p. 1

[close]

p. 2

cobit4.1 it governance institutetm o it governance institute itgitm www.itgi.org foi estabelecido em 1998 para melhoria do pensamento e dos padrões internacionais de direção e controle da tecnologia da informação nas organizações uma governança de ti efetiva ajuda a garantir que a ti suporte os objetivos de negócios otimiza os investimentos em ti e apropriadamente os riscos e as oportunidades relacionados a ti o itgitm oferece pesquisa original recursos eletrônicos e estudos de caso para auxiliar os líderes de organizações e o conselho de diretores nas suas responsabilidades de governança de ti declaração de responsabilidade pelo uso disclaimer o itgitm o proprietário elaborou e criou esta publicação intitulada cobit® 4.1 o trabalho primordialmente como um recurso educacional para chief information officers cios gerência sênior gerência de ti e profissionais de controle os proprietários não afirmam que qualquer uso do trabalho irá garantir um resultado de sucesso o trabalho não deve ser considerado inclusivo de qualquer informação procedimentos e teste próprios ou exclusivo de outras informações procedimentos ou testes que sejam razoavelmente direcionados a obtenção dos mesmos resultados ao determinar a propriedade de qualquer informação específica procedimento ou teste os cios gerência sênior gerência de ti e profissionais de controle devem aplicar o seu próprio julgamento profissional às circunstâncias específicas apresentadas por um sistema ou ambiente de ti em particular direitos de uso os direitos autorais deste compêndio foram emitidos em 2007 para o it governance institutetm todos os direitos são reservados nenhuma parte desta publicação pode ser usada copiada reproduzida modificada distribuída demonstrada arquivada em sistema automatizado ou transmitida por qualquer meio eletrônico mecânico fotocópia gravação ou outro sem a devida autorização do itgitm a reprodução de partes selecionadas desta publicação somente para uso interno e não comercial ou acadêmico é permitida e deve incluir uma declaração clara da fonte deste material nenhum outro direito ou permissão é concedida com respeito a este trabalho it governance institutetm 3701 algonquin road suite 1010 rolling meadows il 60008 usa phone +1.847.590.7491 fax +1.847.253.1443 e-mail info@itgi.org web site www.itgi.org © 2007 it governance institute todos os direitos reservados www.itgi.org

[close]

p. 3

cobit4.1 agradecimentos o it governance institute gostaria de agradecer a desenvolvedores especialistas e revisores mark adler cisa cism cia cissp allstate ins co usa peter andrews cisa citp mcmi pja consulting uk georges ataya cisa cism cissp mscs pba solvay business school belgium gary austin cisa cia cissp cgfm kpmg llp usa gary s baker ca deloitte touche canada david h barnett cism cissp applera corp usa christine bellino cpa citp jefferson wells usa john w beveridge cisa cism cfe cgfm cqa massachusetts office of the state auditor usa alan boardman cisa cism ca cissp fox it uk david bonewell cisa cissp-issep accomac consulting llc usa dirk bruyndonckx cisa cism kpmg advisory belgium don canilglia cisa cism usa luis a capua cism sindicatura general de la nación argentina boyd carter pmp elegantsolutions.ca canada dan casciano cisa ernst young llp usa sean v casey cisa cpa usa sushil chatterji edutech singapore ed chavennes ernst young llp usa christina cheng cisa cissp sscp deloitte touche llp usa dharmesh choksey cisa cpa cissp pmp kpmg llp usa jeffrey d custer cisa cpa cia ernst young llp usa beverly g davis cisa federal home loan bank of san francisco usa peter de bruyne cisa banksys belgium steven de haes university of antwerp management school belgium peter de koninck cisa cfsa cia swift sc belgium philip de picker cisa mca national bank of belgium belgium kimberly de vries cisa pmp zurich financial services usa roger s debreceny ph.d fcpa university of hawaii usa zama dlamini deloitte touche llp south africa rupert dodds cisa cism fca kpmg new zealand troy dumoulin pink elephant canada bill a durrand cisa cism ca ernst young llp canada justus ekeigwe cisa mbcs deloitte touche llp usa rafael eduardo fabius cisa republica afap s.a uruguay urs fischer cisa cia cpa swiss swiss life switzerland christopher fox aca pricewaterhousecoopers usa bob frelinger cisa sun microsystems inc usa zhiwei fu ph d fannie mae usa monique garsoux dexia bank belgium edson gin cisa cfe sscp usa sauvik ghosh cisa cia cissp cpa ernst young llp usa guy groner cisa cia cissp usa erik guldentops cisa cism university of antwerp management school belgium gary hardy it winners south africa jimmy heschl cisa cism kpmg austria benjamin k hsaio cisa federal deposit insurance corp usa tom hughes acumen alliance australia monica jain csqa covansys corp us wayne d jones cisa australian national audit office australia john a kay cisa usa lisa kinyon cisa countrywide usa rodney kocot systems control and security inc usa luc kordel cisa cism cissp cia re rfa dexia bank belgium linda kostic cisa cpa usa john w lainhart iv cisa cism ibm usa philip le grand capita education services uk elsa k lee cisa cism csqa advansoft international inc usa kenny k lee cisa cissp countrywide smart governance usa debbie lew cisa ernst young llp usa © 2007 it governance institute todos os direitos reservados www.itgi.org 1

