Upload
marcio-daudt
View
663
Download
3
Embed Size (px)
Citation preview
Governança de TI [email protected]
Preparatório para Concursos de TI
1
Governança de TI - COBIT 2015v2 – COM gabarito
Mestre, MBA, PMP, ITIL, Cobit
http://www.facebook.com/antonio.muniz.161?ref=tn_tnmn
http://br.linkedin.com/pub/antonio-muniz-mba-msc-pmp/9/428/3bb
Governança de TI [email protected]
Conteúdo do Curso
1 - Introdução à Governança de TI
2 - Usando o BSC na Governança de TI
3 - Processos do Cobit
4 - Relacionamento com demais modelos
5 – Novidades no Cobit 5
2
Governança de TI [email protected]
Segundo a OCDE (Organização para Cooperação e Desenvolvimento Econômico), a governança corporativa é definida como o conjunto de relações entre a administração de uma empresa, seu conselho de administração, seus acionistas e outras partes interessadas.
Segundo a CVM (Comissão de Valores Mobiliários), Governança corporativa é o conjunto de práticas que tem por finalidade otimizar o desempenho de uma companhia, ao proteger todas as partes interessadas, tais como investidores, empregados e credores, facilitando o acesso ao capital.
É esperado que a Governança Corporativa assegure a observância de critérios que garantam a proteção financeira dos acionistas, como eqüidade entre controladores e minoritários, transparência (disclosure), responsabilidade pelos resultados (accountability) e obediência às leis do país (compliance).
Conceito de Governança Corporativa
5
Governança de TI [email protected]
Concurso: Petrobras (Cesgranrio) 2012
A respeito do tema Governança de TI, verifica-se que a(o) (A) modelagem de processos é uma ferramenta utilizada para saber que situação existe e a que situação se quer chegar e é um instrumento importante na governança de TI. (B) governança de TI e a governança corporativa possuem significados idênticos e retratam a forma de gerir estrategicamente uma organização. (C) gerenciamento de problemas e incidentes ou processos correlatos a eles podem, normalmente, ser supridos no gerenciamento de TI. (D) plano estratégico de TI pode ser feito sem levar em conta a capacidade de recursos da empresa, uma vez que tais recursos podem ser contratados a qualquer tempo. (E) porte da empresa é um fator irrelevante quando se faz um planejamento estratégico de TI, uma vez que, independente do porte, o gerenciamento de TI deve ser feito apropriadamente.
6
Governança de TI [email protected]
Governança de TI é definida como uma estrutura de relações e processos que dirige e controla uma organização a fim de atingir seu objetivo de adicionar valor ao negócio por meio do gerenciamento balanceado do risco com o retorno do investimento. O objetivo principal da Governança de TI é alinhar a TI ao negócio, agregando valor e minimizando riscos (IT GOVERNANCE INSTITUTE).
Governança de TI é o modelo como as decisões são tomadas e responsabilidades direcionadas para encorajar um comportamento desejável no uso de TI (WEILL; ROSS, 2004).
A necessidade da avaliação do valor de TI, o gerenciamento dos riscos relacionados à TI e as crescentes necessidades de controle sobre as informações são agora entendidos como elementos-chave da governança corporativa. Valor, risco e controle constituem a essência da governança de TI (Cobit, 2007)
A Governança de TI faz parte da Governança Corporativa
7
Governança de TI [email protected]
Concurso: Petrobras (Cesgranrio) 2010
Considere as afirmações abaixo sobre Governança de TI. I - Há uma preocupação crescente com o aumento dos gastos em TI, o retorno de investimentos nessa área e o alinhamento com as atividades de negócio, aumentando a importância da governança. II - São aspectos fundamentais da governança de TI: controle, valor e risco. III - As disciplinas de ITIL referentes ao gerenciamento de serviços estão divididas em desenvolvimento de sistemas e suporte. IV - Um plano estratégico de TI deve ser considerado AD HOC quando a sua necessidade ainda não é conhecida pela Direção de TI. Estão corretas as afirmações (A) I e II, apenas. (B) I e IV, apenas. (C) II e III, apenas. (D) I, III e IV, apenas. (E) I, II, III e IV.
8
Governança de TI [email protected]
A Governança Corporativa é considerada atualmente uma prática administrativa a ser seguida pelas empresas que têm visão de longo prazo, bem como desejam permanecer e ganhar novos mercados.
A sociedade exige melhores práticas, cobrando transparência e ética nas organizações.
Governança Corporativa
Fonte: IBGC
9
Governança de TI [email protected]
Transparência: Informações além da impostas por leis ou regulamentos (ex: fatores intangíveis - ação gerencial e criação de valor).
Equidade: Tratamento justo de todos os sócios e demais partes interessadas (stakeholders).
Prestação de Contas (accountability): Assumindo as consequências de seus atos e omissões.
Responsabilidade Corporativa: Zelar pela sustentabilidade das organizações, visando à sua longevidade.
Princípios da Governança Corporativa
Fonte: IBGC
11
Governança de TI [email protected]
Príncipios, Pilares e Práticas
Fonte: IBGC
Transparência - Eqüidade - Prestação de Contas -
Responsabilidade Corporativa
Só
cio
s
Co
ns
elh
o d
e
Ad
min
istr
aç
ão
Ge
stã
o
Au
dit
ori
a
Práticas
Pilares da
Governança
Corporativa
Princípios
Básicos
C
on
se
lho
Fis
ca
l 12
Governança de TI [email protected]
Objetvos => Governança Corporativa e Governança de TI
Governança Corporativa Governança de TI
Como os financiadores se asseguram de
que os gestores vão dar retorno de seus
investimentos ?
Como a diretoria assegura que o CIO e a
estrutura de TI irão agregar valor para a
organização?
Como os financiadores se asseguram de
que os gestores não vão expropriar o
capital que investiram ou investir em
projetos ruins?
Como a diretoria se assegura de que o CIO e
a estrutura de TI não irão expropriar o capital
investido ou investir em projetos ruins?
Como os financiadores controlam os
gestores?
Como a diretoria controla o CIO e a estrutura
de TI?
Fonte: HAES et al, 2004
13
Governança de TI [email protected]
Diferenças entre Governança e Gestão de TI
GOVERNANÇA GESTÃO (Gerenciamento)
Tem foco externo e interno Tem foco interno
Níveis mais altos da organização
Nível médio e operacional da organização
Orientado à estratégia Orientado a tarefas
Voltado ao futuro Voltado ao presente
Fonte: Rossi, 2004 e Meyer, 2004
14
Governança de TI [email protected]
O CobiT® fornece boas práticas através de um modelo de domínios e processos e apresenta atividades em uma estrutura lógica e gerenciável.
As boas práticas do CobiT representam o consenso de especialistas e são fortemente focadas mais nos controles e menos na execução.
Essas práticas irão ajudar a otimizar os investimentos em TI, assegurar a entrega dos serviços e prover métricas para julgar quando as coisas saem erradas.
Para a área de TI ter sucesso em entregar os serviços requeridos pelo negócio, os executivos devem implementar um sistema interno de controles ou uma metodologia. O modelo de controle do CobiT contribui para essas necessidades ao:
Fazer uma ligação com os requisitos de negócios.
Organizar as atividades de TI em um modelo de processos geralmente aceito.
Identificar os mais importantes recursos de TI a serem utilizados.
Definir os objetivos de controle gerenciais a serem considerados.
O Cobit® (Control Objectives for Information and related Technology)
15
Governança de TI [email protected]
Concurso: BNDES (Cesgranrio) 2008
NÃO é recomendado aplicar COBIT para (A) qualificar a contratação de prestadores de serviços de TI. (B) avaliar pontos fortes e fracos dos processos de TI. (C) promover benchmarking. (D) auditar os riscos operacionais de TI. (E) gerenciar configuração de ativos de rede.
16
Governança de TI [email protected]
O CobiT é um modelo e uma ferramenta de suporte que permite aos gerentes suprir as deficiências com respeito aos requisitos de controle, questões técnicas e riscos de negócios, comunicando esse nível de controle às partes interessadas.
O CobiT habilita o desenvolvimento de políticas claras e boas práticas para controles de TI em toda a empresa.
O CobiT é atualizado continuamente e harmonizado com outros padrões e guias. Assim, o CobiT tornou-se o integrador de boas práticas de TI e a metodologia de governança de TI que ajuda no entendimento e gerenciamento dos riscos e benefícios associados com TI.
A estrutura de processos do CobiT e o seu enfoque de alto nível orientado aos negócios fornece uma visão geral de TI e das decisões a serem tomadas sobre o assunto.
O Cobit® (Control Objectives for Information and related Technology)
17
Governança de TI [email protected]
Concurso: TRE_ES (Cespe) 2011
As organizações bem-sucedidas reconhecem os benefícios da tecnologia da informação (TI) e a utilizam para direcionar os valores das partes interessadas no negócio. Essas organizações consideram que as boas práticas do Control Objectives for Information and Related Technology (COBIT) podem auxiliá-las a otimizar os investimentos em TI. IT Governance Institute, COBIT 4.1, 2007, p. 7 (com adaptações). Tendo o texto acima como referência inicial, julgue os itens a seguir: 84 O COBIT é definido como um modelo, em vez de uma ferramenta de suporte, visto que, a partir dessa visão, os gerentes podem suprir deficiências referentes a requisitos de controle, questões técnicas e riscos de negócios. Errado
18
Governança de TI [email protected]
Versões do Cobit
Primeira versão em 1996
Compilação de referências sobre controle e auditoria de TI
Segunda versão em 1998
Acréscimo e atualização de referências, kit de implantação (criação da ISACA)
Terceira versão em 2000
IT Governance Institute e criação do “Management Guidelines”
Quarta versão em 2005 (Cobit 4.0)
Consolidação e detalhamento de instrumentos gerenciais
Refinamento em 2007 (Cobit 4.1)
Quinta versão em 2012 (Cobit 5)
Unificação com outros modelos (VAL-IT, Riscos, Segurança, etc)
19
Governança de TI [email protected]
A governança de TI é de responsabilidade dos executivos e da alta direção, consistindo em aspectos de liderança, estrutura organizacional e processos que garantam que a área de TI da organização suporte e aprimore os objetivos e as estratégias da organização.
Além disso, a governança de TI integra e institucionaliza boas práticas para garantir que a área de TI da organização suporte os objetivos de negócios. A governança de TI habilita a organização a obter todas as vantagens de sua informação, maximizando os benefícios, capitalizando as oportunidades e ganhando em poder competitivo.
Esses resultados requerem um modelo para controle de TI que se adeque e dê suporte ao COSO (“Committe of Sponsoring Organisations of the Treadway Commission’s Internal Control – Integrated Framework”), um modelo para controles internos amplamente aceito para governança e gerenciamento de riscos empresariais, e outros modelos similares.
A Governança de TI, segundo o Cobit
21
Governança de TI [email protected]
Concurso: Casa da Moeda (Cesgranrio) 2012
A Governança de TI (A) teve origem no mercado de petróleo mundial. (B) foi impulsionada pela crescente manipulação de preços na comercialização de commodities. (C) gera um aumento de risco para os investidores da empresa. (D) é uma forma de atrair capital. (E) está relacionada com a redução de rentabilidade das empresas.
22
Governança de TI [email protected]
Concurso: Controladoria_PE (Cespe) 2011
A respeito do guia Cobit 4.1, assinale a opção correta.
A A efetividade e a eficácia são critérios do Cobit com base nos quais se atesta a qualidade da informação; já a eficiência constitui critério de qualidade das metodologias de gestão de projetos. B Por meio da governança de tecnologia da informação (TI), controlam-se os investimentos em software, uma vez que os investimentos em hardware são de responsabilidade da gestão de infraestrutura. C A governança de TI compete à equipe técnica, que é a responsável por criar mecanismos de controle, dispensando-se, dessa forma, as intervenções da alta direção da empresa nas questões técnicas da área de TI. D Define-se governança de TI como uma estrutura de relações e processos mediante a qual se dirige e se controla uma organização com objetivo de adicionar valor ao negócio a partir do gerenciamento balanceado do risco com o retorno do investimento de TI. E A governança de TI restringe-se ao gerenciamento de recursos, cujo objetivo é otimizar os investimentos, bem como controlar a utilização dos recursos e a mensuração do desempenho da organização.
23
Governança de TI [email protected]
Pesquisar, desenvolver, publicar e promover um modelo de controle para governança de TI atualizado e internacionalmente reconhecido para ser adotado por organizações e utilizado no dia-a-dia por gerentes de negócios, profissionais de TI e profissionais de avaliação.
O uso do Cobit ajuda uma empresa a:
Possivelmente atingir seus objetivos
Ter resiliência suficiente para aprender e se adaptar
Gerenciar adequadamente os riscos encontrados
Apropriadamente reconhecer as oportunidades e agir sobre elas
Missão do Cobit®
24
Governança de TI [email protected]
Sobre as características do COBIT, considere: I. É aceito nacionalmente, baseado em experiências profissionais e práticas de experts no assunto de desenvolvimento de softwares. II. É uma ponte de comunicação entre as funções de TI, de negócio e de auditoria, oferecendo uma linguagem comum, entendida por todos. III. É flexível e adaptável para atender a qualquer tipo, cultura e tamanho de empresa. Está correto o que consta em (A) I, II e III. (B) I e II, apenas. (C) II e III, apenas. (D) III, apenas. (E) II, apenas.
Concurso: TRF (FCC) 2010
25
Governança de TI [email protected]
Um melhor alinhamento baseado no foco do negócio
Uma visão clara para os executivos sobre o que TI faz
Uma clara divisão das responsabilidades baseada na orientação para processos
Aceitação geral por terceiros e órgãos reguladores
Entendimento compreendido entre todas as partes interessadas, baseado em uma linguagem comum
Cumprimento dos requisitos do COSO para controle do ambiente de TI.
