1. Informações deste mapa
1.1. Desenvolvido por TIEXAMES
1.2. www.tiexames.com.br
1.3. Conteúdo exclusivo para assinantes do curso
1.4. Proibida a redistribuição
1.5. Este mapa serve apenas para revisão dos principais tópicos antes do exame
1.6. Nem todo o conteúdo do curso elearning está contido aqui
1.7. Os tópicos estão organizados aqui conforme o currículo do exame
1.8. A maioria das questões do exame pode ser respondida com este conteúdo
2. Produtos de suporte ITGI/ISACA
2.1. COBIT Quickstart
2.1.1. Versão resumida dos recursos do COBIT 4.1
2.1.2. Serve como ponto de partida priorizando o que é mais importante
2.1.3. Mais direcionado para empresas de pequeno e médio porte que não precisam de todos os controles
2.1.4. Acompanha ferramentas de auto-avaliação, ajudando a identificar se ele é apropriado à organização
2.2. Práticas de controle
2.2.1. Traduzem os objetivos de controle do COBIT em práticas detalhadas e implementáveis
2.2.2. Tornecem um detalhamento de como implementar os objetivos e “por que” eles podem ser necessários
2.3. IT Assurance Guide
2.3.1. Guia de validação, garantia e auditoria
2.3.2. Ajuda os auditores a avaliar o desempenho da organização
2.3.3. Fornece conselhos sobre como testar o funcionamento de cada objetivo de controle
2.3.4. Ajuda a elaborar um conjunto de ações e plano de auditoria
2.3.5. Fornece estrutura composta por 3 estágios
2.3.5.1. 1. Planejamento
2.3.5.1.1. Estabelece o universo de validação de TI para designar o que será validado
2.3.5.2. 2. Escopo
2.3.5.2.1. Define as metas de negócio e de TI para o ambiente que será revisado/auditado
2.3.5.3. 3. Execução
2.3.5.3.1. Apresenta os principais testes a serem executados durante uma auditoria/validação
2.4. COBIT Online
2.4.1. Base de recursos na web com funcionalidades interativas do conteúdo do COBIT 4.1
2.4.2. Fornece informações atualizadas sobre o COBIT
2.4.3. Funcionalidades
2.4.3.1. Navegação
2.4.3.1.1. Permite navegar pelo conteúdo disponível para cada um dos 34 processos de TI
2.4.3.1.2. Contempla o conteúdo do Framework e também as práticas de controle
2.4.3.2. Comunidade
2.4.3.2.1. Fórum de discussão que permite discutir dúvidas e trocar experiências de uso do COBIT 4.1
2.4.3.3. Benchmarking
2.4.3.3.1. Permite coletar dos usuários: níveis de maturidade dos processos, importância dos processos, importância dos objetivos de controle, importância de metas de TI e de metas de processo
2.4.3.4. Feedback
2.4.3.4.1. Periodicamente a ISACA realiza pesquisas (surveys) e convida os assinantes para participarem
2.5. COBIT Security Baseline
2.5.1. Foca nos riscos específicos da segurança de TI
2.5.2. Não é um guia técnico
2.5.3. Possui linguagem acessível para qualquer tipo de pessoa, como usuários domésticos
2.5.4. É uma destilação do COBIT, sugerindo 44 passos para alcançar a segurança e referenciando controles da ISO 27002 (substitui a ISO 17799)
2.5.5. Fornece 6 kits de sobrevivência
2.6. IT Governance Implementation Guide
2.6.1. Fornece uma metodologia/ roadmap detalhado e um conjunto de ferramentas para implementar um ciclo de vida de Governança de TI
2.7. Val IT
2.7.1. Inclui orientações e processos de suporte relacionados à avaliação e seleção de investimentos de negócio viabilizados por TI
2.7.2. Princípios
2.7.2.1. Os investimentos viabilizados pela TI serão administrados como um portfólio de investimentos.
2.7.2.2. Os investimentos viabilizados pela TI incluirão um escopo completo de atividades que são necessárias para gerar valor ao negócio.
2.7.2.3. Os investimentos viabilizados pela TI serão administrados através de todo o seu ciclo de vida econômico.
2.7.2.4. As práticas de entrega de valor reconhecerão que existem diferentes categorias de investimentos que serão avaliadas e administradas de maneiras diferentes.
2.7.2.5. As práticas de entrega de valor irão definir e monitorar métricas-chave e responderão rapidamente a quaisquer mudanças ou divergências.