[close]

p. 4

cobit4.1 agradecimentos continuação donald lorete cpa deloitte touche llp usa addie c.p lui mcsa mcse first hawaiian bank usa debra mallette cisa cssbb kaiser permanente usa charles mansour cisa charles mansour audit risk service uk mario micallef cpaa fia national australia bank group australia niels thor mikkelsen cisa cia danske bank denmark john mitchell cisa cfe citp fbcs fiia miia qica lhs business control uk anita montgomery cisa cia countrywide usa karl muise cisa city national bank usa jay s munnelly cisa cia cgfm federal deposit insurance corp usa sang nguyen cisa cissp mcse nova southeastern university usa ed o donnell ph.d cpa university of kansas usa sue owen department of veterans affairs australia robert g parker cisa ca cmc fca robert g parker consulting canada robert payne trencor services pty ltd south africa thomas phelps iv cisa pricewaterhousecoopers llp usa vitor prisca cism novabase portugal martin rosenberg ph.d it business management uk claus rosenquist cisa trygvesata denmark jaco sadie sasol south africa max shanahan cisa fcpa max shanahan associates australia craig w silverthorne cisa cism cpa ibm business consulting services usa chad smith great-west life canada roger southgate cisa cism fcca cubeit management ltd uk paula spinner csc usa mark stanley cisa toyota financial services usa dirk e steuperaert cisa pricewaterhousecoopers belgium robert e stroud ca inc usa scott l summers ph.d brigham young university usa lance m turcato cisa cism cpa city of phoenix it audit division usa wim van grembergen ph.d university of antwerp management school belgium johan van grieken cisa deloitte belgium greet volders voquals nv belgium thomas m wagner gartner inc usa robert m walters cisa cpa cga office of the comptroller general canada freddy withagels cisa capgemini belgium tom wong cisa cia cma ernst young llp canada amanda xu cisa pmp kpmg llp usa comitê de direção itgi everett c johnson cpa deloitte touche llp retired usa international president georges ataya cisa cism cissp solvay business school belgium vice president william c boni cism motorola usa vice president avinash kadam cisa cism cissp cbcp gsec gcih miel e-security pvt ltd india vice president jean-louis leignel mage conseil france vice president lucio augusto molina focazzio cisa colombia vice president howard nicholson cisa city of salisbury australia vice president frank yam cisa fhkiod fhkcs ffa cia cfe ccp cfsa focus strategic group hong kong vice president marios damianides cisa cism ca cpa ernst young llp usa past international president robert s roussey cpa university of southern california usa past international president ronald saull csp great-west life and igm financial canada trustee comitê de governança de ti tony hayes fcpa queensland government australia chair max blecher virtual alliance south africa sushil chatterji edutech singapore anil jogani cisa fca tally solutions limited uk john w lainhart iv cisa cism ibm usa rómulo lomparte cisa banco de crédito bcp peru michael schirmbrand ph.d cisa cism cpa kpmg llp austria ronald saull csp great-west life assurance and igm financial canada 2 © 2007 it governance institute todos os direitos reservados www.itgi.org