Benefícios do Cobit® como modelo de Governança
26
Governança de TI [email protected]
Áreas de foco na Governança de TI
Alinhamento estratégico: Foco em garantir a ligação entre os planos de negócios e de TI.
Entrega de valor: É a execução da proposta de valor de TI através do ciclo de entrega, garantindo os benefícios prometidos na estratégia da organização (otimizar custos).
Gestão de risco: Entendimento claro do apetite de risco da empresa e dos requerimentos de conformidade, transparência sobre os riscos significativos e sua gestão.
Gestão de recursos: Refere-se à melhor utilização dos investimentos e o recursos críticos de TI: aplicativos, informações, infraestrutura e pessoas.
Mensuração de desempenho: Acompanha e monitora a implementação da estratégia, término do projeto, uso dos recursos, processo de performance e entrega dos serviços, usando, por exemplo, “balanced scorecards” que traduzem as estratégia em ações para atingir os objetivos.
27
Governança de TI [email protected]
Concurso: IBGE (Cesgranrio) 2014
Segundo as melhores práticas, as áreas de foco da governança de TI são as seguintes: (A) entrega de valor, gestão de RH, auditoria e gerenciamento de projetos (B) alinhamento estratégico, entrega de valor, gestão de risco, gestão de recursos e mensuração de desempenho (C) gerenciamento de projetos, gerenciamento de nível de serviço, gestão de RH, segurança da informação e engenharia de software (D) auditoria, melhoria da qualidade, gestão de riscos, atingimento de metas e evolução tecnológica (E) desenvolvimento de software, arquitetura, aquisições, suporte a serviços e capacitação
28
Governança de TI [email protected]
Concurso: CEFET (Cesgranrio) 2014
O alinhamento estratégico é uma das áreas focadas na Governança de TI, pois busca principalmente (A) acompanhar e monitorar a implementação da estratégia, término do projeto, uso dos recursos, processo de performance e entrega dos serviços. (B) assegurar a melhor utilização possível dos investimentos e o apropriado gerenciamento dos recursos críticos de TI. (C) garantir a ligação entre os planos de negócios e de TI, definindo a proposta de valor de TI. (D) ter um entendimento claro do apetite de risco da empresa e dos requerimentos de conformidade. (E) usar os “balanced scorecards” que traduzem a estratégia em ações para atingir os objetivos.
29
Governança de TI [email protected]
Concurso: BR (Cesgranrio) 2012
Sejam as seguintes ações descritas na documentação COBIT 4.1 associadas às áreas foco da governança de TI: • gerenciar apropriadamente aplicativos, informações, infraestrutura e pessoas; • acompanhar a implementação da estratégia, término do projeto, uso do balanced scorecards; • garantir a ligação entre os planos de negócios e de TI, definindo, mantendo e validando a proposta de valor de TI, alinhando as operações de TI com as operações da organização. Essas ações estão associadas, respectivamente, às seguintes áreas foco: (A) Gestão de recursos, Mensuração de desempenho, Alinhamento estratégico (B) Gestão de recursos, Entrega de valor, Gestão de riscos (C) Entrega de valor, Gestão de riscos, Alinhamento estratégico (D) Gestão de riscos, Mensuração de desempenho, Entrega de valor (E) Alinhamento estratégico, Entrega de valor, Gestão de recursos
30
Governança de TI [email protected]
Executivos de negócio e a Alta Direção demandando um melhor retorno dos investimentos em TI, isto é, entregue o que é necessário para aumentar o valor
Preocupação com o aumento observado dos gastos com TI
A necessidade de atender às exigências regulatórias de controles de TI em áreas como privacidade de informações e relatórios financeiros (por exemplo, Lei Sarbanes-Oxley e Basiléia II) e regulamentações para setores específicos
Seleção de provedores e o gerenciamento e aquisição de serviços terceirizados
Os riscos relacionados a TI cada vez mais complexos
Iniciativas de governança de TI que incluem a adoção de metodologias de controles para monitorar atividades críticas de TI e reduzir os riscos.
A necessidade de otimizar os custos seguindo, sempre que possível, um enfoque padronizado em vez de abordagens especialmente desenvolvidas.
A crescente maturidade e aceitação de metodologias bem-sucedidas, tais como o CobiT, ITIL, ISO 27000 (segurança da informação), ISO 9001:2000, Capability Maturity Model Integration (CMMI), Projects in Controlled Environments 2 (PRINCE2) e o Guide to the Project Management Body of Knowledge (PMBOK).
A necessidade das empresas realizarem benchmarking
Fatores que contribuíram para o uso de Boas Práticas
31
Governança de TI [email protected]
Características do Cobit
Foco no negócio
Alinhamento das metas de TI a metas de negócio
Orientado a processos
Organização das atividades de TI em um modelo de processos aplicável de forma geral
Identificação de responsabilidades pelos processos nas áreas de negócio e TI
Baseado em controles
Definição dos objetivos de controle a serem considerados pela gerência
Dirigido por métricas
Uso de indicadores e modelos de maturidade
32
Governança de TI [email protected]
Concurso: Casa da Moeda (Cesgranrio) 2012
A respeito do COBIT, NÃO procede a afirmação de que (A) suas práticas influenciam diversas áreas de uma organização, sem se restringir ao setor de TI. (B) uma de suas principais características é a orientação para negócios. (C) um dos seus objetivos é avaliar as organizações em relação às suas práticas gerenciais relacionadas com a tecnologia da informação. (D) o modelo foi desenvolvido com forte ênfase em controles. (E) o modelo de maturidade genérico possui 3 níveis.
33
Governança de TI [email protected]
Como o Cobit atende aos requisitos de Governança?
Objetivos de negócios requerem informações
Informações devem atender aos critérios de qualidade, segurança e confiabilidade
Informações são produzidas por recursos de TI
Informações, aplicativos, infraestrutura e pessoas
Recursos de TI são gerenciados por processos
Definição de responsabilidades e metas
Processos devem ser controlados
Objetivos de controle, indicadores de desempenho e indicadores de resultados
34
Governança de TI [email protected]
Concurso: Banco da Amazônia (Cespe) 2010
Para o COBIT, governança de TI é o conjunto de processos e relacionamentos que direcionam e controlam a organização para que atinja seus objetivos e adicione valor enquanto busca equilibrar riscos e retorno de TI. Acerca da governança de TI em relação ao que é preconizado pelo COBIT, julgue os itens a seguir. 81 A orientação a negócios do COBIT compreende o alinhamento entre objetivos organizacionais e os objetivos de TI. Para tanto, a gerência procura identificar as atividades mais importantes a serem executadas, medir o progresso obtido em relação aos objetivos a serem atingidos e determinar se os processos de TI estão sendo executados adequadamente. 82 Governança em TI é responsabilidade dos executivos e diretores da organização. Consiste na liderança, nas estruturas organizacionais e nos processos que garantam que a TI da organização sustente e estenda as estratégias e os objetivos da Organização.
Certo
Certo
35
Governança de TI [email protected]
CRITÉRIOS DE INFORMAÇAO DO CobiT
Para atender aos objetivos de negócios, as informações precisam se adequar a certos critérios de controles, aos quais o CobiT denomina necessidades de informação da empresa e cita 7 critérios:
36
Governança de TI [email protected]
Concurso: BR (Cesgranrio) 2012
Para satisfazer os objetivos de negócio de uma empresa, segundo o CobiT 4.1, a informação deve atender a critérios de controle, que são: (A) excelência, efetividade, entrega ao usuário, segurança, conformidade, disponibilidade e qualidade (B) efetividade, eficiência, confidencialidade, integridade, disponibilidade, conformidade e confiabilidade (C) eficiência, entrega ao usuário, continuidade, segurança, confidencialidade, conformidade, disponibilidade e qualidade (D) eficácia, entrega ao usuário, continuidade, segurança, conformidade, disponibilidade e qualidade (E) eficácia, eficiência, excelência, segurança, integridade, confidencialidade e disponibilidade
37
Governança de TI [email protected]
CRITÉRIOS DE INFORMAÇAO - QUALIDADE
Efetividade/Eficácia (Effectiveness)
A informação deve ser pertinente e relevante para o processo de negócio
A informação deve ser entregue de forma tempestiva, correta, consistente e em formato útil
Eficiência
A informação deve ser provida por meio do uso otimizado dos recursos
38
Governança de TI [email protected]
Concurso: DNIT (ESAF) 2012
O critério de informação do Cobit 4.1 que lida com a informação relevante e pertinente para o processo de negócio bem como a mesma sendo entregue em tempo, de maneira correta, consistente e utilizável é o da: a) Efetividade. b) Relevância. c) Eficiência. d) Pertinência. e) Eficácia.
39
Governança de TI [email protected]
Concurso: Banco da Amazônia (Cespe) 2010
São exemplos de critérios de qualidade para manter a confidencialidade trabalhar com informações relevantes e pertinentes aos processos de negócio, entregar essas informações tempestivamente, corretas,
consistentes e úteis.
Errado
40
Governança de TI [email protected]
CRITÉRIOS DE INFORMAÇAO - SEGURANÇA
Confidencialidade
A informação deve ser protegida contra acesso não autorizado
Integridade
A informação deve ser precisa, completa, e válida de acordo com as expectativas e os valores do negócio
Disponibilidade
A informação deve estar disponível quando requerido pelo processo de negócio, agora e no futuro
Os recursos e capacidades associados à informação devem ser protegidos
41
Governança de TI [email protected]
Concurso: Telebras (Cespe) 2013
Certo
42
105 O CobiT permite obter métricas para auditoria da evolução das atividades dos processos de TI. 106 Os critérios de confidencialidade, integridade e disponibilidade tornam a informação compatível com os requisitos de segurança. 107 A integridade lida com a proteção de informações sensíveis a revelações não autorizadas.
Certo
Errado
Governança de TI [email protected]
Concurso: TRE_ES (Cespe) 2011
As organizações bem-sucedidas reconhecem os benefícios da tecnologia da informação (TI) e a utilizam para direcionar os valores das partes interessadas no negócio. Essas organizações consideram que as boas práticas do Control Objectives for Information and Related Technology (COBIT) podem auxiliá-las a otimizar os investimentos em TI. IT Governance Institute, COBIT 4.1, 2007, p. 7 (com adaptações). Tendo o texto acima como referência inicial, julgue os itens a seguir, relativos ao COBIT 4.1. 81 A disponibilidade refere-se à entrega da informação por meio do melhor ou mais produtivo e econômico uso dos recursos.
Errado
43
Governança de TI [email protected]
CRITÉRIOS DE INFORMAÇAO - ADEQUAÇÃO
Conformidade
A informação obedece a leis, normas e contratos aos quais o processo de negócio está sujeito, ou seja, aos requisitos impostos ao negócio
Confiabilidade
A informação deve ser adequada para gerenciar a operação do negócio e para a alta direção exercer sua responsabilidade de geração de relatórios financeiros e de conformidade
44
Governança de TI [email protected]
Concurso: BR (Cesgranrio) 2012
Entre os critérios de informação definidos no COBIT 4.1, a conformidade está associada à (A) adequação da informação entregue aos executivos da organização para fins do exercício de suas responsabilidades. (B) fidedignidade da informação em relação aos valores do negócio e suas expectativas. (C) aderência a leis, regulamentos e contratos, aos quais o processo de negócio está sujeito. (D) relevância, consistência e prazo de utilidade da informação para benefício do negócio. (E) geração de uso dos recursos de maneira mais produtiva e econômica.
45
Governança de TI [email protected]
RECURSOS DE TI
Aplicativos => Sistemas automatizados para usuários e os procedimentos manuais que processam as informações.
Informações => Dados em todas as suas formas, a entrada, o processamento e a saída fornecida pelo sistema de informação em qualquer formato.
Infraestrutura => refere-se à tecnologia e aos recursos (ou seja, hardware, sistemas operacionais, sistemas de gerenciamento de bases de dados, redes, multimídia e os ambientes que abrigam e dão suporte a eles) que possibilitam o processamento dos aplicativos.
Pessoas => são os funcionários requeridos para planejar, organizar, adquirir, implementar, entregar, suportar, monitorar e avaliar os sistemas de informação e serviços. Eles podem ser internos, terceirizados ou contratados, conforme necessário.
47
Governança de TI [email protected]
Concurso: Telebras (Cespe) 2013
Errado
48
109 Um procedimento manual que processa a informação é considerado um recurso de infraestrutura. 110 O domínio de monitoração do CobiT é responsável por analisar a adequação dos controles internos, monitorar os processos e prover auditorias e segurança independentes. 111 Entre os quatro domínios do CobiT, o planejamento e a organização são responsáveis por identificar as soluções de automação. 112 Pessoas são classificadas como recursos de TI.
Certo
Errado
Certo
Governança de TI [email protected]
ORIENTADO PARA PROCESSOS
O modelo CobiT fornece um modelo de processo de referência e uma linguagem comum para que todos na organização possam visualizar e gerenciar as atividades de TI.
Incorporar o modelo operacional e a linguagem comum para todas as áreas de negócios envolvidas em TI é um dos mais importantes passos e ações preliminares para uma boa governança.
Isto também fornece uma metodologia para medição e monitoramento da performance de TI, comunicação com provedores de serviços e integração das melhores práticas de gerenciamento.
Um modelo de processos incentiva a determinação de proprietários dos processos, o que possibilita a definição de responsabilidades.
Para que a governança de TI seja eficiente, é importante avaliar as atividades e riscos da TI que precisam ser gerenciados.
