MEMOREX COBIT
13 de novembro de 2010
Control Objectives for Information and related Technology (CobiT®) O que é a governança de TI ? O IT Governance Institute define a governança de TI como uma estrutura de relações e processos para dirigir e controlar a empresa a fim de atingir os objetivos empresariais pela adição de valor ao negócio por meio do gerenciamento balanceado do risco versus o retorno do investimento em TI e nos processos de TI Com base nos conceitos apresentados pelo COBIT: Uma ação eficiente decidida e prestada por iniciativa de técnicos de suporte, preocupados em oferecer, com a maior qualidade possível, apoio aos usuários da tecnologia da informação (TI), e a busca de soluções de problemas de forma cada vez mais rápida, é uma aplicação do conceito de governança em TI. A governança de TI é de responsabilidade dos executivos e da alta direção, consistindo em aspectos de liderança, estrutura organizacional e processos que garantam que a área de TI da organização suporte e aprimore os objetivos e as estratégias da organização [GAB: E]
O que é COBIT? O CobiT provê um modelo de processo genérico que representa todos os processos normalmente encontrados nas funções de TI, fornecendo assim um modelo de referência comum compreendido por gerentes operacionais de TI e gerentes de negócios. A utilização do COBIT está direcionada para controles, mensurações e avaliações dos processos estratégicos das unidades de negócios de uma corporação O COBIT não avalia os processos das unidades de negócios e sim das unidades de TI. Ele deve assegurar o alinhamento entre a estratégia de TI e a estratégia de negócios. [E] O COBIT abrange todas as atividades de TI e concentra-se no QUE deveria ser obtido e NÃO em COMO atingir uma efetiva governança, gerenciamento e controle. Sendo assim, ele age como um integrador das práticas de governança de TI e influencia a Alta Direção, gerências de negócios e de TI, profissionais de governança, avaliação e segurança, profissionais de auditoria de TI e de controles. Ele é desenhado para ser complementar e utilizado com outros padrões e boas práticas.
O COBIT é Baseados em Controle que consiste em políticas, procedimentos, práticas e estruturas organizacionais para garantir que: os objetivos de negócio serão alcançados, os eventos indesejáveis serão prevenidos, se possível, ou então detectados e corrigidos. Além de controles gerais (aplicáveis a todos os processos), cada processo possui seus próprios objetivos de controle: declarações dos resultados desejados ou do propósito a ser alcançado pela implementação de controles sobre uma atividade
Paulo Marcelo (
[email protected])
MEMOREX COBIT
13 de novembro de 2010
Critérios da informação (requisitos do negócio): qualidade, segurança e adequaçã o
Qualidade:
Efetividade/Eficácia (Effectiveness): A informação deve ser pertinente e relevante para o processo de
negócio. A informação deve ser entregue de forma tempestiva, correta, consistente e em formato útil Eficiência: A informação deve ser provida por meio do uso otimizado dos recursos.
EFICÁCIA VS EFICIÊNCIA Tais conceitos estão intimamente ligados ao Planejamento Estratégico, que divide-se em três níveis: estratégico, tático e operacional. No nível estratégico traçamos os objetivos, no tático as metas, e no operacional as ações a serem realizadas. Nesta ordem hierárquica, refletem como o processo de tomada de decisão ocorre. Pois bem, ao falarmos de eficácia, estaremos falando do nível tático. No nível estratégico o planejamento ainda não ocorreu, e eficácia tem a ver com um planejamento prévio. Uma pessoa eficaz é aquela que faz aquilo que dever ser feito, que cumpre com suas metas, que realiza o que foi proposto. Cláudio vendeu sua quota de produtos. Eliza também, mas gastou 30% de gasolina a menos. Neste caso, se a meta era vender a quota , ambos foram eficazes, mas Eliza foi mais eficiente. A eficiência diz respeito a como fazer e está relacionada as ações a serem realizadas, definidas no nível operacional. É uma questão de custo-benefício, onde buscamos ter o mínimo de perdas e/ou desperdício. Uma relação entre os resultados obtidos e os recursos empregados. Se toda a sua equipe entregou o relatório na data prevista, ok, foram eficazes. Mas se você conseguiu fazê-lo e ainda sobrou tempo para realizar a próxima tarefa, ou mesmo para aproveitar o resto do dia e ir ao cinema, então você foi eficiente. Paulo Marcelo (
