de aumentar
o valor para a sociedade, facilitar seu acesso ao capital e contribuir para a
sua perenidade.
A empresa que opta pelas boas prticas de Governana Corporativa adota
como linhas mestras a transparncia, a prestao de contas, a equidade e a
responsabilidade corporativa.
Governana Corporativa
-
Sistema pelo qual as
organizaes so
dirigidas e
controladas
Stakeholders,
acionistas/cotistas,
board de diretores,
Conselho administrao
auditoria independente
e conselho fiscal
Otimizar o desempenho
de uma organizao
ao proteger todas as
partes interessadas.
Estabelecer as regras e
procedimentos para a
tomada de deciso com
responsabilidade
claramente definida
Aumento do valor da
sociedade, facilitando
seu acesso ao capital e
contribuindo para a
sua perenidade.
Fornecimento de
transparncia,
equidade,
prestao de contas
e obedincia s leis .
GOVERNANA CORPORATIVA
Governana Corporativa
Definio Participante Finalidade Resultado
-
Governana Corporativa
Governana
Corporativa
Governana
Financeira
Governana
de RH
Governana
de ....
Governana
de TI
-
Modelo de Governana Corporativa
Fonte: Lodi, 2000, p. 25
CEO
Executivo
Principal
Acionistas
Controlador
Minoritrios
Assemblias
Conselho
Fiscal
Conselho de
Administrao
Auditoria
Independente
Stakeholders
-
Governana Corporativa engloba trs grandes assuntos: A forma como o conselho trabalha
O papel da liderana
Gerenciamento de riscos
Questes crticas sobre Governana Corporativa: Como definir objetivos ?
Como criar estruturas ?
Como estabelecer metas ?
Como medir progresso ?
Componentes da Governana Corporativa: Corpo de diretores, gerncia, estruturas de gerenciamento
Polticas de recompensa e reconhecimento
Procedimentos
Nveis de autoridade delegada
Exigncias legais e regulatrias Identificao e anlise de riscos
Definio da gesto de riscos
Definio de critrios para medir a habilidade de tratar esses riscos
Definio de polticas e procedimentos e manuais sistmicos para controlar os riscos
Desenho de um modelo confivel e ntegro de informaes financeiras, gerenciais e operacionais
Responsabilidades da Governana
Corporativa
-
Sistemas Organizacionais de Governana
Fonte: Meyer, 2004, p. 29
Padro
comportamental
(hbitos e
convenes)
geralmente
praticado dentro de
uma organizao.
Cultura
Definio do
trabalho e da
hierarquia de
reporte
(organograma), o
processo de
combinao de
pessoas dentro de
equipes e o fluxo
de trabalho dentro
e fora da
organizao
Estrutura
Oramento,
precificao,
estabelecimento de
prioridades,
avaliao de
projetos e
acompanhamento
de processos que
determinam como
os recursos fluem
dentro e fora da
organizao
Economia Interna
Procedimentos,
mtodos,
habilidades e
ferramentas que as
pessoas usam
Mtodos e
Ferramentas
Feedback que
deixa as pessoas
sabendo o que
esto fazendo e se
precisam ajustar
seu comportamento
e iniciativas para
melhorar o
desempenho
Mtricas e
Recompensas
-
Modelo de Governana do ITGI
IT Governance Institute, 2005, p. 63
Objetivos, Metas
e Expectativas
Atividades
Organizacionais
Estrutura
Recursos
Tangveis
Intangveis
a) Estabelecer e buscar objetivos, metas e expectativas (planejar e organizar)
b) Determinar uma maneira de atingir os objetivos por meio das atividades da empresa e da utilizao
de recursos (adquirir, implementar, entregar e apoiar)
c) Estabelecer e controlar um conjunto de diretrizes de monitoramento e divulgao de desempenho
(monitorar e controlar)
d) Implementar uma estrutura bem definida e responsabilidades adequadas para a governana
efetiva.
-
Governana
de TI
-
O que a Governana de TI ?
IT Governance Institute (2005)
A governana de TI de responsabilidade da alta administrao
(incluindo diretores e executivos), na liderana, nas estruturas
organizacionais e nos processos que garante que a TI da empresa
sustente e entenda as estratgias e objetivos da organizao.
Weill & Ross (2004)
Especificao dos diretos decisrios e do framework de
responsabilidades para estimular comportamentos desejveis
na utilizao da TI.
-
Agregar valor ao negcio
Demandas de controle,
transparncia e
monitorao das
organizaes
Gerenciar
Riscos de TI
Gerenciar
Recuperao
de Servios
Garantir a continuidade
do negcio
Segurana
da
Informao
uma parte integral da governana da empresa e consiste da liderana,
processos e estruturas organizacionais que assegurem que a TI sustente
as estratgias e objetivos da organizao. (IT Governance Institute)
GOVERNANA DE TI
-
Alinhar e priorizar iniciativas de TI com a estratgia de negcio
Alinhar os recursos de TI s necessidades de negcios em termos presente e
futuro
Prover regras claras sobre responsabilidades sobre decises e aes relativas TI
Prover processos de gesto de riscos para a continudade de negcios
Prover processos de gesto de servios de TI
Prover processos de medio de desempenho da TI
Prover processos de melhoria continuada de servios
Objetivos da Governana de TI
-
Uma boa Governana de TI compensa
A TI cara
A TI pervasiva
Novas Tecnologias da Informao bombardeiam as empresas com novas
oportunidades de negcios
A Governana de TI fundamental para o aprendizado organizacional sobre o valor
da Tencologia da Informao
O valor da TI depende mais do que apenas uma boa tecnologia
A alta gerncia tem uma capacidade de atendimento limitada
Empresas lderes governam a TI de modo diferente
Por que a Governana de TI
importante ?
-
Medio de
Desempenho
Estrutura
Processos
Operaes
Gesto
Deciso
Comprometimento
Priorizao e
Alocao de recursos
Alinhamento
Estratgico
Compliance
Escritrio do
CIO
Operaes de
servios de
processos e
sistemas
Operaes de
servios de
infra-estrutura
Operaes de
servios de
segurana da
informao
Outras
operaes de
servios de TI
Gesto do desempenho dos nveis de
servios
Relacionamento com clientes Relacionamento com fornecedores
Portfolio de TI
Decises de TI e priorizao
Arquitetura de TI Infra-estrutura
de TI
Necessidades
de aplicaes e
solues
Polticas de
segurana da
informao
Capacidade de
atendimento
Competncias Investimentos e
custeio
Objetivos de
desempenho e nveis
de servio
Organizao das
operaes de servios
Alinhamento
estratgico Princpios de TI
Plano
de
TI
Desdobramento
dos
objetivos
Modelo de Governana de TI
-
Contextualizao do COBIT na
Governana de TI
-
Principais Decises sobre a Governana de
TI - Weill & Ross
Arquitetura de TI
Organizao lgica dos
dados, aplicaes e infra-
estruturas, definidas a partir
de um conjunto de
polticas,
relacionamentos e
opes tcnicas adotadas
para obter a padronizao
e a integrao tcnicas e
de negcio desejadas.
Infraestrutura de TI
Servios de TI coordenados de
maneira centralizada e
compartilhados, que provm a base
para a capacidade de TI da
empresa
Princpios de TI
Declaraes de alto nvel sobre como a TI utilizada no negcio
Investimentos e
Priorizao da TI
Decises sobre quanto e
onde investir em TI,
incluindo a aprovao de
projetos e as tcnicas de
justificao.
.
Aplicaes de Negcio
Especificao da necessidade de
negcio de aplicaes de TI
adquiridas no mercado ou
desenvolvidas internamente
-
Monarquia do negcio
Os executivos seniores de negcio tomam as decises relativas TI
Monarquia de TI
Os profissionais de TI tomam as decises pertinentes TI
Feudal
Cada rea da empresa ou unidade de negcio decide sobre a TI de forma isolada
Federal
Tanto a matriz (holding, board), juntamente com as unidades de negcios,
tomam as decises relativas TI
Duoplio de TI
As decises so derivadas de acordo entre os executivos de TI e outros grupos de negcios
Anarquia
Indivduos e pequenos grupos tomam suas prprias decises baseados em suas necessidade locais
Arqutipos de deciso de TI
Weill & Ross
-
Matriz de Arranjo de Governana
Weill & Ross
Monarquia do
Negcio
Monarquia
de TI
Feudalismo
Federalismo
Duoplio de TI
Anarquia
Princpios de TI Arquitetura
de TI
Infraestrutura
de TI
Necessidades
de aplicaes
Investimentos
e priorizao
-
Responsabilidades da Governana de TI
Fonte: IT Governance Institute, 2003, p.172
Estratgia
Stakeholder
Direciona valor
Recursos:
Conhecimento
Informao
Capacidade
Resultados
Processos
Reportam
Melhoram
Desempenho
Resultado
Riscos
Confirmam
ou
Mudam
Direciona
Utilizam
Medem
-
Responsabilidades da Admnistrao
Fonte: IT Governance Institute, 2005, p.174
Define
Estratgia
Preserva
Valor
Foco
Gerenciamento
de Valor Cria
Valor
Acontecimentos
Negativos Acontecimentos
Positivos
Resolve
Problemas
Melhoria
Contnua
Foco
Medio
de Desempenho
Foco
Gerenciamento
de Risco
-
ISO/IEC 38.500
Padro internacional sobre governana de TI. Foi publicado em junho de 2008 pela ISO
International Organization for Standardization e IEC International Electrotechnical Commission ,
mas baseia-se em um padro australiano anterior AS 8015 , publicado em 2005.
