Cobit governança de ti - 2015v2 - com gabarito

Governança de TI [email protected]

Preparatório para Concursos de TI

1

Governança de TI - COBIT 2015v2 – COM gabarito

[email protected]

Mestre, MBA, PMP, ITIL, Cobit

http://www.facebook.com/antonio.muniz.161?ref=tn_tnmn

http://br.linkedin.com/pub/antonio-muniz-mba-msc-pmp/9/428/3bb























Conteúdo do Curso

1 - Introdução à Governança de TI

2 - Usando o BSC na Governança de TI

3 - Processos do Cobit

4 - Relacionamento com demais modelos

5 – Novidades no Cobit 5

2


Livros recomendados

3


1. Introdução à Governança de TI

4


Segundo a OCDE (Organização para Cooperação e Desenvolvimento Econômico), a governança corporativa é definida como o conjunto de relações entre a administração de uma empresa, seu conselho de administração, seus acionistas e outras partes interessadas.

Segundo a CVM (Comissão de Valores Mobiliários), Governança corporativa é o conjunto de práticas que tem por finalidade otimizar o desempenho de uma companhia, ao proteger todas as partes interessadas, tais como investidores, empregados e credores, facilitando o acesso ao capital.

É esperado que a Governança Corporativa assegure a observância de critérios que garantam a proteção financeira dos acionistas, como eqüidade entre controladores e minoritários, transparência (disclosure), responsabilidade pelos resultados (accountability) e obediência às leis do país (compliance).

Conceito de Governança Corporativa

5


Concurso: Petrobras (Cesgranrio) 2012

A respeito do tema Governança de TI, verifica-se que a(o) (A) modelagem de processos é uma ferramenta utilizada para saber que situação existe e a que situação se quer chegar e é um instrumento importante na governança de TI. (B) governança de TI e a governança corporativa possuem significados idênticos e retratam a forma de gerir estrategicamente uma organização. (C) gerenciamento de problemas e incidentes ou processos correlatos a eles podem, normalmente, ser supridos no gerenciamento de TI. (D) plano estratégico de TI pode ser feito sem levar em conta a capacidade de recursos da empresa, uma vez que tais recursos podem ser contratados a qualquer tempo. (E) porte da empresa é um fator irrelevante quando se faz um planejamento estratégico de TI, uma vez que, independente do porte, o gerenciamento de TI deve ser feito apropriadamente.

6


Governança de TI é definida como uma estrutura de relações e processos que dirige e controla uma organização a fim de atingir seu objetivo de adicionar valor ao negócio por meio do gerenciamento balanceado do risco com o retorno do investimento. O objetivo principal da Governança de TI é alinhar a TI ao negócio, agregando valor e minimizando riscos (IT GOVERNANCE INSTITUTE).

Governança de TI é o modelo como as decisões são tomadas e responsabilidades direcionadas para encorajar um comportamento desejável no uso de TI (WEILL; ROSS, 2004).

A necessidade da avaliação do valor de TI, o gerenciamento dos riscos relacionados à TI e as crescentes necessidades de controle sobre as informações são agora entendidos como elementos-chave da governança corporativa. Valor, risco e controle constituem a essência da governança de TI (Cobit, 2007)

A Governança de TI faz parte da Governança Corporativa

7



Considere as afirmações abaixo sobre Governança de TI. I - Há uma preocupação crescente com o aumento dos gastos em TI, o retorno de investimentos nessa área e o alinhamento com as atividades de negócio, aumentando a importância da governança. II - São aspectos fundamentais da governança de TI: controle, valor e risco. III - As disciplinas de ITIL referentes ao gerenciamento de serviços estão divididas em desenvolvimento de sistemas e suporte. IV - Um plano estratégico de TI deve ser considerado AD HOC quando a sua necessidade ainda não é conhecida pela Direção de TI. Estão corretas as afirmações (A) I e II, apenas. (B) I e IV, apenas. (C) II e III, apenas. (D) I, III e IV, apenas. (E) I, II, III e IV.

8


A Governança Corporativa é considerada atualmente uma prática administrativa a ser seguida pelas empresas que têm visão de longo prazo, bem como desejam permanecer e ganhar novos mercados.

A sociedade exige melhores práticas, cobrando transparência e ética nas organizações.

Governança Corporativa

Fonte: IBGC

9


Governança Corporativa (IBGC)

10


Transparência: Informações além da impostas por leis ou regulamentos (ex: fatores intangíveis - ação gerencial e criação de valor).

Equidade: Tratamento justo de todos os sócios e demais partes interessadas (stakeholders).

Prestação de Contas (accountability): Assumindo as consequências de seus atos e omissões.

Responsabilidade Corporativa: Zelar pela sustentabilidade das organizações, visando à sua longevidade.

Princípios da Governança Corporativa

Fonte: IBGC

11


Príncipios, Pilares e Práticas

Fonte: IBGC

Transparência - Eqüidade - Prestação de Contas -

Responsabilidade Corporativa

Só

cio

s

Co

ns

elh

o d

e

Ad

min

istr

aç

ão

Ge

stã

o

Au

dit

ori

a

Práticas

Pilares da

Governança

Corporativa

Princípios

Básicos

C

on

se

lho

Fis

ca

l 12


Objetvos => Governança Corporativa e Governança de TI

Governança Corporativa Governança de TI

Como os financiadores se asseguram de

que os gestores vão dar retorno de seus

investimentos ?

Como a diretoria assegura que o CIO e a

estrutura de TI irão agregar valor para a

organização?

Como os financiadores se asseguram de

que os gestores não vão expropriar o

capital que investiram ou investir em

projetos ruins?

Como a diretoria se assegura de que o CIO e

a estrutura de TI não irão expropriar o capital

investido ou investir em projetos ruins?

Como os financiadores controlam os

gestores?

Como a diretoria controla o CIO e a estrutura

de TI?

Fonte: HAES et al, 2004

13


Diferenças entre Governança e Gestão de TI

GOVERNANÇA GESTÃO (Gerenciamento)

Tem foco externo e interno Tem foco interno

Níveis mais altos da organização

Nível médio e operacional da organização

Orientado à estratégia Orientado a tarefas

Voltado ao futuro Voltado ao presente

Fonte: Rossi, 2004 e Meyer, 2004

14


O CobiT® fornece boas práticas através de um modelo de domínios e processos e apresenta atividades em uma estrutura lógica e gerenciável.

As boas práticas do CobiT representam o consenso de especialistas e são fortemente focadas mais nos controles e menos na execução.

Essas práticas irão ajudar a otimizar os investimentos em TI, assegurar a entrega dos serviços e prover métricas para julgar quando as coisas saem erradas.

Para a área de TI ter sucesso em entregar os serviços requeridos pelo negócio, os executivos devem implementar um sistema interno de controles ou uma metodologia. O modelo de controle do CobiT contribui para essas necessidades ao:

Fazer uma ligação com os requisitos de negócios.

Organizar as atividades de TI em um modelo de processos geralmente aceito.

Identificar os mais importantes recursos de TI a serem utilizados.

Definir os objetivos de controle gerenciais a serem considerados.

O Cobit® (Control Objectives for Information and related Technology)

15


Concurso: BNDES (Cesgranrio) 2008

NÃO é recomendado aplicar COBIT para (A) qualificar a contratação de prestadores de serviços de TI. (B) avaliar pontos fortes e fracos dos processos de TI. (C) promover benchmarking. (D) auditar os riscos operacionais de TI. (E) gerenciar configuração de ativos de rede.

16


O CobiT é um modelo e uma ferramenta de suporte que permite aos gerentes suprir as deficiências com respeito aos requisitos de controle, questões técnicas e riscos de negócios, comunicando esse nível de controle às partes interessadas.

O CobiT habilita o desenvolvimento de políticas claras e boas práticas para controles de TI em toda a empresa.

O CobiT é atualizado continuamente e harmonizado com outros padrões e guias. Assim, o CobiT tornou-se o integrador de boas práticas de TI e a metodologia de governança de TI que ajuda no entendimento e gerenciamento dos riscos e benefícios associados com TI.

A estrutura de processos do CobiT e o seu enfoque de alto nível orientado aos negócios fornece uma visão geral de TI e das decisões a serem tomadas sobre o assunto.

O Cobit® (Control Objectives for Information and related Technology)

17


Concurso: TRE_ES (Cespe) 2011

As organizações bem-sucedidas reconhecem os benefícios da tecnologia da informação (TI) e a utilizam para direcionar os valores das partes interessadas no negócio. Essas organizações consideram que as boas práticas do Control Objectives for Information and Related Technology (COBIT) podem auxiliá-las a otimizar os investimentos em TI. IT Governance Institute, COBIT 4.1, 2007, p. 7 (com adaptações). Tendo o texto acima como referência inicial, julgue os itens a seguir: 84 O COBIT é definido como um modelo, em vez de uma ferramenta de suporte, visto que, a partir dessa visão, os gerentes podem suprir deficiências referentes a requisitos de controle, questões técnicas e riscos de negócios. Errado

18


Versões do Cobit

Primeira versão em 1996

Compilação de referências sobre controle e auditoria de TI

Segunda versão em 1998

Acréscimo e atualização de referências, kit de implantação (criação da ISACA)

Terceira versão em 2000

IT Governance Institute e criação do “Management Guidelines”

Quarta versão em 2005 (Cobit 4.0)

Consolidação e detalhamento de instrumentos gerenciais

Refinamento em 2007 (Cobit 4.1)

Quinta versão em 2012 (Cobit 5)

Unificação com outros modelos (VAL-IT, Riscos, Segurança, etc)

19


Concurso: INPI (Cespe) 2013

Certo

Certo

Errado

20


A governança de TI é de responsabilidade dos executivos e da alta direção, consistindo em aspectos de liderança, estrutura organizacional e processos que garantam que a área de TI da organização suporte e aprimore os objetivos e as estratégias da organização.

Além disso, a governança de TI integra e institucionaliza boas práticas para garantir que a área de TI da organização suporte os objetivos de negócios. A governança de TI habilita a organização a obter todas as vantagens de sua informação, maximizando os benefícios, capitalizando as oportunidades e ganhando em poder competitivo.

Esses resultados requerem um modelo para controle de TI que se adeque e dê suporte ao COSO (“Committe of Sponsoring Organisations of the Treadway Commission’s Internal Control – Integrated Framework”), um modelo para controles internos amplamente aceito para governança e gerenciamento de riscos empresariais, e outros modelos similares.

A Governança de TI, segundo o Cobit

21


Concurso: Casa da Moeda (Cesgranrio) 2012

A Governança de TI (A) teve origem no mercado de petróleo mundial. (B) foi impulsionada pela crescente manipulação de preços na comercialização de commodities. (C) gera um aumento de risco para os investidores da empresa. (D) é uma forma de atrair capital. (E) está relacionada com a redução de rentabilidade das empresas.

22


Concurso: Controladoria_PE (Cespe) 2011

A respeito do guia Cobit 4.1, assinale a opção correta.

A A efetividade e a eficácia são critérios do Cobit com base nos quais se atesta a qualidade da informação; já a eficiência constitui critério de qualidade das metodologias de gestão de projetos. B Por meio da governança de tecnologia da informação (TI), controlam-se os investimentos em software, uma vez que os investimentos em hardware são de responsabilidade da gestão de infraestrutura. C A governança de TI compete à equipe técnica, que é a responsável por criar mecanismos de controle, dispensando-se, dessa forma, as intervenções da alta direção da empresa nas questões técnicas da área de TI. D Define-se governança de TI como uma estrutura de relações e processos mediante a qual se dirige e se controla uma organização com objetivo de adicionar valor ao negócio a partir do gerenciamento balanceado do risco com o retorno do investimento de TI. E A governança de TI restringe-se ao gerenciamento de recursos, cujo objetivo é otimizar os investimentos, bem como controlar a utilização dos recursos e a mensuração do desempenho da organização.

23


Pesquisar, desenvolver, publicar e promover um modelo de controle para governança de TI atualizado e internacionalmente reconhecido para ser adotado por organizações e utilizado no dia-a-dia por gerentes de negócios, profissionais de TI e profissionais de avaliação.

O uso do Cobit ajuda uma empresa a:

Possivelmente atingir seus objetivos

Ter resiliência suficiente para aprender e se adaptar

Gerenciar adequadamente os riscos encontrados

Apropriadamente reconhecer as oportunidades e agir sobre elas

Missão do Cobit®

24


Sobre as características do COBIT, considere: I. É aceito nacionalmente, baseado em experiências profissionais e práticas de experts no assunto de desenvolvimento de softwares. II. É uma ponte de comunicação entre as funções de TI, de negócio e de auditoria, oferecendo uma linguagem comum, entendida por todos. III. É flexível e adaptável para atender a qualquer tipo, cultura e tamanho de empresa. Está correto o que consta em (A) I, II e III. (B) I e II, apenas. (C) II e III, apenas. (D) III, apenas. (E) II, apenas.

Concurso: TRF (FCC) 2010

25


Um melhor alinhamento baseado no foco do negócio

Uma visão clara para os executivos sobre o que TI faz

Uma clara divisão das responsabilidades baseada na orientação para processos

Aceitação geral por terceiros e órgãos reguladores

Entendimento compreendido entre todas as partes interessadas, baseado em uma linguagem comum

Cumprimento dos requisitos do COSO para controle do ambiente de TI.

Benefícios do Cobit® como modelo de Governança

26


Áreas de foco na Governança de TI

Alinhamento estratégico: Foco em garantir a ligação entre os planos de negócios e de TI.

Entrega de valor: É a execução da proposta de valor de TI através do ciclo de entrega, garantindo os benefícios prometidos na estratégia da organização (otimizar custos).

Gestão de risco: Entendimento claro do apetite de risco da empresa e dos requerimentos de conformidade, transparência sobre os riscos significativos e sua gestão.

Gestão de recursos: Refere-se à melhor utilização dos investimentos e o recursos críticos de TI: aplicativos, informações, infraestrutura e pessoas.