49
Governança de TI [email protected]
Concurso: TRE_ES (Cespe) 2011
Certo
As organizações bem-sucedidas reconhecem os benefícios da tecnologia da informação (TI) e a utilizam para direcionar os valores das partes interessadas no negócio. Essas organizações consideram que as boas práticas do Control Objectives for Information and Related Technology (COBIT) podem auxiliá-las a otimizar os investimentos em TI. IT Governance Institute, COBIT 4.1, 2007, p. 7 (com adaptações). Tendo o texto acima como referência inicial, julgue os itens a seguir: 82 No COBIT, as atividades de TI são definidas segundo um modelo de processos genéricos com quatro domínios: planejar e organizar, adquirir e implementar, entregar e suportar, e monitorar e avaliar. 83 No COBIT, a mensuração de desempenho é essencial para a governança de TI.
Certo 50
Governança de TI [email protected]
Os processos do CobiT são estruturados em 4 domínios
Planejamento e Organização - Aspectos estratégicos e táticos
e de como a TI pode contribuir para os objetivos de negócios
Aquisição e Implementação - Relaciona as estratégias com os recursos e soluções de TI, seu desenvolvimento e aquisição
Entrega e Suporte - Trata da entrega dos serviços requeridos, atentando para os aspectos de segurança, treinamento e suporte
Monitoramento e Avaliação - Aspectos de monitoramento do desempenho e de avaliação de controles da TI.
51
Governança de TI [email protected]
Concurso: MPE/PI (Cespe) 2012
A respeito do COBIT 4.1, julgue os itens que se seguem. 55 O COBIT não suporta nem define nível de maturidade. 56 De acordo com o COBIT 4.1, a governança de TI é de responsabilidade dos executivos de TI e possui foco tático e operacional. 57 Uma vez que nem todos os componentes do COBIT são inter-relacionados, essa estrutura garante o suporte para as necessidades de governança, gerenciamento, controle e avaliação de diferentes audiências. 58 No COBIT 4.1, cobrir estratégias e táticas, preocupando-se com a identificação da maneira pela qual a TI pode melhor contribuir para atingir os objetivos, é função do domínio Planejar e Organizar. 59 Os domínios Planejar e Organizar, Adquirir e Implementar, Entregar e Suportar e Monitorar e Avaliar mapeiam as áreas de responsabilidade de TI de planejamento, construção, processamento e monitoramento.
Errado
Certo
Certo
Errado
Errado
54
Governança de TI [email protected]
Concurso: Tesouro Nacional (ESAF) 2012
O domínio do Cobit 4.1 que aborda a questão da entrega de novos projetos no tempo e orçamento previstos é o: a) Planejar e Organizar. b) Adquirir e Implementar. c) Gerenciar e Entregar. d) Entregar e Suportar. e) Monitorar e Avaliar.
55
Governança de TI [email protected]
Dentro dos 4 Domínios, o Cobit identificou 34 processos
Embora a maioria das organizações tenha definido as responsabilidades de TI de planejar, construir, processar e monitorar, e muitas delas tenham os mesmos processos-chave, poucas terão a mesma estrutura de processos ou aplicarão todos os 34 processos do CobiT.
O CobiT fornece uma completa lista de processos que podem ser utilizados para verificar a totalidade das atividade e responsabilidades.
No entanto, nem todos precisam ser aplicados e podem ser combinados conforme as necessidades de cada empresa
56
Governança de TI [email protected]
Dentro dos 4 Domínios, o Cobit identificou 34 processos
DS1 definir e gerenciar níveis de serviços
DS2 gerenciar serviços de terceiros
DS3 gerenciar performance e capacidade
DS4 garantir continuidade dos serviços
DS5 garantir segurança dos sistemas
DS6 identificar e alocar custos
DS7 educar e treinar usuários
DS8 gerenciar service desk e incidentes
DS9 gerenciar a configuração
DS10 gerenciar problemas
DS11 gerenciar dados
DS12 gerenciar o ambiente físico
DS13 gerenciar a operação
ME1 monitorar e avaliar o desempenho da TI
ME2 monitorar e avaliar os controles internos
ME3 assegurar conformidade regulatória
ME4 prover governança de TI
PO1 definir um plano estratégico de TI
PO2 definir a arquitetura de informação
PO3 determinar a direção tecnológica
PO4 definir processos, organização e relacionamentos da TI
PO5 gerenciar o investimento em TI
PO6 comunicar metas e diretivas gerenciais
PO7 gerenciar recursos humanos de TI
PO8 gerenciar qualidade
PO9 avaliar e gerenciar riscos
PO10 gerenciar projetos
AI1 identificar soluções
AI2 adquirir e manter aplicações
AI3 adquirir e manter infraestrutura tecnológica
AI4 viabilizar operação e uso
AI5 adquirir recursos de TI
AI6 gerenciar mudanças
AI7 instalar e certificar sistemas e mudanças
PLANEJAMENTO E
ORGANIZAÇÃO
AQUISIÇÃO E
IMPLEMENTAÇÃO
ENTREGA E SUPORTE
MONITORAMENTO E
AVALIAÇÃO
57
Governança de TI [email protected]
Concurso: Defensoria SP (FCC) 2013
O COBIT (Control Objectives for Information and related Technology) 4.1 define alguns domínios de atuação e em cada um desses domínios são definidos alguns processos. Os processos: Gerenciar Qualidade (Manage Quality) e Gerenciar Projetos (Manage Projects) são associados ao domínio (A) Monitorar e Avaliar (Monitor and Evaluate). (B) Observar e Implementar (Observe and Implement). (C) Planejar e Organizar (Plan and Organise). (D) Analisar e Modificar (Analyze and Modify). (E) Iniciar e Terminar (Start and End).
58
Governança de TI [email protected]
Concurso: TRT 2ª Região (FCC) 2014
O CobiT é uma metodologia que promove um conjunto de padrões e boas práticas para o gerenciamento e o uso corporativo e transparente da TI, sendo considerado um padrão para o gerenciamento de TI, alinhado às estratégias de negócios. O processo que endereça as questões relacionadas à informação é o
(A) PO1 − Definir o Modelo Corporativo da Arquitetura da Informação. (B) PO3 − Definir o Esquema de Classificação de Dados. (C) PO10 − Definir o Dicionário de Dados Corporativo. (D) PO5 − Comunicar Objetivos e Direcionamentos Gerenciais. (E) PO2 − Definir a Arquitetura da Informação.
59
Governança de TI [email protected]
Processos precisam de controle
Controle é definido como políticas, procedimentos, práticas e estruturas organizacionais criadas para prover uma razoável garantia de que os objetivos de negócios serão atingidos e que eventos indesejáveis serão evitados ou detectados e corrigidos.
Os objetivos de controle de TI fornecem um conjunto completo de requisitos de alto nível a serem considerados pelos executivos para um controle efetivo de cada processo de TI. Os processos:
São definições de ações gerenciais para aumentar o valor ou reduzir o risco
Consistem em políticas, procedimentos, práticas e estruturas organizacionais
São desenvolvidos para prover uma razoável garantia de que os objetivos de controle serão atingidos e que eventos indesejáveis serão evitados ou detectados e corrigidos
A empresa precisa fazer escolhas relacionadas a esses processos ao:
Selecionar aqueles que são aplicáveis
Decidir quais deles serão implementados
Escolher como implementá-los (frequência, abrangência, automação, etc.)
Aceitar o risco de não implementar aqueles que podem ser aplicáveis
60
Governança de TI [email protected]
Modelo de controle
Uma diretriz pode ser obtida no modelo padrão de controle apresentado na figura abaixo.
Ele segue o princípio da seguinte analogia: Quando a temperatura da sala (padrão) do sistema de aquecimento (processo) está definida, o sistema irá constantemente averiguar (comparar) a temperatura ambiente da sala (controle de informação) e irá sinalizar (agir) para o sistema de aquecimento para prover mais ou menos calor.
Para atingir uma governança efetiva, os controles precisam ser implementados pelos gerentes operacionais de acordo com um método definido de controles para todos os processos de TI.
61
Governança de TI [email protected]
O CobiT é dirigido por métricas
Modelos de maturidade
Possibilitam benchmarking e identificação das necessidades de melhoria
Metas e indicadores de processos
Demonstram como os processos atendem às metas de negócios e de TI, a partir da mensuração de indicadores baseados no BSC
Metas de atividades
Direcionam o desempenho efetivo dos processos
66
Governança de TI [email protected]
Níveis de Maturidade usados com o Cobit
Este enfoque é derivado do modelo de maturidade do Software Engineering Institute (SEI) definido para a maturidade da capacidade de desenvolvimento de software.
Embora siga os conceitos do SEI, a implementação CobiT difere consideravelmente do original do SEI, o qual era orientado para os princípios de engenharia de produtos de software, organizações buscando excelência nessas áreas e uma avaliação formal dos níveis de maturidade para que os desenvolvedores de software pudessem ser “certificados”.
67
Governança de TI [email protected]
Concurso: BNDES (Cesgranrio) 2013
Considerando-se o modelo COBIT, é INCORRETO afirmar que o plano estratégico de TI é (A) inexistente quando não é executado. (B) ad hoc quando é conhecido pela Direção de TI e é realizado caso a caso em função de um requerimento de negócio. (C) repetível, porém intuitivo, quando é compartilhado com a Direção do negócio conforme a necessidade. (D) gerenciado e mensurável quando possui uma prática padrão cujas exceções são detectadas pela Direção. (E) funcional quando os projetos e portfólios são mensurados pela alta direção de forma a atingir a melhoria contínua dos serviços de TI.
69
Governança de TI [email protected]
Concurso: BR (Cesgranrio) 2012
Analisando o seu ambiente de trabalho em uma empresa, um analista de sistemas verificou que os procedimentos estavam padronizados, documentados e comunicados através de treinamento. Que nível de maturidade de processos está associado com essa situação no COBIT 4.1? (A) Nível 3 – definido (B) Nível 2 – repetível (C) Nível 4 – gerenciado (D) Nível 1 – inicial (E) Nível 5 – otimizado
70
Governança de TI [email protected]
Concurso: BNDES (Cesgranrio) 2008
Determinada empresa reconhece que é necessário definir um plano
estratégico de TI; contudo, não existem processos padronizados para
isso, e a abordagem da administração, em geral, não é organizada.
O processo COBIT em questão encontra-se no nível de maturidade
(A) 0
(B) 1
(C) 2
(D) 3
(E) 4
71
Governança de TI [email protected]
Concurso: Petrobras (Cesgranrio) 2012
No Cobit 4.1, o processo responsável pelo gerenciamento do desempenho e da capacidade dos recursos de TI, uma situação na qual necessidades de desempenho são satisfeitas com base nas avaliações de sistemas individuais e no conhecimento dos profissionais das equipes de suporte e de projeto, indica que nível de maturidade? (A) Nível 1 – Inicial (B) Nível 2 – Repetível (C) Nível 3 – Definido (D) Nível 4 – Gerenciado (E) Nível 5 – Otimizado
72
Governança de TI [email protected]
Concurso: TRT 16 ª Região (FCC) 2014
André trabalha como Analista Judiciário e, analisando o modelo de maturidade do CobiT 4.1, concluiu que a performance atual do TRT da 16a Região nos seus processos de TI encontra-se no seguinte patamar: “os processos evoluíram para um estágio em que procedimentos similares são seguidos por diferentes funcionários fazendo a mesma tarefa. Mas não existe um treinamento formal ou uma comunicação dos procedimentos padronizados e a responsabilidade é deixada com cada um dos funcionários. Há um alto grau de confiança no conhecimento por parte deles e, consequentemente, erros podem ocorrer”. O TRT da 16a Região encontra-se no nível de maturidade
73
Governança de TI [email protected]
Concurso: TRT 16 ª Região (FCC) 2014
(A) 3 (Processo Definido) e o próximo nível de maturidade a ser alcançado é o nível 4 (Gerenciado e Mensurável). No nível 4, a gerência passa a monitorar e medir a aderência aos procedimentos e adotar ações em que os processos parecem não funcionar muito bem no TRT da 16a Região. Os processos estarão em constante aprimoramento e fornecerão boas práticas. Automação e ferramentas serão utilizadas de uma maneira limitada ou fragmentada.
(B) 4 (Gerenciado e Mensurável) e o próximo nível de maturidade a ser alcançado é o nível 5 (Processo Definido). No nível 5, a gerência passa a monitorar e medir a aderência aos procedimentos e adotar ações em que os processos parecem não funcionar muito bem no TRT da 16a Região. Os processos estarão em constante aprimoramento e fornecerão boas práticas. Automação e ferramentas serão utilizadas de uma maneira limitada ou fragmentada.
(C) 2 (Repetível, porém Intuitivo) e o próximo nível de maturidade a ser alcançado é o nível 3 (Processo Definido). No nível 3, os procedimentos terão sido padronizados, documentados e comunicados através de treinamento. Todos do TRT da 16a Região devem seguir estes processos, mas possivelmente desvios não serão detectados. Os procedimentos não serão sofisticados, mas existirá a formalização das práticas existentes.
(D) 1 (Inicial / Ad hoc) e o próximo nível de maturidade a ser alcançado é o nível 2 (Repetível, porém Intuitivo). No nível 2, os procedimentos terão sido padronizados, documentados e comunicados através de treinamento. Todos do TRT da 16a Região devem seguir estes processos, mas possivelmente desvios não serão detectados. Os procedimentos não serão sofisticados, mas existirá a formalização das práticas existentes.
(E) 3 (Repetível, porém Intuitivo) e o próximo nível de maturidade a ser alcançado é o nível 4 (Gerenciado e Mensurável). No nível 4, os processos terão sido refinados a um nível de boas práticas, baseado no resultado de um contínuo aprimoramento e modelagem da maturidade como em outros Tribunais. A TI passará a ser utilizada no TRT da 16a Região como um caminho integrado para automatizar o fluxo de trabalho, provendo ferramentas para aprimorar a qualidade e efetividade, tornando a organização rápida em adaptar-se.