-
Designar responsabilidade a pessoas competentes com autoridade de deciso, fazendo uso de
mecanismos de governana apropriados e garantindo que as responsabilidades foram
entendidas;
Alinhar as atividades de TI aos objetivos de negcio, focando os benefcios organizacionais e
assegurando que sejam alcanados;
Investir em TI de forma que propostas possam ser realizadas, equilibrando risco e entrega de
valor;
Prover a capacidade em TI e medir como ela efetivamente apia o negcio: riscos devem ser
administrados, recursos devem ser protegidos propriedade intelectual e memria da
organizao;
Prover controles internos adequados para satisfazer as exigncias internas e externas de
conformidade compliance;
Identificar o comportamento humano requerido e desenvolver prticas de trabalho para o uso
apropriado de TI.
ISO/IEC 38.500
-
Metodologias e Frameworks
-
Princpios de Governana de TI
Governance Institute (ITGI)
Direo e Controle
Direo: O diretor fornece direo para implementar uma mudana. Para fornecer uma direo
efetiva, o diretor precisa entender a mudana pretendida. O diretor dirige outra pessoa para
executar a mudana
Controle: O controle assegura que o objetivo alcanado e que nenhum incidente indesejado
ocorra
Responsabilidade
O CEO normalmente o responsvel pelo controle interno. Gerentes seniores determinam a
responsabilidade para o estabelecimento de polticas e procedimentos de controles interno
especficos ao pessoal responsvel pelas unidades funcionais. O controle interno de
responsabilidade de todos em uma organizao e pode ser uma funo explcita ou implcita.
Prestao de Contas
Os colaboradores tem a obrigao de prestar contas, fornecer relatrios ou explicar suas aes
sobre o uso de recursos que lhe so confiados. Os executivos prestam contas ao Conselho
Administrativo os quais fornecem governana, direo e monotirao. Para cada um essencial
conhecer como suas aes contribuem para alcanar objetivos da organizao
Atividades de TI
As atividades de TI so eficientes quando existe uma boa governana de TI
-
reas Foco da Governana de TI
-
reas Foco da Governana de TI
Alinhamento Estratgico
Garantia da ligao entre os planos do negcio e de TI, manuteno e validao da proposio de
valor de TI, e alinhamento das operaes da empresa com as de TI
Entrega de Valor
Ececuo da proposio de valor atravs do tempo, assegurando que a TI entregue os benefcios
prometidos de acordo com as estratgias, concentrando-se em otimizar custos e em comprovar o
valor intrnseco da TI
Gerenciamento de Riscos
Conhecimento dos riscos por parte da alta direo, entendimento claro dos requisitos de compliance e
das tendncias da empresa para os riscos, transparncia acerca dos riscos significativos para a
empresa e incorporao de responsabilidades para o gerenciamento dos riscos na organizao
Medio de Desempenho
Acompanhamento e monitorao da implementao da estratgia, do andamento dos projetos, da utilizao dos recursos, do desempenho dos processos e da entrega dos servios, utilizando alm das medies convencionais, indicadores de desempenho (como, por exemplo, balanced scorecards) que traduzem a estratgia em aes para atingir objetivos mensurveis
Gerenciamento de Recursos
Otimizao dos investimentos e da gesto adequada dos recursos crticos de TI (aplicaes,
informaes, infraestrutura e pessoas) essenciais para fornecer os subsdios de que a empresa
necessita para cumprir os seus objetivos.
-
Metodologias e Frameworks
PMBOK
ITIL
Cobit
BSC
CMMI
BS7799
GOVERNANA DE TI
-
Control
Objectives
(CO)
34 Processos
210 Objetivos
de Controle
-
Atribuio de direitos
de tomada de deciso
e responsabilidades
com respeito ao
comportamento de
uso desejvel da TI
Estrutura organizacional,
liderana e processos
Board de diretores,
gerentes de processos
nas organizaes de TI
Acionistas, executivos,
clientes, fornecedores,
gerentes de negcios,
gerentes de TI
Sustentar e ampliar
os objetivos e estratgias
Organizacionais.
Controlar a formulao
e a implementao de
estratgias de TI e indicar
a direo apropriada
Monitorar o desempenho
Considerar os valores do
Stakeholder nas
estratgias
Garantia de que os
processos forneam
resultados
mensurveis
GOVERNANA DE TI
Definio Participante Finalidade Resultado
Sistemas dos conceitos de Governana de TI
Fonte: Albertin, 2010, p. 54
Fuso da TI com as
atividades de
Negcio
Projetos de TI
atendendo aos
requisitos de negcios
e buscando
resultados e
desempenho
Alinhamento
-
Controles Internos
-
O que so Controles?
-
O que so Controles Internos ?
Os controles internos devem assegurar
que as vrias fases do processo
decisrio e do fluxo de informaes
se revistam da necessria
confiabilidade.
Marcos Assi, 2009
-
O que so Controles Internos ?
Os controles internos so parte integrante do
gerenciamento de riscos
corporativos e asseguram o processo
decisrio definidos pela alta
administrao
Marcos Assi, 2009
-
Objetivos do Processo de Controles Internos
Instituto Americano de Contadores Pblicos Certificados- AICPA
Proteger os ativos da empresa
Obter informaes adequadas
Promover a eficincia operacional da organizao
Estimular a obedincia e o respeito s polticas da
administrao
-
Objetivos do Processo de Controles Internos
Objetivos de desempenho
Procedimentos para cada rea ou atividade (segregao de funes, delegao de
autoridade e responsabilidade, conferncias, controles duplos, acesso a ativos e arquivos e
sua utilizao, etc
Poltica de seleo e utilizao de RH (cdigo de tica, descrio de funes, avaliaes de
desempenho, frias, etc)
Planos de contingncias
Identificao, avaliao e controles de riscos
Informao
Alimentao dos dados
Tomada de decises
Relatrios (confiveis, precisos e tempestivos)
Agilidade nas comunicaes internas
Conformidade
Auditoria Interna
Compliance
-
Pensando e Agindo Estrategicamente
-
Pensando e Agindo Estrategicamente
-
CVM (Comisso de Valores Mobilirios)
Empresas de capital aberto com Aes na Bolsa de Valores
Controles Internos
Legislao Especfica
LEI SOX (Sarbanes-Oxley)
Empresas que possuem aes negociadas nos Estados Unidos
SUSEP (Superintendncia de Seguros Privados)
Empresas seguradoras
BANCO CENTRAL e BASILEIA
Instituies financeiras
-
Sarbanes-Oxley Act ou Lei Sarbanes-Oxley uma lei assinada em 30 de julho de
2002 pelo senador Paul Sarbanes (Democrata de Maryland) e pelo deputado
Michael Oxley (Republicano de Ohio).
Motivada por escndalos financeiros coorporativos (dentre eles o da Enron, que
acabou por afetar drasticamente a empresa de auditoria Arthur Andersen), essa lei
foi redigida com o objetivo de evitar o esvaziamento dos investimentos financeiros e
a fuga dos investidores causada pela aparente insegurana a respeito da
governana adequada das empresas.
Voltada principalmente para companhias de capital aberto com aes nas bolsas de
valores ou com negociao na Nasdaq.
Responsabilidade corporativa pela veracidade de contedo dos relatrios
financeiros produzidos pela empresa
Prev inclusive penas de multas ou priso para os executivos da companhia no
caso de apresentao de informaes incorretas ou imprecisas.
Lei Sarbanes-Oxley (SOX)
-
Ttulo I: Public Company Accounting Oversight Board (PCAOB)
Organizao no-governamental que deve registrar as auditorias e estabelecer os padres de
auditoria relativos aos controles financeiros das empresas abertas
Ttulos da Sarbanes-Oxley (SOX)
Ttulo II: Auditor Independence
Estabelece que os auditores sejam independentes e que haja rotatividade entre empresas de
auditoria.
Ttulo III: Corporate Responsability
Atribui as responsabilidades corporativas, em termos da formao de um comit de auditoria.
Ttulo IV: Enhanced Financial Disclosures
Estabelece novas regras para a elaborao e publicao de resultados financeiros, assim como
requer que a administrao mantenha um sistema de controle interno adequado.
Ttulo V: Analyst Conflicts of Interest
Estabelece regras para que no haja conflitos de intresse na atuao de analistas de corretoras de
valores ou de administrao de fundos
-
Ttulo VI: Comission Resources and Authority
Estabelece regas para autorizao de fundos para a SEC (Stock Exchange Comission), assim como
suspender empresas e profissionais de auditoria
Ttulos da Sarbanes-Oxley (SOX)
Ttulo VII: Studies and Reports
Estudos e relatrios relativos consolidao de firmas de auditoria
Ttulo VIII: Corporate and Criminal Fraud Accountability
Estabelece regras especficas e penalidades para a destruio de registros corporativos, assim como
para alterao de dados e falsificaes.
Ttulo X: Corporate Tax Returns
Estabelece que o CEO deve, obrigatoriamente, assinar o imposto de renda da pessoa jurdica
Ttulo IX: White-Collar Crime Penalty Enhancements
Contm penalidades para crimes do colarinho branco
Ttulo XI: Corporate Fraud Accountability
Define a responsabilidade corporativa pela comunicao de informaes financeiras de resultados
fraudulentos
-
Estabelecido pelo Bank for International Settlements (BIS), sediado na
suca da Basilia.
