memorex cobit

8/9/2019 Memorex COBIT

1/15

MEMOREX COBIT13 de novembro

de 2010

Paulo Marcelo([email protected])

Control Objectives for Information and related Technology (CobiT)

O que a governana de TI ?

O IT Governance Institute define a governana de TI como uma estrutura de relaes e processos para dirigir e

controlar a empresa a fim de atingir os objetivos empresariais pela adio de valor ao negcio por meio dogerenciamento balanceado do risco versus o retorno do investimento em TI e nos processos de TI

Com base nos conceitos apresentados pelo COBIT: Uma ao eficiente decidida e prestada por iniciativa detcnicos de suporte, preocupados em oferecer, com a maior qualidade possvel, apoio aos usurios datecnologia da informao (TI), e a busca de solues de problemas de forma cada vez mais rpida, umaaplicao do conceito de governana em TI.

A governana de TI de responsabilidade dos executivos e da alta direo, consistindo em aspectos deliderana, estrutura organizacional e processos que garantam que a rea de TI da organizao suporte eaprimore os objetivos e as estratgias da organizao [GAB: E]

O que COBIT?

O CobiT prov um modelo de processo genrico que representa todos os processos normalmente encontrados

nas funes de TI, fornecendo assim um modelo de referncia comum compreendido por gerentes

operacionais de TI e gerentes de negcios.

A utilizao do COBIT est direcionada para controles, mensuraes e avaliaes dos processos estratgicosdas unidades de negcios de uma corporao

O COBIT no avalia os processos das unidades de negcios e sim das unidades de TI. Ele deve assegurar oalinhamento entre a estratgia de TI e a estratgia de negcios. [E]

O COBIT abrange todas as atividades de TI e concentra-se no QUE deveria ser obtido e NO em COMO atingir

uma efetiva governana, gerenciamento e controle. Sendo assim, ele age como um integrador das prticas de

governana de TI e influencia a Alta Direo, gerncias de negcios e de TI, profissionais de governana,

avaliao e segurana, profissionais de auditoria de TI e de controles. Ele desenhado para ser complementar

e utilizado com outros padres e boas prticas.

O COBIT Baseados em Controle que consiste em polticas, procedimentos, prticas e estruturas

organizacionais para garantir que: os objetivos de negcio sero alcanados, os eventos indesejveis sero

prevenidos, se possvel, ou ento detectados e corrigidos. Alm de controles gerais (aplicveis a todos os

processos), cada processo possui seus prprios objetivos de controle: declaraes dos resultados desejados

ou do propsito a ser alcanado pela implementao de controles sobre uma atividade


2/15


de 2010


Critrios da informao (requisitos do negcio): qualidade, segurana e adequao

Qualidade:Efetividade/Eficcia (Effectiveness): A informao deve ser pertinente e relevante para o processo de

negcio. A informao deve ser entregue de forma tempestiva, correta, consistente e em formato til

Eficincia:A informao deve ser provida por meio do uso otimizado dos recursos.

EFICCIA VS EFICINCIA

Tais conceitos esto intimamente ligados ao Planejamento Estratgico, que divide-se em trs nveis:

estratgico, ttico e operacional. No nvel estratgico traamos os objetivos, no ttico as metas, e no

operacional as aes a serem realizadas. Nesta ordem hierrquica, refletem como o processo de tomada

de deciso ocorre. Pois bem, ao falarmos de eficcia, estaremos falando do nvel ttico. No nvel

estratgico o planejamento ainda no ocorreu, e eficcia tem a ver com um planejamento prvio.

Uma pessoa eficaz aquela que faz aquilo que dever ser feito, que cumpre com suas metas, querealiza o que foi proposto. Cludio vendeu sua quota de produtos. Eliza tambm, mas gastou 30% de

gasolina a menos. Neste caso, se a meta era vender a quota , ambos foram eficazes, mas Eliza foi mais

eficiente.

A eficincia diz respeito a como fazer e est relacionada as aes a serem realizadas, definidas no

nvel operacional. uma questo de custo-benefcio, onde buscamos ter o mnimo de perdas e/ou

desperdcio. Uma relao entre os resultados obtidos e os recursos empregados. Se toda a sua equipe

entregou o relatrio na data prevista, ok, foram eficazes. Mas se voc conseguiu faz-lo e ainda sobrou

tempo para realizar a prxima tarefa, ou mesmo para aproveitar o resto do dia e ir ao cinema, ento voc

foi eficiente.


