Create your own awesome maps

Even on the go

with our free apps for iPhone, iPad and Android

Get Started

Already have an account?
Log In

COBIT 4.1 Foundation by Mind Map: COBIT 4.1 Foundation
5.0 stars - 13 reviews range from 0 to 5

COBIT 4.1 Foundation

Informações deste mapa

Desenvolvido por TIEXAMES

www.tiexames.com.br

Conteúdo exclusivo para assinantes do curso

Proibida a redistribuição

Este mapa serve apenas para revisão dos principais tópicos antes do exame

Nem todo o conteúdo do curso elearning está contido aqui

Os tópicos estão organizados aqui conforme o currículo do exame

A maioria das questões do exame pode ser respondida com este conteúdo

Produtos de suporte ITGI/ISACA

COBIT Quickstart

Versão resumida dos recursos do COBIT 4.1

Serve como ponto de partida priorizando o que é mais importante

Mais direcionado para empresas de pequeno e médio porte que não precisam de todos os controles

Acompanha ferramentas de auto-avaliação, ajudando a identificar se ele é apropriado à organização

Práticas de controle

Traduzem os objetivos de controle do COBIT em práticas detalhadas e implementáveis

Tornecem um detalhamento de como implementar os objetivos e “por que” eles podem ser necessários

IT Assurance Guide

Guia de validação, garantia e auditoria

Ajuda os auditores a avaliar o desempenho da organização

Fornece conselhos sobre como testar o funcionamento de cada objetivo de controle

Ajuda a elaborar um conjunto de ações e plano de auditoria

Fornece estrutura composta por 3 estágios, 1. Planejamento, Estabelece o universo de validação de TI para designar o que será validado, 2. Escopo, Define as metas de negócio e de TI para o ambiente que será revisado/auditado, 3. Execução, Apresenta os principais testes a serem executados durante uma auditoria/validação

COBIT Online

Base de recursos na web com funcionalidades interativas do conteúdo do COBIT 4.1

Fornece informações atualizadas sobre o COBIT

Funcionalidades, Navegação, Permite navegar pelo conteúdo disponível para cada um dos 34 processos de TI, Contempla o conteúdo do Framework e também as práticas de controle, Comunidade, Fórum de discussão que permite discutir dúvidas e trocar experiências de uso do COBIT 4.1, Benchmarking, Permite coletar dos usuários: níveis de maturidade dos processos, importância dos processos, importância dos objetivos de controle, importância de metas de TI e de metas de processo, Feedback, Periodicamente a ISACA realiza pesquisas (surveys) e convida os assinantes para participarem

COBIT Security Baseline

Foca nos riscos específicos da segurança de TI

Não é um guia técnico

Possui linguagem acessível para qualquer tipo de pessoa, como usuários domésticos

É uma destilação do COBIT, sugerindo 44 passos para alcançar a segurança e referenciando controles da ISO 27002 (substitui a ISO 17799)

Fornece 6 kits de sobrevivência

IT Governance Implementation Guide

Fornece uma metodologia/ roadmap detalhado e um conjunto de ferramentas para implementar um ciclo de vida de Governança de TI

Val IT

Inclui orientações e processos de suporte relacionados à avaliação e seleção de investimentos de negócio viabilizados por TI

Princípios, Os investimentos viabilizados pela TI serão administrados como um portfólio de investimentos., Os investimentos viabilizados pela TI incluirão um escopo completo de atividades que são necessárias para gerar valor ao negócio., Os investimentos viabilizados pela TI serão administrados através de todo o seu ciclo de vida econômico., As práticas de entrega de valor reconhecerão que existem diferentes categorias de investimentos que serão avaliadas e administradas de maneiras diferentes., As práticas de entrega de valor irão definir e monitorar métricas-chave e responderão rapidamente a quaisquer mudanças ou divergências., As práticas de entrega de valor devem engajar todos os stakeholders e definir uma prestação de contas apropriada sobre a entrega de capacidades e obtenção de benefícios do negócio., As práticas de entrega de valor serão continuamente monitoradas, avaliadas e melhoradas.