[close]

p. 5

cobit4.1 comitê de gerenciamento do cobit roger debreceny ph.d fcpa university of hawaii usa chair gary s baker ca deloitte touche canada dan casciano cisa ernst young llp usa steven de haes university of antwerp management school belgium peter de koninck cisa cfsa cia swift sc belgium rafael eduardo fabius cisa república afap sa uruguay urs fischer cisa cia cpa swiss swiss life switzerland erik guldentops cisa cism university of antwerp management school belgium gary hardy it winners south africa jimmy heschl cisa cism kpmg austria debbie a lew cisa ernst young llp usa maxwell j shanahan cisa fcpa max shanahan associates australia dirk steuperaert cisa pricewaterhousecoopers llc belgium robert e stroud ca inc usa painel de aconselhamento do itgi ronald saull csp great-west life assurance and igm financial canada chair roland bader f hoffmann-la roche ag switzerland linda betz ibm corporation usa jean-pierre corniou renault france rob clyde cism symantec usa richard granger nhs connecting for health uk howard schmidt cism r&h security consulting llc usa alex siow yuen khong starhub ltd singapore amit yoran yoran associates usa associações afiliadas e apoiadores do itgi isaca chapters american institute for certified public accountants asis international the center for internet security commonwealth association of corporate governance fida inform information security forum the information systems security association institut de la gouvernance des systèmes d information institute of management accountants isaca itgi japan solvay business school university of antwerp management school aldion consulting pte lte ca hewlett-packard ibm loglogic inc phoenix business and systems process inc symantec corporation wolcott group llc world pass it solutions © 2007 it governance institute todos os direitos reservados www.itgi.org 3

[close]

p. 6

cobit4.1 agradecimentos aos profissionais que participaram de forma voluntária do grupo de tradução e revisão do projeto cobit-br o grupo foi formado por profissionais das áreas de auditoria segurança da informação e governança em ti e é representativo de diversos segmentos indústria bancos seguradoras serviços firmas de consultoria e órgãos de governo participantes adriana da silva dian leão são paulo alberto bastos cissp rio de janeiro alberto fávero cissp cisa cism são paulo alfred john bacon cisa cism rio de janeiro andré amado são paulo andré pitkowski cgeit octave são paulo antonio de sousa são paulo césar augusto monteiro são paulo cristiano kruel cisa cgeit rio grande do sul david de paulo pereira brasília/df edgar d andrea cisa cism cgeit são paulo gianni ricciardi são paulo gilmar souza santos cisa cgeit csqe são paulo jeferson d addario cbcp mbci são paulo joão antônio ribeiro ferreira coronel pm são paulo laurence liu cgeit são paulo luiz felix prado cisa cia cfsa são paulo luiz gustavo ferracini de oliveira cisa cism são paulo marcelo silva cisa são paulo marcos aurélio rodrigues sargento pm são paulo margarete furuta cisa cism são paulo marina solano brasília/df mauro josé souza cisa são paulo napoleão verardi galegale cgeit são paulo paulo henrique passos ximendes brasília/df ricardo guedes g da silveira cism cisa são paulo ricardo pires monteiro martins cisa cia são paulo roberval ferreira frança tenente coronel pm são paulo rodrigo hiroshi ruiz suzuki cisa são paulo silvana laragnoit ribas cisa são paulo coordenação marcelo f melro cisa cism cissp são paulo carmen o fernandes cisa cia são paulo ricardo castro cisa mcso cfe são paulo o projeto cobit-br foi resultado de um esforço conjunto dos associados e líderes dos capítulos isaca no brasil sob a coordenação da diretoria do capítulo são paulo isaca capítulo são paulo/sp diretoria executiva em 2008 ­ 2009 marcelo fernandes melro cisa cism cissp presidente ricardo mathias de castro cisa mcso cfe vice-presidente edméa pujol cantón diretora secretária carmen ozores fernandes cisa cia diretora de educação ivo luiz cairrão diretor de controladoria e administração andré pitkowski cgeit octave diretor de associados josé luís diniz cgeit diretor de parcerias fernando nicolau f ferreira cism cgeit cfe citp diretor de comunicação valmir schreiber cism past president 4 © 2007 it governance institute todos os direitos reservados www.itgi.org