2.7.2.6. As práticas de entrega de valor devem engajar todos os stakeholders e definir uma prestação de contas apropriada sobre a entrega de capacidades e obtenção de benefícios do negócio.
2.7.2.7. As práticas de entrega de valor serão continuamente monitoradas, avaliadas e melhoradas.
2.7.3. Os 4 “ares” – estamos
2.7.3.1. Estamos fazendo as coisas certas?
2.7.3.2. Estamos fazendo da maneira correta?
2.7.3.3. Estamos fazendo isso bem?
2.7.3.4. Estamos obtendo os benefícios?
3. Desafios e Governança de TI
3.1. Desafios da TI
3.1.1. Alinhar TI ao negócio
3.1.1.1. Devido a falta de orientadores do negócio para guiar a estratégia de TI
3.1.2. Entregar valor
3.1.3. Conseguir gerar/demonstrar ROI para os investimentos em TI
3.1.4. Reduzir os custos
3.1.5. Gerenciar a segurança da informação
3.1.6. Gerenciar a complexidade da infraestrutura de TI
3.1.7. Executar mudanças com maior agilidade
3.1.8. Entregar projetos dentro do prazo, custo e escopo
3.1.9. Aumentar o nível de qualidade do serviço
3.1.10. Gerenciar fornecedores externos
3.1.11. Manter alta disponibilidade nos serviços de TI
3.1.12. Garantir a continuidade do negócio
3.1.13. Estar em conformidade com regulamentos
3.1.14. Reter conhecimento técnico
3.2. Governança de TI
3.2.1. Definição
3.2.1.1. É de responsabilidade da alta administração (incluindo diretores e executivos) na liderança, nas estruturas organizacionais e nos processos que garantem que a TI da empresa sustente e estenda as estratégias e objetivos da organização
3.2.2. Princípios
3.2.2.1. Direção
3.2.2.2. Controle
3.2.2.3. Responsabilidade
3.2.2.4. Prestação de contas (accountability)
3.2.2.5. Autoridade
3.2.2.6. Alinhamento das atividades de TI
3.2.3. Áreas de foco
3.2.3.1. 1. Alinhamento Estratégico
3.2.3.1.1. Alinha estratégia TI x estratégia negócio
3.2.3.1.2. Definição, manutenção e validação da proposição de valor para a TI
3.2.3.1.3. Aumenta o valor que TI entrega ao negócio
3.2.3.2. 2. Entrega de Valor
3.2.3.2.1. Executa a proposta de valor planejada
3.2.3.2.2. Garante que a TI entrega os benefícios prometidos comparando com a estratégia e a um custo aceitável
3.2.3.2.3. Concentra em otimizar custos (equilibrio custos x benefícios)
3.2.3.3. 3. Gestão de Riscos
3.2.3.3.1. Entende o apetite de riscos da organização
3.2.3.3.2. Fornece transparência sobre os riscos existentes
3.2.3.3.3. Determina responsabilidades pela gestão de riscos
3.2.3.3.4. Endereça a salva-guarda dos ativos de TI, recuperação de desastres e continuidade das operações
3.2.3.4. 4. Gestão de Recursos
3.2.3.4.1. Uso adequado dos recursos de TI (infra, pessoas, aplicativos, etc) para entrega de serviços/soluções
3.2.3.4.2. Não se preocupa com a redução de custos (isto é tratado na Entrega de Valor)
3.2.3.4.3. Assegurar que existam competências suficientes para as atividades críticas
3.2.3.5. 5. Medição de Desempenho
3.2.3.5.1. Acompanha a implantação da Estratégia de TI
3.2.3.5.2. Fornece transparência sobre o que TI faz e seu desempenho
3.2.4. Benefícios-chave
3.2.4.1. Aumenta a confiança da alta administração na TI
3.2.4.1.1. Por que existe uma estrutura de controle estabelecida
3.2.4.2. Menor tempo de resposta da TI para atender as necessidades do negócio
3.2.4.3. Proporciona maior Retorno sobre os Investimentos (ROI) feitos em TI
3.2.4.3.1. Selecionando projetos/investimentos corretos
3.2.4.3.2. Consequentemente o aumento do valor entregue por TI
4. Estrutura do COBIT 4.1
4.1. Missão
4.1.1. Pesquisar, desenvolver, publicar e promover um framework de controle para governança de TI que seja embasado, atualizado, internacionalmente aceito para a adoção pelas organizações e usado no dia-a-dia pelos gerentes de negócio, profissionais de TI e profissionais de auditoria
4.2. Características principais
4.2.1. Focado no negócio
4.2.2. Orientado a processos
4.2.3. Baseado em controles
4.2.4. Orientado por métricas
4.3. Foco primário
4.3.1. foca mais em “o que precisa ser alcançado” do que em “como alcançar”