Os 4 “ares” – estamos, Estamos fazendo as coisas certas?, Estamos fazendo da maneira correta?, Estamos fazendo isso bem?, Estamos obtendo os benefícios?

Desafios e Governança de TI

Desafios da TI

Alinhar TI ao negócio, Devido a falta de orientadores do negócio para guiar a estratégia de TI

Entregar valor

Conseguir gerar/demonstrar ROI para os investimentos em TI

Reduzir os custos

Gerenciar a segurança da informação

Gerenciar a complexidade da infraestrutura de TI

Executar mudanças com maior agilidade

Entregar projetos dentro do prazo, custo e escopo

Aumentar o nível de qualidade do serviço

Gerenciar fornecedores externos

Manter alta disponibilidade nos serviços de TI

Garantir a continuidade do negócio

Estar em conformidade com regulamentos

Reter conhecimento técnico

Governança de TI

Definição, É de responsabilidade da alta administração (incluindo diretores e executivos) na liderança, nas estruturas organizacionais e nos processos que garantem que a TI da empresa sustente e estenda as estratégias e objetivos da organização

Princípios, Direção, Controle, Responsabilidade, Prestação de contas (accountability), Autoridade, Alinhamento das atividades de TI

Áreas de foco, 1. Alinhamento Estratégico, Alinha estratégia TI x estratégia negócio, Definição, manutenção e validação da proposição de valor para a TI, Aumenta o valor que TI entrega ao negócio, Identificando investimentos/projetos que geram valor para o negócio, 2. Entrega de Valor, Executa a proposta de valor planejada, Por meio de projetos, aquisição, desenho, Garante que a TI entrega os benefícios prometidos comparando com a estratégia e a um custo aceitável, Concentra em otimizar custos (equilibrio custos x benefícios), 3. Gestão de Riscos, Entende o apetite de riscos da organização, Fornece transparência sobre os riscos existentes, Determina responsabilidades pela gestão de riscos, Endereça a salva-guarda dos ativos de TI, recuperação de desastres e continuidade das operações, 4. Gestão de Recursos, Uso adequado dos recursos de TI (infra, pessoas, aplicativos, etc) para entrega de serviços/soluções, Não se preocupa com a redução de custos (isto é tratado na Entrega de Valor), Assegurar que existam competências suficientes para as atividades críticas, 5. Medição de Desempenho, Acompanha a implantação da Estratégia de TI, Fornece transparência sobre o que TI faz e seu desempenho

Benefícios-chave, Aumenta a confiança da alta administração na TI, Por que existe uma estrutura de controle estabelecida, Menor tempo de resposta da TI para atender as necessidades do negócio, Proporciona maior Retorno sobre os Investimentos (ROI) feitos em TI, Selecionando projetos/investimentos corretos, Consequentemente o aumento do valor entregue por TI

Estrutura do COBIT 4.1

Missão

Pesquisar, desenvolver, publicar e promover um framework de controle para governança de TI que seja embasado, atualizado, internacionalmente aceito para a adoção pelas organizações e usado no dia-a-dia pelos gerentes de negócio, profissionais de TI e profissionais de auditoria

Características principais

Focado no negócio

Orientado a processos

Baseado em controles

Orientado por métricas

Foco primário

foca mais em “o que precisa ser alcançado” do que em “como alcançar”, COBIT não fornece detalhes em nível de instrução de trabalho para o funcionamento dos processos

Funciona como um guarda-chuva, fornecendo controles que mapeiam os principais frameworks de TI.