[email protected])
MEMOREX COBIT
Segurança: confidencialidade, integridade, disponibilidade
Adequação:
13 de novembro de 2010
Conformidade: a informação obedece à leis, normas e contratos aos quais o negócio está sueito Confiabilidade: o negocio pode confiar nela e usar essa informação para atender uma lei ou um requisito
Recursos de TI: Entregar informação (dados), processa aplicativos (aplicações), necessita de infraestrutura e pessoas. Processos de TI: Domínios, Processos e Atividades Os recursos de TI são gerenciados pelos processos (34 processos) para atingir os objetivos de TI que respondem aos requisitos de negócios. Dados, sistemas aplicativos, sistemas computacionais, instalações físicas e pessoas, conforme o modelo COBIT, são recursos de TI que devem ser gerenciados, visando o alinhamento estratégico [GAB: C]
1. Informações são produzidas por recursos de TI: Dados, aplicações, infra-estrutura e pessoas 2. Recursos de TI são gerenciados por processos: Definição de responsabilidades e metas 3. Processos devem ser controlados: Objetivos de controle, indicadores de desempenho e indicadores de resultados
Paulo Marcelo (
[email protected])
MEMOREX COBIT
13 de novembro de 2010
(MPE-SE-FCC 2009-Analista-Q87)A correta correspondência entre uma dimensão do modelo COBIT (cubo) e um de seus elementos dimensionais, respectivamente, é (A) Information Criteria e Fiduciary. (B) IT Process e Quality. (C) IT Process e People. (D) IT Resources e Fiduciary. (E) Information Criteria e Process. Fiducitary (confiabilidade) é um Information Criteria (critério da informação). Qualidade é um critério da informação e não processo. Pessoas é um recurso de TI E não processo. Fiducitary (confiabilidade) não é um recurso de TI. Critério da Informação e processos são dimensões distintas do cubo. [GAB A]
O COBIT é dirigido por métricas: Modelos de maturidade: Possibilitam benchmarking e identificação das necessidades de melhoria (nível 0 a 5) para CADA processo. Metas e indicadores de processos: Demonstram como os processos atendem às metas de negócios e de TI, a partir da mensuração de indicadores baseados no BSC Metas de atividades: Direcionam o desempenho efetivo dos processos
Paulo Marcelo (
[email protected])
MEMOREX COBIT
13 de novembro de 2010
Modelo de maturidade Nível 0 – Inexistente: Ausência de processos identificáveis. A organização não reconhece que existe uma questão a ser tratada Nível 1 – Inicial/Ad-hoc: A organização reconhece que existe uma questão a ser tratada. Abordagens improvisadas tendem a ser aplicadas a situações individuais A gerência do processo é desorganizada. Nível 2 – Repetível mas intuitivo: Os processos se desenvolveram de modo que procedimentos similares são executados por pessoas diferentes que realizam a mesma tarefa. Não existe treinamento ou repasse formal de procedimentos, a responsabilidade é deixada a cargo do indivíduo. Existe alta dependência do conhecimento individual, o que gera grande probabilidade de falhas. Nível 3 – Processo definido: Procedimentos padronizados, documentados e comunicados por meio de treinamentos. Cabe ao indivíduo seguir esses processos; é pouco provável que desvios sejam detectados. Os procedimentos não são sofisticados, mas apenas formalização de práticas existentes Nível 4 – Gerenciado e mensurável: É possível monitorar e medir a conformidade de procedimentos, para agir quando os processos não estiverem funcionando de forma eficaz. Os processos sofrem melhorias constantes e estabelecem boas práticas. Ferramentas automatizadas são usadas de forma limitada ou fragmentada Nível 5 – Otimizado: Os processos foram refinados até alcançar as melhores práticas, com base no resultado de melhoria contínua e comparações com outras organizações. A TI é usada para automatizar os fluxos de trabalho, provendo ferramentas para aumentar a qualidade e efetividade dos processos Indicadores de resultados: medidos somente após os fatos, portanto são também chamados de indicadores históricos (lag indicators). Indicadores de desempenho: Eles são indicadores futuros (lead indicators ). medidos antes que os resultados sejam claros e portanto são chamados de
Paulo Marcelo (
[email protected])
MEMOREX COBIT
13 de novembro de 2010
. Metas são derivadas em cascata:
Objetivos do negócio para metas de TI Metas de TI para metas de processos Metas de processos para metas de atividades
As métricas de resultados das metas de TI servem como indicadores de desempenho para as metas do negócio. As métricas de resultados das metas dos processos servem como indicadores de desempenho para as metas de TI. As métricas de resultados das metas das atividades servem como indicadores de desempenho para as metas de processos Paulo Marcelo (
[email protected])
MEMOREX COBIT
13 de novembro de 2010
Métricas de resultado detalham os objetivos a serem alcançados pelo processo (o quê): Indicadores imediatos de sucesso no alcance da meta, Foco nas perspectivas financeira e de clientes do BSC, Medem a TI com a visão do negócio, Foco nos critérios da informação considerados mais relevantes para cada processo, Indicadores de desempenho monitoram os elementos críticos do processo (como): Indicadores da probabilidade de alcance da meta no futuro, Foco nas perspectivas de processos e aprendizado, Foco nos recursos mais importantes para cada processo
Os Quatros Domínios do COBIT Planejamento & Organização: Trata dos aspectos estratégicos e táticos da organização, e de como a TI pode contribuir para os objetivos de negócios Aquisição & Implementação : Relaciona as estratégias com os recursos e soluções de TI, seu desenvolvimento e aquisição. Entrega & Suporte: Trata da entrega dos serviços requeridos, atentando para os aspectos de segurança, treinamento e suporte Monitoramento & Avaliação: Endereça aspectos de monitoramento do desempenho e de avaliação de controles da TI.
Paulo Marcelo (
[email protected])
MEMOREX COBIT
13 de novembro de 2010
Paulo Marcelo (
[email protected])
MEMOREX COBIT
13 de novembro de 2010
Paulo Marcelo (
[email protected])
MEMOREX COBIT
13 de novembro de 2010
Paulo Marcelo (
[email protected])
MEMOREX COBIT
13 de novembro de 2010
Paulo Marcelo (
[email protected])
MEMOREX COBIT
13 de novembro de 2010
Paulo Marcelo (
[email protected])
MEMOREX COBIT
13 de novembro de 2010
As 5 ÁREAS DE FOCO NA GOVERNANÇA DE TI • ALINHAMENTO ESTRATÉGICO: foca em garantir a ligação entre os planos de negócios e de TI, definindo,
mantendo e validando a proposta de valor de TI, alinhando as operações de TI com as operações da organização. • ENTREGA DE VALOR: é a execução da proposta de valor de IT através do ciclo de entrega, garantindo que TI entrega os prometidos benefícios previstos na estratégia da organização, concentrado-se em otimizar custos e provendo o valor intrínseco de TI. • GESTÃO DE RECURSOS: refere-se à melhor utilização possível dos investimentos e o apropriado gerenciamento dos recursos críticos de TI: aplicativos, informações, infraestrutura e pessoas. Questões relevantes referem-se à otimização do conhecimento e infraestrutura. • GESTÃO DE RISCO: requer a preocupação com riscos pelos funcionários mais experientes da corporação, um entendimento claro do apetite de risco da empresa e dos requerimentos de conformidade, transparência sobre os riscos significantes para a organização e inserção do gerenciamento de riscos nas atividades da companhia. MENSURAÇÃO DE DESEMPENHO: acompanha e monitora a implementação da estratégia, término do projeto, uso dos recursos, processo de performance e entrega dosserviços, usando, por exemplo, “balanced scorecards”
que traduzem as estratégias em ações para atingir os objetivos, medidos através de processos contábeis convencionais
OS 6 OBJETIVOS DE CONTROLES GENÉRICOS (PCN). PC1 - Metas e Objetivos do Processo (Goals and Objectives) PC2 - Propriedade dos Processos (Process Owner) PC3 - Repetibilidade dos Processos (Repeatability) PC4 - Papéis e Responsabilidades (Roles and Responsibilities) PC5 – Políticas, Planos e Procedimentos (Policy, Plans and Procedures) PC6 - Melhoria do Processo de Performance (Process Performance)
Paulo Marcelo (
[email protected])
MEMOREX COBIT
13 de novembro de 2010