[close]

p. 7

cobit4.1 isaca capítulo rio de janeiro/rj diretoria executiva em 2009 alfred john bacon cisa cism cissp presidente marcos sêmola cism vice-presidente leandro ribeiro diretor secretário ernani paes de barros cisa cism cgeit,diretor de educação marcelo duarte cisa cgeit diretor de controladoria e administração dr paulo pagliusi phd diretor de comunicação e relações institucionais isaca capítulo brasília/df diretoria executiva em 2009 ian lawrence webster presidente dr joão souza neto vice-presidente andre luiz furtado pacheco diretor secretário paulo henrique passos ximendes diretor de associados leandro pfeifer macedo diretor de comunicação e marketing carlos renato araujo braga diretor de educação josé geraldo loureiro rodrigues diretor tesoureiro dr rildo ribeiro dos santos diretor institucional roberta ribeiro de queiroz martins presidente do conselho fiscal cláudio silva da cruz membro do conselho fiscal daniel moreira guilhon membro do conselho fiscal © 2007 it governance institute todos os direitos reservados www.itgi.org 5

[close]

p. 8

cobit4.1 tabela de conteúdo sumário executivo 7 modelo cobit 11 planejar e organizar 31 adquirir e implementar 75 entregar e suportar 103 monitorar e avaliar 155 apêndice i ­ tabelas relacionando os objetivos e processos 171 apêndice ii ­ mapeamento de processos de ti com as Áreas foco de governança de ti coso recursos de ti do cobit e critérios de informação do cobit 177 apêndice iii ­ modelo de maturidade para controle interno 179 apêndice iv ­ material de referência principal 181 apêndice v ­ referência cruzada entre a 3ª edição do cobit e o cobit 4.1 183 apêndice vi ­ enfoque para pesquisa e desenvolvimento 191 apêndice vii ­ glossário 193 apêndice viii ­ o cobit e os produtos relacionados 199 seu feedback sobre o cobit 4.1 é bem-vindo por favor acesse o site www.isaca.org/cobitfeedback para enviar seus comentários 8 © 2007 it governance institute todos os direitos reservados www.itgi.org

[close]

p. 9

sumário executivo sumário executivo

[close]