Atende aos 5 requisitos de um framework de controle

Focado no negócio, Incentivando a TI a suportar a estratégia do negócio e a maximizar seus benefícios

Orientadoa processos, Ele fornece boas práticas geralmente aceitas através de um modelo de domínios e processos e apresenta atividades em uma estrutura lógica e gerenciável

Fornece Linguagem comum, Padroniza termos entre o pessoal de TI e negócio

Ajuda a atender requisitos regulatórios, Mapeia controles para SOX, Basiléia II entre outros

Tem aceitabilidade geral

Principais modelos mapeados

CMMI, Desenvolvimento de software

ISO 17799, Segurança da Informação

ITIL, Gerenciamento de Serviços de TI

PMBOK e PRINCE2, Gerenciamento de Projetos

COSO, Framework de controle interno, A definição do COBIT de requisitos fiduciários difere do COSO no que o COBIT expande o escopo para incluir toda a informação

3 Componentes-chave

34 Processos de TI, Organizados em 4 domínios, Planejar e Organizar (PO), Cobre estratégias e táticas e se preocupa com a identificação da forma como a TI pode contribuir para alcançar os objetivos do negócio, A realização da visão estratégica precisa ser planejada, comunicada e gerenciada por diferentes perspectivas., Como a organização, assim como a infraestrutura de TI, devem estar instaladas., Adquirir e Implementar (AI), Para realizar a estratégia de TI, soluções precisam ser identificadas, desenvolvidas ou adquiridas, assim como implementadas e integradas com os processos de negócio., Mudanças e manutenção dos sistemas existentes são cobertas por este domínio, Entregar e Suportar (DS), Preocupa-se com as entregas reais dos serviços necessários que abrangem as operações tradicionais sobre aspectos de segurança e continuidade até treinamento., Monitorar e Avaliar (ME), Processos de TI precisam ser avaliados regularmente nos aspectos de qualidade e conformidade com base nos requisitos de controle, Endereça o gerenciamento de desempenho, monitoramento dos controles internos, conformidade regulatória e de governança., Gerenciam os recursos de TI

7 Critérios de Informação, A informação que TI fornece ao negócio precisa atender a 7 critérios, Foram baseados em, Requisitos dequalidade, Qualidade (cumprimento de requisitos de SLA), Entrega (entregar a tempo), Custo (dentro do orçamento esperado), RequisitosFiduciários (COSO), Eficácia e eficiência operacional, Confiabilidade dos relatórios financeiros, Cumprimento de leis e regulamentos, Requisitos desegurança, Confidencialidade, Integridade, Disponibilidade, 7 Critérios do COBIT, Eficácia, É a capacidade de alcançar metas e resultados propostos, Eficiência, Capacidade de produzir o máximo de resultados com o mínimo de recursos., Confidencialidade, Diz respeito à proteção da informação sigilosa contra a revelação não autorizada., Integridade, Relaciona-se à exatidão e à inteireza da informação bem como à sua validade, de acordo com os valores e expectativas do negócio., Disponibilidade, Relaciona-se à informação que está sendo disponibilizada quando requerida pelo processo de negócio, agora e no futuro., Conformidade, Trata do cumprimento das leis, dos regulamentos e arranjos contratuais aos quais o processo de negócio está sujeito., Confiabilidade, Relaciona-se à provisão de informação apropriada para a gerência operar a empresa e exercer suas responsabilidades de relatar aspectos de conformidade e finanças.

4 Recursos de TI, Aplicativos, Sistemas automatizados e procedimentos manuais para processar informações., Informação, Dados de todos os formulários de entrada e saída, processados e exibidos pelos sistemas de informação, podendo ser qualquer formulário que é usado pelo negócio., Infraestrutura, Hardware, sistemas operacionais, sistemas de banco de dados, rede, multimídia e tudo que é necessário para o funcionamento dos aplicativos., Pessoas, Pessoal necessário para planejar, organizar, adquirir, implementar, entregar, prestar suporte, monitorar e avaliar os sistemas de informação e serviços. O pessoal pode ser interno ou terceirizado.