O acordo da Basilia II estipula requisitos de capital mnimo para
instituies financeiras, em funo dos seus riscos de crdito e
operacionais.
Basileia II
1- Estabelece regras e procedimentos para clculo dos requisitos de capital, tendo em
vista os riscos de crdito e operacionais, de acordo com a aplicao de abordagens
distintas de avaliao e mitigao de riscos.
2 Estabelece regras para que os Bancos Centrais de cada pas executem auditorias
nas instituies financeiras
3- Estabelece regras para comunicao para o mercado, dos requisitos mnimos de
capital, face aos riscos e aos mtodos e resultados de avaliaes de riscos,
-
Pensando e Agindo Estrategicamente
-
CobiT 4.1
-
COBIT
C
OB
I
T
Control
OBjectives
for Information
and Related Technology
-
O que CobiT ?
Control Objectives for Information and Related Technology
Alinhado com padres ITIL, CMM, BS 7799, ISO 9001:2000.
Origem em 1996 - Atualmente na edio 4.1 - 2007
Criado e mantido pelo ISACA Information Systems Audit and
Control Association
Padro de melhores prticas para auxiliar na associao entre os
riscos de negcios, as necessidades de controle e os
aspectos tecnolgicos, atravs de uma matriz de domnios,
processos e objetivos de controle.
-
Misso do COBIT
Pesquisar, desenvolver, publicar e promover um framework de
governana e controle de TI reconhecido, atualizado e
internacional aceito, para adoo pelas empresas e uso de
gestores de negcios, profissionais de TI, de segurana e
auditoria.
-
Administradores: para auxili-los na ponderao entre risco e
investimento e controle de ambientes muitas vezes imprevisveis
como o de TI;
Usurios: para se certificarem da segurana e dos controles dos
servios de TI fornecidos internamente ou por terceiros;
Auditores de Sistemas: para subsidiar suas opinies e/ou
prover aconselhamento aos administradores sobre controles
internos.
Aplicao do COBIT
-
The Information Systems Audit and Control
Association (ISACA)
-
Produtos do COBIT
-
Publicaes complementares ao CobIT 4.1
Board Briefing on IT Governance
Guia executivo que aborda o entendimento da importncia da Governana de TI e das suas principais
caractersticas e responsabilidades da alta administrao na sua conduo
IT Assurance Guide
Fornece diretrizes em alto nvel para a conduo de iniciativas de testes e validao, visando garantir
que os objetivos de controle do CobIT estejam corretamente implementados (substitui o antigo Audit
Guidelines)
IT Governance Implementation Guide
Fornece um roteiro genrico para a implementao da Governana de TI, utilizando o framework do
CobIT e outras ferramentas de suporte
IT Control Objectives for Sarbanes-Oxley
Orienta sobre como grarantir compliance com esta lei para o ambiente de TI com base no CobIT
CobIT Control Practices
Descreve em maiores detalhes as prticas de controle relacionadas aos 34 objetivos de controle de
alto nvel
IT Control Objectives for Basel II
Fornece diretrizes para o gerenciamento de riscos relacionados informao no contexto do Acordo
Basileia II com base no CobIT
-
Publicaes complementares ao CobIT 4.1
CobIT Quickstart
Fornece uma base de controle para pequenas organizaes e orienta empresas maiores a darem os
primeiros passos na direo do controle dos seus processos
CobIT Security Baseline
Focaliza os passos principais para a implementao da segurana da informao em uma empresa,
alinhada com a norma ISO/IEC 17799
Information Security Governance
Explica os conceitos relacionados segurana da informao de uma forma mais prxima aos
negcios, direcionada a alta administrao das organizaes
Mapping
Mapas de correo com outros modelos, tais como: ITIL, PMBOK, CMMI
VAL IT
Complementa o CobIT com uma perspectiva financeira e de negcios, fornecendo diretrizes para que
as organizaes gerenciem o seu portflio de investimentos de negcio habilitados pela TI
-
Publicaes complementares ao CobIT 4.1
-
Publicaes complementares ao CobIT 4.1
-
Publicaes complementares ao CobIT 4.1
-
Publicaes complementares ao CobIT 4.1
-
Componentes Chaves
-
Requisitos de Qualidade
Custo
Qualidade
Entrega
Requisitos Fiducirios
Eficincia
Eficcia
Confiabilidade
Conformidade
Requisitos de Segurana
Confidencialidade
Integridade
Disponibilidade
Requisitos de Informao
Eficincia
Eficcia
Confiabilidade
Conformidade
Confidencialidade
Integridade
Disponibilidade
Critrios
-
Categorias de Informao
Eficincia
Capacidade de Produzir o mximo nos resultados com o mnimo de recursos. Diz respeito proviso da informao
atravs do uso otimizado (mais produtivo e econmico) dos recursos. Tem foco na otimizao de custos.
Confiabilidade Relaciona-se proviso de informao apropriada para a gerncia operar a entidade e para a gerncia exercer suas responsabilidades de relatar aspectos de conformidade e finanas
Conformidade Trata do cumprimento das leis, dos regulamentos e arranjos contratuais aos quais o processo de negcio est sujeito
Eficcia a capacidade de alar metas e resultados propostos. Trata da informao que est sendo relevante e pertinente ao processo de negcio, bem como que esteja sendo entregue de um modo oportuno, correto, consistente e til
Confidencialidade Diz respeito proteo da informao sigilosa contra a revelao no autorizada
Integridade Relaciona-se exatido e inteireza da informao bem como sua validez de acordo com os valores e expectativas do negcio
Disponibilidade Relaciona-se informao que est sendo disponibilizada quando requerida pelo processo de negcio agora e no futuro. Tambm diz respeito salvaguarda dos recursos necessrios e s capacidades associadas. Tem foco na Entrega de servios
-
Recursos de TI
Informao
os dados de todos os formulrios de entrada, processados e exibidos pelos sistemas de informao,
podendo ser qualquer formulrio que usado pelo negcio
Infra-estrutura
inclui hardware, sistemas operacionais, sistemas de banco de dados, rede, multimdia, etc. tudo que
necessrio para o funcionamento das aplicaes
Pessoas
pessoal necessrio para planejar, organizar, adquirir, implementar, entregar, dar suporte, monitorar e
avaliar os sistemas de informao e servios. Podem ser internos ou terceirizados.
Aplicaes
Sistemas automatizados e procedimentos manuais para processar informaes
-
4 domnios
Planejamento e Organizao
Aquisio e Implementao
Entrega e Suporte
Monitoramento
34 objetivos de controle de alto nvel
210 objetivos de controle detalhados
Componentes do CobiT
-
Evoluo do COBIT
-
Componentes
do COBIT
-
Framework COBIT
Baseado em
Controles
Orientado a
Processos
Direcionada a
Medio
Focado no
Negcio
-
Orientado a Processo
Planejamento e Organizao (PO)
Monitoramento e Avaliao (ME)
Aquisio e
Implementao
(AI)
Entrega e
Suporte
(DS)
-
Focado nos Requisitos de Negcio
Recursos
de TI
Processos
de TI
Informaes
Requisitos de
Negcio
Direciona
investimentos em
Que so utilizados
por Para entrega de
Que responde a
-
Baseado em Controles
Normas
Padres
Objetivos
Processo
Controle da
Informao
Compara
Agir
-
Definies
CONTROLE
Controle envolve as polticas, procedimentos, prticas e
estruturas organizacionais projetadas para fornecer
segurana para que os objetivos do negcio sejam
alcanados e eventos no desejados sejam prevenidos ou
detectados e corrigidos.
OBJETIVOS DE CONTROLE
Definio de determinados objetivos ou resultados a serem
obtidos ao implementar procedimentos de controle em uma
determinada atividade de TI
-
Fronteiras de Negcios,
Controles Gerais e de Aplicativos
-
Process Control (PC)
Controle Gerais de Processos
PC2 Propriedade dos Processos
Cada processo deve ter um responsvel
PC1 Metas e Objetivos do Processo
Define e comunica as metas e objetivos especficos, mensurveis, acionveis, realsticos, orientados
a resultados e no tempo apropriado para a efetiva execuo de cada processo de TI..
PC3 Repetibilidade dos Processos
Os processos devem ser executados de forma consistente
PC4 Papis e Responsabilidades
A responsabilidade pela execuo das atividades dos processos deve ser atribuda a papis
especficos
PC5 Polticas Planos e Procedimentos
Polticas, planos e procedimentos associados aos processos devem ser documentados, revisados, mantidos atualizados e comunicados para os envolvidos
PC6 Melhoria do Processo de Performance
Os processos devem ter seu desempenho melhorado continuamente
-
Control
Objectives
(CO)
34 Processos
210 Objetivos
de Controle
-
Application Control (AC)
Controles de Aplicativos
AC2 Entrada e Coleta de Dados Fontes
Os dados devem ser alimentados de forma tempestiva por pessoas autorizadas, e eventuais
correes no devem comprometer os nves de autorizao do sistema
AC1 Preparao e Autorizao de Dados Originais
Os documentos de origem devem ser preparados e aprovados segundo o critrio de segregao de funes. Erros e omisses podem ser minizados e corrigidos.