3/15


de 2010


Segurana: confidencialidade, integridade, disponibilidade Adequao:Conformidade: a informao obedece leis, normas e contratos aos quais o negcio est sueito

Confiabilidade: o negocio pode confiar nela e usar essa informao para atender uma lei ou um requisito

Recursos de TI: Entregar informao (dados), processa aplicativos (aplicaes), necessita de infraestrutura e

pessoas.

Processos de TI: Domnios, Processos e Atividades

Os recursos de TI so gerenciados pelos processos (34 processos) para atingir os objetivos de TI que

respondem aos requisitos de negcios.

Dados, sistemas aplicativos, sistemas computacionais, instalaes fsicas e pessoas, conforme o modeloCOBIT, so recursos de TI que devem ser gerenciados, visando o alinhamento estratgico [GAB: C]

1. Informaes so produzidas por recursos de TI: Dados, aplicaes, infra-estrutura e pessoas2. Recursos de TI so gerenciados por processos: Definio de responsabilidades e metas3. Processos devem ser controlados: Objetivos de controle, indicadores de desempenho e indicadores de

resultados


4/15


de 2010


(MPE-SE-FCC 2009-Analista-Q87)A correta correspondncia entre uma dimenso do modelo COBIT (cubo) eum de seus elementos dimensionais, respectivamente, (A) Information Criteria e Fiduciary.(B) IT Process e Quality.(C) IT Process e People.(D) IT Resources e Fiduciary.(E) Information Criteria e Process.

Fiducitary (confiabilidade) um Information Criteria (critrio da informao). Qualidade um critrio dainformao e no processo. Pessoas um recurso de TI E no processo. Fiducitary (confiabilidade) no umrecurso de TI. Critrio da Informao e processos so dimenses distintas do cubo. [GAB A]

O COBIT dirigido por mtricas:Modelos de maturidade: Possibilitam benchmarking e identificao das necessidades de melhoria (nvel 0 a 5)

para CADA processo.

Metas e indicadores de processos: Demonstram como os processos atendem s metas de negcios e de TI, a

partir da mensurao de indicadores baseados no BSC

Metas de atividades: Direcionam o desempenho efetivo dos processos


5/15


de 2010


Modelo de maturidade

Nvel 0 Inexistente: Ausncia de processos identificveis. A organizao no reconhece que existe uma questo

a ser tratada

Nvel 1 Inicial/Ad-hoc: A organizao reconhece que existe uma questo a ser tratada. Abordagensimprovisadas tendem a ser aplicadas a situaes individuais A gerncia do processo desorganizada.

Nvel 2 Repetvel mas intuitivo: Os processos se desenvolveram de modo que procedimentos similares so

executados por pessoas diferentes que realizam a mesma tarefa. No existe treinamento ou repasse formal de

procedimentos, a responsabilidade deixada a cargo do indivduo. Existe alta dependncia do conhecimento

individual, o que gera grande probabilidade de falhas.

Nvel 3 Processo definido: Procedimentos padronizados, documentados e comunicados por meio de

treinamentos. Cabe ao indivduo seguir esses processos; pouco provvel que desvios sejam detectados. Os

procedimentos no so sofisticados, mas apenas formalizao de prticas existentes

Nvel 4Gerenciado e mensurvel: possvel monitorar e medir a conformidade de procedimentos, para agir

quando os processos no estiverem funcionando de forma eficaz. Os processos sofrem melhorias constantes e

estabelecem boas prticas. Ferramentas automatizadas so usadas de forma limitada ou fragmentada

Nvel 5Otimizado: Os processos foram refinados at alcanar as melhores prticas, com base no resultado de

melhoria contnua e comparaes com outras organizaes. A TI usada para automatizar os fluxos de trabalho,

provendo ferramentas para aumentar a qualidade e efetividade dos processos

Indicadores de resultados: medidos somente aps os fatos, portanto so tambm chamados de indicadores

histricos (lag indicators).

Indicadores de desempenho: Eles so medidos antes que os resultados sejam claros e portanto so chamados de

indicadores futuros (lead indicators ).


