EXAME COBIT FOUNDATION 4.

REVISÃO DOS PONTOS-CHAVE

IMPORTANTE!

O objetivo deste material é revisar e memorizar os conceitos-chave da Governança de

TI, Framework do COBIT e produtos relacionados para lhe preparar para o exame
COBIT 4.1 Foundation da ISACA/ITGI. Este material serve apenas como revisão – é
recomendável que você faça o curso e-learning da TIEXAMES e leia o material
complementar disponibilizado na área de links de referência. É garantido que muitos
dos conceitos aqui abordados irão aparecer nas questões do exame.

GOVERNANÇA DE TI
PRINCIPAIS DESAFIOS DA TI
 Promover alinhamento entre TI e negócio
 Reduzir os custos da TI
 Gerenciar a complexidade da TI
 Proporcionar segurança da informação
 Aumentar a qualidade dos serviços
 Gerenciar fornecedores externos
 Estar em conformidade com leis e regulamentos

O QUE É GOVERNANÇA DE TI
É um conjunto de estruturas e processos que visa garantir que a TI suporte e
maximize adequadamente os objetivos e estratégias de negócio da organização,
adicionando valores aos serviços entregues, balanceando os riscos e obtendo o
retorno sobre os investimentos em TI.

O conselho de administração e os executivos são responsáveis pela Governança de

TI.

STAKEHOLDERS NA GOVERNANÇA DE TI
São pessoas ou elementos relacionados com as operações de TI, como:
 Fornecedores
 Usuários
 Órgãos públicos
 Governo
 Acionistas
 Diretores/executivos/gerentes
ÁREAS DE FOCO DA GOVERNANÇA DE TI
1. Alinhamento Estratégico
Áreas de foco da Governança de Alinhando TI com o negócio e fornecendo
TI conforme o ITGI: soluções colaborativas
2. Entrega de Valor
Executando a proposição de valor através do
to En ciclo de entrega
en o de tre
am gi c Va ga 3. Gerenciamento de Riscos
h
i n té lor
Al stra
E Gerenciando riscos de TI, impactos das
Domínios da mudanças, segurança, conformidade.
Governança de R mento 4. Gerenciamento de Recursos
Mon sempe
do D

de TI Otimizando o desenvolvimento e o uso de

s
isco
itora

recursos disponíveis.
e

ncia

5. Monitoramento do Desempenho
men ho

Gere

Monitoramento dos recursos para ação

n
to

Gerenciamento corretiva.
de Recursos

GERENCIAMENTO DE RISCOS
Os riscos são gerenciados de quatro formas:

 Mitigando riscos: implementar controles que protejam contra riscos. Por

exemplo: implementação de um firewall de segurança.
 Transferindo riscos: compartilhar riscos com parceiros ou contratar seguro
apropriado.
 Aceitando riscos: confirmar e monitorar riscos, e ter pronto um plano de
resposta ao risco.
 Evitando riscos: adotar uma opção diferente que evite completamente o risco.

CARACTERÍSTICAS NECESSÁRIAS EM UM FRAMEWORK DE CONTROLE

Um framework de controle de TI deve conter as seguintes características:
 Foco no negócio
 Orientação a processo
 Padrão aceito
 Linguagem comum
 Requisitos regulatórios

BENEFÍCIOS DA GOVERNANÇA DE TI
 Confiança da alta administração
 TI mais comprometida com o negócio
 Maior ROI (Retorno sobre o Investimento)
 Serviços mais confiáveis
 Mais transparência
 INTRODUÇÃO AO COBIT
CONCEITOS BÁSICOS
 COBIT = Control Objectives for Information and related Technology
 É um framework e uma base de conhecimento para os processos de TI e seu
gerenciamento
 Não é um padrão definitivo – deve ser adaptado para cada empresa
 É um framework de controle que tem o propósito de assegurar que os recursos
de TI estarão alinhados com os objetivos da organização
 É baseado na premissa de que a TI precisa entregar informação que a
empresa necessita para atingir seus objetivos
 O princípio do framework COBIT é o de prover um link entre as expectativas e
as responsabilidades de gerenciamento de TI, com o objetivo de facilitar que a
Governança de TI agregue valor à TI enquanto gerencia riscos
 Faz com que a TI seja mais responsiva ao negócio

MISSÃO DO COBIT
Pesquisar, desenvolver, publicar e promover um conjunto de objetivos de controle para
tecnologia que seja embasado, atual, internacional e aceito em geral para uso no dia-
a-dia de gerentes de negócio e auditores.