p. 10

sumário executivo sumário executivo para muitas organizações a informação e a tecnologia que a suporta representam o seu bem mais valioso mas muitas vezes é o menos compreendido organizações bem-sucedidas reconhecem os benefícios da tecnologia da informação e a utiliza para direcionar os valores das partes interessadas no negócio essas organizações também entendem e gerenciam os riscos associados tais como as crescentes demandas regulatórias e a dependência crítica de muitos processos de negócios da ti a necessidade da avaliação do valor de ti o gerenciamento dos riscos relacionados à ti e as crescentes necessidades de controle sobre as informações são agora entendidos como elementos-chave da governança corporativa valor risco e controle constituem a essência da governança de ti a governança de ti é de responsabilidade dos executivos e da alta direção consistindo em aspectos de liderança estrutura organizacional e processos que garantam que a área de ti da organização suporte e aprimore os objetivos e as estratégias da organização além disso a governança de ti integra e institucionaliza boas práticas para garantir que a área de ti da organização suporte os objetivos de negócios a governança de ti habilita a organização a obter todas as vantagens de sua informação maximizando os benefícios capitalizando as oportunidades e ganhando em poder competitivo esses resultados requerem um modelo para controle de ti que se adeque e dê suporte ao coso committe of sponsoring organisations of the treadway commission s internal control ­ integrated framework um modelo para controles internos amplamente aceito para governança e gerenciamento de riscos empresariais e outros modelos similares as organizações devem satisfazer os requisitos de qualidade guarda e segurança de suas informações bem como de todos seus bens os executivos devem também otimizar o uso dos recursos de ti disponíveis incluindo os aplicativos informações infra-estrutura e pessoas para cumprir essas responsabilidades bem como atingir seus objetivos os executivos devem entender o estágio atual de sua arquitetura de ti e decidir que governança e controles ela deve prover o control objectives for information and related technology cobit® fornece boas práticas através de um modelo de domínios e processos e apresenta atividades em uma estrutura lógica e gerenciável as boas práticas do cobit representam o consenso de especialistas elas são fortemente focadas mais nos controles e menos na execução essas práticas irão ajudar a otimizar os investimentos em ti assegurar a entrega dos serviços e prover métricas para julgar quando as coisas saem erradas para a área de ti ter sucesso em entregar os serviços requeridos pelo negócio os executivos devem implementar um sistema interno de controles ou uma metodologia o modelo de controle do cobit contribui para essas necessidades ao · fazer uma ligação com os requisitos de negócios · organizar as atividades de ti em um modelo de processos geralmente aceito · identificar os mais importantes recursos de ti a serem utilizados · definir os objetivos de controle gerenciais a serem considerados a orientação aos negócios do cobit consiste em objetivos de negócios ligados a objetivos de ti provendo métricas e modelos de maturidade para medir a sua eficácia e identificando as responsabilidades relacionadas dos donos dos processos de negócios e de ti o foco em processos do cobit é ilustrado por um modelo de processos de ti subdivididos em quatro domínios e 34 processos em linha com as áreas responsáveis por planejar construir executar e monitorar provendo assim uma visão total da área de ti conceitos de arquitetura corporativa ajudam a identificar os recursos essenciais para o sucesso dos processos ou seja aplicativos informações infraestrutura e pessoas em resumo para prover as informações de que a empresa necessita para atingir seus objetivos os recursos de ti precisam ser gerenciados por uma série de processos naturalmente agrupados mas como a empresa consegue implementar controles na área de ti de forma que ela entregue as informações que a empresa precisa como ela gerencia os riscos e garante a segurança dos recursos de ti dos quais é tão dependente como a empresa assegura que a área de ti atinge os seus objetivos e atende aos negócios primeiramente os executivos precisam de objetivos de controles que definam a meta básica de implementar políticas planos e procedimentos bem como a estrutura organizacional designada para prover razoável garantia de que · os objetivos de negócio serão atingidos · eventos indesejáveis serão prevenidos ou detectados e corrigidos © 2007 it governance institute todos os direitos reservados www.itgi.org 7

[close]