Mensuração de desempenho: Acompanha e monitora a implementação da estratégia, término do projeto, uso dos recursos, processo de performance e entrega dos serviços, usando, por exemplo, “balanced scorecards” que traduzem as estratégia em ações para atingir os objetivos.

27


Concurso: IBGE (Cesgranrio) 2014

Segundo as melhores práticas, as áreas de foco da governança de TI são as seguintes: (A) entrega de valor, gestão de RH, auditoria e gerenciamento de projetos (B) alinhamento estratégico, entrega de valor, gestão de risco, gestão de recursos e mensuração de desempenho (C) gerenciamento de projetos, gerenciamento de nível de serviço, gestão de RH, segurança da informação e engenharia de software (D) auditoria, melhoria da qualidade, gestão de riscos, atingimento de metas e evolução tecnológica (E) desenvolvimento de software, arquitetura, aquisições, suporte a serviços e capacitação

28


Concurso: CEFET (Cesgranrio) 2014

O alinhamento estratégico é uma das áreas focadas na Governança de TI, pois busca principalmente (A) acompanhar e monitorar a implementação da estratégia, término do projeto, uso dos recursos, processo de performance e entrega dos serviços. (B) assegurar a melhor utilização possível dos investimentos e o apropriado gerenciamento dos recursos críticos de TI. (C) garantir a ligação entre os planos de negócios e de TI, definindo a proposta de valor de TI. (D) ter um entendimento claro do apetite de risco da empresa e dos requerimentos de conformidade. (E) usar os “balanced scorecards” que traduzem a estratégia em ações para atingir os objetivos.

29


Concurso: BR (Cesgranrio) 2012

Sejam as seguintes ações descritas na documentação COBIT 4.1 associadas às áreas foco da governança de TI: • gerenciar apropriadamente aplicativos, informações, infraestrutura e pessoas; • acompanhar a implementação da estratégia, término do projeto, uso do balanced scorecards; • garantir a ligação entre os planos de negócios e de TI, definindo, mantendo e validando a proposta de valor de TI, alinhando as operações de TI com as operações da organização. Essas ações estão associadas, respectivamente, às seguintes áreas foco: (A) Gestão de recursos, Mensuração de desempenho, Alinhamento estratégico (B) Gestão de recursos, Entrega de valor, Gestão de riscos (C) Entrega de valor, Gestão de riscos, Alinhamento estratégico (D) Gestão de riscos, Mensuração de desempenho, Entrega de valor (E) Alinhamento estratégico, Entrega de valor, Gestão de recursos

30


Executivos de negócio e a Alta Direção demandando um melhor retorno dos investimentos em TI, isto é, entregue o que é necessário para aumentar o valor

Preocupação com o aumento observado dos gastos com TI

A necessidade de atender às exigências regulatórias de controles de TI em áreas como privacidade de informações e relatórios financeiros (por exemplo, Lei Sarbanes-Oxley e Basiléia II) e regulamentações para setores específicos

Seleção de provedores e o gerenciamento e aquisição de serviços terceirizados

Os riscos relacionados a TI cada vez mais complexos

Iniciativas de governança de TI que incluem a adoção de metodologias de controles para monitorar atividades críticas de TI e reduzir os riscos.

A necessidade de otimizar os custos seguindo, sempre que possível, um enfoque padronizado em vez de abordagens especialmente desenvolvidas.

A crescente maturidade e aceitação de metodologias bem-sucedidas, tais como o CobiT, ITIL, ISO 27000 (segurança da informação), ISO 9001:2000, Capability Maturity Model Integration (CMMI), Projects in Controlled Environments 2 (PRINCE2) e o Guide to the Project Management Body of Knowledge (PMBOK).

A necessidade das empresas realizarem benchmarking

Fatores que contribuíram para o uso de Boas Práticas

31


Características do Cobit

Foco no negócio

Alinhamento das metas de TI a metas de negócio

Orientado a processos

Organização das atividades de TI em um modelo de processos aplicável de forma geral

Identificação de responsabilidades pelos processos nas áreas de negócio e TI

Baseado em controles

Definição dos objetivos de controle a serem considerados pela gerência

Dirigido por métricas

Uso de indicadores e modelos de maturidade

32



A respeito do COBIT, NÃO procede a afirmação de que (A) suas práticas influenciam diversas áreas de uma organização, sem se restringir ao setor de TI. (B) uma de suas principais características é a orientação para negócios. (C) um dos seus objetivos é avaliar as organizações em relação às suas práticas gerenciais relacionadas com a tecnologia da informação. (D) o modelo foi desenvolvido com forte ênfase em controles. (E) o modelo de maturidade genérico possui 3 níveis.

33


Como o Cobit atende aos requisitos de Governança?

Objetivos de negócios requerem informações

Informações devem atender aos critérios de qualidade, segurança e confiabilidade

Informações são produzidas por recursos de TI

Informações, aplicativos, infraestrutura e pessoas

Recursos de TI são gerenciados por processos

Definição de responsabilidades e metas

Processos devem ser controlados

Objetivos de controle, indicadores de desempenho e indicadores de resultados

34


Concurso: Banco da Amazônia (Cespe) 2010

Para o COBIT, governança de TI é o conjunto de processos e relacionamentos que direcionam e controlam a organização para que atinja seus objetivos e adicione valor enquanto busca equilibrar riscos e retorno de TI. Acerca da governança de TI em relação ao que é preconizado pelo COBIT, julgue os itens a seguir. 81 A orientação a negócios do COBIT compreende o alinhamento entre objetivos organizacionais e os objetivos de TI. Para tanto, a gerência procura identificar as atividades mais importantes a serem executadas, medir o progresso obtido em relação aos objetivos a serem atingidos e determinar se os processos de TI estão sendo executados adequadamente. 82 Governança em TI é responsabilidade dos executivos e diretores da organização. Consiste na liderança, nas estruturas organizacionais e nos processos que garantam que a TI da organização sustente e estenda as estratégias e os objetivos da Organização.

Certo

Certo

35


CRITÉRIOS DE INFORMAÇAO DO CobiT

Para atender aos objetivos de negócios, as informações precisam se adequar a certos critérios de controles, aos quais o CobiT denomina necessidades de informação da empresa e cita 7 critérios:

36



Para satisfazer os objetivos de negócio de uma empresa, segundo o CobiT 4.1, a informação deve atender a critérios de controle, que são: (A) excelência, efetividade, entrega ao usuário, segurança, conformidade, disponibilidade e qualidade (B) efetividade, eficiência, confidencialidade, integridade, disponibilidade, conformidade e confiabilidade (C) eficiência, entrega ao usuário, continuidade, segurança, confidencialidade, conformidade, disponibilidade e qualidade (D) eficácia, entrega ao usuário, continuidade, segurança, conformidade, disponibilidade e qualidade (E) eficácia, eficiência, excelência, segurança, integridade, confidencialidade e disponibilidade

37


CRITÉRIOS DE INFORMAÇAO - QUALIDADE

Efetividade/Eficácia (Effectiveness)

A informação deve ser pertinente e relevante para o processo de negócio

A informação deve ser entregue de forma tempestiva, correta, consistente e em formato útil

Eficiência

A informação deve ser provida por meio do uso otimizado dos recursos

38


Concurso: DNIT (ESAF) 2012

O critério de informação do Cobit 4.1 que lida com a informação relevante e pertinente para o processo de negócio bem como a mesma sendo entregue em tempo, de maneira correta, consistente e utilizável é o da: a) Efetividade. b) Relevância. c) Eficiência. d) Pertinência. e) Eficácia.

39


Concurso: Banco da Amazônia (Cespe) 2010

São exemplos de critérios de qualidade para manter a confidencialidade trabalhar com informações relevantes e pertinentes aos processos de negócio, entregar essas informações tempestivamente, corretas,

consistentes e úteis.

Errado

40


CRITÉRIOS DE INFORMAÇAO - SEGURANÇA

Confidencialidade

A informação deve ser protegida contra acesso não autorizado

Integridade

A informação deve ser precisa, completa, e válida de acordo com as expectativas e os valores do negócio

Disponibilidade

A informação deve estar disponível quando requerido pelo processo de negócio, agora e no futuro

Os recursos e capacidades associados à informação devem ser protegidos

41


Concurso: Telebras (Cespe) 2013

Certo

42

105 O CobiT permite obter métricas para auditoria da evolução das atividades dos processos de TI. 106 Os critérios de confidencialidade, integridade e disponibilidade tornam a informação compatível com os requisitos de segurança. 107 A integridade lida com a proteção de informações sensíveis a revelações não autorizadas.

Certo

Errado



As organizações bem-sucedidas reconhecem os benefícios da tecnologia da informação (TI) e a utilizam para direcionar os valores das partes interessadas no negócio. Essas organizações consideram que as boas práticas do Control Objectives for Information and Related Technology (COBIT) podem auxiliá-las a otimizar os investimentos em TI. IT Governance Institute, COBIT 4.1, 2007, p. 7 (com adaptações). Tendo o texto acima como referência inicial, julgue os itens a seguir, relativos ao COBIT 4.1. 81 A disponibilidade refere-se à entrega da informação por meio do melhor ou mais produtivo e econômico uso dos recursos.

Errado

43


CRITÉRIOS DE INFORMAÇAO - ADEQUAÇÃO

Conformidade

A informação obedece a leis, normas e contratos aos quais o processo de negócio está sujeito, ou seja, aos requisitos impostos ao negócio

Confiabilidade

A informação deve ser adequada para gerenciar a operação do negócio e para a alta direção exercer sua responsabilidade de geração de relatórios financeiros e de conformidade

44



Entre os critérios de informação definidos no COBIT 4.1, a conformidade está associada à (A) adequação da informação entregue aos executivos da organização para fins do exercício de suas responsabilidades. (B) fidedignidade da informação em relação aos valores do negócio e suas expectativas. (C) aderência a leis, regulamentos e contratos, aos quais o processo de negócio está sujeito. (D) relevância, consistência e prazo de utilidade da informação para benefício do negócio. (E) geração de uso dos recursos de maneira mais produtiva e econômica.

45


OBJETIVOS DE NEGÓCIOS E OBJETIVOS DE TI

46


RECURSOS DE TI

Aplicativos => Sistemas automatizados para usuários e os procedimentos manuais que processam as informações.

Informações => Dados em todas as suas formas, a entrada, o processamento e a saída fornecida pelo sistema de informação em qualquer formato.

Infraestrutura => refere-se à tecnologia e aos recursos (ou seja, hardware, sistemas operacionais, sistemas de gerenciamento de bases de dados, redes, multimídia e os ambientes que abrigam e dão suporte a eles) que possibilitam o processamento dos aplicativos.

Pessoas => são os funcionários requeridos para planejar, organizar, adquirir, implementar, entregar, suportar, monitorar e avaliar os sistemas de informação e serviços. Eles podem ser internos, terceirizados ou contratados, conforme necessário.

47


Concurso: Telebras (Cespe) 2013

Errado

48

109 Um procedimento manual que processa a informação é considerado um recurso de infraestrutura. 110 O domínio de monitoração do CobiT é responsável por analisar a adequação dos controles internos, monitorar os processos e prover auditorias e segurança independentes. 111 Entre os quatro domínios do CobiT, o planejamento e a organização são responsáveis por identificar as soluções de automação. 112 Pessoas são classificadas como recursos de TI.

Certo

Errado

Certo


ORIENTADO PARA PROCESSOS

O modelo CobiT fornece um modelo de processo de referência e uma linguagem comum para que todos na organização possam visualizar e gerenciar as atividades de TI.

Incorporar o modelo operacional e a linguagem comum para todas as áreas de negócios envolvidas em TI é um dos mais importantes passos e ações preliminares para uma boa governança.

Isto também fornece uma metodologia para medição e monitoramento da performance de TI, comunicação com provedores de serviços e integração das melhores práticas de gerenciamento.

Um modelo de processos incentiva a determinação de proprietários dos processos, o que possibilita a definição de responsabilidades.

Para que a governança de TI seja eficiente, é importante avaliar as atividades e riscos da TI que precisam ser gerenciados.

49



Certo

As organizações bem-sucedidas reconhecem os benefícios da tecnologia da informação (TI) e a utilizam para direcionar os valores das partes interessadas no negócio. Essas organizações consideram que as boas práticas do Control Objectives for Information and Related Technology (COBIT) podem auxiliá-las a otimizar os investimentos em TI. IT Governance Institute, COBIT 4.1, 2007, p. 7 (com adaptações). Tendo o texto acima como referência inicial, julgue os itens a seguir: 82 No COBIT, as atividades de TI são definidas segundo um modelo de processos genéricos com quatro domínios: planejar e organizar, adquirir e implementar, entregar e suportar, e monitorar e avaliar. 83 No COBIT, a mensuração de desempenho é essencial para a governança de TI.

Certo 50


Os processos do CobiT são estruturados em 4 domínios

Planejamento e Organização - Aspectos estratégicos e táticos

e de como a TI pode contribuir para os objetivos de negócios

Aquisição e Implementação - Relaciona as estratégias com os recursos e soluções de TI, seu desenvolvimento e aquisição

Entrega e Suporte - Trata da entrega dos serviços requeridos, atentando para os aspectos de segurança, treinamento e suporte

Monitoramento e Avaliação - Aspectos de monitoramento do desempenho e de avaliação de controles da TI.

51


Concurso: INPI (Cespe) 2013

Errado

Certo

Errado

52



53


Concurso: MPE/PI (Cespe) 2012

A respeito do COBIT 4.1, julgue os itens que se seguem. 55 O COBIT não suporta nem define nível de maturidade. 56 De acordo com o COBIT 4.1, a governança de TI é de responsabilidade dos executivos de TI e possui foco tático e operacional. 57 Uma vez que nem todos os componentes do COBIT são inter-relacionados, essa estrutura garante o suporte para as necessidades de governança, gerenciamento, controle e avaliação de diferentes audiências. 58 No COBIT 4.1, cobrir estratégias e táticas, preocupando-se com a identificação da maneira pela qual a TI pode melhor contribuir para atingir os objetivos, é função do domínio Planejar e Organizar. 59 Os domínios Planejar e Organizar, Adquirir e Implementar, Entregar e Suportar e Monitorar e Avaliar mapeiam as áreas de responsabilidade de TI de planejamento, construção, processamento e monitoramento.

