Cobit Aula 1

Professor: Anderson Francisco da Silva.
MBA, ITIL, COBIT e MCSA.
E-mails: anderson.francisco@prof.infnet.edu.br
afsilvarj@yahoo.com
Prof. Anderson - Infnet 1

 Control Objectives for Information and related Technology (CobiT®)
◦ Este curso tem como objetivos:
◦ Apresentar conceitos de Governança de TI e Governança Corporativa;

◦ Apresentar as questões do alinhamento entre TI e Negócios e os desafios da TI
moderna;
◦ Apresentar o framework do COBIT: domínios, processos e atividades;
◦ Apresentar os objetivos de controle, guias de gerenciamento e modelos de
maturidade do COBIT;
◦ Preparar os participantes para um teste de 40 questões e 60 minutos de duração
nos moldes do exame COBIT Foundations.

◦ Recomendações:
◦ É altamente recomendado que o aluno se cadastre no ISACA, pois o simples

registro habilitará seu acesso a diversas informações gratuitas sobre controle e
governança de TI.
◦ É necessário que os candidatos ao exame tenham conhecimento

básico/intermediário da língua inglesa devido a grande parte do material ainda
não ter tradução.
◦ É importante observar que este módulo irá focar não somente a Certificação
COBIT Foundation, mas também, os aspectos práticos sobre a implementação de
governança de TI.

◦ Livros Recomendados:
◦ COBIT 4.1. Disponível para download no link:
◦ http://www.isaca.org/Knowledge-Center/cobit/Documents/cobit41-
portuguese.pdf
◦ Implantando a Governança de TI - da Estratégia à Gestão de Processos e
Serviços, Aguinaldo Aragon Fernandes e Vladimir Ferraz de Abreu, Ed, Brasport.
◦ Governança de TI: Tecnologia da Informação,Peter Weill e Jeanne W. Ross, M.
Books.

◦ Conceitos de Governança Corporativa:
◦ Segundo a OCDE (Organização para Cooperação e Desenvolvimento Econômico),

a governança corporativa é definida como o conjunto de relações entre a
administração de uma empresa, seu conselho de administração, seus acionistas e
outras partes interessadas.
◦ Segundo a CVM (Comissão de Valores Mobiliários), Governança corporativa é o

conjunto de práticas que tem por finalidade otimizar o desempenho de uma
companhia, ao proteger todas as partes interessadas, tais como investidores,
empregados e credores, facilitando o acesso ao capital.
◦ É esperado que a Governança Corporativa assegure a observância de critérios que

garantam a proteção financeira dos acionistas, como equidade entre
controladores e minoritários, transparência (disclosure), responsabilidade pelos
resultados (accountability) e obediência as leis do país (compliance).

◦ Conceitos de Governança Corporativa:
◦ A Governança Corporativa é considerada atualmente uma prática administrativa a

ser seguida pelas empresas que têm visão de longo prazo, bem como desejam
permanecer e ganhar novos mercados.
◦ A sociedade exige melhores práticas, cobrando transparência e ética nas

organizações.

◦ Governança Corporativa (IBGC):

◦ Princípios da Governança Corporativa:
◦ Transparência: Informações além da impostas por leis ou regulamentos (ex:

fatores intangíveis - ação gerencial e criação de valor).
◦ Equidade: Tratamento justo de todos os sócios e demais partes interessadas

(stakeholders).
◦ Prestação de Contas (accountability): Assumindo as consequências de seus atos e

omissões.
◦ Responsabilidade Corporativa: Zelar pela sustentabilidade das organizações,

visando à sua longevidade.