74
Governança de TI [email protected]
0 Inexistente – Completa falta de um processo reconhecido. A empresa nem mesmo reconheceu que existe uma questão a ser trabalhada.
1 Inicial / Ad hoc – Existem evidências que a empresa reconheceu que existem questões e que precisam ser trabalhadas. No entanto, não existe processo padronizado; ao contrário, existem enfoques Ad Hoc que tendem a ser aplicados individualmente ou caso-a-caso. O enfoque geral de gerenciamento é desorganizado.
2 Repetível, porém Intuitivo – Os processos evoluíram para um estágio onde procedimentos similares são seguidos por diferentes pessoas fazendo a mesma tarefa. Não existe um treinamento formal ou uma comunicação dos procedimentos padronizados e a responsabilidade é deixado com o indivíduo. Há um alto grau de confiança no conhecimento dos indivíduos e conseqüentemente erros podem ocorrer.
3 Processo Definido – Procedimentos foram padronizados, documentados e comunicados através de treinamento. É mandatório que esses processos sejam seguidos; no entanto, possivelmente desvios não serão detectados. Os procedimentos não são sofisticados mas existe a formalização das práticas existentes.
4 Gerenciado e Mensurável – A gerência monitora e mede a aderência aos procedimentos e adota ações onde os processos parecem não estar funcionando muito bem. Os processos estão debaixo de um constante aprimoramento e fornecem boas práticas. Automação e ferramentas são utilizadas de uma maneira limitada.
5 Otimizado – Os processos foram refinados a um nível de boas práticas, baseado no contínuo aprimoramento e modelagem da maturidade como outras organizações. TI é utilizada como um caminho integrado para automatizar o fluxo de trabalho, provendo ferramentas para aprimorar a qualidade e efetividade (rapidez em adaptar-se).
Níveis de Maturidade usados com o Cobit (Detalhes)
75
Governança de TI [email protected]
Concurso: TRT 5 ª Região (FCC) 2013
O modelo CobiT para o gerenciamento de processos de TI foi desenvolvido com uma ênfase forte em controles. O TRT adotou o modelo de maturidade do CobiT. No estágio atual, os procedimentos do TRT foram padronizados, documentados e comunicados através de treinamento. Mas, embora seja mandatório que os processos estabelecidos fossem seguidos, alguns desvios não foram detectados. Os procedimentos adotados ainda não são sofisticados, mas existe a formalização das práticas existentes no TRT. De acordo com o modelo de maturidade do CobiT 4.1, o TRT encontra-se no nível (A) 1- Inicial / Ad hoc. (B) 2- Repetível, porém Intuitivo. (C) 3- Processo Definido. (D) 4- Gerenciado e Mensurável. (E) 5- Otimizado.
76
Governança de TI [email protected]
Concurso: TRT 12 ª Região (FCC) 2013
O modelo de maturidade é uma forma de medir o quanto os processos de gerenciamento são capazes de medir a maturidade de uma empresa em relação ao estabelecimento e performance dos controles internos. Capacidade, cobertura e controle são as dimensões do processo de maturidade do CobiT 4.1, como ilustrado na figura abaixo.
77
Os direcionadores primários relativos às dimensões do processo de maturidade representados nas caixas I, II e III são, respectivamente:
Governança de TI [email protected]
Concurso: DNIT (ESAF) 2012
No Cobit 4.1, as três dimensões de maturidade são: a) Eficácia, riscos e custos. b) Capacidade, cobertura e controle. c) Custos, objetivos da TI e controle. d) Retorno do Investimento, custos e missão. e) Capacidade, riscos e controle.
79
Governança de TI [email protected]
Exemplo de Objetivos e direcionadores de performance
O Cobit 4.1 alterou o nome dos termos KGI e KPI:
Medidas de resultados (saídas), antes chamados de indicadores-chaves de objetivos (KGIs), indicam se os objetivos foram atingidos. São medidos depois dos fatos e são conhecidos também como indicadores históricos (lag indicators).
Indicadores de performance, antes chamados de indicadores-chaves de performance (KPIs), indicam se os objetivos serão possivelmente atingidos. Eles são medidos antes que os resultados sejam claros e portanto são chamados de indicadores futuros (lead indicators).
80
Governança de TI [email protected]
Concurso: BR (Cesgranrio) 2012
Segundo o COBIT 4.1, um indicador de performance de um serviço de TI mede o (A) índice de sucesso de um objetivo (B) nível de maturidade de um processo (C) histórico dos requisitos de negócio (D) andamento do atingimento de um objetivo (E) resultado de um objetivo
81
Governança de TI [email protected]
Concurso: BR (Cesgranrio) 2012
De acordo com o COBIT 4.1, indicadores de resultado medem o(a) (A) atingimento de um objetivo (B) nível de maturidade de um processo (C) andamento futuro de um objetivo (D) performance de um processo (E) efetividade do uso dos serviços de TI
82
Governança de TI [email protected]
Concurso: CGU (Esaf) 2008
O COBIT - Control Objectives for Information and related Technology
fornece boas práticas por meio de uma estrutura de domínio e processos
e apresenta atividades de forma gerencial e lógica para a Governança de
TI. O COBIT contém componentes interrelacionados, provendo suporte
para a governança, gerenciamento, controle e atendimento das
necessidades de diferentes organizações. O componente Atividades-
Chaves do COBIT (versão 4.1) está relacionado com
a) Indicadores de performance.
b) Modelos de Maturidade.
c) Controle de Objetivos.
d) Responsabilidades e Contabilização.
e) Controle de Práticas.
87
Governança de TI [email protected]
Concurso: Petrobras (Cesgranrio) 2012
Para dar suporte a diferentes perfis de profissionais, os produtos do COBIT 4.1 foram organizados em uma pirâmide de 3 níveis (diagrama com o conteúdo do COBIT). A quais profissionais se destina o nível base dessa pirâmide? (A) De controles, de segurança e de alta direção (B) De avaliação, executivos e de alta direção (C) De avaliação, de controles e de segurança (D) Executivos, de alta direção e de manutenção (E) Gerentes de negócio, gerentes de tecnologia e executivos
88
Governança de TI [email protected]
É uma metodologia que foi proposta em 1992 por Robert S. Kaplan, professor da Havard Business School, e David P. Norton, executivo do Instituto Nolan Norton.
A grande motivação do BSC foi a crença de que os métodos existentes para avaliação de desempenho, apoiados por indicadores contábeis e financeiros, estavam obsoletos.
Os autores acreditavam que depender de medidas de desempenho consolidadas, baseadas em dados financeiros, estava prejudicando a capacidade das empresas de criar valor econômico para o futuro.
O BSC traduz a missão e a estratégia das empresas em um conjunto abrangente de medidas de desempenho, seguindo 4 perspectivas: financeira, do cliente, dos processos internos, e de aprendizado e crescimento.
BSC - Balanced Scorecard
91
Governança de TI [email protected]
Concurso: EPE (Cesgranrio) 2014
O Balanced Score Card, criado por Kaplan e Norton, é uma ferramenta de gestão estratégica de desempenho de empresas. Que perspectivas do negócio estão cobertas por essa ferramenta? (A) Aprendizado e crescimento, Clientes, Financeira e Atuação Social. (B) Aprendizado e crescimento, Clientes, Financeira e Processos Internos de Negócio. (C) Aprendizado e crescimento, Clientes, Processos Internos de Negócio e Atuação Social. (D) Aprendizado e crescimento, Financeira, Processos Internos de Negócio e Atuação Social. (E) Clientes, Financeira, Processos Internos de Negócio e Atuação Social.
92
Governança de TI [email protected]
O BSC pode ser considerado um sistema de gestão - não apenas um sistema de medidas - que habilita as organizações a tornar claras a sua visão e estratégia e traduzi-las em ações.
O modelo tradicional de controle da estratégia baseado só em medidas financeiras foi melhorado no BSC, através das perspectivas complementares.
O modelo financeiro até então utilizado só relatava acontecimentos passados numa abordagem típica da era industrial, que é inadequado para orientar e avaliar a trajetória das empresas na era da informação
BSC - Balanced Scorecard
93
Governança de TI [email protected]
Concurso: Casa da Moeda (Cesgranrio) 2012
Quando uma empresa está em fase de elaboração de um plano estratégico de TI, ela precisa entender, inicialmente, qual é a sua missão, de forma a apoiar adequadamente os objetivos de negócio da empresa. Nesse contexto, missão significa a(o) (A) razão de ser, o motivo da existência ou seu propósito. (B) elaboração dos indicadores da empresa com base em sua razão de ser. (C) posição que a empresa pretende alcançar. (D) atingimento da qualidade na execução dos processos com base em onde se pretende chegar. (E) cumprimento das metas tangíveis de curto prazo.
95
Governança de TI [email protected]
Concurso: TRT_16ª Região (FCC) 2014
Como consequência do processo de Planejamento Estratégico, as organizações produzem ou atualizam alguns componentes. Correlacione corretamente as colunas. Está correta a correlação que consta em (A) a-III - b-IV - c-II - d-I (B) a-II - b-I - c-IV - d-III (C) a-III - b-I - c-II - d-IV (D) a-II - b-III - c-IV - d-I (E) a-II - b-III - c-I - d-IV
96
Governança de TI [email protected]
Concurso: BNDES (Cesgranrio) 2011
O Balanced Scorecard é uma técnica que tem como objetivo a integração e o balanceamento de todos os principais indicadores de desempenho definidos por uma empresa, servindo de base para a avaliação empresarial. Essa técnica baseia-se em quatro perspectivas, na busca de resultados, formando um conjunto coeso e interdependente, com seus objetivos e indicadores se inter-relacionando. Qual, dentre as abaixo relacionadas, NÃO representa uma perspectiva estratégica considerada nessa técnica? (A) Aprendizado (B) Clientes (C) Financeira (D) Planejamento (E) Processos internos
97
Governança de TI [email protected]
O BSC conserva a perspectiva financeira, visto que as medidas financeiras são valiosas para sintetizar as conseqüências econômicas imediatas de ações consumadas.
As medidas financeiras de desempenho indicam se a estratégia de uma empresa, sua implementação e execução estão contribuindo para a melhoria dos resultados financeiros.
Objetivos financeiros, normalmente, estão relacionados à lucratividade sobre o capital empregado.
Perspectiva Financeira
98
Governança de TI [email protected]
Nessa perspectiva, o BSC permite que os executivos identifiquem os segmentos de clientes e mercado nos quais as unidades de negócio competirão e as medidas do desempenho da unidade nesses segmentos.
Dentre as medidas incluídas nesse segmento, destacam-se a satisfação e a retenção de clientes, a aquisição de novos, a lucratividades dos clientes, bem como a participação nos segmentos definidos.
Perspectiva do Cliente
99
Governança de TI [email protected]
Os executivos devem identificar os processos mais críticos para a realização dos objetivos dos clientes e acionistas.
De acordo com Kaplan e Norton, é importante definir uma cadeia de valor completa dos processos internos que tenham início com os processos de inovação, prossiga com os processos de operação, e termine com o serviço pós-venda.
As tendências mais recentes apontam no sentido de que as organizações devem medir o desempenho dos processos de negócio (ex: atendimento a pedidos, compras, etc).
A abordagem do BSC resulta na identificação de processos inteiramente novos, nos quais a empresa deve atingir a excelência para alcançar os objetivos financeiros e dos clientes.
Perspectiva dos Processos Internos
100
Governança de TI [email protected]
Essa perspectiva identifica a estrutura que a empresa deve construir para gerar crescimento e melhoria a longo prazo.
Existem 3 fontes para a perspectiva para o aprendizado e crescimento: pessoas, sistemas e procedimentos organizacionais.
Os objetivos financeiros, do cliente e dos processos internos no BSC, normalmente revelam lacunas entre as capacidades atuais das pessoas, sistemas e procedimentos, e o que será necessário para alcançar um desempenho inovador.
Para fechar essas lacunas, as empresas terão de investir na capacitação das pessoas, no aperfeiçoamento dos sistemas e no alinhamento dos procedimentos e rotinas organizacionais.
Esses objetivos são explicitados na perspectiva de aprendizado e crescimento do BSC
Perspectiva de Aprendizado e Crescimento
101
Governança de TI [email protected]
Curto e longo prazo
Indicadores financeiros e não-financeiros
Resultados ocorridos e de tendências de desempenho futuro
Visão interna de desempenho e outra externa que envolve clientes e acionistas
O BSC reflete indicadores equilibrados
102
Governança de TI [email protected]
As diversas perspectivas que compõem um Balanced Scorecard bem elaborado devem compor uma série articulada de objetivos e medidas coerentes que se reforcem mutuamente
O objetivo principal é motivar todos os executivos e funcionários a implementar com sucesso a estratégia da sua unidade de negócios ou mesmo a estratégia corporativa.
Tão importante quando definir uma estratégia é perceber se todos os setores da organização estão seguindo o que foi planejado.
Com muita freqüência, as diferentes unidades de uma organização precisam de coordenação, pois atuam com propósitos desconexos e buscam objetivos conflitantes
O BSC reflete indicadores equilibrados
103
Governança de TI [email protected]
Para que se tenha eficácia, a estratégia deve ser compreendida do nível hierárquico mais elevado ao mais baixo e, também, como as suas ações individuais sustentam o quadro geral.
Quando todos compreendem suas metas de longo prazo, bem como a estratégia para alcançá-las, os esforços e iniciativas da empresa se alinham aos processos de transformação.
O BSC permite esse alinhamento de cima para baixo, através de três mecanismos distintos:
Programa de Comunicação e Educação;
Programa de Estabelecimento de Metas;
Vinculação dos Sistemas de Compensação.
No BSC, a implantação da estratégia é tarefa de todos!