AC3 Testes de Veracidade, Totalidade e Autenticidade
Todas as transaes devem ser precisas, completas e vlidas
AC4 Processamento ntegro e Vlido
Os dados devem ser mantigos ntegros e vlidos durante todo o ciclo de processamento
AC5 Reviso das Sadas, Reconciliao e Manuseio de Erros
As sadas do sistema devem ser verificadas quanto preciso, protegidas durante a transmisso,
entregues aos destinatrios corretos e utilizadas corretamente
AC6 Autenticao e Integridade das Transaes
Os dados passados entre aplicaes ou reas da organizao devem ser verificados quanto autenticidade e integridade
-
Medio
Indicadores de
Desempenho
Medies de
resultados
Modelos de
maturidade
Negcio
TI
Processo
Atividade
-
Medio de Desempenho
DS5 Garantir a segurana dos servios
-
Modelo de Maturidade
-
Avaliao de Maturidade
-
0 Inexistente Completa falta de um processo reconhecido. A empresa nem mesmo reconheceu que existe uma questo a ser trabalhada.
1 Inicial / Ad hoc Existem evidncias que a empresa reconheceu que existem questes e que precisam ser trabalhadas. No entanto, no existe processo padronizado; ao contrrio, existem enfoques Ad Hoc que tendem a ser aplicados individualmente ou caso-a-caso. O enfoque geral de gerenciamento desorganizado.
2 Repetvel, porm Intuitivo Os processos evoluram para um estgio onde procedimentos similares so seguidos por diferentes pessoas fazendo a mesma tarefa. No existe um treinamento formal ou uma comunicao dos procedimentos padronizados e a responsabilidade deixado com o indivduo. H um alto grau de confiana no conhecimento dos indivduos e conseqentemente erros podem ocorrer.
3 Processo Definido Procedimentos foram padronizados, documentados e comunicados atravs de treinamento. mandatrio que esses processos sejam seguidos; no entanto, possivelmente desvios no sero detectados. Os procedimentos no so sofisticados mas existe a formalizao das prticas existentes.
4 Gerenciado e Mensurvel A gerencia monitora e mede a aderncia aos procedimentos e adota aes onde os processos parecem no estar funcionando muito bem. Os processos esto debaixo de um constante aprimoramento e fornecem boas prticas. Automao e ferramentas so utilizadas de uma maneira limitada ou fragmentada.
5 Otimizado Os processos foram refinados a um nvel de boas prticas, baseado no resultado de um contnuo aprimoramento e modelagem da maturidade como outras organizaes. TI utilizada como um caminho integrado
Modelo de Maturidade Genrico
-
PO2
Definir a
Arquitetura da
Informao
PO3
Determinar as
Diretrizes de
Tecnologia
PO1
Definir um
Plano Estratgico
de TI
PO4
Definir os Processos,
a Organizao e os
Relacionamentos
de TI
PO5
Gerenciar o
Investimento
de TI
Planejamento e Organizao ( PO)
Aquisio e Implementao (AI)
PO6
Comunicar
Metas e
Diretrizes
Gerenciais
PO7
Gerenciar os
Recursos Humanos
de TI
PO8
Gerenciar
a Qualidade
PO9
Avaliar e
Gerenciar os
Riscos
de TI
PO10
Gerenciar
Projetos
AI2
Adquirir e Manter
Software Aplicativo
AI3
Adquirir e Manter
Infraestrutura de Tecnologia
AI 1
Identificar Solues
Automatizadas
AI4
Habilitar Operao
e Uso de TI
AI6
Gerenciar
Mudanas
AI7
Instalar e Homologar
Solues e Mudanas
AI5
Adquirir
Recursos de TI
DS2
Gerenciar
Servios
Terceirizados
DS3
Gerenciar o
Desempenho e
a Capacidade
DS1
Definir e Gerenciar
Nveis de Servios
DS4
Assegurar a
Continuidade dos
Servios
DS5
Garantir a
Segurana dos
Sistemas
Entrega e Suporte (DS)
DS6
Identificar e
Alocar Custos
DS7
Educar e
Treinar os Usurios
DS8
Gerenciar a
Central de Servio
e os Incidentes
DS9
Gerenciar a
Configurao
DS10
Gerenciar
Problemas ME4
Prover
governana
ME1
Monitorar e avaliar
desempenho de TI
ME2
Monitorar e avaliar
controle interno
ME3
Assegurar o
Cumprimento das
regulamentaes
Monitoramento e Avaliao
(ME)
DS11
Gerenciar os
Dados
DS12
Gerenciar o
Ambiente Fsico
DS13
Gerenciar as
Operaes
-
PO1
Definir o plano
estratgido de TI
PO2
Definir arquitetura de
informao
PO3
Definir direcionamento
tecnolgico
PO4
Definir organizao e
relacionamentos da
rea de TI
PO5
Gerenciar
investimentos de TI
PO6
Comunicar objetivos e
metas gerenciais
PO7
Gerenciar recursos
humanos
AI
Aquisio e Implementao
DS
Entrega e Suporte
PO8
Gerenciar qualidade
PO9
Gerenciar riscos
PO10
Gerenciar projetos
ME1-4
Monitoramento e
avalio
AI
Aquisio e
Implementao
DS
Entrega e Suporte
Requisitos de
negcios
Requisitos
externos
(PO) Planejamento
e Organizao
-
AI1
Identificar solues
automatizadas
DS9
Gerenciar
configurao
PO
Planejamento e Organizao
DS
Entrega e Suporte
PO8
Gerenciar qualidade
PO9
Gerenciar riscos
PO10
Gerenciar projetos
ME1-4
Monitoramento e
avalio
DS
Entrega e Suporte
PO
Planejamento e
Organizao
Requisitos de
negcios
Requisitos
externos
(AI) Aquisio
e Implementao
AI7
Instalar e credenciar
solues e mudanas
AI6
Gerenciar mudanas
AI3
Adquirir e manter
infraestrutura
tecnolgica
AI2
Adquirir e manter
software aplicativo
AI4
Habilitar operao
e uso
AI5
Adquirir
recursos de TI
-
PO
Planejamento e Organizao
AI
Aquisio e Implementao
PO8
Gerenciar qualidade
PO9
Gerenciar riscos
PO10
Gerenciar projetos
ME1-4
Monitoramento e
avalio
AI
Aquisio e
Implementao
PO
Planejamento e
Organizao
Requisitos de
negcios
Requisitos
externos
(DS) Entrega
e Suporte
DS3 Gerenciar
desempenho e capacidade
DS4 Assegurar
continuidade de servios
DS5
Assegurar
segurana de
sistemas
DS7
Educar e treinar
usurios
DS6
Identificar e
alocar custos
DS1
Definir e gerenciar
nveis de servios
DS2 Gerenciar servios
terceirizados
DS11
Gerenciar
dados
DS12
Gerenciar
ambiente fsico
DS13
Gerenciar
operaes
DS8 Gerenciar
central de servios e incidentes
DS10
Gerenciar
problemas
DS9
Gerenciar
configurao
-
PO
Planejamento e Organizao
AI
Aquisio e Implementao
PO8
Gerenciar qualidade
PO9
Gerenciar riscos
PO10
Gerenciar projetos
AI
Aquisio e
Implementao
PO
Planejamento e
Organizao
Requisitos de
negcios
Requisitos
externos
(ME) Monitoramento
e Avaliao
DS3 Gerenciar
desempenho e capacidade
DS4 Assegurar
continuidade de servios
DS5
Assegurar
segurana de
sistemas
DS7
Educar e treinar
usurios
DS
Entrega e
Suporte
DS
Entrega e Suporte
ME4
Prover governana
ME1
Monitorar e avaliar
desempenho de TI
ME2
Monitorar e avaliar
controle interno
ME3
Assegurar o cumprimento
das regulamentaes
-
Planejamento e Organizao (PO)
Definio
Este domnio tem abrangncia estratgica e ttica e identifica as formas atravs das quais a TI pode contribuir
melhor para o atendimento dos objetivos de negcio, enolvolvendo planejamento, comunicao e gerenciamento
dem diversas perspectivas
Processos
PO1 Definir um Plano Estratgico de TI
PO2 Definir a Arquitetura da Informao
PO3 Determinar as Diretrizes de Tecnologia
PO4 Definir os Processos, a Organizao e os Relacionamentos de TI
PO5 Gerenciar o Investimento de TI
PO6 Comunicar Metas e Diretrizes Gerenciais
PO7 Gerenciar os Recursos Humanos de TI
PO8 Gerenciar a Qualidade
PO9 Avaliar e Gerenciar os Riscos de TI
PO10 Gerenciar Projetos
-
PO1
Definir o plano
estratgido de TI
PO2
Definir arquitetura de
informao
PO3
Definir direcionamento
tecnolgico
PO4
Definir organizao e
relacionamentos da
rea de TI
PO5
Gerenciar
investimentos de TI
PO6
Comunicar objetivos e
metas gerenciais
PO7
Gerenciar recursos
humanos
AI
Aquisio e Implementao
DS
Entrega e Suporte
PO8
Gerenciar qualidade
PO9
Gerenciar riscos
PO10
Gerenciar projetos
ME1-4
Monitoramento e
avalio
AI
Aquisio e
Implementao
DS
Entrega e Suporte
Requisitos de
negcios
Requisitos
externos
(PO) Planejamento
e Organizao
-
PO1 - Definir o plano estratgico de TI
Planejamento Corporativo
Vincular objetivos de negcio com
objetivos de TI
Identificar as dependncias crticas e o
desempenho atual
Produzir um plano estratgico de TI
Produzir um plano ttico de TI
Definir um plano estratgico de TI para gerenciar e
direcionar todos recursos de TI alinhado com as
prioridades e estratgias de negcios
Objetivo
Analisar o portflio de programas e
gerenciar portflio de projetos e
servios
-
PO1 Definir um Plano Estratgico de TI
PO1.1 Gerenciamento de Valor da TI
PO1.2 Alinhamento entre TI e Negcio
PO1.3 Avaliao da Capacidade e Desempenho Correntes
PO1.4 Plano Estratgico de TI
PO1.5 Planos Tticos de TI
PO1.6 Gerenciamento do Portflio de TI
-
PO2 Definir a Arquitetura da Informao
Criar e manter o modelo de informao
corporativa
Criar e manter os dicionrios de dados
corporativos
Estabelecer e manter uma estrutura de
classificao de dados
Fornecer aos proprietrios de dados
procedimentos e ferramentas para
classificao dos sistemas de informao
Utilizar o modelo de informao,
dicionrio de dados e estrutura de
classificao para planejar sistemas
otimizados
Ciar e atualizar regularmente um modelo de
informaes de negcios e definir um sistema
apropriado para otimizar o uso da informao
Objetivo
-
PO2.1 Modelo de Arquitetura da Informao da Organizao
PO2.2 Dicionrio de Dados Corporativos e Regras de Sintaxe de Dados
PO2.3 Esquema de Classificao de Dados
PO2.4 Gerenciamento de Integridade
PO2 Definir a Arquitetura da Informao
-
PO3 Determinar as Diretrizes da Tecnologia
Determinar o direcionamento tecnolgico para
suportar os objetivos e metas de negcios
Objetivo Criar e manter um planejamento de
infraestrutura tecnolgica
Criar e manter padres tecnolgicos
Publicar padres tecnolgicos
Monitorar evoluo tecnolgica
Definir uso (futuro) (estratgico) de novas
tecnologias
-
PO3.1 Planejamento da Diretriz Tecnolgica
PO3.2 Plano de Infraestrutura Tecnolgica
PO3.3 Monitoramento de Regulamentos e Tendncias Futuras
PO3.4 Padres Tecnolgicos
PO3.5 Conselho de Arquitetura de TI
PO3 Determinar as Diretrizes da Tecnologia
-
PO4 Definir os Processos, Organizao e
Relacionamentos de TI
Definir uma organizao de TI considerando
requisitos de competncias, funes, autoridade,
papis, responsabilidade e superviso.