O COBIT ATENDE AOS 5 REQUISITOS DE UM FRAMEWORK DE CONTROLE

 Define uma linguagem comum para TI e negócio
 Ajuda a atender aos requisitos regulatórios
 É um padrão aceito entre empresas
 É orientado a processos
 É focado nos requisitos de negócio

COMPONENTES DO COBIT
PROCESSOS DE TI

São 4 Domínios e 34 Processos de TI:

1. Planejamento e Organização
2. Aquisição e Implementação
3. Entrega e Suporte
4. Monitoração e Avaliação
CRITÉRIOS DE INFORMAÇÃO
Dica: decore isto, vai cair na prova!

Para satisfazer os objetivos de negócio as informações precisam estar em

conformidade com os critérios chamados Requisitos de Negócio. São eles:

 Requisitos de Qualidade
 Qualidade
 Custo
 Entrega

 Requisitos Fiduciários (Relatório do COSO)

 Eficácia e eficiência das operações
 Confiabilidade das informações
 Conformidade com leis e regulamentos

 Requisitos de Segurança
 Confidencialidade
 Integridade
 Disponibilidade

O COBIT mapeia os requisitos de negócio para informação em CRITÉRIOS DE

INFORMAÇÃO:

 Eficácia: ligado com relevância e utilidade da informação.

 Eficiência: ligado com otimização de recursos.
 Confiabilidade: ligado com informação correta.
 Conformidade: relacionado com conformidades a leis e regulamentos.
 Confidencialidade: relacionado com proteção e segurança da informação.
 Integridade: relacionado com validez da informação.
 Disponibilidade: informação disponibilizada quando requerida.

Decore os 3 critérios de informação relacionados à segurança da informação: CID

(Confidencialidade – Integridade – Disponibilidade)
RECURSOS DE TI
 Aplicações: sistemas automatizados e procedimentos manuais para processar
informações.
 Informação: dados de todos os formulários de entrada, processados e
exibidos pelos sistemas de informação, podendo ser qualquer formulário usado
pelo negócio.
 Infraestrutura: inclui hardware, sistemas operacionais, sistemas de banco de
dados, rede, multimídia, etc. É tudo que seja necessário para o funcionamento
das aplicações.
 Pessoas: pessoal necessário para planejar, organizar, adquirir, implementar,
entregar, dar suporte, monitorar e avaliar os sistemas de informação e
serviços. Elas podem ser internas ou terceirizadas.

COBIT X OUTROS PADRÕES

 O COBIT é compatível com outros padrões – este é um benefício da sua
adoção
 O COBIT está em um nível mais genérico, portanto pode ser utilizado para
avaliar outros processos implementados por outros frameworks como ITIL e
ISO 17799
 O COBIT pode ser aplicado depois que outros padrões de nível mais
operacional já estejam aplicados, já que o COBIT vai servir para auditar estes
processos
 O COSO é um framework para controle de interno e não somente de TI: pode
ser utilizado em qualquer área de negócio. Já o COBIT é específico para TI –
mas está alinhado com o COSO
 O COBIT cobre todos os processos da ITIL, entretanto a ITIL é mais detalhada
 O COBIT é um framework que diz o que tem ser feito e não se preocupa em
como fazer
 O COBIT atende aos requisitos regulatórios aos quais a empresa está
submetida, por isto pode ser utilizado para cumprir a conformidade com a
Sarbanes-Oxley
 OBJETIVOS DE CONTROLE
Dica importante: baixe o framework do COBIT no site da ISACA e leia tudo sobre os
processos PO10 e DS2.

Como framework de controle, o COBIT tem 2 focos:

1. Fornecer informações necessárias para suportar os objetivos e requisitos de

negócio
2. Tratar informações como sendo o resultado combinado de aplicações de TI e
recursos que precisam ser gerenciados por processos de TI

MODELO DE PROCESSO DO COBIT

RESUMO DOS PROCESSOS MAIS IMPORTANTES

Domínio Processo Descrição

PO9 Assess and Manage IT Risks Cria e mantém um framework de gerenciamento de riscos
de TI. Todos os assuntos relacionados a riscos estão
envolvidos neste processo.
PO

PO10 Manage Projects Envolve-se com todos os assuntos relacionados ao gerenciamento

de projetos de TI.