104
Governança de TI [email protected]
Um modelo bastante difundido atualmente na formulação de estratégias é o denominado Balanced Scorecard ou Escore Balanceado, que se baseia no desdobramento da visão de futuro em torno de dimensões equilibradas, podendo essas dimensões ser alteradas para contemplar as características de organizações privadas, públicas ou do terceiro setor. O Balanced Scorecard inova por apresentar um(a) (A) sistema de indicadores de resultados e modelos de remuneração variável, associados. (B) modelo de accountability alinhado à legislação Sarbanes-Oxley. (C) estrutura de objetivos, metas e vetores de desempenho que interagem dentro de uma lógica de causa e efeito. (D) ferramenta estratégica de coordenação e organização das expectativas dos stakeholders. (E) perspectiva organizada de prestação de contas e responsabilidade socioambiental.
Concurso: Banco Central (CESGRANRIO) 2010
106
Governança de TI [email protected]
O Mapa Estratégico explicita quais medidas são necessárias ao alcance de cada objetivo proposto, bem como os indicadores que serão utilizados para o monitoramento da execução destas medidas, e ainda quais as iniciativas de cada setor envolvido para o cumprimento das medidas.
Enquanto a estratégia descreve como criar valor para os acionistas, clientes, cidadãos, o mapa estratégico mostra como a estratégia liga os ativos intangíveis a processos que criam esse valor.
Os autores argumentam que o valor dos ativos intangíveis não pode ser medido de maneira separada e independente dos ativos tangíveis.
Objetivo do Mapa Estratégico no BSC
107
Governança de TI [email protected]
Concurso: Casa da Moeda (Cesgranrio) 2012
O modelo SWOT reforça a relação estratégia-processo e a necessidade da análise interna e externa. Esse modelo é uma das bases para a definição de qualquer tipo de estratégia. Nesse contexto, um Gestor de TI deve saber que as (A) ameaças e as fraquezas são consideradas análises do ambiente externo. (B) forças e as fraquezas são consideradas análises do ambiente interno. (C) oportunidades e as forças são consideradas análises do ambiente externo. (D) oportunidades e as ameaças são consideradas análises do ambiente interno. (E) oportunidades, as forças, as ameaças e as fraquezas são consideradas análises do ambiente interno.
111
Governança de TI [email protected]
Análise SWOT
FATORES INTERNOS
Pontos Fortes/ Forças Vantagens internas da organização em relação aos objetivos
Pontos Fracos/ Fraquezas
Desvantagens internas da organização em relação aos objetivos
FATORES EXTERNOS
Oportunidades Aspectos positivos do ambiente que envolve a organização com potencial de trazer-lhe vantagens
Ameaças Aspectos negativos do ambiente que envolve a organização com potencial para comprometer as vantagens que ela possui.
112
Governança de TI [email protected]
Concurso: Hemobras (Cespe) 2008
A formulação de mapas estratégicos
associada com a abordagem
de BSC é, usualmente, efetuada após uma
análise SWOT.
Certo Errado
113
Governança de TI [email protected]
Concurso: TST (FCC) 2012
O modelo das Cinco Forças de Porter foi criado por Michael Porter em 1979 e tem por objetivo a análise da competição entre empresas. O modelo considera cinco fatores importantes, as chamadas forças competitivas, que devem ser estudadas para o desenvolvimento de uma estratégia empresarial eficiente. Segundo o modelo, as forças competitivas que atuam sobre uma empresa são: poder de barganha dos fornecedores, poder de barganha dos clientes/consumidores, ameaça de novos entrantes no mercado, ameaça de produtos e serviços substitutos e (A) grau de rivalidade entre os concorrentes do mercado. (B) facilidade de criação de novos produtos e renovação da gama atual. (C) potencial de aquisição de produtos pelos clientes/consumidores. (D) alta demanda de produtos e capacidade de entrega pelos fornecedores. (E) manutenção do grau de satisfação dos clientes/consumidores.
116
Governança de TI [email protected]
Este domínio cobre a estratégia e as táticas, preocupando-se com a identificação da maneira em que TI pode melhor contribuir para atingir os objetivos de negócios.
O sucesso da visão estratégica precisa ser planejado, comunicado e gerenciado por diferentes perspectivas.
Uma apropriada organização bem como uma adequada infraestrutura tecnológica devem ser colocadas em funcionamento.
Este domínio ajuda a responder as seguintes questões gerenciais:
As estratégias de TI e de negócios estão alinhadas?
A empresa está obtendo um ótimo uso dos seus recursos?
Todos na organização entendem os objetivos de TI?
Os riscos de TI são entendidos e estão sendo gerenciados?
A qualidade dos sistemas de TI é adequada às necessidades de negócios?
Domínio Planejar e Organizar
119
Governança de TI [email protected]
PO1 Definir um Plano Estratégico de TI
PO2 Definir a Arquitetura da Informação
PO3 Determinar as Diretrizes de Tecnologia
PO4 Definir os Processos, a Organização e os Relacionamentos de TI
PO5 Gerenciar o Investimento de TI
PO6 Comunicar Metas e Diretrizes Gerenciais
PO7 Gerenciar os Recursos Humanos de TI
PO8 Gerenciar a Qualidade
PO9 Avaliar e Gerenciar os Riscos de TI
PO10 Gerenciar Projetos
Processos do Domínio Planejar e Organizar
120
Governança de TI [email protected]
Concurso: IBGE (Cesgranrio) 2014
Baseado nas melhores práticas de governança de TI, tendo em vista a proposta de uso da tabela RACI, é responsabilidade do (A) PMO (Project Management Officer) produzir um plano estratégico de TI. (B) gerente de projeto criar e manter o modelo de informações corporativas e o dicionário de dados. (C) profissional responsabilizado (accountable) autorizar uma atividade e fazer com que a tarefa seja executada. (D) CEO organizar várias atividades de TI e de desenvolvimento. (E) proprietário de processos de negócio avaliar e selecionar fornecedores através de processos de requisição de propostas.
122
Governança de TI [email protected]
Concurso: TRT 15 ª Região (FCC) 2013
No CobiT 4.1, NÃO se trata de um Objetivo de Controle Detalhado do processo Definir um Plano Estratégico de TI: (A) Plano Estratégico de TI. (B) Gerenciamento do Portfólio de TI. (C) Avaliação da Capacidade e Desempenho Correntes. (D) Modelo de Arquitetura da Informação da Organização. (E) Gerenciamento de Valor da TI.
124
Governança de TI [email protected]
Concurso: BNDES (Cesgranrio) 2011
Seja o seguinte objetivo de controle: Manter um dicionário de dados corporativos que incorpore as regras de sintaxe de dados da organização. A qual processo do domínio Planejar e Organizar do COBIT está associado este objetivo de controle? (A) Determinar as Diretrizes da Tecnologia. (B) Definir os Processos, Organização e Relacionamentos de TI. (C) Definir um Plano Estratégico de TI. (D) Definir a Arquitetura da Informação. (E) Gerenciar a Qualidade.
126
Governança de TI [email protected]
PO4 - Definir os Processos, Organização e Relacionamentos de TI
131
Governança de TI [email protected]
PO4 - Definir os Processos, Organização e Relacionamentos de TI
132
Governança de TI [email protected]
Concurso: TRT 5 ª Região (FCC) 2013
Ana trabalha no TRT da Bahia e, empenhada em adotar boas práticas de governança de TI, listou as seguintes questões de gerenciamento que precisavam ser tratadas: − Os novos projetos fornecerão soluções que atendam às necessidades do TRT? − Os novos projetos serão entregues no tempo e orçamento previstos? − Os novos sistemas funcionarão apropriadamente quando implementados? − As alterações ocorrerão sem afetar as operações atuais do TRT? Consultando o CobiT 4.1, Ana verificou que as questões acima são tratadas no domínio (A) Planejar e Organizar (PO). (B) Adquirir e Implementar (AI). (C) Monitorar e Avaliar (ME). (D) Entregar e Suportar (DS). (E) Projetar e Desenvolver (DD).
145
Governança de TI [email protected]
Para executar a estratégia de TI, as soluções de TI precisam ser identificadas, desenvolvidas ou adquiridas, implementas e integradas ao processo de negócios.
Além disso, alterações e manutenções nos sistemas existentes são cobertas por esse domínio para assegurar que as soluções continuem a atender aos objetivos de negócios.
Este domínio tipicamente trata das seguintes questões de gerenciamento:
Os novos projetos fornecerão soluções que atendam às necessidades de negócios?
Os novos projetos serão entregues no tempo e orçamento previstos?
Os novos sistemas ocorreram apropriadamente quando implementado?
As alterações ocorrerão sem afetar as operações de negócios atuais?
Domíno Adquirir e Implementar
146
Governança de TI [email protected]
AI1 Identificar Soluções Automatizadas
AI2 Adquirir e Manter Software Aplicativo
AI3 Adquirir e Manter Infraestrutura de Tecnologia
AI4 Habilitar Operação e Uso
AI5 Adquirir Recursos de TI
AI6 Gerenciar Mudanças
AI7 Instalar e Homologar Soluções e Mudanças
Processos do Domíno Adquirir e Implementar
147
Governança de TI [email protected]
Concurso: Liquigás (Cesgranrio) 2012
Segundo o Cobit 4.1, para o processo de instalar e homologar soluções e mudanças, quais atividades o proprietário dos processos de negócios é responsável por realizar junto com o responsável pelo desenvolvimento? (A) Confeccionar e revisar o planejamento de implantação. (B) Definir e revisar a estratégia de testes e a metodologia de planejamento de testes operacionais. (C) Confeccionar e manter um repositório de requisitos técnicos, de negócios, além de testes realizados em sistemas homologados. (D) Fornecer o ambiente de testes e conduzir os testes finais de aceitação. (E) Recomendar a migração para produção baseada nos critérios de homologação acordados.
161
Governança de TI [email protected]
Este domínio trata da entrega dos serviços solicitados, o que inclui entrega de serviço, gerenciamento da segurança e continuidade, serviços de suporte para os usuários e o gerenciamento de dados e recursos operacionais.
Trata geralmente das seguintes questões de gerenciamento:
Os serviços de TI estão sendo entregues de acordo com as prioridades de negócios?
Os custos de TI estão otimizados?
A força de trabalho está habilitada para utilizar os sistemas de TI de maneira produtiva e segura?
Os aspectos de confidencialidade, integridade e disponibilidade estão sendo contemplados para garantir a segurança da informação?
Domínio Entregar e Suportar
163
Governança de TI [email protected]
Concurso: DNIT (ESAF) 2012
No Cobit 4.1, uma das questões de gerenciamento do domínio Entregar e Suportar (DS) é a questão: a) A empresa está obtendo um ótimo uso dos seus recursos? b) O desempenho da TI pode ser associado aos objetivos de negócio? c) Os novos projetos serão entregues no tempo e orçamento previstos? d) As alterações ocorrerão sem afetar as operações de negócios atuais? e) Os custos de TI estão otimizados?
164
Governança de TI [email protected]
DS1 Definir e Gerenciar Níveis de Serviços
DS2 Gerenciar Serviços Terceirizados
DS3 Gerenciar o Desempenho e a Capacidade
DS4 Assegurar a Continuidade dos Serviços
DS5 Garantir a Segurança dos Sistemas
DS6 Identificar e Alocar Custos
DS7 Educar e Treinar os Usuários
DS8 Gerenciar a Central de Serviço e os Incidentes
DS9 Gerenciar a Configuração
DS10 Gerenciar Problemas
DS11 Gerenciar os Dados
DS12 Gerenciar o Ambiente Físico
DS13 Gerenciar as Operações
Processos do Domínio Entregar e Suportar
165
Governança de TI [email protected]
Concurso: Petrobras (Cesgranrio) 2011
Com base no COBIT, uma empresa de desenvolvimento criou um conjunto de sistemas integrados, de acordo com o levantamento das necessidades das áreas de negócios de uma determinada Instituição. Acompanhando esse trabalho, o gerente de projetos dessa instituição identificou exclusões de passos nos domínios de aquisição e implementação e de entrega e suporte. Esse fato provocou uma reunião do grupo de trabalho envolvido no projeto, que determinou os seguintes objetivos principais: • Assegurar a satisfação dos usuários finais com as ofertas e níveis de serviço. • Assegurar o uso apropriado e a performance de aplicativos e tecnologia. • Reduzir os defeitos e retrabalhos na entrega de serviços e soluções. • Assegurar o mínimo impacto para os negócios no caso de uma parada ou mudança nos serviços de TI.
167
Governança de TI [email protected]
Concurso: Petrobras (Cesgranrio) 2011
Quais processos de COBIT devem receber esforço prioritário, considerando a motivação da reunião e os objetivos nela determinados para o grupo de trabalho? (A) Habilitar Operação e Uso; Gerenciar Mudanças; Instalar e Homologar Soluções e Mudanças; Definir e Gerenciar Níveis dos Serviços. (B) Definir os Processos, a Organização e os Relacionamentos de TI; Gerenciar o Investimento de TI; Adquirir e Manter Software Aplicativo; Monitorar e Avaliar o Desempenho de TI. (C) Gerenciar as Operações; Gerenciar o Ambiente Físico; Assegurar Conformidade com Requisitos Externos; Identificar Soluções Automatizadas. (D) Gerenciar o Investimento de TI; Definir um Plano Estratégico de TI; Gerenciar a Qualidade; Adquirir Recursos de TI. (E) Determinar o Direcionamento Tecnológico; Habilitar Operação e Uso; Gerenciar Central de Serviço e os Incidentes; Monitorar e Avaliar o Desempenho de TI.