p. 11

cobit4.1 em segundo lugar no complexo ambienfigura 1 gerenciamento de informações te atual os executivos estão continuamente procurando informações condensadas e disponíveis que os auxiliem a como os executivos responsáveis tomar decisões difíceis relacionadas a painel de controle mantêm o navio na rota valor risco e controles de forma rápida e correta o que deve ser avaliado e como as organizações precisam de medidas como a empresa atinge os resultados objetivas que mostrem onde elas estão e scorecards satisfatórios para o maior segmento possível onde são necessárias melhorias e também de partes interessadas precisam implementar instrumentos que como a empresa pode adaptar-se em tempo monitorem essas melhorias a figura 1 benchmarking apropriado para as novas tendências e exibe algumas questões comuns e as ferdesenvolvimentos neste ambiente ramentas de gerenciamento de informações usadas para encontrar as respostas mas os painéis de controles dashboards precisam de indicadores os scorecards precisam de meios de medição e o benchmarking de uma escala para comparações indicadores meios de medição escalas para comparação uma resposta para esses requisitos de definição e monitoramento dos controles e nível de performance de ti é a definição do cobit de · benchmarking da performance e capacidade dos processos de ti expressos em modelos de maturidade derivados do capability maturity model cmm do software engineering institute · objetivos e métricas dos processos de ti para definir e avaliar os seus resultados e performance baseados nos princípios do balanced business scorecard publicado por robert kaplan e david norton · objetivos das atividades para controlar esses processos com base nos objetivos de controle do cobit a avaliação do processo de capacidade baseado nos modelos de maturidade do cobit é uma parte fundamental da implementação da governança de ti depois de identificar os processos e controles críticos de ti o modelo de maturidade permite a identificação das deficiências em capacidade e a sua demonstração para os executivos planos de ação podem ser desenvolvidos para elevar esses processos ao desejado nível de capacidade assim o cobit suporta a governança de ti figura 2 provendo uma metodologia para assegurar que · a área de ti esteja alinhada com os negócios · a área de ti habilite o negócio e maximiza os benefícios · os recursos de ti sejam usados responsavelmente · os riscos de ti sejam gerenciados apropriadamente a mensuração da performance é essencial para a governança de ti isto é suportado pelo cobit incluindo a definição e o monitoramento dos objetivos de mensuração sobre os quais os processos de ti precisam entregar processo de saída e como entregam processo de capacidade e performance muitas pesquisas identificaram a falta de transparência dos custos do valor e dos riscos de ti como uma das mais importantes metas para a governança de ti embora outras áreas de foco contribuam a transparência é primariamente atingida através da medição da performance figura 2 Áreas de foco na governança de ti alinhamento estratégico foca em garantir a ligação entre os planos de negócios e de ti definindo mantendo e validando a proposta de valor de ti alinhando as operações de ti com as operações da organização o nt me gico ha É in at al str e o aÇà sur nho men sempe e de d e de ntr va ega lo r ges tà risco de o entrega de valor é a execução da proposta de valor de it através do ciclo de entrega garantindo que ti entrega os prometidos benefícios previstos na estratégia da organização concentrado-se em otimizar custos e provendo o valor intrínseco de ti gestão de recursos refere-se à melhor utilização possível dos investimentos e o apropriado gerenciamento dos recursos críticos de ti aplicativos informações infraestrutura e pessoas questões relevantes referemse à otimização do conhecimento e infraestrutura gestão de risco requer a preocupação com riscos pelos funcionários mais experientes da corporação um entendimento claro do apetite de risco da empresa e dos requerimentos de conformidade transparência sobre os riscos significantes para a organização e inserção do gerenciamento de riscos nas atividades da companhia mensuração de desempenho acompanha e monitora a implementação da estratégia término do projeto uso dos recursos processo de performance e entrega dos serviços usando por exemplo balanced scorecards que traduzem as estratégia em ações para atingir os objetivos medidos através de processos contábeis convencionais governanÇa de ti gestÃo de recursos 8 © 2007 it governance institute todos os direitos reservados www.itgi.org

[close]

