1) O documento apresenta Paulo César Rodrigues, um especialista em governança corporativa e TI com mais de 20 anos de experiência. 2) É descrito o framework COBIT, desenvolvido pela ISACA para governança e gestão de TI, focado em negócios, processos e métricas. 3) Os desafios das organizações e de TI são discutidos, enfatizando a necessidade de alinhamento entre TI e negócios.

1. Novembro/2005
FUNDAMENTOS DO COBIT v4.1

2. Novembro/2005
Paulo César Rodrigues
CGEIT®, CISA®, CISM®
Mais de 20 anos de experiência técnica e executiva nas áreas de TI, Marketing,
Planejamento Estratégico e Auditoria. Foi CIO em empresas como Goodyear, Harris,
Sodexho, Komatsu. Graduado em Tecnologia de Processamento de Dados pela
UNICAMP. Vivência em projetos nos USA, Argentina, Colômbia, Venezuela e Canadá.
Vivência em projetos de Governança Corporativa e de TI, SOX (Sarbannes & Oxley),
ITIL e Cobit, ISO 17779, CMM e CMMi, Software Factory, Six Sigma, etc. Certificado
Cobit® Foundation, CGEIT®, CISA® e CISM®. Um dos cinco instrutores oficiais Cobit®
Foundations no Brasil. Foi Diretor de Educação e Certificação do Capítulo ISACA –
Brasília.

3. Novembro/2005
Possuindo atualmente cerca de 80 clientes em sua carteira, nos quais executamos
negócios com alto padrão de qualidade e ética.
PRINCIPAIS CLIENTES

4. Novembro/2005
Agenda
q Desafios das organizações
q Desafios de TI
q Governança
q COBIT
q Domínios, processos, critérios e recursos de TI
q Modelo de Maturidade
qIndicadores de metas e de desempenho
q Processos de TI
q Outros modelos (ISO1-7799, SIX SIGMA, COSO etc.)

5. Novembro/2005
O que é Cobit ?
COBIT

6. Novembro/2005
COBIT
• Desenvolvido pela ISACA
• Mantido pelo Instituto de Governança de TI (ITGI)
• Principais características:
• FOCADO EM NEGÓCIO
• ORIENTADO POR PROCESSOS DE TI
• BASEADO EM CONTROLES
• CONDUZIDO POR MÉTRICAS E MEDIÇÕES
C Control
OB OBjectives
I for Information
T and related Technology

7. Novembro/2005
Desafios das organizações
Quais são os desafios ?

8. Novembro/2005
Atender
Órgãos reguladores
Aumentar
Carteira de clientes
Aprimorar a
Prestação de serviços
Preservar os Acionistas
Desafios das Organizações
Executivo
Reduzir Custos

9. Novembro/2005
Click to edit Master text styles
Second level
● Third level
● Fourth level
● Fifth level
Como garantir o
alinhamento de TI ao
negócio?
Como garantir
conformidade com os
requerimentos SOX?
Como conseguir
demonstrar os
ganhos de
produtividade?
Como facilitar a venda
dos projetos de TI?
Como priorizá-los?
Quais as maneiras
de preparar a
organização para um
outsourcing?
Como conciliar os
interesses
conflitantes das
várias áreas da
organização?
Quais métricas utilizar para
demonstrar aos acionistas
os resultados obtidos por
TI?
Como responder com
agilidade às demandas
de negócio mantendo
padrões de qualidade e
segurança?
Como conciliar a
necessidade de uma
visão de longo prazo com
a cobrança pelos
resultados no curtíssimo
prazo?
Como garantir uma
análise aceitável de
riscos ?
Que métodos ou guias
podemos utilizar para uma
gestão efetiva de TI?
Desafios de TI

10. Novembro/2005
Desafios de TI
Uma pesquisa do ITGI dirigida a CEOs identificou cinco
preocupações básicas:
DESEMPENHO DE TI ABAIXO DO ESPERADO
FALHAS OPERACIONAIS DAS SOLUÇÕES DE TECNOLOGIA
PROBLEMAS DE PREENCHIMENTO DE VAGAS
ALTO CUSTO DE TI COM BAIXO RETORNO SOBRE
INVESTIMENTO
DESCONEXÃO ENTRE A ESTRATÉGIA DE TI E A COMERCIAL

11. Novembro/2005
Desafios de TI
Criar e manter um
Identificar corretamente os
Identificar o foco da necessidade do Negócios de modo a
Manter-se atualizado
Administrar
Estar a frente da
Administrar contratos
Identificar e praticar níveis adequados de
Identificar com o Negócio suas
Manter a empresa em
Garantir a presença de
Equacionar níveis adequados de Retorno sobre Investimento

12. Novembro/2005
Governança
Mas, e nas empresas de sucesso?
Qual é o segredo?

13. Novembro/2005
Governança
As empresas bem sucedidas têm um conjunto de elementos comum que se
refere ao gerenciamento dos riscos associados a gerência da
informação.
A estratégia de TI é alinhada com a estratégia de
negócios.