◦ Princípios, Pilares e Práticas:

◦ Objetivos da Governança Corporativa e Governança de TI:

◦ A Governança de TI faz parte da Governança Corporativa:
◦ Governança de TI é definida como uma estrutura de relações e processos que

dirige e controla uma organização a fim de atingir seu objetivo de adicionar valor
ao negócio por meio do gerenciamento balanceado do risco com o retorno do
investimento. O objetivo principal da Governança de TI é alinhar a TI ao negócio,
agregando valor e minimizando riscos (IT GOVERNANCE INSTITUTE).
◦ Governança de TI é o modelo como as decisões são tomadas e responsabilidades

direcionadas para encorajar um comportamento desejável no uso de TI (WEILL;
ROSS, 2004).
◦ A necessidade da avaliação do valor de TI, o gerenciamento dos riscos

relacionados à TI e as crescentes necessidades de controle sobre as informações
são agora entendidos como elementos-chave da governança corporativa. Valor,
risco e controle constituem a essência da governança de TI (Cobit, 2007).

◦ Desafios da TI:
◦ Manter a TI funcionando: Manter os serviços disponíveis, suportando os

processos de negócios;
◦ Valor: As ações de TI tem que entregar valor nos serviços e projetos para que os
investimentos gerem os benefícios esperados;
◦ Custos: Necessidade de administrar a TI como se fosse um negócio, custos
aceitáveis com ROI, baixo TCO;
◦ Complexidade: Gerenciar pessoas, conhecimento, novas tecnologias, mudanças e
fornecedores;
◦ Alinhamento entre TI e negócios: Eliminar o GAP entre o que os usuários esperam
e o que a TI fornece com requisitos definidos de forma superficial, falta de
comprometimento dos stakeholders;
◦ Cumprimento das Regulamentações(regulatory compliance): Controles
adequados as leis e requisitos locais e internacionais;
◦ Segurança: Ter os controles adequados implementados para a informação
confidencial disponível sem riscos para o negócio.

◦ Solução para os Desafios:
◦ Para efetivamente resolver os problemas de TI é necessário ligar os Desafios de

TI com uma Estrutura de Controle:
◦ Criando Vantagem competitiva;

◦ Tratando os riscos;
◦ Explorando os Benefícios de TI;
◦ Atendendo os Requisitos do Negócio;
◦ Obtendo conformidade com Requisitos das Normas Regulatórias.

◦ A Necessidade de uma Estrutura de Controle para a Governança de TI:
◦ PORQUE:
◦ A alta gerência necessita saber se a informação está sendo controlada pela

empresa, para agregar vantagem competitiva, estando:
◦ Provavelmente de acordo com seus objetivos;
◦ Resiliente o suficiente para aprender e adaptar-se;
◦ Criteriosamente gerenciando os riscos;
◦ Reconhecendo apropriadamente as oportunidades e agindo em cima delas.

◦ A Necessidade de uma Estrutura de Controle para a Governança de TI:
◦ PARA QUEM (Stakeholders):
◦ Internos com interesse em VOI (gerar Valor do Investimento):

◦ Aqueles que tomam as decisões de investimento.
◦ Aqueles que decidem sobre as exigências.
◦ Aqueles que usam os serviços de TI.
◦ Internas e Externas que fornecem serviços de TI:

◦ Aqueles que gerenciam os processos e as organizações de TI.
◦ Aqueles que desenvolvem a capacidade.
◦ Aqueles que operam os serviços.
◦ Internas e externas que têm a responsabilidade do controle/risco:

◦ Aqueles com responsabilidades de segurança, de privacidade e/ou do risco.
◦ Aqueles que executam funções da conformidade.
◦ Aqueles solicitam ou fornecem serviços de garantia.

◦ A Necessidade de uma Estrutura de Controle (FRAMEWORK) para a

Governança de TI:
◦ O QUE FAZER:
◦ Foco no negócio - alinhar TI aos objetivos do negócio (BSC);

◦ Orientação a processo – ter atividades organizadas em processos e responsáveis
(RACI);
◦ Linguagem comum - definir linguagem comum para TI, negócio e parceiros;
◦ Aceitabilidade geral – usar melhores práticas e padrões utilizados nas empresas
para a Governança de TI
◦ Requisitos regulatórios – cumprir com às regulamentações e estar consistente
com padrões de Governança Corporativa e Controles de TI, aumentando a
conformidade nas Auditorias sobre TI.