6/15


de 2010


.

Metas so derivadas em cascata:

Objetivos do negciopara metas de TI

Metas de TIpara metas de processos

Metas de processospara metas de atividades

As mtricas de resultados dasmetas de TI servem comoindicadores de desempenho para asmetas do negcio. As mtricas de resultados das

metas dos processos servem comoindicadores de desempenho para asmetas de TI. As mtricas de resultados das

metas das atividades servem comoindicadores de desempenho para

as metas de processos


7/15


de 2010


Mtricas de resultado detalham os objetivos a serem alcanados pelo processo (o qu): Indicadores imediatos de

sucesso no alcance da meta, Foco nas perspectivas financeira e de clientes do BSC, Medem a TI com a viso do

negcio, Foco nos critrios da informao considerados mais relevantes para cada processo,

Indicadores de desempenho monitoram os elementos crticos do processo (como): Indicadores da probabilidade

de alcance da meta no futuro, Foco nas perspectivas de processos e aprendizado, Foco nos recursos mais

importantes para cada processo

Os Quatros Domnios do COBIT

Planejamento & Organizao: Trata dos aspectos estratgicos e tticos da organizao, e de como a TI pode

contribuir para os objetivos de negcios

Aquisio & Implementao : Relaciona as estratgias com os recursos e solues de TI, seu desenvolvimento e

aquisio.

Entrega & Suporte: Trata da entrega dos servios requeridos, atentando para os aspectos de segurana,

treinamento e suporte

Monitoramento & Avaliao: Enderea aspectos de monitoramento do desempenho e de avaliao de controles

da TI.


8/15


de 2010



9/15


de 2010



10/15


de 2010



11/15


de 2010



12/15


de 2010



13/15


de 2010


As 5 REAS DE FOCO NA GOVERNANA DE TI

ALINHAMENTO ESTRATGICO: foca em garantir a ligao entre os planos de negcios e de TI, definindo,

mantendo e validando a proposta de valor de TI, alinhando as operaes de TI com as operaes da organizao.

ENTREGA DE VALOR: a execuo da proposta de valor de IT atravs do ciclo de entrega, garantindo que TIentrega os prometidos benefcios previstos na estratgia da organizao, concentrado-se em otimizar custos e

provendo o valor intrnseco de TI.

GESTO DE RECURSOS: refere-se melhor utilizao possvel dos investimentos e o apropriado gerenciamento

dos recursos crticos de TI: aplicativos, informaes, infraestrutura e pessoas. Questes relevantes referem-se

otimizao do conhecimento e infraestrutura.

GESTO DE RISCO: requer a preocupao com riscos pelos funcionrios mais experientes da corporao, um

entendimento claro do apetite de risco da empresa e dos requerimentos de conformidade, transparncia sobre

os riscos significantes para a organizao e insero do gerenciamento de riscos nas atividades da companhia.

MENSURAO DE DESEMPENHO: acompanha e monitora a implementao da estratgia, trmino do projeto,

uso dos recursos, processo de performance e entrega dos servios, usando, por exemplo, balanced scorecards

que traduzem as estratgias em aes para atingir os objetivos, medidos atravs de processos contbeis

convencionais

OS 6 OBJETIVOS DE CONTROLES GENRICOS (PCN).

PC1 - Metas e Objetivos do Processo (Goals and Objectives)

PC2 - Propriedade dos Processos (Process Owner)

PC3 - Repetibilidade dos Processos (Repeatability)

PC4 - Papis e Responsabilidades (Roles and Responsibilities)

PC5 Polticas, Planos e Procedimentos (Policy, Plans and Procedures)

PC6 - Melhoria do Processo de Performance (Process Performance)


14/15


de 2010


QUESTES DE PROVA

1 - No modelo de maturidade da governncia de tecnologias da informao do COBIT, o nvel 3 de maturidade

(defined process) aquele em que h um completo entendimento das questes de governncia de tecnologias da

informao em todos os nveis, entendimento esse apoiado pelo treinamento formal dos envolvidos.

2 - O modelo de maturidade da governncia de tecnologias da informao elaborado no contexto do COBIT

apresenta 5 nveis de maturidade assim denominados: non-existent, initial/ad hoc, repeatable but intuitive,

defined process, managed and measurable e optimised.