Razões/Vantagens para adotá-lo

É aceito por terceiros e órgãos reguladores

É compatível com outros padrões

Representa um consenso dos especialistas

Fornece uma abordagem para avaliar se os serviços de TI e novas iniciativas estão atendendo aos requisitos do negócio e estão entregando os benefícios esperados

Ajuda a desenvolver e documentar estruturas, processos e ferramentas para um gerenciamento efetivo da TI

Possui uma estrutura de controles que facilita, auditorias internas e externas, o estabelecimento de responsabilidades em cada processo

O que o COBIT provê

Descrição do processo

Propósito do processo

Critérios de informação atendidos pelo processo

Como os requisitos de negócio são satisfeitos pelo processo de TI

Diretrizes de Gerenciamento

Ajuda a verificar se o processo está alcançando suas metas/objetivos

Auxilia na designação de responsabilidades, avaliação de desempenho (métrica) e benchmarking

Conteúdo, Entradas e Saídas, Entradas, Informações necessárias para executar o processo, Saídas, Informações produzidas pelo processo, Gráfico RACI, Definem as responsabilidades para cada atividade do processo, Atribuições, Responsible, Quem é o responsável pela atividade (executa de fato), Accountable, Quem deve prestar contas pelo desempenho, Autoriza uma atividade, Se responsabiliza pelo resultado (por isto também é traduzido como Responsabilizado), Consulted, Quem deve ser consultado em alguma decisão, Informed, Quem deve ser informado de alguma decisão ou situação, Objetivos e Métricas, Baseados no Balanced Scorecard, BSC é um sistema gerencial que permite à organização implantar, divulgar e gerenciar suas estratégias., Objetivos/metas de negócio para TI derivam de 4 perspectivas, Financeira, Cliente, Interna, Aprendizado e Crescimento, Nível TI, Objetivos/metas de TI, O que o negócio espera da TI, Medidas de resultado, Medem o que você tem feito, Também conhecidas como indicadores de LAG, pelo fato de medirem somente após o fato ocorrido., Conhecidas no passado como KGIs, Nível Processo, Objetivos/metas de processo, Definem o que precisa ser realizado pelo processo de TI para suportar os objetivos da TI, Indicadores de desempenho, Medem como você está fazendo., Também conhecidos como indicadores de tendência, Porque são medidas antes de os resultados estarem claros, Nível Atividade, Objetivos/metas de atividade, O que precisa acontecer dentro do processo para alcançar o desempenho necessário, Indicadores de desempenho, Como medir o desempenho das atividades, Todas as métricas de atividades são indicadores de desempenho

Objetivos de Controle

São um conjunto de requisitos de alto nível a serem considerados pela gestão para o efetivo controle de cada processo de TI

Uma declaração do resultado desejado ou do propósito a ser atingido com a implementaçãode um procedimento de controle em um processo em particular

Modelos de Maturidade

Escalas que ajudam a mensurar o estágio em que o processo se encontra

Baseado no modelo CMMI do SEI

Servem para fazer comparação (benchmark) e avaliar a capacidade do processo

Serve como instrumento para estabelecer metas de melhoria, Onde estamos e onde queremos chegar

Níveis de maturidade genérico, 0 - Inexistente, Processo não existe na organização, 1 - Inicial / Ad-hoc, Processos são informais, cada um faz do seu jeito, 2 - Repetível, porém intuitivo, Já existe alguns procedimentos documentados, mas nem tudo é formalizado, ainda uma parte do processo é intuitiva, 3 - Definido, Todos os procedimentos do processo foram documentados e todos os seguem, 4 - Gerenciado e Mensurável, É possível monitorar e medir a conformidade com os procedimentos, Ações de melhoria são tomadas com base nas medições, 5 - Otimizado, Os processos foram ajustados ao nível das melhores práticas