◦ O Cobit® (Control Objectives for Information and related Technology):
◦ O CobiT® fornece boas práticas através de um modelo de domínios e processos e

apresenta atividades em uma estrutura lógica e gerenciável.
◦ As boas práticas do CobiT representam o consenso de especialistas e são

fortemente focadas mais nos controles e menos na execução.
◦ Essas práticas irão ajudar a otimizar os investimentos em TI, assegurar a entrega

dos serviços e prover métricas para julgar quando as coisas saem erradas.
◦ Para a área de TI ter sucesso em entregar os serviços requeridos pelo negócio, os

executivos devem implementar um sistema interno de controles ou uma metodo-
logia. O modelo de controle do CobiT contribui para essas necessidades ao:
◦ Fazer uma ligação com os requisitos de negócios.
◦ Organizar as atividades de TI em um modelo de processos geralmente aceito.
◦ Identificar os mais importantes recursos de TI a serem utilizados.
◦ Definir os objetivos de controle gerenciais a serem considerados.

◦ O Cobit® (Control Objectives for Information and related Technology):
◦ O CobiT é um modelo e uma ferramenta de suporte que permite aos gerentes

suprir as deficiências à respeito dos requisitos de controle, questões técnicas e
riscos de negócios, comunicando esse nível de controle às partes interessadas.
◦ O CobiT habilita o desenvolvimento de políticas claras e boas práticas para

controles de TI em toda a empresa.
◦ O CobiT é atualizado continuamente e harmonizado com outros padrões e guias.

Assim, o CobiT tornou-se o integrador de boas práticas de TI e a metodologia de
governança de TI que ajuda no entendimento e gerenciamento dos riscos e
benefícios associados com TI.
◦ A estrutura de processos do CobiT e o seu enfoque de alto nível orientado aos

negócios fornece uma visão geral de TI e das decisões a serem tomadas sobre o
assunto.

◦ A Governança de TI, segundo o Cobit:
◦ A governança de TI é de responsabilidade dos executivos e da alta direção,

consistindo em aspectos de liderança, estrutura organizacional e processos que
garantam que a área de TI da organização suporte e aprimore os objetivos e as
estratégias da organização.
◦ Além disso, a governança de TI integra e institucionaliza boas práticas para

garantir que a área de TI da organização suporte os objetivos de negócios. A
governança de TI habilita a organização a obter todas as vantagens de sua
informação, maximizando os benefícios, capitalizando as oportunidades e
ganhando em poder competitivo.
◦ Esses resultados requerem um modelo para controle de TI que se adeque e dê

suporte ao COSO (“Committe of Sponsoring Organisations of the Treadway
Commission’s Internal Control – Integrated Framework”), um modelo para
controles internos amplamente aceito para governança e gerenciamento de riscos
empresariais, e outros modelos similares.

◦ Missão do Cobit:
◦ Pesquisar, desenvolver, publicar e promover um modelo de controle para

governança de TI atualizado e internacionalmente reconhecido para ser adotado
por organizações e utilizado no dia-a-dia por gerentes de negócios,
profissionais de TI e profissionais de avaliação.
◦ O uso do Cobit ajuda uma empresa a:

◦ Possivelmente atingir seus objetivos;
◦ Ter resiliência suficiente para aprender e se adaptar;
◦ Gerenciar adequadamente os riscos encontrados;
◦ Apropriadamente reconhecer as oportunidades e agir sobre elas.

◦ Benefícios do Cobit como modelo de Governança:
◦ Um melhor alinhamento baseado no foco do negócio;

◦ Uma visão clara para os executivos sobre o que TI faz;
◦ Uma clara divisão das responsabilidades baseada na orientação para processos;
◦ Aceitação geral por terceiros e órgãos reguladores;
◦ Entendimento compreendido entre todas as partes interessadas, baseado em
uma linguagem comum;
◦ Cumprimento dos requisitos do COSO para controle do ambiente de TI;
◦ Direção por métricas, com o uso de indicadores e modelo de maturidade;
◦ Melhor agregação de valor, por meio de garantias do alcance dos benefícios com
otimização de custos.