3 - Segundo o modelo de maturidade proposto pelo COBIT, em empresa que esteja classificada no nvel 1 de

maturidade em governana de TI, nvel este denominado inicial/ad hoc, a responsabilidade pela governana de TI

cabe a indivduos que dirigem os processos de governana dentro dos vrios projetos e processos de TI.

4 - O conjunto de melhores prticas do COBIT considera seis critrios de informao: eficincia, confidencialidade,integridade, disponibilidade, conformidade e confiabilidade.

5 - As organizaes esto, contnua e inevitavelmente, aperfeioando seus processos de negcios e de TI.

Justifica-se, nesse cenrio, uma abordagem evolutiva de processos, que, no modelo acima, apresenta-se por meio

de: adoo de modelos de maturidade; orientao a projetos suportados pela existncia de indicadores de metas;

orientao a operaes suportadas pela existncia de indicadores de desempenho.

6 - Os processos de negcio, por princpio, precisam adequar-se s restries ou requisitos dos processos de TI

existentes em uma organizao.

7 - Durante a implantao dos processos do domnio de monitoramento, possvel a produo de impacto sobre

o funcionamento de vrias atividades do setor infraestrutura de ti

8 - A realizao dos processos do domnio de planejamento e organizao, que agregam dez objetivos de controle

de alto nvel, pode produzir diretrizes de impacto de mais longo prazo sobre as atividades migrao que a

realizao dos processos do domnio de aquisio e implantao. [c]

9 - Considere que, no que diz respeito ao processo avaliar e gerenciar riscos de TI (assess and manage IT risks),

uma organizao apresente as seguintes caractersticas: existe uma abordagem para avaliar riscos; para cadaprojeto, implementar a avaliao de riscos depende de deciso do gerente do projeto; a gerncia de riscos

aplicada apenas aos principais projetos ou em resposta a problemas. Nessa situao, o nvel de maturidade da

referida organizao, em relao a tal processo, gerenciado e mensurvel (managed and measurable ).

10 - (TCE-RN - Inspetor de Controle Externo) A definio do plano estratgico de TI e a definio da arquitetura da

informao so funes do domnio planejamento e organizao do COBIT.

11 - No COBIT, so descritos cada um dos 34 processos de TI identificados e estabelecido um conjunto de

objetivos de controle comum a todos eles .


15/15


de 2010


12 - O percentual de incidentes reabertos uma das mtricas usadas no processo de definio de um plano

estratgico de TI.

COMENTRIOS

1 - Em cobit no existe nvel de maturidade para governana de ti como um todo, e sim para cada processo. [E]

2 - So 6 nveis (de zero a cinco) [E]

3 - No existe "empresa nivel x" no cobit, e sim processos.Tambm no existe maturidade de governana dentro

do cobit. [E]

4 - Faltou efetividade [E]

5 - Correto

6 - o contrrio. processos de TI precisam adequar-se aos processos de negcio [E]

7 - Monitoramento do cobit referente a governana de ti, no tem relao com monitoramento da rede ou de

ativos [e]

8 PO envolve Determinar as diretrizes de TI e Definir a arquitetura da informao que so diretrizes de

longo prazo e definies de padres. [C]

OBS: A questo foi anulada por causa do trecho: "dez objetivos de controle de alto nvel, o cobit 3 fazia 11 e o 4

passou a fazer 10 e no edital no veio especificado a verso.

9 - repetvel pois depende do conhecimento das pessoas.[E]

10 - O cespe no consindera a palavra "funes" como sinonimo de "processos".[e]

11 [E] A afirmativa deveria ser correta, pois so 34 processos de TI e existem os controles genricos que se

aplicam a todos os 34 processos. Talvez quem montou a pergunta no conhea os controles genricos. Flvio R.Pinheiro - Tutor dos cursos TIEXAMES.

12 - O erro da questo dizer que incidentes uma das mtricas usadas no processo PO-1 (Definio de um

planejamento estratgico de TI). Na verdade, tais mtricas podero ser usadas no processo DS-10

(Gerenciamento de Problema) [e]

"Se no puder destacar-se pelo talento, vena pelo esforo." - Dave Weinbaum

memorex cobit

Documents