Errado

Certo

Certo

Errado

Errado

54


Concurso: Tesouro Nacional (ESAF) 2012

O domínio do Cobit 4.1 que aborda a questão da entrega de novos projetos no tempo e orçamento previstos é o: a) Planejar e Organizar. b) Adquirir e Implementar. c) Gerenciar e Entregar. d) Entregar e Suportar. e) Monitorar e Avaliar.

55


Dentro dos 4 Domínios, o Cobit identificou 34 processos

Embora a maioria das organizações tenha definido as responsabilidades de TI de planejar, construir, processar e monitorar, e muitas delas tenham os mesmos processos-chave, poucas terão a mesma estrutura de processos ou aplicarão todos os 34 processos do CobiT.

O CobiT fornece uma completa lista de processos que podem ser utilizados para verificar a totalidade das atividade e responsabilidades.

No entanto, nem todos precisam ser aplicados e podem ser combinados conforme as necessidades de cada empresa

56


Dentro dos 4 Domínios, o Cobit identificou 34 processos

DS1 definir e gerenciar níveis de serviços

DS2 gerenciar serviços de terceiros

DS3 gerenciar performance e capacidade

DS4 garantir continuidade dos serviços

DS5 garantir segurança dos sistemas

DS6 identificar e alocar custos

DS7 educar e treinar usuários

DS8 gerenciar service desk e incidentes

DS9 gerenciar a configuração

DS10 gerenciar problemas

DS11 gerenciar dados

DS12 gerenciar o ambiente físico

DS13 gerenciar a operação

ME1 monitorar e avaliar o desempenho da TI

ME2 monitorar e avaliar os controles internos

ME3 assegurar conformidade regulatória

ME4 prover governança de TI

PO1 definir um plano estratégico de TI

PO2 definir a arquitetura de informação

PO3 determinar a direção tecnológica

PO4 definir processos, organização e relacionamentos da TI

PO5 gerenciar o investimento em TI

PO6 comunicar metas e diretivas gerenciais

PO7 gerenciar recursos humanos de TI

PO8 gerenciar qualidade

PO9 avaliar e gerenciar riscos

PO10 gerenciar projetos

AI1 identificar soluções

AI2 adquirir e manter aplicações

AI3 adquirir e manter infraestrutura tecnológica

AI4 viabilizar operação e uso

AI5 adquirir recursos de TI

AI6 gerenciar mudanças

AI7 instalar e certificar sistemas e mudanças

PLANEJAMENTO E

ORGANIZAÇÃO

AQUISIÇÃO E

IMPLEMENTAÇÃO

ENTREGA E SUPORTE

MONITORAMENTO E

AVALIAÇÃO

57


Concurso: Defensoria SP (FCC) 2013

O COBIT (Control Objectives for Information and related Technology) 4.1 define alguns domínios de atuação e em cada um desses domínios são definidos alguns processos. Os processos: Gerenciar Qualidade (Manage Quality) e Gerenciar Projetos (Manage Projects) são associados ao domínio (A) Monitorar e Avaliar (Monitor and Evaluate). (B) Observar e Implementar (Observe and Implement). (C) Planejar e Organizar (Plan and Organise). (D) Analisar e Modificar (Analyze and Modify). (E) Iniciar e Terminar (Start and End).

58


Concurso: TRT 2ª Região (FCC) 2014

O CobiT é uma metodologia que promove um conjunto de padrões e boas práticas para o gerenciamento e o uso corporativo e transparente da TI, sendo considerado um padrão para o gerenciamento de TI, alinhado às estratégias de negócios. O processo que endereça as questões relacionadas à informação é o

(A) PO1 − Definir o Modelo Corporativo da Arquitetura da Informação. (B) PO3 − Definir o Esquema de Classificação de Dados. (C) PO10 − Definir o Dicionário de Dados Corporativo. (D) PO5 − Comunicar Objetivos e Direcionamentos Gerenciais. (E) PO2 − Definir a Arquitetura da Informação.

59


Processos precisam de controle

Controle é definido como políticas, procedimentos, práticas e estruturas organizacionais criadas para prover uma razoável garantia de que os objetivos de negócios serão atingidos e que eventos indesejáveis serão evitados ou detectados e corrigidos.

Os objetivos de controle de TI fornecem um conjunto completo de requisitos de alto nível a serem considerados pelos executivos para um controle efetivo de cada processo de TI. Os processos:

São definições de ações gerenciais para aumentar o valor ou reduzir o risco

Consistem em políticas, procedimentos, práticas e estruturas organizacionais

São desenvolvidos para prover uma razoável garantia de que os objetivos de controle serão atingidos e que eventos indesejáveis serão evitados ou detectados e corrigidos

A empresa precisa fazer escolhas relacionadas a esses processos ao:

Selecionar aqueles que são aplicáveis

Decidir quais deles serão implementados

Escolher como implementá-los (frequência, abrangência, automação, etc.)

Aceitar o risco de não implementar aqueles que podem ser aplicáveis

60


Modelo de controle

Uma diretriz pode ser obtida no modelo padrão de controle apresentado na figura abaixo.

Ele segue o princípio da seguinte analogia: Quando a temperatura da sala (padrão) do sistema de aquecimento (processo) está definida, o sistema irá constantemente averiguar (comparar) a temperatura ambiente da sala (controle de informação) e irá sinalizar (agir) para o sistema de aquecimento para prover mais ou menos calor.

Para atingir uma governança efetiva, os controles precisam ser implementados pelos gerentes operacionais de acordo com um método definido de controles para todos os processos de TI.

61


Controles gerais de processos

62


Concurso: ANP (Cespe) 2012

Errado

Errado

Certo

63


Controles gerais de aplicativos

64


Fronteiras de Negócios, Controles Gerais e de Aplicativos

65


O CobiT é dirigido por métricas

Modelos de maturidade

Possibilitam benchmarking e identificação das necessidades de melhoria

Metas e indicadores de processos

Demonstram como os processos atendem às metas de negócios e de TI, a partir da mensuração de indicadores baseados no BSC

Metas de atividades

Direcionam o desempenho efetivo dos processos

66


Níveis de Maturidade usados com o Cobit

Este enfoque é derivado do modelo de maturidade do Software Engineering Institute (SEI) definido para a maturidade da capacidade de desenvolvimento de software.

Embora siga os conceitos do SEI, a implementação CobiT difere consideravelmente do original do SEI, o qual era orientado para os princípios de engenharia de produtos de software, organizações buscando excelência nessas áreas e uma avaliação formal dos níveis de maturidade para que os desenvolvedores de software pudessem ser “certificados”.

67


Níveis de Maturidade usados com o Cobit

68



Considerando-se o modelo COBIT, é INCORRETO afirmar que o plano estratégico de TI é (A) inexistente quando não é executado. (B) ad hoc quando é conhecido pela Direção de TI e é realizado caso a caso em função de um requerimento de negócio. (C) repetível, porém intuitivo, quando é compartilhado com a Direção do negócio conforme a necessidade. (D) gerenciado e mensurável quando possui uma prática padrão cujas exceções são detectadas pela Direção. (E) funcional quando os projetos e portfólios são mensurados pela alta direção de forma a atingir a melhoria contínua dos serviços de TI.

69



Analisando o seu ambiente de trabalho em uma empresa, um analista de sistemas verificou que os procedimentos estavam padronizados, documentados e comunicados através de treinamento. Que nível de maturidade de processos está associado com essa situação no COBIT 4.1? (A) Nível 3 – definido (B) Nível 2 – repetível (C) Nível 4 – gerenciado (D) Nível 1 – inicial (E) Nível 5 – otimizado

70



Determinada empresa reconhece que é necessário definir um plano

estratégico de TI; contudo, não existem processos padronizados para

isso, e a abordagem da administração, em geral, não é organizada.

O processo COBIT em questão encontra-se no nível de maturidade

(A) 0

(B) 1

(C) 2

(D) 3

(E) 4

71



No Cobit 4.1, o processo responsável pelo gerenciamento do desempenho e da capacidade dos recursos de TI, uma situação na qual necessidades de desempenho são satisfeitas com base nas avaliações de sistemas individuais e no conhecimento dos profissionais das equipes de suporte e de projeto, indica que nível de maturidade? (A) Nível 1 – Inicial (B) Nível 2 – Repetível (C) Nível 3 – Definido (D) Nível 4 – Gerenciado (E) Nível 5 – Otimizado

72


Concurso: TRT 16 ª Região (FCC) 2014

André trabalha como Analista Judiciário e, analisando o modelo de maturidade do CobiT 4.1, concluiu que a performance atual do TRT da 16a Região nos seus processos de TI encontra-se no seguinte patamar: “os processos evoluíram para um estágio em que procedimentos similares são seguidos por diferentes funcionários fazendo a mesma tarefa. Mas não existe um treinamento formal ou uma comunicação dos procedimentos padronizados e a responsabilidade é deixada com cada um dos funcionários. Há um alto grau de confiança no conhecimento por parte deles e, consequentemente, erros podem ocorrer”. O TRT da 16a Região encontra-se no nível de maturidade

73



(A) 3 (Processo Definido) e o próximo nível de maturidade a ser alcançado é o nível 4 (Gerenciado e Mensurável). No nível 4, a gerência passa a monitorar e medir a aderência aos procedimentos e adotar ações em que os processos parecem não funcionar muito bem no TRT da 16a Região. Os processos estarão em constante aprimoramento e fornecerão boas práticas. Automação e ferramentas serão utilizadas de uma maneira limitada ou fragmentada.

(B) 4 (Gerenciado e Mensurável) e o próximo nível de maturidade a ser alcançado é o nível 5 (Processo Definido). No nível 5, a gerência passa a monitorar e medir a aderência aos procedimentos e adotar ações em que os processos parecem não funcionar muito bem no TRT da 16a Região. Os processos estarão em constante aprimoramento e fornecerão boas práticas. Automação e ferramentas serão utilizadas de uma maneira limitada ou fragmentada.

(C) 2 (Repetível, porém Intuitivo) e o próximo nível de maturidade a ser alcançado é o nível 3 (Processo Definido). No nível 3, os procedimentos terão sido padronizados, documentados e comunicados através de treinamento. Todos do TRT da 16a Região devem seguir estes processos, mas possivelmente desvios não serão detectados. Os procedimentos não serão sofisticados, mas existirá a formalização das práticas existentes.

(D) 1 (Inicial / Ad hoc) e o próximo nível de maturidade a ser alcançado é o nível 2 (Repetível, porém Intuitivo). No nível 2, os procedimentos terão sido padronizados, documentados e comunicados através de treinamento. Todos do TRT da 16a Região devem seguir estes processos, mas possivelmente desvios não serão detectados. Os procedimentos não serão sofisticados, mas existirá a formalização das práticas existentes.

(E) 3 (Repetível, porém Intuitivo) e o próximo nível de maturidade a ser alcançado é o nível 4 (Gerenciado e Mensurável). No nível 4, os processos terão sido refinados a um nível de boas práticas, baseado no resultado de um contínuo aprimoramento e modelagem da maturidade como em outros Tribunais. A TI passará a ser utilizada no TRT da 16a Região como um caminho integrado para automatizar o fluxo de trabalho, provendo ferramentas para aprimorar a qualidade e efetividade, tornando a organização rápida em adaptar-se.

74


0 Inexistente – Completa falta de um processo reconhecido. A empresa nem mesmo reconheceu que existe uma questão a ser trabalhada.

1 Inicial / Ad hoc – Existem evidências que a empresa reconheceu que existem questões e que precisam ser trabalhadas. No entanto, não existe processo padronizado; ao contrário, existem enfoques Ad Hoc que tendem a ser aplicados individualmente ou caso-a-caso. O enfoque geral de gerenciamento é desorganizado.

2 Repetível, porém Intuitivo – Os processos evoluíram para um estágio onde procedimentos similares são seguidos por diferentes pessoas fazendo a mesma tarefa. Não existe um treinamento formal ou uma comunicação dos procedimentos padronizados e a responsabilidade é deixado com o indivíduo. Há um alto grau de confiança no conhecimento dos indivíduos e conseqüentemente erros podem ocorrer.

3 Processo Definido – Procedimentos foram padronizados, documentados e comunicados através de treinamento. É mandatório que esses processos sejam seguidos; no entanto, possivelmente desvios não serão detectados. Os procedimentos não são sofisticados mas existe a formalização das práticas existentes.

4 Gerenciado e Mensurável – A gerência monitora e mede a aderência aos procedimentos e adota ações onde os processos parecem não estar funcionando muito bem. Os processos estão debaixo de um constante aprimoramento e fornecem boas práticas. Automação e ferramentas são utilizadas de uma maneira limitada.

5 Otimizado – Os processos foram refinados a um nível de boas práticas, baseado no contínuo aprimoramento e modelagem da maturidade como outras organizações. TI é utilizada como um caminho integrado para automatizar o fluxo de trabalho, provendo ferramentas para aprimorar a qualidade e efetividade (rapidez em adaptar-se).

Níveis de Maturidade usados com o Cobit (Detalhes)

75



O modelo CobiT para o gerenciamento de processos de TI foi desenvolvido com uma ênfase forte em controles. O TRT adotou o modelo de maturidade do CobiT. No estágio atual, os procedimentos do TRT foram padronizados, documentados e comunicados através de treinamento. Mas, embora seja mandatório que os processos estabelecidos fossem seguidos, alguns desvios não foram detectados. Os procedimentos adotados ainda não são sofisticados, mas existe a formalização das práticas existentes no TRT. De acordo com o modelo de maturidade do CobiT 4.1, o TRT encontra-se no nível (A) 1- Inicial / Ad hoc. (B) 2- Repetível, porém Intuitivo. (C) 3- Processo Definido. (D) 4- Gerenciado e Mensurável. (E) 5- Otimizado.