Objetivo Estabelecer a estrutura organizacional de
TI, incluindo comits e relacionamentos
com partes interessadas e fornecedores
Projetar a estrutura de processos de TI
Identificar os proprietrios dos sistemas
Identificar os proprietrios dos dados
Estabelecer e implementar papis,
funes e responsabilidades de TI,
incluindo superviso e segregao de
atividades
-
PO4.1 Estrutura de Processos de TI
PO4.2 Comit Estratgico de TI
PO4.3 Comit Executivo de TI
PO4.4 Posicionamento Organizacional da rea de TI
PO4.5 Estrutura Organizacional de TI
PO4.6 Definio de Papis e Responsabilidades
PO4.7 Responsabilidade pela Garantia de Qualidade
PO4.8 Responsabilidade por Riscos, Segurana e Conformidade
PO4.9 Proprietrios de Dados e Sistemas
PO4.10 Superviso
PO4.11 Segregao de Funes
PO4.12 Recrutamento de pessoal de TI
PO4.13 Pessoal Chave de TI
PO4.14 Polticas e Procedimentos para Pessoal Contratado
PO4.15 Relacionamentos
PO4 Definir os Processos, Organizao e
Relacionamentos de TI
-
PO5 Gerenciar o Investimento de TI
Definir e manter um modelo para gerenciar
programas de investimentos de TI
Objetivo Manter portflio de programas
Manter portflio de projetos
Manter portflio de servios
Estabelecer e manter o processo
oramentrio de TI
Identificar, comunicar e monitorar os
investimentos em TI, custos e valor para
o negcio
-
PO5.1 Estrutura da Administrao Financeira
PO5.2 Priorizao dentro do Oramento de TI
PO5.3 Processo de Oramento de TI
PO5.4 Gerenciamento de Custo
PO5.5 Gerenciamento de Benefcios
PO5 Gerenciar o Investimento de TI
-
PO6 Comunicar Metas e Diretrizes
Gerenciais
Para comunicar objetivos de gesto atravs de um
modelo de controle de TI, e definir e comunicar
polticas de TI
Objetivo Estabelecer e manter a estrutura e
ambiente de controle de TI
Desenvolver e manter as polticas de TI
Comunicar a estrutura de controle, os
objetivos e as diretrizes de TI
-
PO6.1 Poltica de TI e Ambiente de Controle
PO6.2 Risco de TI Corporativo e Estrutura Interna de Controle
PO6.3 Gerenciamento de Polticas de TI
PO6.4 Distribuio da Poltica
PO6.5 Comunicao dos Objetivos e Diretrizes de TI
PO6 Comunicar Metas e Diretrizes
Gerenciais
-
PO7 Gerenciar os Recursos Humanos de TI
Gerenciar recursos humanos atravs da
aquisio, manuteno e motivao de uma
competente fora de trabalho para a criao e
entrega de servios de TI para o negcio
Objetivo Identificar habilidades, descrio de
cargos, faixas salariais e comparaes de
desempenho individual com o mercado
(benchmarks) para TI;
Executar polticas e procedimentos de RH
relevantes para TI (recrutamento,
contratao, compensao, treinamento,
avaliao, promoo e desligamento)
-
PO7.1 Recrutamento e Reteno de Pessoal
PO7.2 Competncias Pessoais
PO7.3 Preenchimento de Vagas
PO7.4 Treinamento do Pessoal
PO7.5 Dependncia de Indivduos
PO7.6 Procedimentos de Liberao de Pessoal
PO7.7 Avaliao de Desempenho Profissional
PO7.8 Mudana e Desligamento de Cargo
PO7 Gerenciar os Recursos Humanos de TI
-
PO8 Gerenciar a Qualidade
Gerenciar qualidade atravs de desenvolvimento e
manuteno de sistemas de gerenciamento da
quualidade, que incluem padres e processos
para a melhoria da qualidade
Objetivo Definir um sistema de gerenciamento da
qualidade (SGQ)
Estabelecer e manter um sistema de
gerenciamento da qualidade
Criar e comunicar padres de qualidade
para a organizao
Criar e manter o planejamento de
qualidade para melhoria contnua
Medir, monitorar e revisar criticamente a
conformidade com os objetivos de
qualidade
-
PO8.1 Sistema de Gerenciamento de Qualidade (SGQ)
PO8.2 Padres e Prticas de Qualidade de TI
PO8.3 Padres de Desenvolvimento e Aquisio
PO8.4 Foco no Cliente
PO8.5 Melhoria Contnua
PO8.6 Medio, Monitoramento e Reviso da Qualidade
PO8 Gerenciar a Qualidade
-
PO9 Avaliar e Gerenciar os Riscos de TI
Avaliar e gerenciar riscos de TI atravs da criao
e manuteno de modelo de gerenciamento de
riscos
Objetivo Promover o alinhamento da gesto de
riscos (por exemplo: avaliao de riscos)
Entender os objetivos estratgicos de negcio relevantes
Entender os objetivos de processos de negcio relevantes
Identificar objetivos internos de TI e estabelecer contexto de risco;
Identificar eventos associados com objetivos
Avaliar criticamente os riscos associados com eventos
Avaliar respostas aos eventos
Planejar e priorizar as atividades de controle
Aprovar e assegurar o financiamento de
planos de aes para riscos;
Manter e monitorar os planos de aes para riscos
-
PO9.1 Alinhamento da gesto de riscos de TI e de Negcios
PO9.2 Estabelecimento do Contexto de Risco
PO9.3 Identificao de Eventos
PO9.4 Avaliao de Risco
PO9.5 Resposta ao Risco
PO9.6 Manuteno e Monitoramento do Plano de Ao de Risco
PO9 Avaliar e Gerenciar os Riscos de TI
-
PO10 Gerenciar Projetos
Gerenciar projetos atravs de modelo de
gerenciamento de programas e projetos para
gerenciamento de todos projetos de TI
Objetivo Definir uma estrutura de gerenciamento
de programas e portflios para os
investimentos de TI
Estabelecer e manter uma estrutura de
gerenciamento de projetos
Estabelecer e manter um sistema de
gerenciamento, monitoramento e
acompanhamento de projetos de TI
Criar cronogramas, planos de qualidade,
oramentos, planos de comunicao e
planos de gerenciamento de riscos para
projetos;
Assegurar a participao e compromisso
das partes interessadas
Assegurar o controle eficaz de projetos e
de mudanas em projetos;
Definir e implementar uma metodologia
de reviso e qualidade em projetos
-
PO10.1 Estrutura de Gesto de Programas
PO10.2 Estrutura de Gesto de Projetos
PO10.3 Abordagem da Gesto de Projetos
PO10.4 Comprometimento das Partes Interessadas
PO10.5 Declarao do Escopo do Projeto
PO10.6 Fase de Incio do Projeto
PO10.7 Plano Integrado de Projeto
PO10.8 Recursos do Projeto
PO10.9 Gesto de Risco do Projeto
PO10.10 Plano de Qualidade de Projeto
PO10.11 Controle de Mudana de Projeto
PO10.12 Planejamento de mtodos de validao
PO10.13 Medio de Desempenho, Monitoramento e Reporte do Projeto
PO10.14 Concluso do Projeto
PO10 Gerenciar Projetos
-
PO10
Gerenciar projetos
-
Aquisio e Implementao (AI)
Definio
Este domnio cobre a identificao, desenvolvimento e/ou aquisio de solues de TI para executar a estratgia de
TI estabelecida, assim como a sua implementao e integrao junto aos processos de negcio. Mudanas e
manutenes em sistemas existentes tambm esto cobertas por este domnio, para garantir a continuidade dos
respectivos ciclos de vida.