4.3.1.1. COBIT não fornece detalhes em nível de instrução de trabalho para o funcionamento dos processos
4.3.2. Funciona como um guarda-chuva, fornecendo controles que mapeiam os principais frameworks de TI.
4.4. Atende aos 5 requisitos de um framework de controle
4.4.1. Focado no negócio
4.4.1.1. Incentivando a TI a suportar a estratégia do negócio e a maximizar seus benefícios
4.4.2. Orientadoa processos
4.4.2.1. Ele fornece boas práticas geralmente aceitas através de um modelo de domínios e processos e apresenta atividades em uma estrutura lógica e gerenciável
4.4.3. Fornece Linguagem comum
4.4.3.1. Padroniza termos entre o pessoal de TI e negócio
4.4.4. Ajuda a atender requisitos regulatórios
4.4.4.1. Mapeia controles para SOX, Basiléia II entre outros
4.4.5. Tem aceitabilidade geral
4.5. Principais modelos mapeados
4.5.1. CMMI
4.5.1.1. Desenvolvimento de software
4.5.2. ISO 17799
4.5.2.1. Segurança da Informação
4.5.3. ITIL
4.5.3.1. Gerenciamento de Serviços de TI
4.5.4. PMBOK e PRINCE2
4.5.4.1. Gerenciamento de Projetos
4.5.5. COSO
4.5.5.1. Framework de controle interno
4.5.5.2. A definição do COBIT de requisitos fiduciários difere do COSO no que o COBIT expande o escopo para incluir toda a informação
4.6. 3 Componentes-chave
4.6.1. 34 Processos de TI
4.6.1.1. Organizados em 4 domínios
4.6.1.1.1. Planejar e Organizar (PO)
4.6.1.1.2. Adquirir e Implementar (AI)
4.6.1.1.3. Entregar e Suportar (DS)
4.6.1.1.4. Monitorar e Avaliar (ME)
4.6.1.2. Gerenciam os recursos de TI
4.6.2. 7 Critérios de Informação
4.6.2.1. A informação que TI fornece ao negócio precisa atender a 7 critérios
4.6.2.2. Foram baseados em
4.6.2.2.1. Requisitos dequalidade
4.6.2.2.2. RequisitosFiduciários (COSO)
4.6.2.2.3. Requisitos desegurança
4.6.2.3. 7 Critérios do COBIT
4.6.2.3.1. Eficácia
4.6.2.3.2. Eficiência
4.6.2.3.3. Confidencialidade
4.6.2.3.4. Integridade
4.6.2.3.5. Disponibilidade
4.6.2.3.6. Conformidade
4.6.2.3.7. Confiabilidade
4.6.3. 4 Recursos de TI
4.6.3.1. Aplicativos
4.6.3.1.1. Sistemas automatizados e procedimentos manuais para processar informações.
4.6.3.2. Informação
4.6.3.2.1. Dados de todos os formulários de entrada e saída, processados e exibidos pelos sistemas de informação, podendo ser qualquer formulário que é usado pelo negócio.
4.6.3.3. Infraestrutura
4.6.3.3.1. Hardware, sistemas operacionais, sistemas de banco de dados, rede, multimídia e tudo que é necessário para o funcionamento dos aplicativos.
4.6.3.4. Pessoas
4.6.3.4.1. Pessoal necessário para planejar, organizar, adquirir, implementar, entregar, prestar suporte, monitorar e avaliar os sistemas de informação e serviços. O pessoal pode ser interno ou terceirizado.