76



O modelo de maturidade é uma forma de medir o quanto os processos de gerenciamento são capazes de medir a maturidade de uma empresa em relação ao estabelecimento e performance dos controles internos. Capacidade, cobertura e controle são as dimensões do processo de maturidade do CobiT 4.1, como ilustrado na figura abaixo.

77

Os direcionadores primários relativos às dimensões do processo de maturidade representados nas caixas I, II e III são, respectivamente:


As três dimensões da Maturidade

78



No Cobit 4.1, as três dimensões de maturidade são: a) Eficácia, riscos e custos. b) Capacidade, cobertura e controle. c) Custos, objetivos da TI e controle. d) Retorno do Investimento, custos e missão. e) Capacidade, riscos e controle.

79


Exemplo de Objetivos e direcionadores de performance

O Cobit 4.1 alterou o nome dos termos KGI e KPI:

Medidas de resultados (saídas), antes chamados de indicadores-chaves de objetivos (KGIs), indicam se os objetivos foram atingidos. São medidos depois dos fatos e são conhecidos também como indicadores históricos (lag indicators).

Indicadores de performance, antes chamados de indicadores-chaves de performance (KPIs), indicam se os objetivos serão possivelmente atingidos. Eles são medidos antes que os resultados sejam claros e portanto são chamados de indicadores futuros (lead indicators).

80



Segundo o COBIT 4.1, um indicador de performance de um serviço de TI mede o (A) índice de sucesso de um objetivo (B) nível de maturidade de um processo (C) histórico dos requisitos de negócio (D) andamento do atingimento de um objetivo (E) resultado de um objetivo

81



De acordo com o COBIT 4.1, indicadores de resultado medem o(a) (A) atingimento de um objetivo (B) nível de maturidade de um processo (C) andamento futuro de um objetivo (D) performance de um processo (E) efetividade do uso dos serviços de TI

82


Relacionamento entre Processos, Objetivos e Métricas

83



84


Resumo do Modelo Cobit

85


Relacionamento dos componentes do CobiT

86


Concurso: CGU (Esaf) 2008

O COBIT - Control Objectives for Information and related Technology

fornece boas práticas por meio de uma estrutura de domínio e processos

e apresenta atividades de forma gerencial e lógica para a Governança de

TI. O COBIT contém componentes interrelacionados, provendo suporte

para a governança, gerenciamento, controle e atendimento das

necessidades de diferentes organizações. O componente Atividades-

Chaves do COBIT (versão 4.1) está relacionado com

a) Indicadores de performance.

b) Modelos de Maturidade.

c) Controle de Objetivos.

d) Responsabilidades e Contabilização.

e) Controle de Práticas.

87



Para dar suporte a diferentes perfis de profissionais, os produtos do COBIT 4.1 foram organizados em uma pirâmide de 3 níveis (diagrama com o conteúdo do COBIT). A quais profissionais se destina o nível base dessa pirâmide? (A) De controles, de segurança e de alta direção (B) De avaliação, executivos e de alta direção (C) De avaliação, de controles e de segurança (D) Executivos, de alta direção e de manutenção (E) Gerentes de negócio, gerentes de tecnologia e executivos

88


Diagrama com o conteúdo do Cobit

89


2. Usando o BSC na Governança de TI

90


É uma metodologia que foi proposta em 1992 por Robert S. Kaplan, professor da Havard Business School, e David P. Norton, executivo do Instituto Nolan Norton.

A grande motivação do BSC foi a crença de que os métodos existentes para avaliação de desempenho, apoiados por indicadores contábeis e financeiros, estavam obsoletos.

Os autores acreditavam que depender de medidas de desempenho consolidadas, baseadas em dados financeiros, estava prejudicando a capacidade das empresas de criar valor econômico para o futuro.

O BSC traduz a missão e a estratégia das empresas em um conjunto abrangente de medidas de desempenho, seguindo 4 perspectivas: financeira, do cliente, dos processos internos, e de aprendizado e crescimento.

BSC - Balanced Scorecard

91


Concurso: EPE (Cesgranrio) 2014

O Balanced Score Card, criado por Kaplan e Norton, é uma ferramenta de gestão estratégica de desempenho de empresas. Que perspectivas do negócio estão cobertas por essa ferramenta? (A) Aprendizado e crescimento, Clientes, Financeira e Atuação Social. (B) Aprendizado e crescimento, Clientes, Financeira e Processos Internos de Negócio. (C) Aprendizado e crescimento, Clientes, Processos Internos de Negócio e Atuação Social. (D) Aprendizado e crescimento, Financeira, Processos Internos de Negócio e Atuação Social. (E) Clientes, Financeira, Processos Internos de Negócio e Atuação Social.

92


O BSC pode ser considerado um sistema de gestão - não apenas um sistema de medidas - que habilita as organizações a tornar claras a sua visão e estratégia e traduzi-las em ações.

O modelo tradicional de controle da estratégia baseado só em medidas financeiras foi melhorado no BSC, através das perspectivas complementares.

O modelo financeiro até então utilizado só relatava acontecimentos passados numa abordagem típica da era industrial, que é inadequado para orientar e avaliar a trajetória das empresas na era da informação

BSC - Balanced Scorecard

93


As 4 Perspectivas do BSC

94



Quando uma empresa está em fase de elaboração de um plano estratégico de TI, ela precisa entender, inicialmente, qual é a sua missão, de forma a apoiar adequadamente os objetivos de negócio da empresa. Nesse contexto, missão significa a(o) (A) razão de ser, o motivo da existência ou seu propósito. (B) elaboração dos indicadores da empresa com base em sua razão de ser. (C) posição que a empresa pretende alcançar. (D) atingimento da qualidade na execução dos processos com base em onde se pretende chegar. (E) cumprimento das metas tangíveis de curto prazo.

95


Concurso: TRT_16ª Região (FCC) 2014

Como consequência do processo de Planejamento Estratégico, as organizações produzem ou atualizam alguns componentes. Correlacione corretamente as colunas. Está correta a correlação que consta em (A) a-III - b-IV - c-II - d-I (B) a-II - b-I - c-IV - d-III (C) a-III - b-I - c-II - d-IV (D) a-II - b-III - c-IV - d-I (E) a-II - b-III - c-I - d-IV

96



O Balanced Scorecard é uma técnica que tem como objetivo a integração e o balanceamento de todos os principais indicadores de desempenho definidos por uma empresa, servindo de base para a avaliação empresarial. Essa técnica baseia-se em quatro perspectivas, na busca de resultados, formando um conjunto coeso e interdependente, com seus objetivos e indicadores se inter-relacionando. Qual, dentre as abaixo relacionadas, NÃO representa uma perspectiva estratégica considerada nessa técnica? (A) Aprendizado (B) Clientes (C) Financeira (D) Planejamento (E) Processos internos

97


O BSC conserva a perspectiva financeira, visto que as medidas financeiras são valiosas para sintetizar as conseqüências econômicas imediatas de ações consumadas.

As medidas financeiras de desempenho indicam se a estratégia de uma empresa, sua implementação e execução estão contribuindo para a melhoria dos resultados financeiros.

Objetivos financeiros, normalmente, estão relacionados à lucratividade sobre o capital empregado.

Perspectiva Financeira

98


Nessa perspectiva, o BSC permite que os executivos identifiquem os segmentos de clientes e mercado nos quais as unidades de negócio competirão e as medidas do desempenho da unidade nesses segmentos.

Dentre as medidas incluídas nesse segmento, destacam-se a satisfação e a retenção de clientes, a aquisição de novos, a lucratividades dos clientes, bem como a participação nos segmentos definidos.

Perspectiva do Cliente

99


Os executivos devem identificar os processos mais críticos para a realização dos objetivos dos clientes e acionistas.

De acordo com Kaplan e Norton, é importante definir uma cadeia de valor completa dos processos internos que tenham início com os processos de inovação, prossiga com os processos de operação, e termine com o serviço pós-venda.

As tendências mais recentes apontam no sentido de que as organizações devem medir o desempenho dos processos de negócio (ex: atendimento a pedidos, compras, etc).

A abordagem do BSC resulta na identificação de processos inteiramente novos, nos quais a empresa deve atingir a excelência para alcançar os objetivos financeiros e dos clientes.

Perspectiva dos Processos Internos

100


Essa perspectiva identifica a estrutura que a empresa deve construir para gerar crescimento e melhoria a longo prazo.

Existem 3 fontes para a perspectiva para o aprendizado e crescimento: pessoas, sistemas e procedimentos organizacionais.

Os objetivos financeiros, do cliente e dos processos internos no BSC, normalmente revelam lacunas entre as capacidades atuais das pessoas, sistemas e procedimentos, e o que será necessário para alcançar um desempenho inovador.

Para fechar essas lacunas, as empresas terão de investir na capacitação das pessoas, no aperfeiçoamento dos sistemas e no alinhamento dos procedimentos e rotinas organizacionais.

Esses objetivos são explicitados na perspectiva de aprendizado e crescimento do BSC

Perspectiva de Aprendizado e Crescimento

101


Curto e longo prazo

Indicadores financeiros e não-financeiros

Resultados ocorridos e de tendências de desempenho futuro

Visão interna de desempenho e outra externa que envolve clientes e acionistas

O BSC reflete indicadores equilibrados

102


As diversas perspectivas que compõem um Balanced Scorecard bem elaborado devem compor uma série articulada de objetivos e medidas coerentes que se reforcem mutuamente

O objetivo principal é motivar todos os executivos e funcionários a implementar com sucesso a estratégia da sua unidade de negócios ou mesmo a estratégia corporativa.

Tão importante quando definir uma estratégia é perceber se todos os setores da organização estão seguindo o que foi planejado.

Com muita freqüência, as diferentes unidades de uma organização precisam de coordenação, pois atuam com propósitos desconexos e buscam objetivos conflitantes

O BSC reflete indicadores equilibrados

103


Para que se tenha eficácia, a estratégia deve ser compreendida do nível hierárquico mais elevado ao mais baixo e, também, como as suas ações individuais sustentam o quadro geral.

Quando todos compreendem suas metas de longo prazo, bem como a estratégia para alcançá-las, os esforços e iniciativas da empresa se alinham aos processos de transformação.

O BSC permite esse alinhamento de cima para baixo, através de três mecanismos distintos:

Programa de Comunicação e Educação;

Programa de Estabelecimento de Metas;

Vinculação dos Sistemas de Compensação.

No BSC, a implantação da estratégia é tarefa de todos!

104


Exemplo de causa e efeito do BSC

105


Um modelo bastante difundido atualmente na formulação de estratégias é o denominado Balanced Scorecard ou Escore Balanceado, que se baseia no desdobramento da visão de futuro em torno de dimensões equilibradas, podendo essas dimensões ser alteradas para contemplar as características de organizações privadas, públicas ou do terceiro setor. O Balanced Scorecard inova por apresentar um(a) (A) sistema de indicadores de resultados e modelos de remuneração variável, associados. (B) modelo de accountability alinhado à legislação Sarbanes-Oxley. (C) estrutura de objetivos, metas e vetores de desempenho que interagem dentro de uma lógica de causa e efeito. (D) ferramenta estratégica de coordenação e organização das expectativas dos stakeholders. (E) perspectiva organizada de prestação de contas e responsabilidade socioambiental.

Concurso: Banco Central (CESGRANRIO) 2010

106


O Mapa Estratégico explicita quais medidas são necessárias ao alcance de cada objetivo proposto, bem como os indicadores que serão utilizados para o monitoramento da execução destas medidas, e ainda quais as iniciativas de cada setor envolvido para o cumprimento das medidas.

Enquanto a estratégia descreve como criar valor para os acionistas, clientes, cidadãos, o mapa estratégico mostra como a estratégia liga os ativos intangíveis a processos que criam esse valor.

Os autores argumentam que o valor dos ativos intangíveis não pode ser medido de maneira separada e independente dos ativos tangíveis.

Objetivo do Mapa Estratégico no BSC

107


Os 5 princípios de uma organização focada na Estratégia

108


Mapa estratégico do BSC e seus Componentes

109


Análise SWOT

110



O modelo SWOT reforça a relação estratégia-processo e a necessidade da análise interna e externa. Esse modelo é uma das bases para a definição de qualquer tipo de estratégia. Nesse contexto, um Gestor de TI deve saber que as (A) ameaças e as fraquezas são consideradas análises do ambiente externo. (B) forças e as fraquezas são consideradas análises do ambiente interno. (C) oportunidades e as forças são consideradas análises do ambiente externo. (D) oportunidades e as ameaças são consideradas análises do ambiente interno. (E) oportunidades, as forças, as ameaças e as fraquezas são consideradas análises do ambiente interno.

111


Análise SWOT

FATORES INTERNOS

Pontos Fortes/ Forças Vantagens internas da organização em relação aos objetivos

Pontos Fracos/ Fraquezas

Desvantagens internas da organização em relação aos objetivos

FATORES EXTERNOS

Oportunidades Aspectos positivos do ambiente que envolve a organização com potencial de trazer-lhe vantagens

Ameaças Aspectos negativos do ambiente que envolve a organização com potencial para comprometer as vantagens que ela possui.

112


Concurso: Hemobras (Cespe) 2008

A formulação de mapas estratégicos

associada com a abordagem

de BSC é, usualmente, efetuada após uma

análise SWOT.