p. 12

sumário executivo essas áreas de foco em governança de ti descrevem os tópicos que os executivos precisam atentar para direcionar a área de ti dentro de suas organizações gerentes operacionais usam os processos para organizar e gerenciar as atividades contínuas de ti o cobit provê um modelo de processo genérico que representa todos os processos normalmente encontrados nas funções de ti fornecendo assim um modelo de referência comum compreendido por gerentes operacionais de ti e gerentes de negócios o modelo de processos do cobit foi mapeado com as áreas de governança de ti veja o apêndice ii mapeando os processos de ti com as Áreas foco de governança de ti coso recursos de ti cobit e critérios de informação cobit criando uma ponte entre o que os gerentes operacionais precisam executar e o que os executivos desejam controlar para atingir um governança efetiva os executivos requerem que os controles sejam implementados pelos gerentes operacionais com uma metodologia de controles definida para todos os processos de ti os objetivos de controle de ti do cobit são organizados em processos de ti portanto o modelo proporciona uma clara ligação entre os requerimentos de governança de ti processos de ti e controles de ti o cobit é focado no que é necessário para atingir um adequado controle e gerenciamento de ti e está posicionado em elevado nível o cobit foi alinhado e harmonizado com outros padrões e boas práticas de ti veja o apêndice iv cobit 4.1 material de referência principal mais detalhados o cobit atua como um integrador desses diferentes materiais de orientação resumindo os principais objetivos sob uma metodologia que também está relacionada aos requisitos de governança e de negócios o coso e outras metodologias similares é geralmente aceito como uma metodologia de controle interno para corporações o cobit é um modelo de controles internos geralmente aceitos para a área de ti os produtos do cobit foram organizados em 3 níveis figura 3 criados para dar suporte a · executivos e alta direção · gerentes de ti e de negócios · profissionais de avaliação assurance controles e segurança figura 3 diagrama com o conteúdo do cobit boad briefing on it governance 2nd edition como a alta direção executa suas responsabilidades executivos e alta direção como podemos medir a performance como podemos nos comparar com outros e como podemos nos aprimorar com o passar do tempo executivos de negócios e de tecnologia diretrizes de gerencimaneto modelo de maturidade profissionais de avaliação assurance controles e segurança it governance implementation guide 2nd edition cobit control practices nd modelos cobit e val it objetivos de controles práticas chaves de it assurance guide 2 edition gerenciamento de forma resumida os produtos cobit incluem nd · board briefing on it governance 2 este diagrama de produtos baseado no cobitt apresenta os produtos geralmente aplicáveis e suas respectivas audiências também existem produtos derivados para propósitos específicos it control objectives for sarbanes-oxley 2nd edition edition ­ publicação que auxilia os execupara domínios tais como segurança cobitt security baseline and information security governance guidance for boards of tivos a entender por que a governança de directors and executive management ou para empresas específicas cobitt quickstart para pequenas e médias empresas ti é importante quais são suas principais ou para grandes empresas desejando atingir a implementação de uma mais extensiva governança de ti questões e o papel deles em gerenciá-la · diretrizes de gerenciamento modelos de maturidade ­ auxiliam na designação de responsabilidades avaliação de desempenho e benchmark e trata da solução de deficiências de capacidade · diretrizes de gerenciamento modelos de maturidade ­ auxiliam na designação de responsabilidades avaliação de desempenho e benchmark e trata da solução de deficiências de capacidade · métodos organiza os objetivos da governança de ti por domínios e processos de ti e os relaciona com os requisitos de negócios · objetivos de controle ­ proporcionam um completo conjunto de requisitos de alto nível a serem considerados pelos executivos para o controle efetivo de cada processo de ti · it governance implementation guide using cobit® and val it tm 2nd edition ­ provê um mapa geral para implementar a governança de ti usando os recursos do obit e o val it · cobit® control practices guidance to achieve control objectives for successful it governance 2nd edition ­ explica porque os controles merecem ser implementados e como implementá-los · it assurance guide using cobit® ­ traz orientações sobre como o cobit pode ser usado para suportar as variadas atividades de avaliação junto com sugestões de passos de testes para todos os processos e objetivos de controle de ti o diagrama de conteúdo do cobit descrito na figura 3 apresenta o principal público-alvo suas dúvidas sobre governança de ti e os produtos aplicáveis que podem lhes dar as respostas também existem produtos derivados para finalidades específicas domínios como segurança ou organizações específicas © 2007 it governance institute todos os direitos reservados www.itgi.org 9

[close]

p. 13

cobit4.1 todos os componentes do cobit são inter-relacionados proporcionando o suporte para as necessidades de governança gerenciamento controle e avaliação de diferentes audiências conforme demonstrado na figura 4 figura 4 inter-relacionamento dos componentes cobit objetivos de negócios requerimentos informações objetivos de ti processos de ti po id div ido em co auditado po ntr ola do r ed ido po r r m atividades chave resultados t fei o op r p fo er a rm nc e controle resultado dos testes de derivado de objetivo de controles or ma tur ida au a dit p do im ple me nta do com tabela de responsabilidade indicadores de performance resultados das medições modelos de maturidade controle dos testes de desenho baseado em práticas de controle o cobit é um modelo e uma ferramenta de suporte que permite aos gerentes suprir as deficiências com respeito aos requisitos de controle questões técnicas e riscos de negócios comunicando esse nível de controle às partes interessadas o cobit habilita o desenvolvimento de políticas claras e boas práticas para controles de ti em toda a empresa o cobit é atualizado continuamente e harmonizado com outros padrões e guias assim o cobit tornou-se o integrador de boas práticas de ti e a metodologia de governança de ti que ajuda no entendimento e gerenciamento dos riscos e benefícios associados com ti a estrutura de processos do cobit e o seu enfoque de alto nível orientado aos negócios fornece uma visão geral de ti e das decisões a serem tomadas sobre o assunto os benefícios de implementar o cobit como um modelo de governança de ti incluem · um melhor alinhamento baseado no foco do negócio · uma visão clara para os executivos sobre o que ti faz · uma clara divisão das responsabilidades baseada na orientação para processos · aceitação geral por terceiros e órgãos reguladores · entendimento compreendido entre todas as partes interessadas baseado em uma linguagem comum · cumprimento dos requisitos do coso para controle do ambiente de ti o restante deste documento apresenta uma descrição do modelo cobit e de todos os principais componentes do cobit organizados pelos quatro domínios e 34 processos de ti do cobit isto resulta em um prático guia de referência sobre todas as principais orientações do cobit muitos apêndices são também fornecidos como referências úteis informações mais completas e atualizadas sobre o cobit e os produtos relacionados incluindo ferramentas on-line guias de implementação estudos de caso notícias e material educacional estão disponíveis no site www.isaca.org/cobit 10 © 2007 it governance institute todos os direitos reservados www.itgi.org