4.7. Razões/Vantagens para adotá-lo
4.7.1. É aceito por terceiros e órgãos reguladores
4.7.2. É compatível com outros padrões
4.7.3. Representa um consenso dos especialistas
4.7.4. Fornece uma abordagem para avaliar se os serviços de TI e novas iniciativas estão atendendo aos requisitos do negócio e estão entregando os benefícios esperados
4.7.5. Ajuda a desenvolver e documentar estruturas, processos e ferramentas para um gerenciamento efetivo da TI
4.7.6. Possui uma estrutura de controles que facilita
4.7.6.1. auditorias internas e externas
4.7.6.2. o estabelecimento de responsabilidades em cada processo
5. O que o COBIT provê
5.1. Descrição do processo
5.1.1. Propósito do processo
5.1.2. Critérios de informação atendidos pelo processo
5.1.3. Como os requisitos de negócio são satisfeitos pelo processo de TI
5.2. Diretrizes de Gerenciamento
5.2.1. Ajuda a verificar se o processo está alcançando suas metas/objetivos
5.2.2. Auxilia na designação de responsabilidades, avaliação de desempenho (métrica) e benchmarking
5.2.3. Conteúdo
5.2.3.1. Entradas e Saídas
5.2.3.1.1. Entradas
5.2.3.1.2. Saídas
5.2.3.2. Gráfico RACI
5.2.3.2.1. Definem as responsabilidades para cada atividade do processo
5.2.3.2.2. Atribuições
5.2.3.3. Objetivos e Métricas
5.2.3.3.1. Baseados no Balanced Scorecard
5.2.3.3.2. Nível TI
5.2.3.3.3. Nível Processo
5.2.3.3.4. Nível Atividade
5.3. Objetivos de Controle
5.3.1. São um conjunto de requisitos de alto nível a serem considerados pela gestão para o efetivo controle de cada processo de TI
5.3.2. Uma declaração do resultado desejado ou do propósito a ser atingido com a implementaçãode um procedimento de controle em um processo em particular
5.4. Modelos de Maturidade
5.4.1. Escalas que ajudam a mensurar o estágio em que o processo se encontra
5.4.2. Baseado no modelo CMMI do SEI
5.4.3. Servem para fazer comparação (benchmark) e avaliar a capacidade do processo
5.4.4. Serve como instrumento para estabelecer metas de melhoria
5.4.4.1. Onde estamos e onde queremos chegar
5.4.5. Níveis de maturidade genérico
5.4.5.1. 0 - Inexistente
5.4.5.1.1. Processo não existe na organização
5.4.5.2. 1 - Inicial / Ad-hoc
5.4.5.2.1. Processos são informais, cada um faz do seu jeito
5.4.5.3. 2 - Repetível, porém intuitivo
5.4.5.3.1. Já existe alguns procedimentos documentados, mas nem tudo é formalizado, ainda uma parte do processo é intuitiva
5.4.5.4. 3 - Definido
5.4.5.4.1. Todos os procedimentos do processo foram documentados e todos os seguem
5.4.5.5. 4 - Gerenciado e Mensurável
5.4.5.5.1. É possível monitorar e medir a conformidade com os procedimentos
5.4.5.5.2. Ações de melhoria são tomadas com base nas medições
5.4.5.6. 5 - Otimizado
5.4.5.6.1. Os processos foram ajustados ao nível das melhores práticas
6. Aplicando o COBIT
6.1. Conhecer os processos
6.1.1. DS 2
6.1.1.1. Diretrizes de Gerenciamento
6.1.1.1.1. Objetivos de TI
6.1.1.1.2. Metricas de TI
6.1.1.1.3. Objetivos de Processo
6.1.1.1.4. Metricas de Processo
6.1.1.1.5. Objetivos das Atividades
6.1.1.1.6. Metricas das Atividades
6.1.1.2. Modelo de Maturidade
6.1.1.2.1. 0 - Inexistente
6.1.1.2.2. 1 - Inicial / Ad-hoc
6.1.1.2.3. 2 - Repetível, porém intuitivo
6.1.1.2.4. 3 - Definido
6.1.1.2.5. 4 - Gerenciado e Mensurável
6.1.1.2.6. 5 - Otimizado
6.1.2. PO10
6.1.2.1. Diretrizes de Gerenciamento
6.1.2.1.1. Objetivos de TI
6.1.2.1.2. Metricas de TI
6.1.2.1.3. Objetivos de Processo
6.1.2.1.4. Metricas de Processo
6.1.2.1.5. Objetivos das Atividades
6.1.2.1.6. Metricas das Atividades
6.1.2.1.7. Diretrizes de gerenciamento
6.1.2.2. Modelo de Maturidade
6.1.2.2.1. 0 - Inexistente
6.1.2.2.2. 1 - Inicial / Ad-hoc
6.1.2.2.3. 2- Repetível, porém intuitivo
6.1.2.2.4. 3 - Definido
6.1.2.2.5. 4 - Gerenciado e Mensurável
6.1.2.2.6. 5 - Otimizado