Certo Errado

113


Concurso: Serpro (CESPE) 2010

Errado

Certo

Errado

Certo

114


As 5 forças competitivas de Porter

115


Concurso: TST (FCC) 2012

O modelo das Cinco Forças de Porter foi criado por Michael Porter em 1979 e tem por objetivo a análise da competição entre empresas. O modelo considera cinco fatores importantes, as chamadas forças competitivas, que devem ser estudadas para o desenvolvimento de uma estratégia empresarial eficiente. Segundo o modelo, as forças competitivas que atuam sobre uma empresa são: poder de barganha dos fornecedores, poder de barganha dos clientes/consumidores, ameaça de novos entrantes no mercado, ameaça de produtos e serviços substitutos e (A) grau de rivalidade entre os concorrentes do mercado. (B) facilidade de criação de novos produtos e renovação da gama atual. (C) potencial de aquisição de produtos pelos clientes/consumidores. (D) alta demanda de produtos e capacidade de entrega pelos fornecedores. (E) manutenção do grau de satisfação dos clientes/consumidores.

116


3. Os processos do Cobit

117


Resumo dos Domínios e Processos do CobiT

118


Este domínio cobre a estratégia e as táticas, preocupando-se com a identificação da maneira em que TI pode melhor contribuir para atingir os objetivos de negócios.

O sucesso da visão estratégica precisa ser planejado, comunicado e gerenciado por diferentes perspectivas.

Uma apropriada organização bem como uma adequada infraestrutura tecnológica devem ser colocadas em funcionamento.

Este domínio ajuda a responder as seguintes questões gerenciais:

As estratégias de TI e de negócios estão alinhadas?

A empresa está obtendo um ótimo uso dos seus recursos?

Todos na organização entendem os objetivos de TI?

Os riscos de TI são entendidos e estão sendo gerenciados?

A qualidade dos sistemas de TI é adequada às necessidades de negócios?

Domínio Planejar e Organizar

119


PO1 Definir um Plano Estratégico de TI

PO2 Definir a Arquitetura da Informação

PO3 Determinar as Diretrizes de Tecnologia

PO4 Definir os Processos, a Organização e os Relacionamentos de TI

PO5 Gerenciar o Investimento de TI

PO6 Comunicar Metas e Diretrizes Gerenciais

PO7 Gerenciar os Recursos Humanos de TI

PO8 Gerenciar a Qualidade

PO9 Avaliar e Gerenciar os Riscos de TI

PO10 Gerenciar Projetos

Processos do Domínio Planejar e Organizar

120


PO1 – Definir um Plano Estratégico de TI

121


Concurso: IBGE (Cesgranrio) 2014

Baseado nas melhores práticas de governança de TI, tendo em vista a proposta de uso da tabela RACI, é responsabilidade do (A) PMO (Project Management Officer) produzir um plano estratégico de TI. (B) gerente de projeto criar e manter o modelo de informações corporativas e o dicionário de dados. (C) profissional responsabilizado (accountable) autorizar uma atividade e fazer com que a tarefa seja executada. (D) CEO organizar várias atividades de TI e de desenvolvimento. (E) proprietário de processos de negócio avaliar e selecionar fornecedores através de processos de requisição de propostas.

122


PO1 – Definir um Plano Estratégico de TI

123



No CobiT 4.1, NÃO se trata de um Objetivo de Controle Detalhado do processo Definir um Plano Estratégico de TI: (A) Plano Estratégico de TI. (B) Gerenciamento do Portfólio de TI. (C) Avaliação da Capacidade e Desempenho Correntes. (D) Modelo de Arquitetura da Informação da Organização. (E) Gerenciamento de Valor da TI.

124


PO2 – Definir a Arquitetura da Informação

125



Seja o seguinte objetivo de controle: Manter um dicionário de dados corporativos que incorpore as regras de sintaxe de dados da organização. A qual processo do domínio Planejar e Organizar do COBIT está associado este objetivo de controle? (A) Determinar as Diretrizes da Tecnologia. (B) Definir os Processos, Organização e Relacionamentos de TI. (C) Definir um Plano Estratégico de TI. (D) Definir a Arquitetura da Informação. (E) Gerenciar a Qualidade.

126


PO2 – Definir a Arquitetura da Informação

127


PO3 - Determinar as Diretrizes da Tecnologia

128


Concurso: Banco Amazônia (Cespe) 2012

Errado

Errado

Certo

129


PO3 - Determinar as Diretrizes da Tecnologia

130


PO4 - Definir os Processos, Organização e Relacionamentos de TI

131


PO4 - Definir os Processos, Organização e Relacionamentos de TI

132


PO5 - Gerenciar o Investimento de TI

133


PO5 - Gerenciar o Investimento de TI

134


PO6 - Comunicar Metas e Diretrizes Gerenciais

135


PO6 - Comunicar Metas e Diretrizes Gerenciais

136


PO7 - Gerenciar os Recursos Humanos de TI

137


PO7 - Gerenciar os Recursos Humanos de TI

138


PO8 - Gerenciar a Qualidade

139


PO8 - Gerenciar a Qualidade

140


PO9 - Avaliar e Gerenciar os Riscos de TI

141


PO9 - Avaliar e Gerenciar os Riscos de TI

142


PO10 - Gerenciar Projetos

143


PO10 - Gerenciar Projetos

144



Ana trabalha no TRT da Bahia e, empenhada em adotar boas práticas de governança de TI, listou as seguintes questões de gerenciamento que precisavam ser tratadas: − Os novos projetos fornecerão soluções que atendam às necessidades do TRT? − Os novos projetos serão entregues no tempo e orçamento previstos? − Os novos sistemas funcionarão apropriadamente quando implementados? − As alterações ocorrerão sem afetar as operações atuais do TRT? Consultando o CobiT 4.1, Ana verificou que as questões acima são tratadas no domínio (A) Planejar e Organizar (PO). (B) Adquirir e Implementar (AI). (C) Monitorar e Avaliar (ME). (D) Entregar e Suportar (DS). (E) Projetar e Desenvolver (DD).

145


Para executar a estratégia de TI, as soluções de TI precisam ser identificadas, desenvolvidas ou adquiridas, implementas e integradas ao processo de negócios.

Além disso, alterações e manutenções nos sistemas existentes são cobertas por esse domínio para assegurar que as soluções continuem a atender aos objetivos de negócios.

Este domínio tipicamente trata das seguintes questões de gerenciamento:

Os novos projetos fornecerão soluções que atendam às necessidades de negócios?

Os novos projetos serão entregues no tempo e orçamento previstos?

Os novos sistemas ocorreram apropriadamente quando implementado?

As alterações ocorrerão sem afetar as operações de negócios atuais?

Domíno Adquirir e Implementar

146


AI1 Identificar Soluções Automatizadas

AI2 Adquirir e Manter Software Aplicativo

AI3 Adquirir e Manter Infraestrutura de Tecnologia

AI4 Habilitar Operação e Uso

AI5 Adquirir Recursos de TI

AI6 Gerenciar Mudanças

AI7 Instalar e Homologar Soluções e Mudanças

Processos do Domíno Adquirir e Implementar

147


AI1 - Identificar Soluções Automatizadas

148


AI1 - Identificar Soluções Automatizadas

149


AI2 - Adquirir e Manter Software Aplicativo

150


AI2 - Adquirir e Manter Software Aplicativo

151


AI3 - Adquirir e Manter Infraestrutura de Tecnologia

152


AI3 - Adquirir e Manter Infraestrutura de Tecnologia

153


AI4 - Habilitar Operação e Uso

154


AI4 - Habilitar Operação e Uso

155


AI5 - Adquirir Recursos de TI

156


AI5 - Adquirir Recursos de TI

157


AI6 - Gerenciar Mudanças

158


AI6 - Gerenciar Mudanças

159


AI7 - Instalar e Homologar Soluções e Mudanças

160


Concurso: Liquigás (Cesgranrio) 2012

Segundo o Cobit 4.1, para o processo de instalar e homologar soluções e mudanças, quais atividades o proprietário dos processos de negócios é responsável por realizar junto com o responsável pelo desenvolvimento? (A) Confeccionar e revisar o planejamento de implantação. (B) Definir e revisar a estratégia de testes e a metodologia de planejamento de testes operacionais. (C) Confeccionar e manter um repositório de requisitos técnicos, de negócios, além de testes realizados em sistemas homologados. (D) Fornecer o ambiente de testes e conduzir os testes finais de aceitação. (E) Recomendar a migração para produção baseada nos critérios de homologação acordados.

161


AI7 - Instalar e Homologar Soluções e Mudanças

162


Este domínio trata da entrega dos serviços solicitados, o que inclui entrega de serviço, gerenciamento da segurança e continuidade, serviços de suporte para os usuários e o gerenciamento de dados e recursos operacionais.

Trata geralmente das seguintes questões de gerenciamento:

Os serviços de TI estão sendo entregues de acordo com as prioridades de negócios?

Os custos de TI estão otimizados?

A força de trabalho está habilitada para utilizar os sistemas de TI de maneira produtiva e segura?

Os aspectos de confidencialidade, integridade e disponibilidade estão sendo contemplados para garantir a segurança da informação?

Domínio Entregar e Suportar

163



No Cobit 4.1, uma das questões de gerenciamento do domínio Entregar e Suportar (DS) é a questão: a) A empresa está obtendo um ótimo uso dos seus recursos? b) O desempenho da TI pode ser associado aos objetivos de negócio? c) Os novos projetos serão entregues no tempo e orçamento previstos? d) As alterações ocorrerão sem afetar as operações de negócios atuais? e) Os custos de TI estão otimizados?

164


DS1 Definir e Gerenciar Níveis de Serviços

DS2 Gerenciar Serviços Terceirizados

DS3 Gerenciar o Desempenho e a Capacidade

DS4 Assegurar a Continuidade dos Serviços

DS5 Garantir a Segurança dos Sistemas

DS6 Identificar e Alocar Custos

DS7 Educar e Treinar os Usuários

DS8 Gerenciar a Central de Serviço e os Incidentes

DS9 Gerenciar a Configuração

DS10 Gerenciar Problemas

DS11 Gerenciar os Dados

DS12 Gerenciar o Ambiente Físico

DS13 Gerenciar as Operações

Processos do Domínio Entregar e Suportar

165


DS1 - Definir e Gerenciar Níveis de Serviço

166



Com base no COBIT, uma empresa de desenvolvimento criou um conjunto de sistemas integrados, de acordo com o levantamento das necessidades das áreas de negócios de uma determinada Instituição. Acompanhando esse trabalho, o gerente de projetos dessa instituição identificou exclusões de passos nos domínios de aquisição e implementação e de entrega e suporte. Esse fato provocou uma reunião do grupo de trabalho envolvido no projeto, que determinou os seguintes objetivos principais: • Assegurar a satisfação dos usuários finais com as ofertas e níveis de serviço. • Assegurar o uso apropriado e a performance de aplicativos e tecnologia. • Reduzir os defeitos e retrabalhos na entrega de serviços e soluções. • Assegurar o mínimo impacto para os negócios no caso de uma parada ou mudança nos serviços de TI.

167



Quais processos de COBIT devem receber esforço prioritário, considerando a motivação da reunião e os objetivos nela determinados para o grupo de trabalho? (A) Habilitar Operação e Uso; Gerenciar Mudanças; Instalar e Homologar Soluções e Mudanças; Definir e Gerenciar Níveis dos Serviços. (B) Definir os Processos, a Organização e os Relacionamentos de TI; Gerenciar o Investimento de TI; Adquirir e Manter Software Aplicativo; Monitorar e Avaliar o Desempenho de TI. (C) Gerenciar as Operações; Gerenciar o Ambiente Físico; Assegurar Conformidade com Requisitos Externos; Identificar Soluções Automatizadas. (D) Gerenciar o Investimento de TI; Definir um Plano Estratégico de TI; Gerenciar a Qualidade; Adquirir Recursos de TI. (E) Determinar o Direcionamento Tecnológico; Habilitar Operação e Uso; Gerenciar Central de Serviço e os Incidentes; Monitorar e Avaliar o Desempenho de TI.

168


DS1 - Definir e Gerenciar Níveis de Serviço

169


DS2 - Gerenciar Serviços Terceirizados

170


DS2 - Gerenciar Serviços Terceirizados

171


DS3 - Gerenciar o Desempenho e a Capacidade

172


DS3 - Gerenciar o Desempenho e a Capacidade

173


DS4 - Assegurar a Continuidade dos Serviços

174


DS4 - Assegurar a Continuidade dos Serviços

175


DS5 - Garantir a Segurança dos Sistemas

176


DS5 - Garantir a Segurança dos Sistemas

177


DS6 - Identificar e Alocar Custos

178


DS6 - Identificar e Alocar Custos

179


DS7 - Educar e Treinar os Usuários

180


DS7 - Educar e Treinar os Usuários

181


DS8 - Gerenciar a Central de Serviço e os Incidentes

182


DS8 - Gerenciar a Central de Serviço e os Incidentes

183


DS9 - Gerenciar a Configuração

184



O Gerente de Operações de uma empresa de TI solicitou os contratos relativos às licenças de uso do sistema gerenciador de banco de dados adotado pela empresa. O seu objetivo é verificar se todas as cópias instaladas do SGBD estão cobertas pelos contratos, pois, caso contrário, a empresa estará sujeita às penalidades previstas em lei. A atividade descrita acima está relacionada a um dos objetivos de controle de um dos processos do domínio Entregar e Suportar (DS) do COBIT. Que processo é esse? (A) Gerenciar os Dados. (B) Monitorar e Avaliar os Controles Internos. (C) Gerenciar a Configuração. (D) Assegurar a Conformidade com Requisitos Externos. (E) Adquirir e Manter Infraestrutura de Tecnologia.

185


DS9 - Gerenciar a Configuração

186


DS10 - Gerenciar Problemas

187


DS10 - Gerenciar Problemas

188


DS11 - Gerenciar os Dados

189


DS11 - Gerenciar os Dados

190


Concurso: Liquigás (Cesgranrio) 2012

A realização de cópia de segurança (backup) dos dados, de testes de restauração, de armazenamento dessas cópias em instalações remotas (offsite), com o objetivo de minimizar a probabilidade e o impacto de uma interrupção de um serviço chave de TI nas funções e processos críticos de negócio, são partes fundamentais dos processos de Gerenciar (A) o ambiente físico e Gerenciar as operações. (B) nível de serviço e Gerenciar as operações. (C) nível de serviço e Assegurar a continuidade dos serviços. (D) os dados e Assegurar a continuidade dos serviços. (E) os dados e Gerenciar o ambiente físico.