QUESTÕES DE PROVA 1 - No modelo de maturidade da governância de tecnologias da informação do COBIT, o nível 3 de maturidade (defined process) é aquele em que há um completo entendimento das questões de governância de tecnologias da informação em todos os níveis, entendimento esse apoiado pelo treinamento formal dos envolvidos. 2 - O modelo de maturidade da governância de tecnologias da informação elaborado no contexto do COBIT apresenta 5 níveis de maturidade assim denominados: non-existent, initial/ad hoc, repeatable but intuitive, defined process, managed and measurable e optimised. 3 - Segundo o modelo de maturidade proposto pelo COBIT, em empresa que esteja classificada no nível 1 de maturidade em governança de TI, nível este denominado inicial/ad hoc, a responsabilidade pela governança de TI cabe a indivíduos que dirigem os processos de governança dentro dos vários projetos e processos de TI. 4 - O conjunto de melhores práticas do COBIT considera seis critérios de informação: eficiência, confidencialidade, integridade, disponibilidade, conformidade e confiabilidade. 5 - As organizações estão, contínua e inevitavelmente, aperfeiçoando seus processos de negócios e de TI. Justifica-se, nesse cenário, uma abordagem evolutiva de processos, que, no modelo acima, apresenta-se por meio de: adoção de modelos de maturidade; orientação a projetos suportados pela existência de indicadores de metas; orientação a operações suportadas pela existência de indicadores de desempenho. 6 - Os processos de negócio, por princípio, precisam adequar-se às restrições ou requisitos dos processos de TI existentes em uma organização. 7 - Durante a implantação dos processos do domínio de monitoramento, é possível a produção de impacto sobre o funcionamento de várias atividades do setor infraestrutura de ti 8 - A realização dos processos do domínio de planejamento e organização, que agregam dez objetivos de controle de alto nível, pode produzir diretrizes de impacto de mais longo prazo sobre as atividades migração que a realização dos processos do domínio de aquisição e implantação. [c] 9 - Considere que, no que diz respeito ao processo avaliar e gerenciar riscos de TI (assess and manage IT risks), uma organização apresente as seguintes características: existe uma abordagem para avaliar riscos; para cada projeto, implementar a avaliação de riscos depende de decisão do gerente do projeto; a gerência de riscos é aplicada apenas aos principais projetos ou em resposta a problemas. Nessa situação, o nível de maturidade da referida organização, em relação a tal processo, é gerenciado e mensurável (managed and measurable ). 10 - (TCE-RN - Inspetor de Controle Externo) A definição do plano estratégico de TI e a definição da arquitetura da informação são funções do domínio planejamento e organização do COBIT. 11 - No COBIT, são descritos cada um dos 34 processos de TI identificados e é estabelecido um conjunto de objetivos de controle comum a todos eles .
Paulo Marcelo (
[email protected])
MEMOREX COBIT
13 de novembro de 2010
12 - O percentual de incidentes reabertos é uma das métricas usadas no processo de definição de um plano estratégico de TI.
COMENTÁRIOS 1 - Em cobit não existe nível de maturidade para governança de ti como um todo, e sim para cada processo. [E] 2 - São 6 níveis (de zero a cinco) [E] 3 - Não existe "empresa nivel x" no cobit, e sim processos.Também não existe maturidade de governança dentro do cobit. [E] 4 - Faltou efetividade [E] 5 - Correto 6 - É o contrário. processos de TI precisam adequar-se aos processos de negócio [E] 7 - Monitoramento do cobit é referente a governança de ti, não tem relação com monitoramento da rede ou de ativos [e] 8 – PO envolve “Determinar as diretrizes de TI ” e “Definir a arquitetura da informação” que são diretrizes de longo prazo e definições de padrões. [C] OBS: A questão foi anulada por causa do trecho: "dez objetivos de controle de alto nível, o cobit 3 fazia 11 e o 4 passou a fazer 10 e no edital não veio especificado a versão. 9 - É repetível pois depende do conhecimento das pessoas.[E] 10 - O cespe não consindera a palavra "funções" como sinonimo de "processos".[e] 11 – [E] A afirmativa deveria ser correta, pois são 34 processos de TI e existem os controles genéricos que se aplicam a todos os 34 processos. Talvez quem montou a pergunta não conheça os controles genéricos. Flávio R. Pinheiro - Tutor dos cursos TIEXAMES. 12 - O erro da questão é dizer que incidentes é uma das métricas usadas no processo PO-1 (Definição de um planejamento estratégico de TI). Na verdade, tais métricas poderão ser usadas no processo DS-10 (Gerenciamento de Problema) [e]
"Se não puder destacar-se pelo talento, vença pelo esforço." - Dave Weinbaum
Paulo Marcelo (
[email protected])