Preocupa-se em disponibilizar conhecimento sobre os

AI4 Enable Operation and Use novos sistemas. Este processo requer a produção de
documentação e manuais para usuários e TI, e fornece
AI treinamento aos usuários.

AI6 Manage Changes Inclui todas as mudanças, inclusive as mudanças

emergenciais relacionadas com a infraestrutura.

DS1 Define and Manage Service Define os níveis de serviços requeridos junto com os
Levels clientes, e monitora e emite relatórios para os stakeholders.

DS
Assegura os serviços fornecidos por terceiros para que
DS2 Manage Third-party Services estes satisfaçam as necessidades do negócio. Envolve-se
com regras, responsabilidades e acordos com terceiros.
 DIRETRIZES DE GERENCIAMENTO
As diretrizes de gerenciamento fornecem ferramentas para medir e comparar a
capacidade para cada processo de TI.

 Metas e métricas
o Medidas de resultado (outcome measures)
o Indicadores de desempenho (performance indicators)

 Recursos
o Entradas e saídas para cada processo
o Gráfico RACI (matriz de responsabilidades)

MÉTRICAS
As diretrizes de gerenciamento especificam medidas de resultado em forma de OMs
(Outcome Measures) e medidas de performance em forma de PIs (Performance
Indicators).

Indicadores de Medem como você está fazendo. Também conhecidos como

performance indicadores de tendência.
(performance
indicators)

Medidas de Medem o que você tem feito. Também conhecidas como

resultado indicadores de lag pelo fato de medirem somente após o fato
(outcome measures) ocorrido.

As diretrizes de gerenciamento do COBIT sugerem utilizar balanced business

scorecards, os quais fornecem métricas para alcançar as metas de TI. Um scorecard
tem 4 dimensões que mapeiam metas e indicadores de performance:
GRÁFICO RACI
Para cada processo é sugerido um gráfico RACI com os responsáveis por cada
atividade:

MODELOS DE MATURIDADE
Um modelo de maturidade é uma medida que possibilita uma organização a classificar
sua maturidade para determinado processo. A classificação vai de inexistente (0) a
otimizado (5).

Os modelos de maturidades fazem parte das diretrizes de gerenciamento e podem ser

utilizados para fazer comparações de maturidade com outras empresas.

Inexistente Inicial Repítivel Definido Gerenciado Otimizado

0 1 2 3 4 5

Legenda para os símbolos Legendas para o ranking

Enterprise current
status
International standard 0 – Processos de gerenciamento não são aplicados a todos
guidelines 1 – Processos são desorganizados
Industry best 2 – Processos seguem um padrão regular
3 – Processos são documentados e comunicados
practice 4 – Processos são monitorados e medidos
Enterprise 5 – Melhores práticas são seguidas e automatizadas
strategy

Modelo genérico de maturidade

0 Inexistente Não existem controles.

1 Inicial Já existem processos, mas não há documentos nem padrões.
2 Repetível Processos padronizados, mas falta documentação e comunicação.
Os processos são formalizados. Existe documentação, treinamento e comunicação
3 Definido definida.
Processos em aperfeiçoamento já fornecem boas práticas, mas faltam ferramentas de
4 Gerenciado
automação.
Os processos já estão refinados a partir das melhores práticas identificadas. Existe
5 Otimizado
institucionalização das melhores práticas.
RELACIONAMENTO ENTRE OS RECURSOS DO COBIT

Esta figura mostra como os

Metas
componentes do COBIT se inter-
de negócio
relacionam, fornecendo recursos
para suportar governança,
gestão e controle. Informação Requisitos
Metas
TI
Processos Controlado por
Decomposto em
de TI

Medido por Testes dos Objetivos de

resultados controle
Auditada por Derivado de
Atividades- dos controles
chave
Auditado Implantados
com com
Pelo desempenho Pela maturidade
Executada pelo Testes de Práticas de
desenho controle
Pelo resultado do controle

Baseado em

Gráfico Indicador de Indicador de Modelo de

RACI desempenho resultado maturidade
 PRODUTOS DO ITGI
Dica importante: navegue pelo site da ISACA e pesquise um pouco mais sobre os
produtos. Podem cair questões muito específicas sobre o que há dentro de cada
produto. É importante ter um overview.