191


DS12 - Gerenciar o Ambiente Físico

192


DS12 - Gerenciar o Ambiente Físico

193


DS13 - Gerenciar as Operações

194


DS13 - Gerenciar as Operações

195



Analise os seguintes processos de TI, conforme seus objetivos. I - Gerenciar as operações - Busca manter a integridade dos dados e assegurar que a infraestrutura de TI possa resistir e se recuperar de erros e falhas, atingindo os níveis de serviço operacionais para o processamento programado de dados, proteção das saídas de dados críticos, monitoramento e manutenção da infraestrutura. II - Gerenciar o ambiente físico - Busca proteger os ativos de TI e os dados do negócio e minimizar o risco de interrupção nos negócios, provendo e mantendo um ambiente físico adequado que proteja os recursos de TI contra acesso indevido, danos ou roubo. III - Gerenciar os dados - Busca otimizar o uso da informação e garantir que a informação esteja disponível quando requisitada com alto desempenho, de forma integrada, mantendo a sua consistência e restringindo o seu acesso aos administradores das bases de dados. IV - Garantir a segurança dos sistemas - Busca manter a integridade da infraestrutura de informação e de processamento e minimizar o impacto de vulnerabilidades e incidentes de segurança, definindo políticas, procedimentos e padrões de segurança de TI e monitorando, detectando, reportando e solucionando vulnerabilidades de segurança. Estão de acordo com o COBIT APENAS os que se apresentam em (A) I e II (B) I e IV (C) II e III (D) I, II e IV (E) II, III e IV

196


Todos os processos de TI precisam ser regularmente avaliados com o passar do tempo para assegurar a qualidade e a aderência aos requisitos de controle.

Este domínio aborda o gerenciamento de performance, o monitoramento do controle interno, a aderência regulatória e a governança.

Trata geralmente das seguintes questões de gerenciamento:

A performance de TI é mensurada para detectar problemas antes que seja muito tarde?

O gerenciamento assegura que os controles internos sejam efetivos e eficientes?

O desempenho da TI pode ser associado aos objetivos de negócio?

Existem controles adequados para garantir confidencialidade, integridade e disponibilidade das informações?

Domínio Monitorar e Avaliar

197


O COBIT decompõe TI em 4 domínios: Plan and Organise, Acquire and Implement, Deliver and Support e Monitor and Evaluate. Com relação ao domínio Monitor and Evaluate, uma pergunta que pode ser feita na autoavaliação da corporação é: (A) Os objetivos e metas de TI são claros e foram entendidos pela corporação? (B) As estratégias de TI e do negócio estão alinhadas? (C) Os sistemas funcionam corretamente após a implementação? (D) São realizadas auditorias para garantir que as áreas críticas estão operando conforme o esperado? (E) Os serviços de TI estão sendo entregues conforme os acordos do nível de serviço?


198


ME1 Monitorar e Avaliar o Desempenho de TI

ME2 Monitorar e Avaliar os Controles Internos

ME3 Assegurar a Conformidade com Requisitos Externos

ME4 Prover Governança de TI

Processos do Domínio Monitorar e Avaliar

199


A gestão eficaz de desempenho de TI exige um processo de monitoramento.

Esse processo inclui a definição de indicadores de desempenho relevantes, informes de desempenho sistemáticos e oportunos e uma pronta ação em relação aos desvios encontrados.

O monitoramento é necessário para assegurar que as atividades corretas estejam sendo feitas e que estejam em alinhamento com as políticas e diretrizes estabelecidas.

ME1 - Monitorar e Avaliar o Desempenho de TI

200


ME1 - Monitorar e Avaliar o Desempenho de TI

201


Estabelecer um programa eficaz de controles internos de TI requer um processo de monitoramento bem definido.

Esse processo inclui o monitoramento e reporte das exceções de controle, dos resultados de autoavaliação e avaliação de terceiros.

Um benefício importante do monitoramento dos controles internos é assegurar uma operação eficaz e eficiente e a conformidade com as leis e os regulamentos aplicáveis

ME2 - Monitorar e Avaliar os Controles Internos

202



Acerca dos domínios do COBIT, julgue os itens seguintes. 86 Entre os objetivos do processo denominado Monitorar e Avaliar os Controles Internos, incluem-se a monitoração, a comparação e o aprimoramento continuado do ambiente e da estrutura de controles de TI, a fim de que sejam atingidos os objetivos organizacionais.

Certo

203


ME2 - Monitorar e Avaliar os Controles Internos

204


A supervisão eficaz da conformidade requer o estabelecimento de um processo de revisão para assegurar a conformidade com as leis e regulamentações e os requisitos contratuais.

Esse processo inclui identificar os requisitos de conformidade, otimizar e avaliar a resposta, assegurar que os requisitos sejam atendidos e integrar os relatórios de conformidade de TI com os das áreas de negócios.

ME3 - Assegurar a Conformidade com Requisitos Externos

205


ME3 - Assegurar a Conformidade com Requisitos Externos

206


O estabelecimento de uma efetiva estrutura de governança envolve a definição das estruturas organizacionais, dos processos, da liderança, dos papéis e respectivas responsabilidades para assegurar que os investimentos corporativos em TI estejam alinhados e sejam entregues em conformidade com as estratégias e os objetivos da organização.

Obter avaliação periódica independente sobre desempenho e conformidade com políticas, padrões e procedimentos

ME4 - Prover Governança de TI

207


ME4 - Prover Governança de TI

208


4. Relacionamento com demais modelos

ITIL

CMMI

PMBOK

PRINCE2

Planejamento Estratégico (Missão, Visão, Valores)

Ex: BSC - Balanced ScoreCard

209


Um gestor de TI que deseje monitorar e avaliar os controles internos, a fim de assegurar a conformidade dos processos com as leis e os regulamentos de TI, deve pautar-se especialmente pelo COBIT, visto que, no ITIL, não são abordados gerenciamentos relacionados a avaliação e monitoração de controles internos.

Concurso: TRE_ES (CESPE) 2011

Certo

210


O COSO é uma organização privada criada nos EUA em 1985 para prevenir e evitar fraudes nas demonstrações contábeis da empresa.

Inicialmente criada como National Commission on Fraudulent Financial Reporting, essa comissão era formada por representantes das principais associações de classes de profissionais ligados à área financeira.

O primeiro objeto de estudo da comissão foram os controles internos das empresas. Essa comissão posteriormente tornou-se um comitê e passou a se chamar COSO - Committee of Sponsoring Organizations of the Treadway Commission.

O COSO é uma organização sem fins lucrativos, dedicada a melhoria dos relatórios financeiros, sobretudo pela aplicação da ética e efetividade na aplicação e cumprimento dos controles internos e é patrocinado pela cinco das principais associações de classe de profissionais ligados à área financeira nos EUA.

Em decorrência da globalização e padronização internacional das técnicas de auditoria, as recomendações do COSO, relativas ao controles internos, bem como seu cumprimento e observância, são amplamente praticados e tidos como modelo e referência no Brasil e na maioria dos países do mundo.

COSO - Committee of Sponsoring Organizations of the Treadway Commission

211


O PMI (Project Management Institute) é uma organização sem fins lucrativos, composta por profissionais da área de gerenciamento de projetos.

As recomendações e processos do PMI estão publicados no PMBOK – um manual que define e descreve as habilidades, ferramentas e técnicas para o gerenciamento de um projeto.

O PMBOK possui 42 processos que estão estruturados em 5 cinco grupos – Iniciação, Planejamento, Execução, Monitoramento/Controle e Encerramento, bem como 9 áreas de conhecimento: Integração, Escopo, Tempo, Custo, Qualidade, Recursos Humanos, Comunicação, Análise de Risco e Aquisição.

A utilização do PMBOK, ou outro framework de gerenciamento de projetos, é importante para garantir que a empresa ou organização pública está executando projetos de forma adequada.

PMBOK - Project Management Body of Knowledge

212


PMBOK – As 9 áreas de Conhecimento

Integração

Cu

sto

Pra

zo

Escopo

RH

Risco

Comunicação

Aquisição

Qualidade

213


PMBOK – Ciclo de vida do projeto

Iniciação Planejamento

Monitoramento Execução

Encerramento

214


É um método não proprietário para gerenciamento de projetos criado pelo Governo Britânico em 1996, que pode ser adaptado a qualquer tipo ou tamanho de projeto.

O PRINCE2 possui 8 processos e 45 sub-processos, que definem as atividades a ser executadas durante o ciclo de vida do projeto

Um projeto PRINCE2 possui as seguintes características:

Controle e organização do início ao fim;

Regular revisão de progressos baseada nos planos e no business case;

Pontos de decisão flexíveis;

Gerenciamento efetivo de qualquer desvio do plano;

Envolvimento da gerência e das partes interessadas em momentos-chave durante toda a execução do projeto;

Um bom canal de comunicação entre o time do projeto e o restante da organização.

PRINCE2 - Project In a Controlled Environment

215


É uma certificação concedida pelo Software Engeneering Institute (SEI), da Universidade Carnegie Mellon (EUA), que mede o grau de maturidade no processo de desenvolvimento de software.

O CMMI é um modelo de maturidade de processo mais abrangente que combina CMM com disciplinas mais amplas nas áreas de engenharia de sistemas e desenvolvimento de produtos.

As metas do Projeto CMMI são eliminar as inconsistências, reduzir duplicações, e diminuir o custo de implementação da melhoria de processos baseados em modelos.

Existem outras metas como: assegurar que os produtos do framework sejam simples de entender e usar - pois eles usam uma terminologia comum, tenham um estilo consistente, sigam regras de construção uniformes, e compartilhem componentes comuns entre os produtos.

CMMI - Capability Maturity Model Integration

216


A Organização Internacional para Padronização (ISO) é uma entidade que atualmente congrega mais de 170 países.

Fundada em 23 de fevereiro de 1947, em Genebra, na Suíça, a ISO aprova normas internacionais em todos os campos técnicos, exceto na electricidade e eletrônica, cuja responsabilidade é da International Electrotechnical Commission (IEC), fundada em 1906.

No Brasil, o órgão responsável pela ISO é a ABNT (Associação Brasileira de Normas Técnicas)

Entre os tipos de classificação da ISO, encontram-se:

Normas Técnicas, como por exemplo as da ABNT;

Classificações, como por exemplo, os códigos de países (PT / PRT / 620 para Portugal; BR / BRA / 076 para Brasil);

Normas de Procedimento, como por exemplo as de gestão da qualidade, de acordo com a ISO 9000.

ISO - International Organization for Standardization

217

http://pt.wikipedia.org/wiki/23_de_fevereiro

http://pt.wikipedia.org/wiki/1947

http://pt.wikipedia.org/wiki/Genebra

http://pt.wikipedia.org/wiki/Su%C3%AD%C3%A7a

http://pt.wikipedia.org/wiki/Norma_t%C3%A9cnica

http://pt.wikipedia.org/wiki/Electricidade

http://pt.wikipedia.org/wiki/Eletr%C3%B4nica

http://pt.wikipedia.org/wiki/Comiss%C3%A3o_Eletrot%C3%A9cnica_Internacional

http://pt.wikipedia.org/wiki/Comiss%C3%A3o_Eletrot%C3%A9cnica_Internacional


http://pt.wikipedia.org/wiki/Associa%C3%A7%C3%A3o_Brasileira_de_Normas_T%C3%A9cnicas

http://pt.wikipedia.org/wiki/Associa%C3%A7%C3%A3o_Brasileira_de_Normas_T%C3%A9cnicas

http://pt.wikipedia.org/wiki/Gest%C3%A3o_da_qualidade

http://pt.wikipedia.org/wiki/Gest%C3%A3o_da_qualidade

http://pt.wikipedia.org/wiki/ISO_9000


ISO – Alguns exemplos

218


A NBR ISO/IEC 20000, versão da ABNT para a ISO/IEC 20000, orienta a abordagem integrada de processos para um fornecimento eficaz de serviços de TI e define as diretrizes de qualidade para a gestão de serviços de TI.

Essa norma é estreitamente alinhada com o ITIL e fornece um critério de medição e validação do sucesso de uma organização na implementação desss melhores práticas.

O conteúdo da ISO 20000 é baseado nos seguintes documentos:

Primeira parte – Inclui um conjunto de requisitos mínimos e fomenta a adoção de uma abordagem de processos integrada para um fornecimento eficaz dos serviços geridos de forma a satisfazer os requisitos empresariais e dos clientes.

Segunda parte – Abrange um “Código de Práticas para Gestão de Serviços,” que expõe os elementos chave das melhores práticas ITIL. Esse documento pretende auxiliar as organizações no sentido de estabelecerem processos para alcançarem os objetivos da primeira parte (acima).

NBR ISO/IEC 20000 (ISO 20000)

219


A ABNT NBR ISO/IEC 27001, versão da ABNT para a ISO/IEC 27001, especifica os requisitos obrigatórios para estabelecer, implementar e documentar um Sistema de Gerenciamento de Segurança da Informação

Define os requisitos de controles de segurança a serem implementados de acordo com as necessidades individuais das organizações.

Ela é formada de onze seções de controle, trinta e nove processos e cento e trinta e três controles. Também está incluído nessa norma um modelo PDCA (Plan-Do-Check-Act), que permite melhoria contínua.

Este é o padrão internacional para a segurança da informação nas organizações e sua adoção deve ser uma decisão estratégica.

NBR ISO/IEC 27001 – Requisitos (ISO 27001)

220


A ABNT NBR ISO/IEC 27002, versão da ABNT para a ISO/IEC 27002, é um código de práticas para a segurança da informação, onde são enumerados mecanismos de controle que podem ser implementados de acordo com a ISO 27001.