◦ Fatores que contribuíram para o uso de Boas Práticas:
◦ Executivos de negócio e a Alta Direção demandando um melhor retorno dos

investimentos em TI, isto é, entregue o que é necessário para aumentar o valor;
◦ Preocupação com o aumento observado dos gastos com TI;
◦ A necessidade de atender às exigências regulatórias de controles de TI em áreas
como privacidade de informações e relatórios financeiros (por exemplo, Lei
Sarbanes-Oxley e Basiléia II) e regulamentações para setores específicos;
◦ Seleção de provedores e o gerenciamento e aquisição de serviços terceirizados;
◦ Os riscos relacionados a TI cada vez mais complexos;
◦ Iniciativas de governança de TI que incluem a adoção de metodologias de
controles para monitorar atividades críticas de TI e reduzir os riscos;
◦ A necessidade de otimizar os custos seguindo, sempre que possível, um enfoque
padronizado em vez de abordagens especialmente desenvolvidas;
◦ A crescente maturidade e aceitação de metodologias bem-sucedidas, tais como o
CobiT, ITIL, ISO 27000 (segurança da informação), ISO 9001:2000, Capability
Maturity Model Integration (CMMI), Projects in Controlled Environments 2
(PRINCE2) e o Guide to the Project Management Body of Knowledge (PMBOK).
◦ A necessidade das empresas realizarem benchmarking.

◦ Aceitabilidade geral do Cobit:
◦ O CobiT é baseado na análise e na harmonização dos padrões e boas práticas de

TI existentes, adequando-se aos princípios de governança geralmente aceitos.
◦ O Cobit age como um integrador das práticas de governança de TI e influencia a
alta direção, gerências de negócios e de TI, profissionais de governança,
avaliação e segurança, profissionais de auditoria de TI e de controles.
◦ Ele é desenhado para ser complementar e utilizado com outros padrões e boas
práticas.
◦ A implementação de boas práticas deve ser consistente com a governança e o
ambiente de controle da organização, e integrada a outros métodos e práticas
utilizadas.
◦ Para atingir o alinhamento das boas práticas com os requisitos de negócios é
recomendável que o CobiT seja utilizado num alto nível, provendo uma
metodologia de controle geral com base em um modelo de processos de TI que
deve servir genericamente para toda empresa.

◦ Localização do Cobit:

◦ Componentes do Cobit:

◦ Áreas de foco na Governança de TI:

◦

◦ Áreas de foco na Governança de TI:
◦ Alinhamento estratégico: Foco em garantir a ligação entre os planos de negócios

e de TI.
◦ Entrega de valor: É a execução da proposta de valor de TI através do ciclo de
entrega, garantindo os benefícios prometidos na estratégia da organização
(otimizar custos).
◦ Gestão de risco: Entendimento claro do apetite de risco da empresa e dos
requerimentos de conformidade, transparência sobre os riscos significativos e
sua gestão.
◦ Gestão de recursos: Refere-se à melhor utilização dos investimentos e o recursos
críticos de TI: aplicativos, informações, infraestrutura e pessoas.
◦ Mensuração de desempenho: Acompanha e monitora a implementação da
estratégia, término do projeto, uso dos recursos, processo de performance e
entrega dos serviços, usando, por exemplo, “balanced scorecards” que traduzem
as estratégia em ações para atingir os objetivos.

◦ Requisitos de um modelo para Governança de TI:
◦ Fornecer um foco de negócios para permitir o alinhamento entre os objetivos de

negócios e de TI;
◦ Estabelecer um processo de orientação para definir os escopos e a extensão da
cobertura, com uma estrutura definida permitindo uma fácil navegação em seu
conteúdo;
◦ Ser geralmente aceita por ser consistente com as boas práticas e padrões de TI e
independente de tecnologias específicas;
◦ Prover uma linguagem comum com um conjunto de termos e definições
geralmente entendidos por todas as partes interessadas;
◦ Ajudar a atender aos requisitos regulatórios por ser consistente com padrões de
governança geralmente aceitos (como o COSO) e controles de TI esperados por
reguladores e auditores externos

◦ Como o Cobit atende aos requisitos de Governança?