Aplicando o COBIT

Conhecer os processos

DS 2, Diretrizes de Gerenciamento, Objetivos de TI, Garantia da satisfação mútua em relacionamentos com terceiros, Garantia da satisfação dos usuários finais com as ofertas e os níveis de serviço, Garantia de transparência e entendimento de custos, benefícios, estratégia, políticas e níveis de serviço de TI, Metricas de TI, Quantidade de reclamações de usuários devido aos serviços contratados, Percentual do volume de compras sujeito ao processo competitivo de compra, Objetivos de Processo, Estabelecimento de relacionamentos e responsabilidades bilaterais com provedores externos de serviço qualificados;, Monitoramento da entrega de serviço e verificação do cumprimento dos acordos;, Garantia de que os fornecedores estão em conformidade com padrões internos e externos, Manutenção do desejo do fornecedor de continuar com o relacionamento, Metricas de Processo, Percentual dos principais fornecedores que atendem aos requisitos e níveis de serviço claramente definidos, Quantidade de controvérsias formais com fornecedores, Percentual de faturas do fornecedor discutidas., Objetivos das Atividades, Identificação e categorização dos prestadores de serviços;, Identificação e redução dos riscos associados ao fornecedor;, Monitoramento e medição do desempenho do fornecedor,, Metricas das Atividades, Percentual dos principais fornecedores sujeitos aos requisitos e níveis de serviço claramente definidos;, Percentual dos principais fornecedores sujeitos ao monitoramento;, Nível de satisfação das áreas de negócios com a eficácia da comunicação do fornecedor;, Nível de satisfação do fornecedor com a eficácia da comunicação das áreas de negócio;, Quantidade de incidentes significativos de não conformidade do fornecedor por um período de tempo determinado, Modelo de Maturidade, 0 - Inexistente, As responsabilidades não estão definidas. Não há políticas e procedimentos formais referentes à contratação de serviços terceirizados. Os serviços terceirizados não são aprovados nem analisados criticamente pela Direção. Não existem avaliações e informes por parte dos terceiros., 1 - Inicial / Ad-hoc, A Direção está consciente da necessidade de haver políticas e procedimentos documentados para a gestão da terceirização, incluindo contratos assinados. Não há termos padronizados para acordos com prestadores de serviço. A avaliação dos serviços prestados é informal e reativa., 2 - Repetível, porém intuitivo, O processo para supervisionar os fornecedores de serviços terceirizados, riscos associados e entrega dos serviços é informal. É utilizado um contrato pro forma assinado, contendo termos e condições padronizados pelos distribuidores/vendedores (por exemplo, a descrição dos serviços a serem prestados). Relatórios dos serviços prestados são disponibilizados, mas não satisfazem aos objetivos do negócio., 3 - Definido, Procedimentos bem documentados são implantados para governar os serviços terceirizados, com processos claros para examinar cuidadosamente e negociar com os prestadores. Quando um acordo de prestação de serviços é realizado, o relacionamento com o terceiro é puramente contratual. A, 4 - Gerenciado e Mensurável, São estabelecidos critérios formais e padronizados para definir os termos de compromisso, inclusive o escopo do serviço, produtos/ serviços a serem fornecidos, premissas, programação, custos, modelos de cobrança e responsabilidades. As responsabilidades pela gestão dos fornecedores e contratos são atribuídas. As qualificações, os riscos e as capacidades associados ao fornecedor são continuamente verificados. Os requisitos de serviço são definidos e vinculados aos objetivos do negócio. Existe um processo de análise crítica do desempenho do serviço frente aos termos contratuais, dando condições para uma avaliação atual e futura dos serviços terceirizados., 5 - Otimizado, Os contratos assinados com terceiros são criticamente analisados em intervalos predefinidos. A responsabilidade pela gestão dos fornecedores e da qualidade dos serviços prestados é atribuída. Evidências de adesão contratual das medidas de controle, legais e operacionais são monitoradas e ações corretivas são impostas. O terceirizado está sujeito a auditorias periódicas independentes, e o feedback do desempenho é realizado e utilizado para melhorar a prestação dos serviços. As avaliações variam conforme as mudanças nas condições do negócio. As métricas suportam a prévia detecção de problemas em potencial nos serviços terceirizados. A remuneração de terceiros está ligada ao alcance de níveis de serviço amplos acordados. A Direção ajusta o processo de aquisição e monitoramento do serviço terceirizado com base nas métricas.