168
Governança de TI [email protected]
Concurso: BNDES (Cesgranrio) 2011
O Gerente de Operações de uma empresa de TI solicitou os contratos relativos às licenças de uso do sistema gerenciador de banco de dados adotado pela empresa. O seu objetivo é verificar se todas as cópias instaladas do SGBD estão cobertas pelos contratos, pois, caso contrário, a empresa estará sujeita às penalidades previstas em lei. A atividade descrita acima está relacionada a um dos objetivos de controle de um dos processos do domínio Entregar e Suportar (DS) do COBIT. Que processo é esse? (A) Gerenciar os Dados. (B) Monitorar e Avaliar os Controles Internos. (C) Gerenciar a Configuração. (D) Assegurar a Conformidade com Requisitos Externos. (E) Adquirir e Manter Infraestrutura de Tecnologia.
185
Governança de TI [email protected]
Concurso: Liquigás (Cesgranrio) 2012
A realização de cópia de segurança (backup) dos dados, de testes de restauração, de armazenamento dessas cópias em instalações remotas (offsite), com o objetivo de minimizar a probabilidade e o impacto de uma interrupção de um serviço chave de TI nas funções e processos críticos de negócio, são partes fundamentais dos processos de Gerenciar (A) o ambiente físico e Gerenciar as operações. (B) nível de serviço e Gerenciar as operações. (C) nível de serviço e Assegurar a continuidade dos serviços. (D) os dados e Assegurar a continuidade dos serviços. (E) os dados e Gerenciar o ambiente físico.
191
Governança de TI [email protected]
Concurso: Petrobras (Cesgranrio) 2011
Analise os seguintes processos de TI, conforme seus objetivos. I - Gerenciar as operações - Busca manter a integridade dos dados e assegurar que a infraestrutura de TI possa resistir e se recuperar de erros e falhas, atingindo os níveis de serviço operacionais para o processamento programado de dados, proteção das saídas de dados críticos, monitoramento e manutenção da infraestrutura. II - Gerenciar o ambiente físico - Busca proteger os ativos de TI e os dados do negócio e minimizar o risco de interrupção nos negócios, provendo e mantendo um ambiente físico adequado que proteja os recursos de TI contra acesso indevido, danos ou roubo. III - Gerenciar os dados - Busca otimizar o uso da informação e garantir que a informação esteja disponível quando requisitada com alto desempenho, de forma integrada, mantendo a sua consistência e restringindo o seu acesso aos administradores das bases de dados. IV - Garantir a segurança dos sistemas - Busca manter a integridade da infraestrutura de informação e de processamento e minimizar o impacto de vulnerabilidades e incidentes de segurança, definindo políticas, procedimentos e padrões de segurança de TI e monitorando, detectando, reportando e solucionando vulnerabilidades de segurança. Estão de acordo com o COBIT APENAS os que se apresentam em (A) I e II (B) I e IV (C) II e III (D) I, II e IV (E) II, III e IV
196
Governança de TI [email protected]
Todos os processos de TI precisam ser regularmente avaliados com o passar do tempo para assegurar a qualidade e a aderência aos requisitos de controle.
Este domínio aborda o gerenciamento de performance, o monitoramento do controle interno, a aderência regulatória e a governança.
Trata geralmente das seguintes questões de gerenciamento:
A performance de TI é mensurada para detectar problemas antes que seja muito tarde?
O gerenciamento assegura que os controles internos sejam efetivos e eficientes?
O desempenho da TI pode ser associado aos objetivos de negócio?
Existem controles adequados para garantir confidencialidade, integridade e disponibilidade das informações?
Domínio Monitorar e Avaliar
197
Governança de TI [email protected]
O COBIT decompõe TI em 4 domínios: Plan and Organise, Acquire and Implement, Deliver and Support e Monitor and Evaluate. Com relação ao domínio Monitor and Evaluate, uma pergunta que pode ser feita na autoavaliação da corporação é: (A) Os objetivos e metas de TI são claros e foram entendidos pela corporação? (B) As estratégias de TI e do negócio estão alinhadas? (C) Os sistemas funcionam corretamente após a implementação? (D) São realizadas auditorias para garantir que as áreas críticas estão operando conforme o esperado? (E) Os serviços de TI estão sendo entregues conforme os acordos do nível de serviço?
Concurso: TRF (FCC) 2010
198
Governança de TI [email protected]
ME1 Monitorar e Avaliar o Desempenho de TI
ME2 Monitorar e Avaliar os Controles Internos
ME3 Assegurar a Conformidade com Requisitos Externos
ME4 Prover Governança de TI
Processos do Domínio Monitorar e Avaliar
199
Governança de TI [email protected]
A gestão eficaz de desempenho de TI exige um processo de monitoramento.
Esse processo inclui a definição de indicadores de desempenho relevantes, informes de desempenho sistemáticos e oportunos e uma pronta ação em relação aos desvios encontrados.
O monitoramento é necessário para assegurar que as atividades corretas estejam sendo feitas e que estejam em alinhamento com as políticas e diretrizes estabelecidas.
ME1 - Monitorar e Avaliar o Desempenho de TI
200
Governança de TI [email protected]
Estabelecer um programa eficaz de controles internos de TI requer um processo de monitoramento bem definido.
Esse processo inclui o monitoramento e reporte das exceções de controle, dos resultados de autoavaliação e avaliação de terceiros.
Um benefício importante do monitoramento dos controles internos é assegurar uma operação eficaz e eficiente e a conformidade com as leis e os regulamentos aplicáveis
ME2 - Monitorar e Avaliar os Controles Internos
202
Governança de TI [email protected]
Concurso: TRE_ES (Cespe) 2011
Acerca dos domínios do COBIT, julgue os itens seguintes. 86 Entre os objetivos do processo denominado Monitorar e Avaliar os Controles Internos, incluem-se a monitoração, a comparação e o aprimoramento continuado do ambiente e da estrutura de controles de TI, a fim de que sejam atingidos os objetivos organizacionais.
Certo
203
Governança de TI [email protected]
A supervisão eficaz da conformidade requer o estabelecimento de um processo de revisão para assegurar a conformidade com as leis e regulamentações e os requisitos contratuais.
Esse processo inclui identificar os requisitos de conformidade, otimizar e avaliar a resposta, assegurar que os requisitos sejam atendidos e integrar os relatórios de conformidade de TI com os das áreas de negócios.
ME3 - Assegurar a Conformidade com Requisitos Externos
205
Governança de TI [email protected]
O estabelecimento de uma efetiva estrutura de governança envolve a definição das estruturas organizacionais, dos processos, da liderança, dos papéis e respectivas responsabilidades para assegurar que os investimentos corporativos em TI estejam alinhados e sejam entregues em conformidade com as estratégias e os objetivos da organização.
Obter avaliação periódica independente sobre desempenho e conformidade com políticas, padrões e procedimentos
ME4 - Prover Governança de TI
207
Governança de TI [email protected]
4. Relacionamento com demais modelos
ITIL
CMMI
PMBOK
PRINCE2
Planejamento Estratégico (Missão, Visão, Valores)
Ex: BSC - Balanced ScoreCard
209
Governança de TI [email protected]
Um gestor de TI que deseje monitorar e avaliar os controles internos, a fim de assegurar a conformidade dos processos com as leis e os regulamentos de TI, deve pautar-se especialmente pelo COBIT, visto que, no ITIL, não são abordados gerenciamentos relacionados a avaliação e monitoração de controles internos.
Concurso: TRE_ES (CESPE) 2011
Certo
210
Governança de TI [email protected]
O COSO é uma organização privada criada nos EUA em 1985 para prevenir e evitar fraudes nas demonstrações contábeis da empresa.
Inicialmente criada como National Commission on Fraudulent Financial Reporting, essa comissão era formada por representantes das principais associações de classes de profissionais ligados à área financeira.
O primeiro objeto de estudo da comissão foram os controles internos das empresas. Essa comissão posteriormente tornou-se um comitê e passou a se chamar COSO - Committee of Sponsoring Organizations of the Treadway Commission.
O COSO é uma organização sem fins lucrativos, dedicada a melhoria dos relatórios financeiros, sobretudo pela aplicação da ética e efetividade na aplicação e cumprimento dos controles internos e é patrocinado pela cinco das principais associações de classe de profissionais ligados à área financeira nos EUA.
Em decorrência da globalização e padronização internacional das técnicas de auditoria, as recomendações do COSO, relativas ao controles internos, bem como seu cumprimento e observância, são amplamente praticados e tidos como modelo e referência no Brasil e na maioria dos países do mundo.
COSO - Committee of Sponsoring Organizations of the Treadway Commission
211
Governança de TI [email protected]
O PMI (Project Management Institute) é uma organização sem fins lucrativos, composta por profissionais da área de gerenciamento de projetos.
As recomendações e processos do PMI estão publicados no PMBOK – um manual que define e descreve as habilidades, ferramentas e técnicas para o gerenciamento de um projeto.
O PMBOK possui 42 processos que estão estruturados em 5 cinco grupos – Iniciação, Planejamento, Execução, Monitoramento/Controle e Encerramento, bem como 9 áreas de conhecimento: Integração, Escopo, Tempo, Custo, Qualidade, Recursos Humanos, Comunicação, Análise de Risco e Aquisição.
A utilização do PMBOK, ou outro framework de gerenciamento de projetos, é importante para garantir que a empresa ou organização pública está executando projetos de forma adequada.
PMBOK - Project Management Body of Knowledge
212
Governança de TI [email protected]
PMBOK – As 9 áreas de Conhecimento
Integração
Cu
sto
Pra
zo
Escopo
RH
Risco
Comunicação
Aquisição
Qualidade
213
Governança de TI [email protected]
PMBOK – Ciclo de vida do projeto
Iniciação Planejamento
Monitoramento Execução
Encerramento
214
Governança de TI [email protected]
É um método não proprietário para gerenciamento de projetos criado pelo Governo Britânico em 1996, que pode ser adaptado a qualquer tipo ou tamanho de projeto.
O PRINCE2 possui 8 processos e 45 sub-processos, que definem as atividades a ser executadas durante o ciclo de vida do projeto
Um projeto PRINCE2 possui as seguintes características:
Controle e organização do início ao fim;
Regular revisão de progressos baseada nos planos e no business case;
Pontos de decisão flexíveis;
Gerenciamento efetivo de qualquer desvio do plano;
Envolvimento da gerência e das partes interessadas em momentos-chave durante toda a execução do projeto;
Um bom canal de comunicação entre o time do projeto e o restante da organização.
PRINCE2 - Project In a Controlled Environment
215
Governança de TI [email protected]
É uma certificação concedida pelo Software Engeneering Institute (SEI), da Universidade Carnegie Mellon (EUA), que mede o grau de maturidade no processo de desenvolvimento de software.
O CMMI é um modelo de maturidade de processo mais abrangente que combina CMM com disciplinas mais amplas nas áreas de engenharia de sistemas e desenvolvimento de produtos.
As metas do Projeto CMMI são eliminar as inconsistências, reduzir duplicações, e diminuir o custo de implementação da melhoria de processos baseados em modelos.
Existem outras metas como: assegurar que os produtos do framework sejam simples de entender e usar - pois eles usam uma terminologia comum, tenham um estilo consistente, sigam regras de construção uniformes, e compartilhem componentes comuns entre os produtos.
CMMI - Capability Maturity Model Integration
216
Governança de TI [email protected]
A Organização Internacional para Padronização (ISO) é uma entidade que atualmente congrega mais de 170 países.
Fundada em 23 de fevereiro de 1947, em Genebra, na Suíça, a ISO aprova normas internacionais em todos os campos técnicos, exceto na electricidade e eletrônica, cuja responsabilidade é da International Electrotechnical Commission (IEC), fundada em 1906.
No Brasil, o órgão responsável pela ISO é a ABNT (Associação Brasileira de Normas Técnicas)
Entre os tipos de classificação da ISO, encontram-se:
Normas Técnicas, como por exemplo as da ABNT;
Classificações, como por exemplo, os códigos de países (PT / PRT / 620 para Portugal; BR / BRA / 076 para Brasil);
Normas de Procedimento, como por exemplo as de gestão da qualidade, de acordo com a ISO 9000.
ISO - International Organization for Standardization
217
Governança de TI [email protected]
A NBR ISO/IEC 20000, versão da ABNT para a ISO/IEC 20000, orienta a abordagem integrada de processos para um fornecimento eficaz de serviços de TI e define as diretrizes de qualidade para a gestão de serviços de TI.
Essa norma é estreitamente alinhada com o ITIL e fornece um critério de medição e validação do sucesso de uma organização na implementação desss melhores práticas.
O conteúdo da ISO 20000 é baseado nos seguintes documentos:
Primeira parte – Inclui um conjunto de requisitos mínimos e fomenta a adoção de uma abordagem de processos integrada para um fornecimento eficaz dos serviços geridos de forma a satisfazer os requisitos empresariais e dos clientes.
Segunda parte – Abrange um “Código de Práticas para Gestão de Serviços,” que expõe os elementos chave das melhores práticas ITIL. Esse documento pretende auxiliar as organizações no sentido de estabelecerem processos para alcançarem os objetivos da primeira parte (acima).
NBR ISO/IEC 20000 (ISO 20000)
219
Governança de TI [email protected]
A ABNT NBR ISO/IEC 27001, versão da ABNT para a ISO/IEC 27001, especifica os requisitos obrigatórios para estabelecer, implementar e documentar um Sistema de Gerenciamento de Segurança da Informação
Define os requisitos de controles de segurança a serem implementados de acordo com as necessidades individuais das organizações.
Ela é formada de onze seções de controle, trinta e nove processos e cento e trinta e três controles. Também está incluído nessa norma um modelo PDCA (Plan-Do-Check-Act), que permite melhoria contínua.
Este é o padrão internacional para a segurança da informação nas organizações e sua adoção deve ser uma decisão estratégica.