Processos
AI 1 Identificar Solues Automatizadas
AI2 Adquirir e Manter Software Aplicativo
AI3 Adquirir e Manter Infraestrutura de Tecnologia
AI4 Habilitar Operao e Uso
AI5 Adquirir Recursos de TI
AI6 Gerenciar Mudanas
AI7 Instalar e Homologar Solues e Mudanas
-
AI1
Identificar solues
automatizadas
DS9
Gerenciar
configurao
PO
Planejamento e Organizao
DS
Entrega e Suporte
PO8
Gerenciar qualidade
PO9
Gerenciar riscos
PO10
Gerenciar projetos
ME1-4
Monitoramento e
avalio
DS
Entrega e Suporte
PO
Planejamento e
Organizao
Requisitos de
negcios
Requisitos
externos
(AI) Aquisio
e Implementao
AI7
Instalar e credenciar
solues e mudanas
AI6
Gerenciar mudanas
AI3
Adquirir e manter
infraestrutura
tecnolgica
AI2
Adquirir e manter
software aplicativo
AI4
Habilitar operao
e uso
AI5
Adquirir
recursos de TI
-
AI 1 Identificar Solues Automatizadas
Analisar a necessidade por novas aplicaes ou
funes, antes da aquisio ou criao e garantir
que os requisitos de negcios so satisfeitos
numa abordagem eficiente e eficaz
Objetivo Definir requisitos tcnicos e funcionais de
negcio
Estabelecer processos para
integridade/atualizao de requisitos
Identificar, documentar e analisar os
riscos de processos de negcio
Conduzir um estudo de viabilidade/avaliao de impacto para a
implementao dos requisitos de negcio propostos
Avaliar os benefcios das solues
propostas para a operao de TI
Avaliar os benefcios das solues
propostas para o negcio
Desenvolver um processo de aprovao
de requisitos;
Aprovao e liberao das solues
propostas
-
AI1 Definio e Manuteno de Requisitos Tcnicos e Funcionais de Negcio
AI1.2 Relatrio de Anlise de Risco
AI1.3 Estudo de Viabilidade e Formulao de Aes Alternativas
AI1.4 Deciso e Aprovao de Requisitos e Estudo de Viabilidade
AI 1 Identificar Solues Automatizadas
-
AI2 Adquirir e Manter Software Aplicativo
Adquirir e manter software aplicativo em
conformidade com os requisitos de negcios
Objetivo Traduzir os requisitos de negcio em
macro especificaes de projeto
Preparar projeto detalhado e requisitos
tcnicos dos softwares aplicativos
Especificar no projeto os controles das
aplicaes
Customizar e implementar as funcionalidades automatizadas
adquiridas;
Desenvolver metodologias e processos
formais para gerenciar o processo de
desenvolvimento de aplicaes
Criar um plano de garantia da qualidade
de software para os projetos
Rastrear e gerenciar requisitos das
aplicaes
Desenvolver um plano para a
manuteno dos softwares aplicativos
-
A12.1 Projeto em Nvel Macro
AI2.2 Projeto Detalhado
AI2.3 Controle e Auditabilidade do Aplicativo
AI2.4 Segurana e Disponibilidade do Aplicativo
AI2.5 Configurao e Implementao de Software Aplicativo Adquirido
AI2.6 Principais Atualizaes dos Sistemas Existentes
AI2.7 Desenvolvimento de Software Aplicativo
AI2.8 Garantia de Qualidade de Software
AI2.9 Gesto dos Requisitos das Aplicaes
AI2.10 Manuteno de Software Aplicativo
AI2 Adquirir e Manter Software Aplicativo
-
AI3 Adquirir e Manter Infraestrutura de
Tecnologia
Adquir e manter a infraestrutura tecnolgica
alinhada com as necessidades de negcios e
aplicaes de negcios
Objetivo
Definir processos/procedimentos de
aquisio
Negociar aquisio e adquirir a requerida
infraestrutura com os fornecedores
Definir estratgia e plano de manuteno
para a infraestrutura;
Configurar componentes da infraestrutura
-
AI3.1 Plano de Aquisio de Infraestrutura Tecnolgica
AI3.2 Infraestrutura de Recursos, Proteo e Disponibilidade
AI3.3 Manuteno da Infraestrutura
AI3.4 Viabilidade do Ambiente de Teste
AI3 Adquirir e Manter Infraestrutura de
Tecnologia
-
AI4 Habilitar Operao e Uso
Garantir a utilizao correta e operao de
aplicaes e infraestrutura atravs de
fornecimento de documentao e treinamento
Objetivo Desenvolver estratgia para
operacionalizar a soluo
Desenvolver metodologia de
transferncia de conhecimento
Desenvolver manuais de procedimentos
para usurios finais
Desenvolver documentao de suporte tcnico para equipes de operao e
suporte
Desenvolver e realizar treinamento
Avaliar os resultados dos treinamentos e
melhorar a documentao quando
necessrio
-
AI4.1 Planejamento para Solues Operacionais
AI4.2 Transferncia de Conhecimento ao Gerenciamento do Negcio
AI4.3 Transferncia de Conhecimento aos Usurios Finais
AI4.4 Transferncia de Conhecimento s Equipes de Operaes e Suporte
AI4 Habilitar Operao e Uso
-
AI5 Adquirir Recursos de TI
Adquir recursos de TI (pessoas, aplicaes,
informao e infraestrutura)
Objetivo Desenvolver polticas e procedimentos de
aquisio de TI alinhadas com as
polticas de aquisio corporativas
Estabelecer/manter uma listagem de
fornecedores homologados
Avaliar e selecionar fornecedores atravs
de processos de requisio de propostas
(RFP - Request For Proposal)
Desenvolver contratos que protejam os interesses corporativos
Adquirir de acordo com os procedimentos
estabelecidos
Avaliar os resultados dos treinamentos e
melhorar a documentao quando
necessrio
-
AI5.1 Controle de Aquisio
AI5.2 Gerenciamento de Contratos de Fornecedores
AI5.3 Seleo de Fornecedores
AI5.4 Aquisio de Recursos de TI
AI5 Adquirir Recursos de TI
-
AI6 Gerenciar Mudanas
Gerenciar todas as mudanas relacionadas a
infraestrutura e aplicaes de maneira controlada
Objetivo Desenvolver e implementar um processo
para registrar, avaliar e priorizar de forma
consistente as solicitaes de mudana
Avaliar criticamente o impacto e priorizar
mudanas baseadas em necessidades do
negcio
Assegurar que qualquer mudana crtica
e emergencial siga o processo aprovado
Autorizar mudanas
Gerenciar e disseminar informaes
relevantes relacionadas a mudanas
-
AI6.1 Padres e Procedimentos de Mudana
AI6.2 Avaliao de Impacto, Priorizao e Autorizao
AI6.3 Mudanas de Emergncia
AI6.4 Acompanhamento de Status e Relatrios de Mudanas
AI6.5 Finalizao da Mudana e Documentao
AI6 Gerenciar Mudanas
-
AI7 Instalar e Homologar Solues e
Mudanas
Instalar e homologar novos sistemas e solues
alinhados com as expectativas e resultados
acordados
Objetivo Confeccionar e revisar o planejamento de implantao
Definir e revisar a estratgia de testes
(critrios de entrada e sada) e a
metodologia de planejamento de testes
operacionais
Confeccionar e manter um repositrio de
requisitos de negcio e tcnicos e testes
realizados em sistemas homologados
Realizar os testes de converso e integrao no ambiente de testes
Fornecer o ambiente de testes e conduzir
os testes finais de aceitao
Recomendar migrao para produo
baseado nos critrios de homologao
acordados
-
AI7.1 Treinamento
AI7.2 Plano de Teste
AI7.3 Plano de Implementao
AI7.4 Ambiente de Testes
AI7.5 Converso de Dados e Sistemas
AI7.6 Teste de Mudanas
AI7.7 Teste de Aceitao Final
AI7.8 Promoo para a Produo
AI7.9 Reviso ps-implementao
AI7 Instalar e Homologar Solues e
Mudanas
-
Entrega e Suporte (DS)
Definio
Este domnio cobre a entrega propriamente dita dos servios requiridos, incluindo o gerenciamento de segurana e
continuidade, suporte aos servios para os usurios, gesto dos dados e da infraestrutura operacional
Processos
DS1 Definir e Gerenciar Nveis de Servios
DS2 Gerenciar Servios Terceirizados
DS3 Gerenciar o Desempenho e a Capacidade
DS4 Assegurar a Continuidade dos Servios
DS5 Garantir a Segurana dos Sistemas
DS6 Identificar e Alocar Custos
DS7 Educar e Treinar os Usurios
DS8 Gerenciar a Central de Servio e os Incidentes
DS9 Gerenciar a Configurao
DS10 Gerenciar Problemas
DS11 Gerenciar os Dados
DS12 Gerenciar o Ambiente Fsico
DS13 Gerenciar as Operaes
-
PO
Planejamento e Organizao
AI
Aquisio e Implementao
PO8
Gerenciar qualidade
PO9
Gerenciar riscos
PO10
Gerenciar projetos
ME1-4
Monitoramento e
avalio
AI
Aquisio e
Implementao
PO
Planejamento e
Organizao
Requisitos de
negcios
Requisitos
externos
(DS) Entrega
e Suporte
DS3 Gerenciar
desempenho e capacidade
DS4 Assegurar
continuidade de servios
DS5
Assegurar
segurana de
sistemas
DS7
Educar e treinar