Os controles apresentados destinam-se a atender os requisitos especificados em uma análise formal de riscos.

Esse padrão também fornece um guia para o desenvolvimento de padrões de segurança organizacional e práticas de gerenciamento eficaz de segurança.

A base dessa norma foi publicada pelo governo britânico e tornaram-se um padrão em 1995, quando foram republicadas pelo BSI (British Standards Institution) – BS7799.

Em 2000, a ISO (International Standards Organisation) republicou a norma como ISO 17799. Uma nova versão foi publicada em 2005 - ISO 27002.

NBR ISO/IEC 27002 – Código de Prática (ISO 27002)

221


Esta norma cobre o gerenciamento de riscos de segurança da informação.

Suporta especialmente os requisitos de gerenciamento da segurança da informação contidos na norma ISO 27001 e foi projetada para dar assistência à implementação da segurança da informação baseada numa abordagem de gerenciamento de riscos.

Essa norma se aplica a qualquer tipo de organização, inclusive órgãos governamentais, que desejem gerenciar os riscos que possam comprometer a segurança da informação.

Para efeito da ISO 27005, risco deve ser entendido como: uma combinação de conseqüências da ocorrência de um evento não desejado e da probabilidade da ocorrência do evento.

O processo de análise de riscos apresentado nessa norma indica a necessidade de identificar os ativos de informação que apresentam riscos, as potenciais fontes de ameaça, as vulnerabilidades e as conseqüencias da materialização dos riscos.

NBR ISO/IEC 27005 – Riscos (ISO 27005)

222


Norma lançada em 2008 que estabelece um novo padrão para Governança Corporativa de TI.

Essa norma foi baseada em um padrão australiano (AS8015) que provê seis princípios orientadores para o estabelecimento de uma boa governança corporativa e também para o uso aceitável, eficiente e efetivo dos recursos de TI:

Estabelecer responsabilidades facilmente compreensíveis para a TI;

Planejar a TI para que ela ofereça o melhor suporte à organização;

Validar as aquisições de TI;

Garantir o melhor desempenho da TI sempre que necessário;

Garantir a conformidade da TI junto às regras formais;

Garantir que a utilização dos recursos de TI respeite os fatores humanos.

ISO/IEC 38500 (ISO 38500)

223


Foi assinada em 30 de julho de 2002 pelo senador Paul Sarbanes (Democrata de Maryland) e pelo deputado Michael Oxley (Republicano de Ohio).

Motivada por escândalos financeiros coorporativos (dentre eles o da Enron e Arthur Andersen), essa lei foi redigida para evitar a fuga dos investidores causada pela aparente insegurança e falta de governança nas empresas.

A SOX visa garantir a criação de mecanismos de auditoria e segurança confiáveis nas empresas, incluindo regras para a criação de comitês encarregados de supervisionar suas atividades e operações, de modo a mitigar riscos aos negócios, evitar a ocorrência de fraudes ou assegurar que haja meios de identificá-las quando ocorrem, garantindo a transparência na gestão das empresas.

Atualmente grandes empresas com operações financeiras no exterior seguem a lei Sarbanes-Oxley. A lei também afeta dezenas de empresas brasileiras que mantém ADRs (American Depositary Receipts) negociadas na NYSE (Petrobras, GOL, TAM, Banco Itaú, etc)

A seção 404 determina uma avaliação anual dos controles e procedimentos internos para emissão de relatórios financeiros e auditoria para avaliar a eficácia dos controles internos.

A Lei Sarbanes Oxley (SOX ou Sarbox)

224

http://pt.wikipedia.org/wiki/30_de_julho


http://pt.wikipedia.org/w/index.php?title=Paul_Sarbanes&action=edit&redlink=1

http://pt.wikipedia.org/wiki/Democrata

http://pt.wikipedia.org/wiki/Maryland

http://pt.wikipedia.org/w/index.php?title=Michael_Oxley&action=edit&redlink=1

http://pt.wikipedia.org/wiki/Republicano

http://pt.wikipedia.org/wiki/Enron

http://pt.wikipedia.org/w/index.php?title=Arthur_Andersen&action=edit&redlink=1

http://pt.wikipedia.org/wiki/Auditoria

http://pt.wikipedia.org/wiki/Seguran%C3%A7a

http://pt.wikipedia.org/wiki/Empresas

http://pt.wikipedia.org/wiki/Riscos

http://pt.wikipedia.org/wiki/Neg%C3%B3cios

http://pt.wikipedia.org/wiki/Fraude

http://pt.wikipedia.org/wiki/NYSE

http://pt.wikipedia.org/wiki/Petrobras

http://pt.wikipedia.org/wiki/GOL_Linhas_A%C3%A9reas

http://pt.wikipedia.org/wiki/TAM_Linhas_A%C3%A9reas

http://pt.wikipedia.org/wiki/Banco_Ita%C3%BA


O Acordo de Capital de Basiléia II, também conhecido como Basiléia II, foi um acordo assinado no âmbito do Comitê da Basiléia em 2004 para substituir o acordo de Basiléia I. O Basiléia II fixa-se em três pilares e 25 princípios básicos sobre contabilidade e supervisão bancária.

Os 3 pilares são: 1. Capital (guardar) 2. Supervisão (fiscalizar) 3. Transparência e Disciplina de Mercado (divulgação de dados)

O Comitê de Supervisão Bancária de Basileia (BCBS, sigla de Basel Committee on Banking Supervision em inglês) é uma organização que congrega autoridades de supervisão bancária, visando a fortalecer a solidez dos sistemas financeiros

Ele foi estabelecido em 1974 pelos presidentes dos bancos centrais dos países do Grupo dos Dez (G-10). Normalmente se reúne no Banco de Compensações Internacionais, na Basileia, Suíça, onde se localiza sua secretaria permanente. Nesse comitê, são discutidas questões relacionadas à indústria bancária, visando estabelecer padrões de conduta, melhorar a qualidade da supervisão bancária e fortalecer a solidez e segurança do sistema bancário internacional.

O Comitê de Basileia é constituído por representantes de autoridades de supervisão bancária dos bancos centrais de Bélgica, Canadá, França, Alemanha, Itália, Japão, Países Baixos, Suécia, Suíça, Reino Unido e Estados Unidos, além de Luxemburgo e Espanha, que não são membros do G-10.

Basiléia II

225

http://pt.wikipedia.org/wiki/Comit%C3%AA_da_Basil%C3%A9ia

http://pt.wikipedia.org/wiki/Basil%C3%A9ia_I

http://pt.wikipedia.org/wiki/L%C3%ADngua_inglesa

http://pt.wikipedia.org/wiki/Bancos_centrais

http://pt.wikipedia.org/wiki/Grupo_dos_Dez

http://pt.wikipedia.org/wiki/Banco_de_Compensa%C3%A7%C3%B5es_Internacionais

http://pt.wikipedia.org/wiki/Banco_de_Compensa%C3%A7%C3%B5es_Internacionais

http://pt.wikipedia.org/wiki/Basileia


http://pt.wikipedia.org/wiki/B%C3%A9lgica

http://pt.wikipedia.org/wiki/Canad%C3%A1

http://pt.wikipedia.org/wiki/Fran%C3%A7a

http://pt.wikipedia.org/wiki/Alemanha

http://pt.wikipedia.org/wiki/It%C3%A1lia

http://pt.wikipedia.org/wiki/Jap%C3%A3o

http://pt.wikipedia.org/wiki/Pa%C3%ADses_Baixos

http://pt.wikipedia.org/wiki/Su%C3%A9cia


http://pt.wikipedia.org/wiki/Reino_Unido

http://pt.wikipedia.org/wiki/Estados_Unidos

http://pt.wikipedia.org/wiki/Luxemburgo

http://pt.wikipedia.org/wiki/Espanha


Publicada em 2006, essa resolução determina que as instituições autorizadas a funcionar pelo Banco Central devem implementar sua própria estrutura para gerenciamento do risco operacional.

No caso de TI, risco operacional refere-se a falhas em sistemas, interrupções das atividades e danos a ativos.

Essa resolução traz as seguintes implicações para TI:

Identificar, avaliar, monitorar, controlar e mitigar os riscos, incluindo os serviços de fornecedores

Desenvolver e implementar um Plano de Continuidade

Em geral, o Cobit é o modelo escolhido como ponto de partida para avaliação dos riscos e auditoria.

Resolução 3380 do Banco Central do Brasil

226


Instrução Normativa (MPOG 2008 e 2010)

227


De acordo com o Cobit 4.0, qual o critério define que a informação deve ser adequada para gerenciar a operação do negócio e para a alta direção exercer sua responsabilidade de geração de relatórios financeiros e de conformidade?

A. Confiabilidade B. Disponibilidade C. Eficiência D. Conformidade E. Efetividade

228


Quais afirmações estão corretas sobre maturidade do Cobit? I. Existem 5 níveis de maturidade e cada empresa define o objetivo desejado para cada processo

II. Aumentar o nível de maturidade de 2 para 3 significa que os processos são monitorados e medidos e que se deseja atingir um nível em que esses sejam documentados e comunicados

III. No nível 2, os processos evoluíram para um estágio onde procedimentos similares são seguidos por diferentes pessoas fazendo a mesma tarefa IV. No nível 1, a empresa reconheceu que existem questões e que precisam ser trabalhadas, mas não há um processo padronizado A.I e IV. B. I e III. C. I, II e III. D. III e IV. E. Todos

229


Quais afirmações estão corretas sobre os processos do Cobit? I. Definir um plano estratégico de TI: Sustentar ou estender a

estratégia de negócio e os requisitos de governança e, ao mesmo tempo, ser transparente quanto aos benefícios, custos e riscos

II. Gerenciar mudanças: Atender aos requisitos de negócio em alinhamento com a estratégia da organização, reduzindo retrabalho e defeitos na entrega de soluções e serviços

III. Definir e gerenciar níveis de serviço: Assegurar o alinhamento dos principais serviços de TI com a estratégia de negócio

IV. Prover governança: Integrar a governança de TI aos objetivos de governança corporativa e ter conformidade com leis, regulamentações e contratos

A. II e IV. B. I e III. C. I, II e III. D. I, III e IV. E. Todos

230


Quais afirmações estão corretas sobre cobit e governança? I. O BSC pode ser usado para mensuração de desempenho no

cobit

II. As áreas foco do cobit são alinhamento estratégico, entrega de valor, gestão de recursos, gestão de riscos, mensuração de desempenho e governança de TI

III. Os recursos presentes no cobit são aplicativos, informações, infraestrutura, pessoas e processos

IV. O uso do cobit é indicado para empresas que precisam ter aderência com a SOX

A. II e III. B. I e IV. C. I, II e IV. D. I, II, III. E. Todos

231


5. Novidades Cobit 5

232


Evolução do Cobit

233


Baseado em 5 princípios e 7 habilitadores

Os 37 processos contêm práticas e atividades

As Entradas e saídas ficam no nível das práticas

Matrizes RACI mais detalhadas

Novo modelo de avaliação de capacidade

Principais novidades do Cobit 5

234


A

a

235


O COBIT possui como princípio e enfoque exclusivo as funções inerentes a TI. Na versão 5, o COBIT integra, em um framework único, o BSC, o VAL IT e o COSO, devido ao fato de o cenário atual recomendar que a TI seja parte estratégica das organizações e de reconhecer a importância do alinhamento entre a TI e o negócio.

Concurso: STF (CESPE) 2013

Errado

236


1. Atender às necessidades dos stakeholders

2. Cobrir a organização de ponta a ponta

3. Aplicar um framework único e integrado

4. Possibilitar uma abordagem holística

5. Separar a governança da gestão

Os 5 Princípios do Cobit5

237


O Cobit 5 agrupa cinco princípios que permitem às corporações construírem um framework efetivo de governança e gestão, baseado em um conjunto de sete viabilizadores (enablers), que otimizam os investimentos em tecnologia e informação, assim como seu uso em benefício das partes interessadas.


Certo

238


Os 7 Habilitadores (Enablers) do Cobit 5

239


1. Princípios, políticas e frameworks: Traduzem o comportamento desejado em um guia prático;

2. Processos: Conjunto organizado de práticas e atividades para atingir certos objetivos e produzir um conjunto de saídas que auxiliem no cumprimento das metas relacionadas a TI;

3. Estruturas organizacionais: Entidades-chave, responsáveis pela tomada de decisão em uma organização;

4. Cultura, ética e comportamento: Indivíduos e da organização (frequentemente é subestimada);

5. Informação: É imprescindível para manter a organização em funcionamento e bem governada;

6. Serviços, infraestrutura e aplicações: inclui a infraestrutura, tecnologia e aplicações que fornecem os serviços de TI;

7. Pessoas, habilidades e competências: Associado às pessoas e são requeridas para que as atividades sejam executadas com sucesso e para que decisões e ações corretivas sejam realizadas.

Os 7 Viabilizadores (Enablers) do Cobit 5

240


Todos os Habilitadores tem dimensões comuns (Genéricas)

241


O Cobit 5 separa Governança e Gestão

242


Julgue os itens de acordo com o COBIT 5 97 A integracao da governanca corporativa a gestao de TI consiste em um dos principios do COBIT. 98 Os processos da area chave denominada governanca estao incluidos em um unico dominio, no qual sao definidas as praticas para avaliar, dirigir e monitorar. 99 A entrega de informacao apropriada para que um executivo de uma empresa tome uma decisao responsavel diz respeito ao requisito de conformidade da informacao.

Concurso: TJ_SE (CESPE) 2014

Errado

243

Certo

Errado


A

a

244


Concurso: TRT 8ª Região 2013

De acordo com o COBIT 5, os processos de definição dos requisitos e de habilitação das mudanças organizacionais constam do domínio A construir, planejar e organizar. B planejar e organizar. C adquirir e implementar. D alinhar, planejar e organizar. E construir, adquirir e implementar.

245


Gerenciar mudanças e gerenciar problemas são processos do domínio deliver, service and support, que abrange aspectos de entrega de tecnologia da informação, bem como da execução de aplicações dentro do sistema de TI e seus resultados.