NBR ISO/IEC 27001 – Requisitos (ISO 27001)
220
Governança de TI [email protected]
A ABNT NBR ISO/IEC 27002, versão da ABNT para a ISO/IEC 27002, é um código de práticas para a segurança da informação, onde são enumerados mecanismos de controle que podem ser implementados de acordo com a ISO 27001.
Os controles apresentados destinam-se a atender os requisitos especificados em uma análise formal de riscos.
Esse padrão também fornece um guia para o desenvolvimento de padrões de segurança organizacional e práticas de gerenciamento eficaz de segurança.
A base dessa norma foi publicada pelo governo britânico e tornaram-se um padrão em 1995, quando foram republicadas pelo BSI (British Standards Institution) – BS7799.
Em 2000, a ISO (International Standards Organisation) republicou a norma como ISO 17799. Uma nova versão foi publicada em 2005 - ISO 27002.
NBR ISO/IEC 27002 – Código de Prática (ISO 27002)
221
Governança de TI [email protected]
Esta norma cobre o gerenciamento de riscos de segurança da informação.
Suporta especialmente os requisitos de gerenciamento da segurança da informação contidos na norma ISO 27001 e foi projetada para dar assistência à implementação da segurança da informação baseada numa abordagem de gerenciamento de riscos.
Essa norma se aplica a qualquer tipo de organização, inclusive órgãos governamentais, que desejem gerenciar os riscos que possam comprometer a segurança da informação.
Para efeito da ISO 27005, risco deve ser entendido como: uma combinação de conseqüências da ocorrência de um evento não desejado e da probabilidade da ocorrência do evento.
O processo de análise de riscos apresentado nessa norma indica a necessidade de identificar os ativos de informação que apresentam riscos, as potenciais fontes de ameaça, as vulnerabilidades e as conseqüencias da materialização dos riscos.
NBR ISO/IEC 27005 – Riscos (ISO 27005)
222
Governança de TI [email protected]
Norma lançada em 2008 que estabelece um novo padrão para Governança Corporativa de TI.
Essa norma foi baseada em um padrão australiano (AS8015) que provê seis princípios orientadores para o estabelecimento de uma boa governança corporativa e também para o uso aceitável, eficiente e efetivo dos recursos de TI:
Estabelecer responsabilidades facilmente compreensíveis para a TI;
Planejar a TI para que ela ofereça o melhor suporte à organização;
Validar as aquisições de TI;
Garantir o melhor desempenho da TI sempre que necessário;
Garantir a conformidade da TI junto às regras formais;
Garantir que a utilização dos recursos de TI respeite os fatores humanos.
ISO/IEC 38500 (ISO 38500)
223
Governança de TI [email protected]
Foi assinada em 30 de julho de 2002 pelo senador Paul Sarbanes (Democrata de Maryland) e pelo deputado Michael Oxley (Republicano de Ohio).
Motivada por escândalos financeiros coorporativos (dentre eles o da Enron e Arthur Andersen), essa lei foi redigida para evitar a fuga dos investidores causada pela aparente insegurança e falta de governança nas empresas.
A SOX visa garantir a criação de mecanismos de auditoria e segurança confiáveis nas empresas, incluindo regras para a criação de comitês encarregados de supervisionar suas atividades e operações, de modo a mitigar riscos aos negócios, evitar a ocorrência de fraudes ou assegurar que haja meios de identificá-las quando ocorrem, garantindo a transparência na gestão das empresas.
Atualmente grandes empresas com operações financeiras no exterior seguem a lei Sarbanes-Oxley. A lei também afeta dezenas de empresas brasileiras que mantém ADRs (American Depositary Receipts) negociadas na NYSE (Petrobras, GOL, TAM, Banco Itaú, etc)
A seção 404 determina uma avaliação anual dos controles e procedimentos internos para emissão de relatórios financeiros e auditoria para avaliar a eficácia dos controles internos.
A Lei Sarbanes Oxley (SOX ou Sarbox)
224
Governança de TI [email protected]
O Acordo de Capital de Basiléia II, também conhecido como Basiléia II, foi um acordo assinado no âmbito do Comitê da Basiléia em 2004 para substituir o acordo de Basiléia I. O Basiléia II fixa-se em três pilares e 25 princípios básicos sobre contabilidade e supervisão bancária.
Os 3 pilares são: 1. Capital (guardar) 2. Supervisão (fiscalizar) 3. Transparência e Disciplina de Mercado (divulgação de dados)
O Comitê de Supervisão Bancária de Basileia (BCBS, sigla de Basel Committee on Banking Supervision em inglês) é uma organização que congrega autoridades de supervisão bancária, visando a fortalecer a solidez dos sistemas financeiros
Ele foi estabelecido em 1974 pelos presidentes dos bancos centrais dos países do Grupo dos Dez (G-10). Normalmente se reúne no Banco de Compensações Internacionais, na Basileia, Suíça, onde se localiza sua secretaria permanente. Nesse comitê, são discutidas questões relacionadas à indústria bancária, visando estabelecer padrões de conduta, melhorar a qualidade da supervisão bancária e fortalecer a solidez e segurança do sistema bancário internacional.
O Comitê de Basileia é constituído por representantes de autoridades de supervisão bancária dos bancos centrais de Bélgica, Canadá, França, Alemanha, Itália, Japão, Países Baixos, Suécia, Suíça, Reino Unido e Estados Unidos, além de Luxemburgo e Espanha, que não são membros do G-10.
Basiléia II
225
Governança de TI [email protected]
Publicada em 2006, essa resolução determina que as instituições autorizadas a funcionar pelo Banco Central devem implementar sua própria estrutura para gerenciamento do risco operacional.
No caso de TI, risco operacional refere-se a falhas em sistemas, interrupções das atividades e danos a ativos.
Essa resolução traz as seguintes implicações para TI:
Identificar, avaliar, monitorar, controlar e mitigar os riscos, incluindo os serviços de fornecedores
Desenvolver e implementar um Plano de Continuidade
Em geral, o Cobit é o modelo escolhido como ponto de partida para avaliação dos riscos e auditoria.
Resolução 3380 do Banco Central do Brasil
226
Governança de TI [email protected]
De acordo com o Cobit 4.0, qual o critério define que a informação deve ser adequada para gerenciar a operação do negócio e para a alta direção exercer sua responsabilidade de geração de relatórios financeiros e de conformidade?
A. Confiabilidade B. Disponibilidade C. Eficiência D. Conformidade E. Efetividade
228
Governança de TI [email protected]
Quais afirmações estão corretas sobre maturidade do Cobit? I. Existem 5 níveis de maturidade e cada empresa define o objetivo desejado para cada processo
II. Aumentar o nível de maturidade de 2 para 3 significa que os processos são monitorados e medidos e que se deseja atingir um nível em que esses sejam documentados e comunicados
III. No nível 2, os processos evoluíram para um estágio onde procedimentos similares são seguidos por diferentes pessoas fazendo a mesma tarefa IV. No nível 1, a empresa reconheceu que existem questões e que precisam ser trabalhadas, mas não há um processo padronizado A.I e IV. B. I e III. C. I, II e III. D. III e IV. E. Todos
229
Governança de TI [email protected]
Quais afirmações estão corretas sobre os processos do Cobit? I. Definir um plano estratégico de TI: Sustentar ou estender a
estratégia de negócio e os requisitos de governança e, ao mesmo tempo, ser transparente quanto aos benefícios, custos e riscos
II. Gerenciar mudanças: Atender aos requisitos de negócio em alinhamento com a estratégia da organização, reduzindo retrabalho e defeitos na entrega de soluções e serviços
III. Definir e gerenciar níveis de serviço: Assegurar o alinhamento dos principais serviços de TI com a estratégia de negócio
IV. Prover governança: Integrar a governança de TI aos objetivos de governança corporativa e ter conformidade com leis, regulamentações e contratos
A. II e IV. B. I e III. C. I, II e III. D. I, III e IV. E. Todos
230
Governança de TI [email protected]
Quais afirmações estão corretas sobre cobit e governança? I. O BSC pode ser usado para mensuração de desempenho no
cobit
II. As áreas foco do cobit são alinhamento estratégico, entrega de valor, gestão de recursos, gestão de riscos, mensuração de desempenho e governança de TI
III. Os recursos presentes no cobit são aplicativos, informações, infraestrutura, pessoas e processos
IV. O uso do cobit é indicado para empresas que precisam ter aderência com a SOX
A. II e III. B. I e IV. C. I, II e IV. D. I, II, III. E. Todos
231
Governança de TI [email protected]
Baseado em 5 princípios e 7 habilitadores
Os 37 processos contêm práticas e atividades
As Entradas e saídas ficam no nível das práticas
Matrizes RACI mais detalhadas
Novo modelo de avaliação de capacidade
Principais novidades do Cobit 5
234
Governança de TI [email protected]
O COBIT possui como princípio e enfoque exclusivo as funções inerentes a TI. Na versão 5, o COBIT integra, em um framework único, o BSC, o VAL IT e o COSO, devido ao fato de o cenário atual recomendar que a TI seja parte estratégica das organizações e de reconhecer a importância do alinhamento entre a TI e o negócio.
Concurso: STF (CESPE) 2013
Errado
236
Governança de TI [email protected]
1. Atender às necessidades dos stakeholders
2. Cobrir a organização de ponta a ponta
3. Aplicar um framework único e integrado
4. Possibilitar uma abordagem holística
5. Separar a governança da gestão
Os 5 Princípios do Cobit5
237
Governança de TI [email protected]
O Cobit 5 agrupa cinco princípios que permitem às corporações construírem um framework efetivo de governança e gestão, baseado em um conjunto de sete viabilizadores (enablers), que otimizam os investimentos em tecnologia e informação, assim como seu uso em benefício das partes interessadas.
Concurso: STF (CESPE) 2013
Certo
238
Governança de TI [email protected]
1. Princípios, políticas e frameworks: Traduzem o comportamento desejado em um guia prático;
2. Processos: Conjunto organizado de práticas e atividades para atingir certos objetivos e produzir um conjunto de saídas que auxiliem no cumprimento das metas relacionadas a TI;
3. Estruturas organizacionais: Entidades-chave, responsáveis pela tomada de decisão em uma organização;
4. Cultura, ética e comportamento: Indivíduos e da organização (frequentemente é subestimada);
5. Informação: É imprescindível para manter a organização em funcionamento e bem governada;
6. Serviços, infraestrutura e aplicações: inclui a infraestrutura, tecnologia e aplicações que fornecem os serviços de TI;
7. Pessoas, habilidades e competências: Associado às pessoas e são requeridas para que as atividades sejam executadas com sucesso e para que decisões e ações corretivas sejam realizadas.
Os 7 Viabilizadores (Enablers) do Cobit 5
240
Governança de TI [email protected]
Julgue os itens de acordo com o COBIT 5 97 A integracao da governanca corporativa a gestao de TI consiste em um dos principios do COBIT. 98 Os processos da area chave denominada governanca estao incluidos em um unico dominio, no qual sao definidas as praticas para avaliar, dirigir e monitorar. 99 A entrega de informacao apropriada para que um executivo de uma empresa tome uma decisao responsavel diz respeito ao requisito de conformidade da informacao.
Concurso: TJ_SE (CESPE) 2014
Errado
243
Certo
Errado
Governança de TI [email protected]
Concurso: TRT 8ª Região 2013
De acordo com o COBIT 5, os processos de definição dos requisitos e de habilitação das mudanças organizacionais constam do domínio A construir, planejar e organizar. B planejar e organizar. C adquirir e implementar. D alinhar, planejar e organizar. E construir, adquirir e implementar.
245
Governança de TI [email protected]
Gerenciar mudanças e gerenciar problemas são processos do domínio deliver, service and support, que abrange aspectos de entrega de tecnologia da informação, bem como da execução de aplicações dentro do sistema de TI e seus resultados.
Concurso: STF (CESPE) 2013
Errado
246
Governança de TI [email protected]
1. Avaliar, Dirigir e Monitorar (EDM)
Possui 5 processos que ditam as responsabilidades da alta direção para a avaliação, direcionamento e monitoração do uso dos ativos de TI para a criação de valor.
Cobre a definição de um framework de governança, o estabelecimento das responsabilidades em termos de valor para a organização, fatores de risco e recursos (ex. otimização de recursos), além da transparência da TI para as partes interessadas (stakeholders).
O Domínio de Governança
249
Governança de TI [email protected]
1. Alinhar, Planejar e Organizar (APO):
Identificação de como a TI pode contribuir melhor com os objetivos de negócio.
Estão relacionados com a estratégia e táticas de TI, arquitetura corporativa, inovação e gerenciamento de portfólio, orçamento, qualidade, riscos e segurança.
Os 4 Domínios de Gestão
250
Governança de TI [email protected]
2. Construir, Adquirir e Implementar (BAI)
Concretiza a estratégia, identificando os requisitos para a TI e gerenciando o programa de investimentos em TI e projetos associados.
Este domínio também endereça o gerenciamento da disponibilidade e capacidade; mudança organizacional; gerenciamento de mudanças (TI); aceite e transição; e gerenciamento de ativos, configuração e conhecimento.
Os 4 Domínios de Gestão
251
Governança de TI [email protected]
3. Entregar, Servir e Suportar (DSS)
Trata a entrega dos serviços de TI necessários para atender aos planos táticos e estratégicos.
Inclui processos para gerenciar operações, requisições de serviços e incidentes, assim como o gerenciamento de problemas, continuidade, serviços de segurança e controle de processos de negócio.
Os 4 Domínios de Gestão
252
Governança de TI [email protected]
4. Monitorar, Avaliar e Medir (MEA)
Visa monitorar o desempenho dos processos de TI, avaliando a conformidade com os objetivos e com os requisitos externos.