◦ Como o Cobit atende aos requisitos de Governança?
◦ Requisitos de negócios necessitam informações: Informações devem atender aos

critérios de qualidade, segurança e confiabilidade;
◦ Informações são produzidas por recursos de TI: Informações, aplicativos,

infraestrutura e pessoas;
◦ Recursos de TI são gerenciados por processos: Definição de responsabilidades e

metas;
◦ Processos devem ser controlados: Objetivos de controle, indicadores de

desempenho e indicadores de resultados.

◦ Objetivos de negócios e Objetivos de TI:

◦ Os objetivos da TI devem ser derivados a partir da estratégia da empresa.


◦ Critérios da Informação;
◦ Recursos de TI;
◦ Tabela RACI;
◦ Modelo de Maturidade;
◦ Objetivos e Indicadores;
◦ Domínios, processos e atividades.

◦ Critérios de Informação do Cobit:
◦ Para atender aos objetivos de negócios, as informações precisam se adequar a

certos critérios de controles, aos quais o CobiT denomina necessidades de
informação da empresa e cita 7 critérios:

◦ Critérios de Informação - Qualidade:
◦ Efetividade/Eficácia (Effectiveness):
◦ A informação deve ser pertinente e relevante para o processo de negócio.
◦ A informação deve ser entregue de forma tempestiva, correta, consistente e em
formato útil.
◦ Eficiência:
◦ A informação deve ser provida por meio do uso otimizado dos recursos.
◦ Máxima produtividade/Menor custo.

◦ Critérios de Informação - Segurança:
◦ Confidencialidade:
◦ A informação deve ser protegida contra acesso não autorizado.
◦ Integridade:
◦ A informação deve ser precisa, completa, e válida de acordo com as expectativas
e os valores do negócio.
◦ Disponibilidade:
◦ A informação deve estar disponível quando requerido pelo processo de negócio,
agora e no futuro.
◦ Os recursos e capacidades associados à informação devem ser protegidos.

◦ Critérios de Informação - Adequação:
◦ Conformidade:
◦ A informação obedece à leis, normas e contratos aos quais o processo de
negócio está sujeito, ou seja, aos requisitos impostos ao negócio.
◦ Confiabilidade:
◦ A informação deve ser adequada para gerenciar a operação do negócio e para a
alta direção exercer sua responsabilidade de geração de relatórios financeiros e
de conformidade.

◦ Recursos de TI:
◦ Aplicativos: Sistemas automatizados para usuários e os procedimentos manuais

que processam as informações.
◦ Informações: Dados em todas as suas formas, a entrada, o processamento e a

saída fornecida pelo sistema de informação em qualquer formato.
◦ Infraestrutura: Refere-se à tecnologia e aos recursos (ou seja, hardware, sistemas

operacionais, sistemas de gerenciamento de bases de dados, redes, multimídia e
os ambientes que abrigam e dão suporte a eles) que possibilitam o
processamento dos aplicativos.
◦ Pessoas: São os funcionários requeridos para planejar, organizar, adquirir,

implementar, entregar, suportar, monitorar e avaliar os sistemas de informação e
serviços. Eles podem ser internos, terceirizados ou contratados, conforme
necessário.

◦ Tabela RACI:
◦ É uma matriz que provê a compreensão dos papéis e responsabilidades de cada
processo.
◦ Quem faz o que dentro de um processo?
◦ Dividido em quatro categorias:

◦ Responsável (Responsible);
◦ Responsabilizado (Accountable);
◦ Consultado (Consulted);
◦ Informado (Informed);

◦ Tabela RACI:
◦ Responsável (Responsible):
◦ Pessoas responsáveis pela execução da atividade.
◦ Responsabilizado (Accountable):
◦ Pessoas que prestam contas pelos resultados de determinada atividade (aprovam
e aceitam).
◦ Consultado (Consulted):
◦ Pessoas que opinam ou são consultadas sobre determinada atividade
(comunicação bidirecional)
◦ Informado (Informed):
◦ Pessoas que são mantidas informadas sobre o andamento ou resultado de uma
atividade (uma via de comunicação).