usurios
DS6
Identificar e
alocar custos
DS1
Definir e gerenciar
nveis de servios
DS2 Gerenciar servios
terceirizados
DS11
Gerenciar
dados
DS12
Gerenciar
ambiente fsico
DS13
Gerenciar
operaes
DS8 Gerenciar
central de servios e incidentes
DS10
Gerenciar
problemas
DS9
Gerenciar
configurao
-
DS1 Definir e Gerenciar Nveis de Servio
Definir e gerenciar nveis de servio com
alinhamento entre servios de TI e requisitos
relacionados com os negcios
Objetivo Criar uma estrutura para a definio de
servios de TI
Produzir um catlogo de servios de TI
Definir acordos de nveis de servios
(SLAs) para servios crticos de TI
Definir acordos de nveis de operao (OLAs) para atendimento de SLAs
Monitorar e reportar o desempenho do
nvel de servio fim-a-fim
Revisar contratos de SLA e de
fornecedores de servios
Revisar e atualizar o catlogo de servios
de TI
Criar plano de melhoria de servios
-
DS1.1 Estrutura de Gesto de Nveis de Servio
DS1.2 Definio de Servios
DS1.3 Acordos de Nvel de Servio
DS1.4 Acordos de Nvel Operacional
DS1.5 Monitoramento e Relatrio de Realizaes de Nvel de Servio
DS1.6 Reviso dos Acordos de Nvel de Servio e dos Contratos
DS1 Definir e Gerenciar Nveis de Servio
-
DS2 Gerenciar Servios Terceirizados
Gerenciar os servios de fornecedores para
atendimento dos requisitos de negcios com
minizao de riscos
Objetivo Identificar e categorizar relacionamentos
com prestadores de servios
terceirizados
Definir e documentar o processo de
gesto de fornecedores
Estabelecer polticas e procedimentos de
seleo e avaliao de fornecedores
Identificar, avaliar criticamente e mitigar riscos de fornecimento
Monitorar a entrega de servios de
fornecedores
Avaliar os objetivos de longo prazo do
relacionamento com fornecedores de
servios para todas as partes
interessadas
-
DS2.1 Identificao do Relacionamento com Todos os Fornecedores
DS2.2 Gesto do Relacionamento com Fornecedores
DS2.3 Gerenciamento de Riscos do Fornecedor
DS2.4 Monitoramento de Desempenho do Fornecedor
DS2 Gerenciar Servios Terceirizados
-
DS3 Gerenciar o Desempenho e a
Capacidade
Gerenciar o desempenho e capacidade dos
recursos de TI para garantir que suportem os
requisitos de negcios e que estejam
continuamente disponveis
Objetivo Estabelecer um processo de
planejamento para revisar o desempenho
e capacidade de recursos de TI
Revisar o desempenho e capacidade
atuais de recursos de TI
Conduzir previso de desempenho e
capacidade de recursos de TI
Conduzir anlises de desvios para
identificar erros de dimensionamento de
recursos de TI
Conduzir um plano de contingncia para
potenciais indisponibilidades de recursos
de TI
Monitorar constantemente e reportar a
disponibilidade, desempenho e
capacidade de recursos de TI
-
DS3.1 Desempenho e Planejamento de Capacidade
DS3.2 Capacidade e Desempenho Atuais
DS3.3 Capacidade e Desempenho Futuros
DS3.4 Disponibilidade de Recursos de TI
DS3.5 Monitoramento e Relatrios
DS3 Gerenciar o Desempenho e a
Capacidade
-
DS4 Assegurar a Continuidade dos Servios
Minimizar a probabilidade e impacto de
grandes interrupes em servios de TI em
processos crticos de negcios
Objetivo Desenvolver uma estrutura de continuidade de TI;
Realizar uma anlise de impacto no negcio (BIA) e
avaliao de riscos;
Desenvolver e manter planos de continuidade de TI
Identificar e categorizar recursos de TI baseado em
objetivos de recuperao;
Definir e executar procedimentos de controle de
mudanas para assegurar a atualizao do plano de
continuidade de TI
Testar frequentemente o plano de continuidade de TI
Desenvolver um plano de aes com base nos
resultados dos testes
Planejar e conduzir treinamento de continuidade de TI
Planejar a recuperao dos servios de TI
Planejar e implementar a guarda e proteo das cpias de segurana (backup)
Estabelecer procedimentos para conduo de revises ps-restabelecimento dos servios
-
DS4.1 Estrutura de Continuidade
DS4.2 Planos de Continuidade de TI
DS4.3 Recursos Crticos de TI
DS4.4 Manuteno do Plano de Continuidade de TI
DS4.5 Teste do Plano de Continuidade de TI
DS4.6 Treinamento do Plano de Continuidade de TI
DS4.7 Distribuio do Plano de Continuidade
DS4.8 Recuperao e Retomada dos Servios de TI
DS4.9 Armazenamento de Cpias de Segurana em Locais Remotos
DS4.10 Reviso Ps-Retomada dos Servios
DS4 Assegurar a Continuidade dos Servios
-
DS5 Garantir a Segurana dos Sistemas
Proteger todos ativos de TI para minimizar
o impacto de vulnerabilidades de segurana
e incidentes
Objetivo Definir e manter um plano de segurana de TI
Definir, implementar e operar um processo de gesto de
identidades (contas)
Monitorar incidentes de segurana reais e potenciais
Revisar e validar periodicamente os privilgios e direitos
de acesso de usurios
Implementar e manter procedimentos para manter e
proteger chaves criptogrficas
Implementar e manter controles tcnicos e
procedimentais para proteger a comunicao de dados
atravs das redes;
Conduzir frequentemente anlise de vulnerabilidades
-
DS5.1 Gesto da Segurana de TI
DS5.2 Plano de Segurana de TI
DS5.3 Gesto de Identidade
DS5.4 Gesto de Contas de Usurio
DS5.5 Teste de Segurana, Vigilncia e Monitoramento
DS5.6 Definio de Incidente de Segurana
DS5.7 Proteo da Tecnologia de Segurana
DS5.8 Gesto de Chave Criptogrfica
DS5.9 Preveno, Deteco e Correo de Software Malicioso
DS5.10 Segurana de Rede
DS5.11 Comunicao de Dados Confidenciais
DS5 Garantir a Segurana dos Sistemas
-
DS6 Identificar e Alocar Custos
Identificar e alocar custos para garantir
que a rea de negcio tome mais decises
baseadas em informaes com relao ao
uso de TI
Objetivo Mapear a infraestrutura de TI em servios
fornecidos / processos de negcio suportados
Identificar todos custos de TI (pessoas, tecnologia,
etc) e mape-los aos servios de TI de forma
unitria
Estabelecer e manter processos de contabilidade e
controle de custos de TI
Estabelecer e manter polticas e procedimentos de
custeio
-
DS6.1 Definio de Servios
DS6.2 Contabilidade de TI
DS6.3 Modelagem de Custo e Cobrana
DS6.4 Manuteno do Modelo de Custo
DS6 Identificar e Alocar Custos
-
DS7 Educar e Treinar os Usurios
Educar e treinar usurios para garantir o uso
efetivo de tecnologia e aplicaes e conformidade
com controles chaves de segurana
Objetivo Identificar e caracterizar as necessidades de
treinamento de usurios
Criar um programa de treinamento
Conduzir atividades de conscientizao, educao
e treinamento
Realizar avaliao dos treinamentos
Identificar e avaliar os melhores mtodos e
ferramentas de treinamento
-
DS7.1 Identificao das Necessidades de Ensino e Treinamento
DS7.2 Entrega de Treinamento e Ensino
DS7.3 Avaliao do Treinamento Recebido
DS7 Educar e Treinar os Usurios
-
DS8 Gerenciar a Central de Servio e os
Incidentes
Gerenciar central de servios e incidentes para
garantir no tempo apropriado e resposta efetiva de
problemas e consultas de usurios
Objetivo Criar processos de classificao (severidade e
impacto) e escalao (funcional e hierrquica);
Detectar e registrar incidentes, solicitaes de
servio e solicitaes de informaes
Classificar, investigar e diagnosticar consultas
Resolver, recuperar e fechar incidentes
Informar usurios (por exemplo atualizaes de
status)
Produzir relatrios gerenciais
-
DS8 Central de Servio
DS8.2 Registro dos Chamados dos Clientes
DS8.3 Escalonamento de Incidentes
DS8.4 Encerramento de Incidente
DS8.5 Relatrios e Anlises de Tendncias
DS8 Gerenciar a Central de Servio e os
Incidentes
-
DS9 Gerenciar a Configurao
Gerenciar a configurao para garantir a
integridade de configuraes de hardware e
software atravs de um banco de dados completo
de configurao
Objetivo Desenvolver procedimentos de planejamento de
gesto de configurao
Coletar informao de configurao inicial e
estabelecer perfis bsicos (baselines)
Verificar e auditar informao de configurao
(incluindo deteco de software no autorizado)
Atualizar repositrio de configurao