PRÁTICAS DE CONTROLE
As práticas de controle de TI fornecem detalhamento sobre como implementar
objetivos de controle.

COBIT ONLINE
Apresenta informações do COBIT na web. Ele possibilita que vários usuários
naveguem, pesquisem, compartilhem e utilizem a base de conhecimento. É uma área
restrita aos assinantes.

Principais recursos do COBIT Online:

 Download de arquivos PDF
 Benchmarking (para comparar sua empresa com outras)
 Questionários de avaliação
 Comunidade para trocar ideias com outros usuários

IT ASSURANCE GUIDE
 É um guia de validação para profissionais que precisam de orientações para
garantir o funcionamento dos controles internos e melhoria de processos.
 Fornece conselhos sobre como testar o funcionamento de cada objetivo de
controle, assegurando que os controles são suficientes e ajudando a
documentar seus pontos fracos.

O IT Assurance Guide oferece uma estrutura para o plano de auditoria/validação

composta por três estágios: Planejamento, Definição de Escopo e Execução.
TO
MEN
JÁ
NE
PLA

Estabelece o universo de validação de TI para designar o que

será validado.

Define metas de negócio e de TI para o ambiente que será

ESCOPO

revisado/auditado, e quais são os processos e recursos de TI

necessários para suportar estas metas.
ÇÃO
EXECU

Guia os profissionais apresentando os principais testes a serem

executados durante uma auditoria/validação.
O estágio de execução subdivide-se em 6 etapas:

1 2 3 4 5 6
Refinar o Redefinir Testar o Documentar o Comunicar as
Testar os
entendimento o escopo desenho do impacto recomendações
resultados
controle

COBIT QUICKSTART
É uma versão compacta do COBIT para que a empresa consiga beneficiar-se de seu
uso. É direcionado para empresas de pequeno é médio porte.

IT IMPLEMENTATION GUIDE
É um roadmap para o conselho de administração, a gerência executiva, os
profissionais de TI e controle, os profissionais de auditoria em TI e os gerentes de
conformidade.

IT Governance Implementation Roadmap baseado no COBIT

Identifica Visualiza Planeja Implementa Operacionaliza

necessidades a solução a solução a solução a solução

Avalia o
Define os Implementa as Constrói
Conscientiza programa
projetos melhorias sustentabilidade
atual
Identifica novos
Define metas Desenvolve plano Monitora o
Define o escopo requisitos de
de melhoria de melhoria desempenho da governança
implementação
Define os riscos Analisa os gaps
e identifica as
melhorias Revisa a eficácia
Define recursos do programa
e entregáveis

Planeja o
programa A participação do negócio durante a Governança de TI é essencial

COBIT SECURITY BASELINE

O COBIT Security Baseline fornece informações sobre a segurança de uma maneira
simples. É um kit de sobrevivência para diretores, executivos, gerentes e usuários
profissionais e domésticos. Portanto, não é guia técnico para especialistas em
segurança da informação.

VAL IT
O framework do VAL IT é baseado no COBIT. Seus princípios incluem governança de
valor, gerenciamento de portfólio e gerenciamento de investimentos.

Princípios do VAL IT:

 Os investimentos habilitados pela TI serão administrados como um portfólio
de investimentos
 Os investimentos habilitados pela TI incluirão um escopo completo de
atividades que são necessárias para gerar valor ao negócio
 Os investimentos habilitados pela TI serão administrados através de todo o
seu ciclo de vida econômico
 As práticas de entrega de valor reconhecerão que existem diferentes
categorias de investimentos, que serão avaliadas e administradas de
maneiras diferentes
 As práticas de entrega de valor irão definir e monitorar métricas-chave e
responderão rapidamente a quaisquer mudanças ou divergências

 As práticas de entrega de valor devem engajar todos os stakeholders e definir

uma prestação de contas apropriada sobre a entrega de capacidades e
obtenção de benefícios de negócio
 As práticas de entrega de valor serão continuamente monitoradas, avaliadas
e melhoradas