PO10, Diretrizes de Gerenciamento, Objetivos de TI, Resposta aos requisitos de negócio em alinhamento com a estratégia de negócio;, Entrega de projetos dentro do cronograma e orçamento, atendendo aos padrões de qualidade;, Resposta aos requisitos de governança, em linha com orientação da Alta Direção., Metricas de TI, Percentual de projetos que atendem às expectativas das partes interessadas (prazo, orçamento e escopo – ponderados de acordo com a importância)., Objetivos de Processo, Estabelecimento de acompanhamento de projetos e mecanismos de controle de custos e duração;, Implementação de transparência ao status de projetos;, Tomada de decisões de projeto a tempo em momentos críticos., Metricas de Processo, Percentual de projetos dentro do cronograma e orçamento;, Percentual de projetos que atendem às expectativas das partes interessadas., Objetivos das Atividades, Definição e implantação de programas, estruturas e abordagens de projeto;, Publicação de diretrizes de gestão de projeto;, Realização de planejamento de projeto para todo o portfólio de projetos., Metricas das Atividades, Percentual de projetos que seguem práticas e padrões de gestão de projetos;, Percentual de gerentes de projetos certificados ou capacitados;, Percentual de projetos que recebem revisões pós-implementação;, Percentual de partes interessadas com participação em projetos (relação de envolvimento)., Diretrizes de gerenciamento, Modelo de Maturidade, 0 - Inexistente, Técnicas de gerenciamento de projeto não são utilizadas e a organização não considera os impactos de negócio associados ao gerenciamento equivocado e as falhas no desenvolvimento de projetos, 1 - Inicial / Ad-hoc, O uso de abordagens e técnicas de gestão de projeto dentro da TI é uma decisão a critério da Direção de TI. Há falta de comprometimento da Direção de TI com a propriedade e a gestão de projeto. Decisões críticas de gestão de projeto são tomadas sem o envolvimento do gestor de negócio ou dos usuários. Há pouco ou nenhum envolvimento dos clientes e usuários na definição dos projetos de TI, 2- Repetível, porém intuitivo, A Alta Direção está consciente e comunica a necessidade de gestão de projeto de TI. A organização está em processo de desenvolvimento e utilização de algumas técnicas e métodos de gestão de projeto. Os projetos de TI têm definido informalmente os objetivos técnicos e de negócios., 3 - Definido, O processo e a metodologia de gestão de projeto foram estabelecidos e comunicados. Os projetos de TI são definidos com objetivos técnicos e de negócio apropriados. Os gestores de TI e de negócio estão começando a se envolver e comprometer com a gestão dos projetos de TI. Uma estrutura de gestão de projetos está estabelecida dentro da TI, com papéis e responsabilidades iniciais definidos. Os projetos de TI são monitorados com marcos, cronograma, orçamento e medidas de desempenho definidos e atualizados., 4 - Gerenciado e Mensurável, A Direção requer a revisão de indicadores formais padronizados e lições aprendidas em cada projeto logo após sua conclusão. A gestão de projeto é medida e avaliada por toda a organização e não apenas dentro da TI. Melhorias na gestão de projeto são formalizadas e comunicadas, e os membros das equipes de projeto são treinados nessas melhorias. A área de TI implementou uma estrutura organizacional de projeto com papéis, responsabilidades e critérios de desempenho documentados. Foram estabelecidos critérios para avaliar o sucesso de cada marco., 5 - Otimizado, Uma metodologia comprovada de ciclo de vida de projeto está implementada, imposta e integrada à cultura de toda a organização. Uma iniciativa constante para identificar e institucionalizar as melhores práticas de gestão de projetos foi implementada. Uma estratégia de TI para desenvolvimento de recursos e projetos operacionais está definida e implementada. Há uma coordenação de projetos integrada responsável pelos projetos e programas desde o início até a pós-implementação.