◦ Tabela RACI do Processo PO1 - Definir um Plano Estratégico de TI:

Cobit Aula 1

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Cobit Aula 1

Uploaded by

Copyright:

Available Formats

Professor: Anderson Francisco da Silva.

MBA, ITIL, COBIT e MCSA.

Prof. Anderson - Infnet 1

◦ Este curso tem como objetivos:

◦ Apresentar conceitos de Governança de TI e Governança Corporativa;

Prof. Anderson - Infnet 2

◦ É altamente recomendado que o aluno se cadastre no ISACA, pois o simples

◦ É necessário que os candidatos ao exame tenham conhecimento

Prof. Anderson - Infnet 3

Prof. Anderson - Infnet 4

◦ Conceitos de Governança Corporativa:

◦ Segundo a OCDE (Organização para Cooperação e Desenvolvimento Econômico),

◦ Segundo a CVM (Comissão de Valores Mobiliários), Governança corporativa é o

◦ É esperado que a Governança Corporativa assegure a observância de critérios que

Prof. Anderson - Infnet 5

◦ Conceitos de Governança Corporativa:

◦ A Governança Corporativa é considerada atualmente uma prática administrativa a

◦ A sociedade exige melhores práticas, cobrando transparência e ética nas

Prof. Anderson - Infnet 6

◦ Governança Corporativa (IBGC):

Prof. Anderson - Infnet 7

◦ Princípios da Governança Corporativa:

◦ Transparência: Informações além da impostas por leis ou regulamentos (ex:

◦ Equidade: Tratamento justo de todos os sócios e demais partes interessadas

◦ Prestação de Contas (accountability): Assumindo as consequências de seus atos e

◦ Responsabilidade Corporativa: Zelar pela sustentabilidade das organizações,

Prof. Anderson - Infnet 8

◦ Princípios, Pilares e Práticas:

Prof. Anderson - Infnet 9

◦ Objetivos da Governança Corporativa e Governança de TI:

Prof. Anderson - Infnet 10

◦ A Governança de TI faz parte da Governança Corporativa:

◦ Governança de TI é definida como uma estrutura de relações e processos que

◦ Governança de TI é o modelo como as decisões são tomadas e responsabilidades

◦ A necessidade da avaliação do valor de TI, o gerenciamento dos riscos

Prof. Anderson - Infnet 11

◦ Manter a TI funcionando: Manter os serviços disponíveis, suportando os

Prof. Anderson - Infnet 12

◦ Solução para os Desafios:

◦ Para efetivamente resolver os problemas de TI é necessário ligar os Desafios de

◦ Criando Vantagem competitiva;

Prof. Anderson - Infnet 13

◦ A Necessidade de uma Estrutura de Controle para a Governança de TI:

◦ A alta gerência necessita saber se a informação está sendo controlada pela

Prof. Anderson - Infnet 14

◦ A Necessidade de uma Estrutura de Controle para a Governança de TI:

◦ PARA QUEM (Stakeholders):

◦ Internos com interesse em VOI (gerar Valor do Investimento):

◦ Internas e Externas que fornecem serviços de TI:

◦ Internas e externas que têm a responsabilidade do controle/risco:

Prof. Anderson - Infnet 15

◦ A Necessidade de uma Estrutura de Controle (FRAMEWORK) para a

◦ Foco no negócio - alinhar TI aos objetivos do negócio (BSC);

Prof. Anderson - Infnet 16

◦ O Cobit® (Control Objectives for Information and related Technology):

◦ O CobiT® fornece boas práticas através de um modelo de domínios e processos e

◦ As boas práticas do CobiT representam o consenso de especialistas e são

◦ Essas práticas irão ajudar a otimizar os investimentos em TI, assegurar a entrega

◦ Para a área de TI ter sucesso em entregar os serviços requeridos pelo negócio, os

Prof. Anderson - Infnet 17

◦ O Cobit® (Control Objectives for Information and related Technology):

◦ O CobiT é um modelo e uma ferramenta de suporte que permite aos gerentes

◦ O CobiT habilita o desenvolvimento de políticas claras e boas práticas para

◦ O CobiT é atualizado continuamente e harmonizado com outros padrões e guias.