Os 4 Domínios de Gestão
253
Governança de TI [email protected]
O COBIT 5 possui cinco domínios, sendo um deles o domínio Avaliar, Direcionar e Monitorar (EDM – Evaluate, Direct and Monitor), afeto diretamente à governança e relacionado a ISO 38500.
Concurso: STF (CESPE) 2013
Certo
254
Governança de TI [email protected]
• EDM01 - Assegurar o Estabelecimento e Manutenção do Framework de Governança
• Analisa e articula os requisitos para governança empresarial de TI
• Mantém estruturas, princípios, processos e práticas habilitadoras, com esclarecimento de responsabilidades e autoridades para alcançar a missão, metas e objetivos da organização.
Domínio Avaliar, Dirigir e Monitorar (EDM)
255
Governança de TI [email protected]
• EDM02 - Assegurar a Entrega de Benefícios
• Otimiza o valor que é entregue ao negócio a partir de processos de negócio, serviços de TI e ativos resultantes de investimentos feitos na TI.
Domínio Avaliar, Dirigir e Monitorar (EDM)
256
Governança de TI [email protected]
• EDM03 - Assegurar a Otimização de Riscos
• Assegura que o apetite e tolerância a riscos da organização é entendido, articulado e comunicado e que o risco ao valor empresarial relacionado ao uso de TI é identificado e gerenciado.
Domínio Avaliar, Dirigir e Monitorar (EDM)
257
Governança de TI [email protected]
• EDM04 - Assegurar a Otimização de Recursos
• Assegura que habilidades adequadas e suficientes relacionadas a TI estão disponíveis para suportar os objetivos empresariais efetivamente a um custo ótimo.
Domínio Avaliar, Dirigir e Monitorar (EDM)
258
Governança de TI [email protected]
• EDM05 - Assegurar a Transparência para as partes interessadas
• Assegura que o desempenho, conformidade e reporte da TI são transparentes para os stakeholders aprovando as metas e métricas e ações de remedição são necessárias.
Domínio Avaliar, Dirigir e Monitorar (EDM)
259
Governança de TI [email protected]
• AP001 - Gerenciar o Framework de Gestão de TI
• Esclarece e mantém a missão e visão da governança empresarial de TI. Implementa e mantém mecanismos e autoridades para gerenciar informação e uso da TI na empresa.
Domínio Alinhar, Planejar e Organizar (APO)
260
Governança de TI [email protected]
• AP002 - Gerenciar a Estratégia
• Fornece uma abordagem holística do negócio e ambiente de TI atual, direção futura e das iniciativas requeridas para migrar para o ambiente futuro desejado.
• Alinha planos de TI aos objetivos de negócio.
Domínio Alinhar, Planejar e Organizar (APO)
261
Governança de TI [email protected]
• AP003 - Gerenciar a Arquitetura Corporativa
• Estabelece uma arquitetura comum constituída de camada de processos de negócio, informação, dados, aplicativos e tecnologia para realizar de forma eficaz e eficiente as estratégias de TI e de negócio criando modelos e práticas chave que descrevem arquiteturas de linha de base.
Domínio Alinhar, Planejar e Organizar (APO)
262
Governança de TI [email protected]
• AP004 - Gerenciar a Inovação
• Mantém uma consciência da tecnologia da informação e tendências de serviço relacionadas, identificando oportunidades de inovação e planeja como se beneficiar a partir da inovação em relação as necessidades de negócio.
Domínio Alinhar, Planejar e Organizar (APO)
263
Governança de TI [email protected]
• AP005 - Gerenciar o Portfólio
• Executa a direção estratégica para investimentos alinhados com a visão da arquitetura empresarial e características dos investimentos e restrições de recursos e orçamento.
• AP006 - Gerenciar Orçamento e Custos
• Gerencia as atividades financeiras relacionadas a TI tanto nas funções de negócio com de TI, cobrindo orçamento, gerenciamento de custo e benefício e priorização de gastos.
Domínio Alinhar, Planejar e Organizar (APO)
264
Governança de TI [email protected]
• AP007 - Gerenciar Recursos Humanos
• Fornece uma abordagem estruturada para assegurar a ótima estruturação, contratação, direitos de decisão e habilidades de recursos humanos.
• AP008 - Gerenciar as Relações
• Gerencia o relacionamento entre o negócio e TI de maneira formal e transparente que assegure um foco na realização de resultados de negócio.
Domínio Alinhar, Planejar e Organizar (APO)
265
Governança de TI [email protected]
• AP009 - Gerenciar os Acordos de Serviço
• Alinha serviços e níveis de serviço fornecidos pela TI com as necessidades expectativas da empresa, incluindo a identificação, especificação, desenho, publicação, acordo e monitoração de serviços, níveis de serviço e indicadores de desempenho.
• AP010 - Gerenciar os Fornecedores
• Gerencia serviços relacionados a TI fornecidos por todos os tipos de fornecedores para atender aos requisitos da empresa, incluindo a seleção de fornecedores, gerenciamento de relacionamento, gerenciamento de contratos e revisão e monitoração de desempenho de fornecedores.
Domínio Alinhar, Planejar e Organizar (APO)
266
Governança de TI [email protected]
• AP011 Gerenciar a Qualidade
• Define e comunica requisitos de qualidade para todos os processos, procedimentos e resultados de negócio relacionados, incluindo controles, monitoramento contínuo e uso de práticas e normas na melhoria contínua.
• AP012 Gerenciar os Riscos
• Identifica, avalia e reduz continuamente os riscos relacionados a TI dentro de níveis de tolerância estabelecidos pela gerência executiva da empresa.
• AP013 Gerenciar a Segurança
• Define, opera e monitora um sistema para gestão da segurança da informação.
Domínio Alinhar, Planejar e Organizar (APO)
267
Governança de TI [email protected]
• BAI01 - Gerenciar Programas e Projetos
• Gerencia todos os programas e projetos a partir do portfólio de investimentos alinhados com a estratégia da empresa e em de forma coordenada. Inicia, planeja e executa programas e projetos e encerra com uma revisão pós-implementação.
• BAI02 - Gerenciar a Definição de Requisitos
• Identifica soluções e analisa requisitos antes da aquisição ou criação para assegurar que eles estão alinhados com os requisitos da estratégia da empresa cobrindo processos de negócio, aplicativos, informação/dados, infraestrutura e serviço.
Domínio Construir, Adquirir e Implementar (BAI)
268
Governança de TI [email protected]
• BAI03 - Gerenciar a Identificação e Construção de Soluções
• Estabelece e mantém soluções identificadas de acordo com requisitos da empresa, cobrindo desenho, desenvolvimento, aquisição/terceirização e parceria com fornecedores/vendedores.
• BAI04 - Gerenciar a Disponibilidade e Capacidade
• Balanceia necessidades atuais e futuras para disponibilidade, desempenho e capacidade com provisão de serviço a um custo-efetivo.
Domínio Construir, Adquirir e Implementar (BAI)
269
Governança de TI [email protected]
• BAI05 - Gerenciar a lmplementação de Mudança Organizacional
• Maximiza a probabilidade de sucesso da implementação de mudança organizacional sustentável em toda a empresa de forma rápida e com risco reduzido.
• BAI06 - Gerenciar Mudanças
• Gerencia todas as mudanças de uma forma controlada, incluindo mudanças padrão e emergencial, relacionadas a processos de negócio, aplicativos e infraestrutura.
Domínio Construir, Adquirir e Implementar (BAI)
270
Governança de TI [email protected]
• BAI07 Gerenciar Aceite e Transição de Mudança
• Recebe e produz formalmente novas soluções operacionais, incluindo planejamento de implementação, sistema e conversão de dados, testes de aceitação comunicação, preparação de liberação, promoção para a produção de processos de negócio e serviços de TI novos ou alterados, apoio inicial a operação e uma revisão pós implementação.
• BAIO8 Gerenciar o Conhecimento
• Mantém a disponibilidade de conhecimento relevante, atual, validado e confiável para apoiar todas as atividades de processo e facilitar a tomada de decisão.
Domínio Construir, Adquirir e Implementar (BAI)
271
Governança de TI [email protected]
• BAI09 - Gerenciar os ativos
• Gerencia ativos de TI para se certificar de que seu uso agrega valor a um custo ótimo, permanecem operacionais (aptos para o propósito), estão fisicamente protegidos e são fundamentais para apoiar a capacidade de serviço.
• BAI10 - Gerenciar a configuração
• Define e mantém os relacionamentos entre os principais recursos e capacidades necessárias para entregar serviços apoiados pela TI, incluindo a coleta de informações de configuração, estabelecimento de linhas de base, verificação e auditoria de informações de configuração e atualização.
Domínio Construir, Adquirir e Implementar (BAI)
272
Governança de TI [email protected]
• DSS01 - Gerenciar as operações
• Coordena e executa as atividades e procedimentos operacionais necessários para entregar serviços de TI internos e terceirizados, incluindo a execução de procedimentos operacionais pré-definidos e as atividades de monitoração.
• DSS02 - Gerenciar Requisições de Serviço e Incidentes
• Fornece uma resposta em tempo oportuno e eficaz às requisições dos usuários e resolução de todos os tipos de incidentes.
Domínio Entregar, Servir e Suportar (DSS)
273
Governança de TI [email protected]
• DSS03 - Gerenciar Problemas
• Identifica e classifica os problemas e suas causas raízes e proporciona resolução em tempo oportuno para prevenir incidentes recorrentes.
• DSS04 - Gerenciar a Continuidade
• Estabelece e mantém um plano para permitir a resposta a incidentes e a interrupções, a fim de continuar a operação de processos de negócio críticos e serviços de TI requeridos e mantém a disponibilidade de informações em um nível aceitável para a empresa.
Domínio Entregar, Servir e Suportar (DSS)
274
Governança de TI [email protected]
• DSS05 - Gerenciar os Serviços de Segurança
• Protege informações da empresa para manter o nível de risco aceitável para segurança da informação da empresa em conformidade com a política de segurança.
• DSS06 - Gerenciar os Controles de Processos de Negocio
• Define e mantém controles de processos de negócio adequados para assegurar que as informações relacionadas e processadas dentro da empresa ou de forma terceirizada satisfaz todas as exigências de controle das informações pertinentes.
Domínio Entregar, Servir e Suportar (DSS)
275
Governança de TI [email protected]
• MEA01 - Monitorar, Avaliar e Medir o Desempenho e Conformidade: Coleta, valida e avalia metas/métricas de processos de TI/negócio e Monitora se os processos estão operando conforme as definições.
• MEA02 - Monitorar, Avaliar e Medir o Sistema de Controle Interno: Monitora e avalia continuamente o ambiente de controle, incluindo avaliações (Interna e Externa).
• MEA03 Monitorar, Avaliar e Medir a Conformidade com Requisitos Externos: Avalia se processos de TI e processos negócios apoiados por TI estão em conformidade com leis, regulamentos e exigências contratuais.
Domínio Monitorar, Avaliar e Medir (MEA)
276
Governança de TI [email protected] 278
Governança de TI [email protected]
Mapear situações “as-is” e “to-be”
Realizar análises de gap entre a situação atual e situação desejada
Benchmarking de capacidade de processos
Comunicar à alta administração a situação atual
Objetivos do Modelo de Capacidade
279
Governança de TI [email protected]
0: Processo Incompleto/Inexistente - O processo não foi implementado ou não atingiu seu objetivo.
1: Processo Executado (um atributo) - O processo implementado atinge seu objetivo.
2: Processo Gerenciado (dois atributos) - O processo é implementado de forma administrativa (planejado, monitorado e ajustado) e seus produtos do trabalho são adequadamente estabelecidos, controlados e mantidos.
3: Processo Estabelecido (dois atributos) - O processo controlado descrito acima agora é implementado utilizando um processo definido capaz de atingir seus resultados.
4: Processo Previsível (dois atributos) – O processo opera agora dentro dos limites definidos para produzir seus resultados.
5: Processo Otimizado (dois atributos) - O processo é continuamente melhorado para atingir seus objetivos.
Modelo de Capacidade dos Processos
280
Governança de TI [email protected] 281
Governança de TI [email protected] 282
Governança de TI [email protected]
1. Desempenho do Processo (PA 1.1): Atinge os seus objetivos.
2. Gerenciamento de Desempenho (PA 2.1): Os objetivos são definidos, planejados e monitorados de acordo com um plano.
3. Gerenciamento dos Produtos do Processo (PA 2.2):◦ Os produtos do processo são definidos, controlados e documentados.
4. Definição de Processo (PA 3.1): Um processo padrão é definido
5. Implantação de Processo (PA 3.2): ◦ Papeis e responsabilidades são alocados e comunicados.
6. Medição de Processo (PA 4.1): Objetivos quantitativos são estabelecidos e métricas são identificadas.
7. Controle de Processo (PA 4.2): Uso de Técnicas de análise e controle
8. Inovação do Processo (PA 5.1): Dados são coletados no sentindo de possibilitar inovação e boas práticas.
9. Otimização de Processo (PA 5.2): Mudanças são propostas e implementadas para melhorar o processo
Atributos do Modelo de Capacidade
283
Governança de TI [email protected]
100 A dimensao do ciclo de vida dos viabilizadores (enablers) constitui-se, entre outras, das acoes de planejar; construir, adquirir e implementar; monitorar e avaliar. 101 As dimensoes do balanced scorecard sao empregadas para o desenvolvimento dos objetivos corporativos (entreprise goals) e dos objetivos relacionados a TI constantes da cascata de objetivos do COBIT.
Concurso: TJ_SE (CESPE) 2014
Certo
284
Certo
Governança de TI [email protected]
Plano Desenho Construção/Aquisição/Implementação Uso/Operação Avaliação/Monitoração Eliminação
Existem quatro dimensões dos Habilitadores
Partes interessadas (stakeholders) Metas Ciclo de vida Boas práticas
Ciclo de vida é uma dimensão dos Habilitadores
285