[close]

p. 14

modelo cobit modelo cobit

[close]

p. 15

cobit framework modelo cobit missão do cobit pesquisar desenvolver publicar e promover um modelo de controle para governança de ti atualizado e internacionalmente reconhecido para ser adotado por organizações e utilizado no dia-a-dia por gerentes de negócios profissionais de ti e profissionais de avaliação a necessidade de um modelo de controle para a governanÇa de ti um modelo de controle da governança de ti define as razões pelas quais a governança de ti é necessária quais são as partes interessadas e o que esse modelo precisa atingir por quê cada vez mais a alta direção está percebendo o significativo impacto que a informação tem no sucesso da organização os executivos esperam um alto entendimento sobre a forma como ti funciona e o quanto ela está sendo bem administrada para atingir vantagens competitivas em particular os executivos precisam saber se as informações estão sendo gerenciadas pela empresa de modo a · possivelmente atingir os objetivos · ter resiliência suficiente para aprender e se adaptar · gerenciar adequadamente os riscos encontrados · apropriadamente reconhecer as oportunidades e agir sobre elas as organizações não podem atingir seus requisitos de negócios e governança sem adotar e implementar um modelo para governança e controle de ti para · fazer uma ligação com os requisitos de negócios · tornar transparente a performance obtida comparada a esses requisitos · organizar as atividades de acordo com um modelo de processos geralmente aceito · identificar os recursos mais importantes a serem aprimorados · definir os objetivos de controles gerenciais a serem considerados adicionalmente as metodologias de governança e controle estão tornando-se parte das boas práticas de gerenciamento de ti e são facilitadoras para o estabelecimento de governança de ti e aderência aos cada vez mais crescentes requisitos regulatórios as boas práticas de ti tornaram-se significantes devido a inúmeros fatores · executivos de negócio e a alta direção demandando um melhor retorno dos investimentos em ti isto é que a área de ti entregue as necessidades da área de negócios para aumentar o valor para partes interessadas · preocupação com o aumento observado dos gastos com ti · a necessidade de atender às exigências regulatórias de controles de ti em áreas como privacidade de informações e relatórios financeiros por exemplo lei sarbanes-oxley e basiléia ii e regulamentações para setores específicos como as áreas de finanças farmacêutica e saúde · seleção de provedores de serviços e o gerenciamento e aquisição de serviços terceirizados · os riscos relacionados a ti cada vez mais complexos como a segurança de redes · iniciativas de governança de ti que incluem a adoção de metodologias de controles e boas práticas que ajudem a monitorar e aprimorar as atividades críticas de ti para ampliar o valor do negócio e reduzir os riscos · a necessidade de otimizar os custos seguindo sempre que possível um enfoque padronizado em vez de abordagens especialmente desenvolvidas · a crescente maturidade e consequente aceitação de metodologias bem-sucedidas tais como o cobit it infrastructure library itil séries iso 27000 sobre padrões relacionados à segurança da informação iso 9001:2000 ­ requerimentos ­ sistemas de gerenciamento de qualidade capability maturity model integration cmni projects in controlled environments 2 prince2 e o guide to the project management body of knowledge pmbok · a necessidade de as empresas avaliarem como estão em relação aos padrões geralmente aceitos e em comparação seus parceiros e organizações similares benchmarking © 2007 it governance institute todos os direitos reservados www.itgi.org 11

[close]