Errado

246


Exemplos de Habilidades no Cobit 5

247


O Cobit 5 separa Governança e Gestão

248


1. Avaliar, Dirigir e Monitorar (EDM)

Possui 5 processos que ditam as responsabilidades da alta direção para a avaliação, direcionamento e monitoração do uso dos ativos de TI para a criação de valor.

Cobre a definição de um framework de governança, o estabelecimento das responsabilidades em termos de valor para a organização, fatores de risco e recursos (ex. otimização de recursos), além da transparência da TI para as partes interessadas (stakeholders).

O Domínio de Governança

249


1. Alinhar, Planejar e Organizar (APO):

Identificação de como a TI pode contribuir melhor com os objetivos de negócio.

Estão relacionados com a estratégia e táticas de TI, arquitetura corporativa, inovação e gerenciamento de portfólio, orçamento, qualidade, riscos e segurança.

Os 4 Domínios de Gestão

250


2. Construir, Adquirir e Implementar (BAI)

Concretiza a estratégia, identificando os requisitos para a TI e gerenciando o programa de investimentos em TI e projetos associados.

Este domínio também endereça o gerenciamento da disponibilidade e capacidade; mudança organizacional; gerenciamento de mudanças (TI); aceite e transição; e gerenciamento de ativos, configuração e conhecimento.


251


3. Entregar, Servir e Suportar (DSS)

Trata a entrega dos serviços de TI necessários para atender aos planos táticos e estratégicos.

Inclui processos para gerenciar operações, requisições de serviços e incidentes, assim como o gerenciamento de problemas, continuidade, serviços de segurança e controle de processos de negócio.


252


4. Monitorar, Avaliar e Medir (MEA)

Visa monitorar o desempenho dos processos de TI, avaliando a conformidade com os objetivos e com os requisitos externos.


253


O COBIT 5 possui cinco domínios, sendo um deles o domínio Avaliar, Direcionar e Monitorar (EDM – Evaluate, Direct and Monitor), afeto diretamente à governança e relacionado a ISO 38500.


Certo

254


• EDM01 - Assegurar o Estabelecimento e Manutenção do Framework de Governança

• Analisa e articula os requisitos para governança empresarial de TI

• Mantém estruturas, princípios, processos e práticas habilitadoras, com esclarecimento de responsabilidades e autoridades para alcançar a missão, metas e objetivos da organização.

Domínio Avaliar, Dirigir e Monitorar (EDM)

255


• EDM02 - Assegurar a Entrega de Benefícios

• Otimiza o valor que é entregue ao negócio a partir de processos de negócio, serviços de TI e ativos resultantes de investimentos feitos na TI.


256


• EDM03 - Assegurar a Otimização de Riscos

• Assegura que o apetite e tolerância a riscos da organização é entendido, articulado e comunicado e que o risco ao valor empresarial relacionado ao uso de TI é identificado e gerenciado.


257


• EDM04 - Assegurar a Otimização de Recursos

• Assegura que habilidades adequadas e suficientes relacionadas a TI estão disponíveis para suportar os objetivos empresariais efetivamente a um custo ótimo.


258


• EDM05 - Assegurar a Transparência para as partes interessadas

• Assegura que o desempenho, conformidade e reporte da TI são transparentes para os stakeholders aprovando as metas e métricas e ações de remedição são necessárias.


259


• AP001 - Gerenciar o Framework de Gestão de TI

• Esclarece e mantém a missão e visão da governança empresarial de TI. Implementa e mantém mecanismos e autoridades para gerenciar informação e uso da TI na empresa.

Domínio Alinhar, Planejar e Organizar (APO)

260


• AP002 - Gerenciar a Estratégia

• Fornece uma abordagem holística do negócio e ambiente de TI atual, direção futura e das iniciativas requeridas para migrar para o ambiente futuro desejado.

• Alinha planos de TI aos objetivos de negócio.


261


• AP003 - Gerenciar a Arquitetura Corporativa

• Estabelece uma arquitetura comum constituída de camada de processos de negócio, informação, dados, aplicativos e tecnologia para realizar de forma eficaz e eficiente as estratégias de TI e de negócio criando modelos e práticas chave que descrevem arquiteturas de linha de base.


262


• AP004 - Gerenciar a Inovação

• Mantém uma consciência da tecnologia da informação e tendências de serviço relacionadas, identificando oportunidades de inovação e planeja como se beneficiar a partir da inovação em relação as necessidades de negócio.


263


• AP005 - Gerenciar o Portfólio

• Executa a direção estratégica para investimentos alinhados com a visão da arquitetura empresarial e características dos investimentos e restrições de recursos e orçamento.

• AP006 - Gerenciar Orçamento e Custos

• Gerencia as atividades financeiras relacionadas a TI tanto nas funções de negócio com de TI, cobrindo orçamento, gerenciamento de custo e benefício e priorização de gastos.


264


• AP007 - Gerenciar Recursos Humanos

• Fornece uma abordagem estruturada para assegurar a ótima estruturação, contratação, direitos de decisão e habilidades de recursos humanos.

• AP008 - Gerenciar as Relações

• Gerencia o relacionamento entre o negócio e TI de maneira formal e transparente que assegure um foco na realização de resultados de negócio.


265


• AP009 - Gerenciar os Acordos de Serviço

• Alinha serviços e níveis de serviço fornecidos pela TI com as necessidades expectativas da empresa, incluindo a identificação, especificação, desenho, publicação, acordo e monitoração de serviços, níveis de serviço e indicadores de desempenho.

• AP010 - Gerenciar os Fornecedores

• Gerencia serviços relacionados a TI fornecidos por todos os tipos de fornecedores para atender aos requisitos da empresa, incluindo a seleção de fornecedores, gerenciamento de relacionamento, gerenciamento de contratos e revisão e monitoração de desempenho de fornecedores.


266


• AP011 Gerenciar a Qualidade

• Define e comunica requisitos de qualidade para todos os processos, procedimentos e resultados de negócio relacionados, incluindo controles, monitoramento contínuo e uso de práticas e normas na melhoria contínua.

• AP012 Gerenciar os Riscos

• Identifica, avalia e reduz continuamente os riscos relacionados a TI dentro de níveis de tolerância estabelecidos pela gerência executiva da empresa.

• AP013 Gerenciar a Segurança

• Define, opera e monitora um sistema para gestão da segurança da informação.


267


• BAI01 - Gerenciar Programas e Projetos

• Gerencia todos os programas e projetos a partir do portfólio de investimentos alinhados com a estratégia da empresa e em de forma coordenada. Inicia, planeja e executa programas e projetos e encerra com uma revisão pós-implementação.

• BAI02 - Gerenciar a Definição de Requisitos

• Identifica soluções e analisa requisitos antes da aquisição ou criação para assegurar que eles estão alinhados com os requisitos da estratégia da empresa cobrindo processos de negócio, aplicativos, informação/dados, infraestrutura e serviço.

Domínio Construir, Adquirir e Implementar (BAI)

268


• BAI03 - Gerenciar a Identificação e Construção de Soluções

• Estabelece e mantém soluções identificadas de acordo com requisitos da empresa, cobrindo desenho, desenvolvimento, aquisição/terceirização e parceria com fornecedores/vendedores.

• BAI04 - Gerenciar a Disponibilidade e Capacidade

• Balanceia necessidades atuais e futuras para disponibilidade, desempenho e capacidade com provisão de serviço a um custo-efetivo.


269


• BAI05 - Gerenciar a lmplementação de Mudança Organizacional

• Maximiza a probabilidade de sucesso da implementação de mudança organizacional sustentável em toda a empresa de forma rápida e com risco reduzido.

• BAI06 - Gerenciar Mudanças

• Gerencia todas as mudanças de uma forma controlada, incluindo mudanças padrão e emergencial, relacionadas a processos de negócio, aplicativos e infraestrutura.


270


• BAI07 Gerenciar Aceite e Transição de Mudança

• Recebe e produz formalmente novas soluções operacionais, incluindo planejamento de implementação, sistema e conversão de dados, testes de aceitação comunicação, preparação de liberação, promoção para a produção de processos de negócio e serviços de TI novos ou alterados, apoio inicial a operação e uma revisão pós implementação.

• BAIO8 Gerenciar o Conhecimento

• Mantém a disponibilidade de conhecimento relevante, atual, validado e confiável para apoiar todas as atividades de processo e facilitar a tomada de decisão.


271


• BAI09 - Gerenciar os ativos

• Gerencia ativos de TI para se certificar de que seu uso agrega valor a um custo ótimo, permanecem operacionais (aptos para o propósito), estão fisicamente protegidos e são fundamentais para apoiar a capacidade de serviço.

• BAI10 - Gerenciar a configuração

• Define e mantém os relacionamentos entre os principais recursos e capacidades necessárias para entregar serviços apoiados pela TI, incluindo a coleta de informações de configuração, estabelecimento de linhas de base, verificação e auditoria de informações de configuração e atualização.


272


• DSS01 - Gerenciar as operações

• Coordena e executa as atividades e procedimentos operacionais necessários para entregar serviços de TI internos e terceirizados, incluindo a execução de procedimentos operacionais pré-definidos e as atividades de monitoração.

• DSS02 - Gerenciar Requisições de Serviço e Incidentes

• Fornece uma resposta em tempo oportuno e eficaz às requisições dos usuários e resolução de todos os tipos de incidentes.

Domínio Entregar, Servir e Suportar (DSS)

273


• DSS03 - Gerenciar Problemas

• Identifica e classifica os problemas e suas causas raízes e proporciona resolução em tempo oportuno para prevenir incidentes recorrentes.

• DSS04 - Gerenciar a Continuidade

• Estabelece e mantém um plano para permitir a resposta a incidentes e a interrupções, a fim de continuar a operação de processos de negócio críticos e serviços de TI requeridos e mantém a disponibilidade de informações em um nível aceitável para a empresa.


274


• DSS05 - Gerenciar os Serviços de Segurança

• Protege informações da empresa para manter o nível de risco aceitável para segurança da informação da empresa em conformidade com a política de segurança.

• DSS06 - Gerenciar os Controles de Processos de Negocio

• Define e mantém controles de processos de negócio adequados para assegurar que as informações relacionadas e processadas dentro da empresa ou de forma terceirizada satisfaz todas as exigências de controle das informações pertinentes.


275


• MEA01 - Monitorar, Avaliar e Medir o Desempenho e Conformidade: Coleta, valida e avalia metas/métricas de processos de TI/negócio e Monitora se os processos estão operando conforme as definições.

• MEA02 - Monitorar, Avaliar e Medir o Sistema de Controle Interno: Monitora e avalia continuamente o ambiente de controle, incluindo avaliações (Interna e Externa).

• MEA03 Monitorar, Avaliar e Medir a Conformidade com Requisitos Externos: Avalia se processos de TI e processos negócios apoiados por TI estão em conformidade com leis, regulamentos e exigências contratuais.

Domínio Monitorar, Avaliar e Medir (MEA)

276


Ciclo de vida para implantação tem 7 Fases

277

Governança de TI [email protected] 278


Mapear situações “as-is” e “to-be”

Realizar análises de gap entre a situação atual e situação desejada

Benchmarking de capacidade de processos

Comunicar à alta administração a situação atual

Objetivos do Modelo de Capacidade

279


0: Processo Incompleto/Inexistente - O processo não foi implementado ou não atingiu seu objetivo.

1: Processo Executado (um atributo) - O processo implementado atinge seu objetivo.

2: Processo Gerenciado (dois atributos) - O processo é implementado de forma administrativa (planejado, monitorado e ajustado) e seus produtos do trabalho são adequadamente estabelecidos, controlados e mantidos.

3: Processo Estabelecido (dois atributos) - O processo controlado descrito acima agora é implementado utilizando um processo definido capaz de atingir seus resultados.

4: Processo Previsível (dois atributos) – O processo opera agora dentro dos limites definidos para produzir seus resultados.

5: Processo Otimizado (dois atributos) - O processo é continuamente melhorado para atingir seus objetivos.

Modelo de Capacidade dos Processos

280




1. Desempenho do Processo (PA 1.1): Atinge os seus objetivos.

2. Gerenciamento de Desempenho (PA 2.1): Os objetivos são definidos, planejados e monitorados de acordo com um plano.

3. Gerenciamento dos Produtos do Processo (PA 2.2):◦ Os produtos do processo são definidos, controlados e documentados.

4. Definição de Processo (PA 3.1): Um processo padrão é definido

5. Implantação de Processo (PA 3.2): ◦ Papeis e responsabilidades são alocados e comunicados.

6. Medição de Processo (PA 4.1): Objetivos quantitativos são estabelecidos e métricas são identificadas.

7. Controle de Processo (PA 4.2): Uso de Técnicas de análise e controle

8. Inovação do Processo (PA 5.1): Dados são coletados no sentindo de possibilitar inovação e boas práticas.

9. Otimização de Processo (PA 5.2): Mudanças são propostas e implementadas para melhorar o processo

Atributos do Modelo de Capacidade

283


100 A dimensao do ciclo de vida dos viabilizadores (enablers) constitui-se, entre outras, das acoes de planejar; construir, adquirir e implementar; monitorar e avaliar. 101 As dimensoes do balanced scorecard sao empregadas para o desenvolvimento dos objetivos corporativos (entreprise goals) e dos objetivos relacionados a TI constantes da cascata de objetivos do COBIT.

Concurso: TJ_SE (CESPE) 2014

Certo

284

Certo


Plano Desenho Construção/Aquisição/Implementação Uso/Operação Avaliação/Monitoração Eliminação

Existem quatro dimensões dos Habilitadores

Partes interessadas (stakeholders) Metas Ciclo de vida Boas práticas

Ciclo de vida é uma dimensão dos Habilitadores

285


Cascata de Objetivos (Goals Cascade)

286

Education

Cobit governança de ti - 2015v2 - com gabarito