-
DS9.1 Repositrio de Configurao e Perfis Bsicos
DS9.2 Identificao e Manuteno dos Itens de Configurao
DS9.3 Reviso da Integridade de Configurao
DS9 Gerenciar a Configurao
-
DS10 Gerenciar Problemas
Gerenciar problemas para melhorar os nveis de
servios, reduzir custos e melhorar a satisfao
dos clientes
Objetivo Identificar e classificar os problemas
Realizar anlises de causa-raiz
Resolver problemas
Avaliar o status dos problemas
Emitir recomendaes para melhoria e criar a
respectiva solicitao de mudana (RFC);
Manter registros de problemas
-
DS10.1 Identificar e Classificar os Problemas
DS10.2 Rastreamento e Resoluo de Problemas
DS10.3 Encerramento do Problema
DS10.4 Integrao de Gerenciamento de Mudanas, Configurao e Problemas
DS10 Gerenciar Problemas
-
DS11 Gerenciar os Dados
Gerenciar dados para garantir a qualidade,
atualidade e disponibilidade dos dados de
negcios
Objetivo Traduzir os requisitos de armazenamento e reteno de dados em procedimentos
Definir, manter e implementar procedimentos para
gerenciar biblioteca de mdias (fitoteca)
Definir, implementar e manter procedimentos para
dispensa de forma segura de equipamentos e
mdias
Realizar cpia de segurana (backup) de acordo
com o esquema
Definir, implementar e manter procedimentos para
restaurao de dados
-
DS11.1 Requisitos de Negcio para o Gerenciamento de Dados
DS11.2 Arranjos de Armazenamento e Reteno
DS11.3 Sistema de Gerenciamento de Biblioteca de Mdia
DS11.4 Descarte de Dados e Equipamentos
DS11.5 Backup e Restaurao
DS11.6 Requisitos de Segurana para o Gerenciamento de Dados
DS11 Gerenciar os Dados
-
DS12 Gerenciar o Ambiente Fsico
Gerenciar o ambiente fsico para reduzir
interrupes de negcios por danos para
equipamentos de TI
Objetivo Definir o nvel necessrio de proteo fsica
Selecionar e comissionar instalaes fsicas (data,
center, escritrio, etc)
Implementar medidas no ambiente fsico
Gerenciar o ambiente fsico (manuteno,
monitorao e relatrios includos)
Definir e implementar procedimentos para
autorizao e manuteno de acesso fsico
-
DS12.1 Seleo do Local e Layout
DS12.2 Medidas de Segurana Fsica
DS12.3 Acesso Fsico
DS12.4 Proteo contra Fatores Ambientais
DS12.5 Gerenciamento de Instalaes Fsicas
DS12 Gerenciar o Ambiente Fsico
-
DS13 Gerenciar as Operaes
Este processo inclui a definio de polticas e
procedimentos de operaes para o
gerenciamento eficaz do processamento
agendado, proteo de resultados sigilosos,
monitoramento de infraestrutura e manuteno
preventiva de hardware
Objetivo Criar / modificar procedimentos de operaes
(incluindo manuais, listas, documentaes,
procedimentos de escalao, etc)
Agendar carga de trabalho e jobs (batch jobs)
Monitorar a infraestrutura e processamento e
resolver problemas
Gerenciar e proteger os ativos fsicos (papis,
mdias, etc)
Aplicar correes ou mudanas ao processamento
ou infraestrutura;
Implementar / estabelecer um processo para
salvaguarda de dispositivos de autenticao contra
interferncia, perda ou roubo;
Programar e realizar manuteno preventiva
-
DS13.1 Procedimentos e Instrues de Operaes
DS13.2 Agendamento de Jobs
DS13.3 Monitoramento da Infraestrutura de TI
DS13.4 Documentos Confidenciais e Dispositivos de Sada
DS13.5 Manuteno Preventiva de Hardware
DS13 Gerenciar as Operaes
-
Monitoramento e Avaliao (ME)
Definio
Este domnio visa assegurar a qualidade dos processos de TI, assim como a sua governana e conformidade com
os objetivos de controle, atravs dos mecanismos regulares de acompanhamento, monitorao dos controles
internos e de avaliaes internas e externas
Processos
ME1 Monitorar e Avaliar o Desempenho de TI
ME2 Monitorar e Avaliar os Controles Internos
ME3 Assegurar a Conformidade com Requisitos Externos
ME4 Prover Governana de TI
-
PO
Planejamento e Organizao
AI
Aquisio e Implementao
PO8
Gerenciar qualidade
PO9
Gerenciar riscos
PO10
Gerenciar projetos
AI
Aquisio e
Implementao
PO
Planejamento e
Organizao
Requisitos de
negcios
Requisitos
externos
(ME) Monitoramento
e Avaliao
DS3 Gerenciar
desempenho e capacidade
DS4 Assegurar
continuidade de servios
DS5
Assegurar
segurana de
sistemas
DS7
Educar e treinar
usurios
DS
Entrega e
Suporte
DS
Entrega e Suporte
ME4
Prover governana
ME1
Monitorar e avaliar
desempenho de TI
ME2
Monitorar e avaliar
controle interno
ME3
Assegurar o cumprimento
das regulamentaes
-
ME1 Monitorar e Avaliar o Desempenho de TI
Monitorar e avaliar o desempenho de TI para
garantir que as coisas certas sejam feitas e esto
conforme com as polticas e diretrizes
Objetivo Estabelecer uma abordagem de monitorao
Identificar e coletar objetivos mensurveis que
sustentem os objetivos de negcio;
Criar scorecards
Avaliar criticamente o desempenho
Reportar o desempenho
Identificar e monitorar aes de melhoria de
desempenho
-
ME1.1 Abordagem de Monitoramento
ME1.2 Definio e Coleta dos Dados de Monitoramento
ME1.3 Mtodo de Monitoramento
ME1.4 Avaliao de Desempenho
ME1.5 Relatrios para a Alta Direo
ME1.6 Aes Corretivas
ME1 Monitorar e Avaliar o Desempenho de TI
-
ME2 Monitorar e Avaliar os Controles
Internos
Monitorar e avaliar controles internos para
fornecer a garantia de operaes eficientes e
eficazes e conformidade com leis e regulamentos
Objetivo Monitorar e controlar atividades de controle interno
de TI
Monitorar o processo de auto-avaliao;
Monitorar o desempenho de revises, auditorias e
avaliaes independentes
Monitorar o processo para auditar controles
operados por terceiros
Monitorar o processo para identificar e avaliar
criticamente excees de controles
Monitorar o processo para identificar e corrigir
excees de controles
Reportar a partes interessadas chave
-
ME2.1 Monitoramento da Estrutura de Controles Internos
ME2.2 Reviso Gerencial
ME2.3 Excees aos Controles
ME2.4 Autoavaliao dos Controles
ME2.5 Garantia dos Controles Internos
ME2.6 Controles Internos Aplicados a Terceiros
ME2.7 Aes Corretivas
ME2 Monitorar e Avaliar os Controles
Internos
-
ME3 Assegurar a Conformidade com
Requisitos Externos
Estabelecer um processo independente de reviso
para garantir a conformidade de TI com leis e
regulamentos
Objetivo Definir e executar um processo para identificar
requisitos legais, contratuais, de polticas e
regulatrios;
Avaliar a conformidade das atividades de TI com
as polticas, padres e procedimentos de TI
Reportar a conformidade positiva de atividades de
TI com as polticas,padres e procedimentos de TI
Fornecer dados para o alinhamento de polticas,
padres e procedimentos de TI em resposta a
requisitos de conformidade
Integrar os relatrios de TI sobre requisitos
regulatrios com produtos similares de outras
reas corporativas
-
ME3.1 Identificao dos Requisitos de Conformidade com Leis,
Regulamentaes e Contratos Externos
ME3.2 Otimizao da Resposta aos Requisitos Externos
ME3.3 Avaliao da Conformidade com Requisitos Externos
ME3.4 Assegurar a Conformidade
ME3.5 Informes Integrados
ME3 Assegurar a Conformidade com
Requisitos Externos
-
ME4 Prover Governana de TI
Fornecer governana de TI atravs da garantia de
que os investimentos em TI estejam alinhados e
entregues de acordo com estratgias e objetivos
empresariais
Objetivo
Estabelecer superviso da Alta Direo sobre
atividades de TI
Revisar, endossar, alinhar e comunicar o
desempenho, estratgia, gerenciamento de
recursos, gerenciamento de riscos de TI com a
estratgia de negcio
Obter avaliao peridica independente sobre
desempenho e conformidade com polticas,
padres e procedimentos;
Resolver questionamentos levantados por
avaliaes independentes e assegurar a
implementao das recomendaes acordadas
Gerar relatrios sobre a governana de TI
-
ME4.1 Estabelecimento de uma Estrutura de Governana de TI
ME4.2 Alinhamento Estratgico
ME4.3 Entrega de Valor
ME4.4 Gerenciamento de Recursos
ME4.5 Gesto de Riscos
ME4.6 Medio de Desempenho
ME4.7 Avaliao Independente
ME4 Prover Governana de TI
-
Obrigado !
9982-8645