14. Novembro/2005
Governança
A estratégia de TI é alinhada com a estratégia de
negócios.
Conexão em cascata de cima para baixo da
estratégia corporativa com os objetivos de TI.
As empresas bem sucedidas têm um conjunto de elementos comum que se
refere ao gerenciamento dos riscos associados a gerência da
informação.

15. Novembro/2005
Governança
A estratégia de TI é alinhada com a estratégia de
negócios.
Conexão em cascata de cima para baixo da
estratégia corporativa com os objetivos de TI.
Fornecimento de estruturas organizacionais que
facilitem a execução da estratégia e dos
objetivos de TI.
As empresas bem sucedidas têm um conjunto de elementos comum que se
refere ao gerenciamento dos riscos associados a gerência da
informação.

16. Novembro/2005
Governança
A estratégia de TI é alinhada com a estratégia de
negócios.
Conexão em cascata de cima para baixo da
estratégia corporativa com os objetivos de TI.
Fornecimento de estruturas organizacionais que
facilitem a execução da estratégia e dos
objetivos de TI.
Possuem mecanismos eficientes e eficazes de
medição de desempenho.
As empresas bem sucedidas têm um conjunto de elementos comum que se
refere ao gerenciamento dos riscos associados a gerencia da
informação.

17. Novembro/2005
Governança
A estratégia de TI é alinhada com a estratégia de
negócios.
Conexão em cascata de cima para baixo da
estratégia corporativa com os objetivos de TI.
Fornecimento de estruturas organizacionais que
facilitem a execução da estratégia e dos
objetivos de TI.
Criaram relacionamentos construtivos e
comunicações eficazes entre as áreas de Negócio,
de TI, e com os parceiros externos.
Possuem mecanismos eficientes e eficazes de
medição de desempenho.
As empresas bem sucedidas têm um conjunto de elementos comum que se
refere ao gerenciamento dos riscos associados a gerencia da
informação.

18. Novembro/2005
Governança
1. Possuir uma ligação clara entre os objetivos de
TI e às exigências das áreas de negócio.
2. Possuir parâmetros de desempenho de TI relacionados ao
desempenho do negócio.
3. Organizar suas atividades baseados em um modelo de processo
amplamente aceito de modo a identificar os recursos principais
que devam ser aprimorados.
4. Definir os objetivos do controle da gerência que devem ser
considerados.
5. Governança de TI e as Estruturas de Controle são vistas como
parte do conjunto de “Melhores Práticas de Gestão de TI” e
assim, estes frameworks atuam como habilitadores para um
continuo alinhamento com exigências regulatórias.
A estrutura de Governança da empresa precisa atender a
cinco requisitos básicos:

19. Novembro/2005
Governança
1. Possuir uma ligação clara entre os objetivos de TI e às
exigências das áreas de negócio.
2. Possuir parâmetros de desempenho de TI
relacionados ao desempenho do negócio.
3. Organizar suas atividades baseados em um modelo de processo
amplamente aceito de modo a identificar os recursos principais
que devam ser aprimorados.
4. Definir os objetivos do controle da gerência que devem ser
considerados.
5. Governança de TI e as Estruturas de Controle são vistas como
parte do conjunto de “Melhores Práticas de Gestão de TI” e
assim, estes frameworks atuam como habilitadores para um
continuo alinhamento com exigências regulatórias.
A estrutura de Governança da empresa precisa atender a
cinco requisitos básicos:

20. Novembro/2005
Governança
1. Possuir uma ligação clara entre os objetivos de TI e às
exigências das áreas de negócio.
2. Possuir parâmetros de desempenho de TI relacionados ao
desempenho do negócio.
3. Organizar suas atividades baseados em um
modelo de processo amplamente aceito de
modo a identificar os recursos principais que
devam ser aprimorados.
4. Definir os objetivos do controle da gerência que devem ser
considerados.
5. Governança de TI e as Estruturas de Controle são vistas como
parte do conjunto de “Melhores Práticas de Gestão de TI” e
assim, estes frameworks atuam como habilitadores para um
continuo alinhamento com exigências regulatórias.
A estrutura de Governança da empresa precisa atender a
cinco requisitos básicos:

21. Novembro/2005
Governança
1. Possuir uma ligação clara entre os objetivos de TI e às
exigências das áreas de negócio.
2. Possuir parâmetros de desempenho de TI relacionados ao
desempenho do negócio.
3. Organizar suas atividades baseados em um modelo de processo
amplamente aceito de modo a identificar os recursos principais
que devam ser aprimorados.
4. Definir os objetivos do controle da gerência que
devem ser considerados.
5. Governança de TI e as Estruturas de Controle são vistas como
parte do conjunto de “Melhores Práticas de Gestão de TI” e
assim, estes frameworks atuam como habilitadores para um
continuo alinhamento com exigências regulatórias.
A estrutura de Governança da empresa precisa atender a
cinco requisitos básicos:

22. Novembro/2005
Governança
1. Possuir uma ligação clara entre os objetivos de TI e às
exigências das áreas de negócio.
2. Possuir parâmetros de desempenho de TI relacionados ao
desempenho do negócio.
3. Organizar suas atividades baseados em um modelo de processo
amplamente aceito de modo a identificar os recursos principais
que devam ser aprimorados.
4. Definir os objetivos do controle da gerência que devem ser
considerados.
5. Governança de TI e as Estruturas de Controle
são vistas como parte do conjunto de “Melhores
Práticas de Gestão de TI” e assim, estes
frameworks atuam como habilitadores para um
continuo alinhamento com exigências
regulatórias.
A estrutura de Governança da empresa precisa atender a
cinco requisitos básicos:

23. Novembro/2005
Governança
1. Os entregáveis de TI devem realçar seu valor diante
dos acionistas.
2. Crescente interesse no aumento do nível das despesas da área de TI.
3. Necessidade de conformidade com exigências regulatórias (ex: Sarbanes-Oxley, Basiléia II
e Solvência II).
4. Melhor definição e seleção de fornecedores de serviço.
5. Riscos relacionados a TI cada vez mais complexos.
6. Adoção de frameworks de controle com o objetivo de monitorar e melhorar atividades
críticas.
7. Padronização em áreas especialistas,como desenvolvimento para aprimorar a relação
custo x benefício.
8. A maturidade crescente e a aceitação por parte do mercado de estruturas de controle como
COBIT, ITIL, ISO 17799, ISO 9001, CMM e PRINCE2.
9. Necessidade de benchmarking para avaliar como estão executando seus processos de TI
em confronto aos padrões geralmente aceitados.
O uso de frameworks e boas práticas tem em
vista os seguintes requerimentos:

24. Novembro/2005
Governança
1. Os entregáveis de TI devem realçar seu valor diante dos acionistas.
2. Crescente interesse no aumento do nível das
despesas da área de TI.
3. Necessidade de conformidade com exigências regulatórias (ex: Sarbanes-Oxley, Basiléia II
e Solvência II).
4. Melhor definição e seleção de fornecedores de serviço.
5. Riscos relacionados a TI cada vez mais complexos.
6. Adoção de frameworks de controle com o objetivo de monitorar e melhorar atividades
críticas.
7. Padronização em áreas especialistas,como desenvolvimento para aprimorar a relação
custo x benefício.
8. A maturidade crescente e a aceitação por parte do mercado de estruturas de controle como
COBIT, ITIL, ISO 17799, ISO 9001, CMM e PRINCE2.
9. Necessidade de benchmarking para avaliar como estão executando seus processos de TI
em confronto aos padrões geralmente aceitados.
O uso de frameworks e boas práticas tem em
vista os seguintes requerimentos:

25. Novembro/2005
Governança
1. Os entregáveis de TI devem realçar seu valor diante dos acionistas.
2. Crescente interesse no aumento do nível das despesas da área de TI.
3. Necessidade de conformidade com exigências
regulatórias (ex: Sarbanes-Oxley, Basiléia II e
Solvência II).
4. Melhor definição e seleção de fornecedores de serviço.
5. Riscos relacionados a TI cada vez mais complexos.
6. Adoção de frameworks de controle com o objetivo de monitorar e melhorar atividades
críticas.
7. Padronização em áreas especialistas,como desenvolvimento para aprimorar a relação
custo x benefício.
8. A maturidade crescente e a aceitação por parte do mercado de estruturas de controle como
COBIT, ITIL, ISO 17799, ISO 9001, CMM e PRINCE2.
9. Necessidade de benchmarking para avaliar como estão executando seus processos de TI
em confronto aos padrões geralmente aceitados.
O uso de frameworks e boas práticas tem em
vista os seguintes requerimentos:

26. Novembro/2005
Governança
1. Os entregáveis de TI devem realçar seu valor diante dos acionistas.
2. Crescente interesse no aumento do nível das despesas da área de TI.
3. Necessidade de conformidade com exigências regulatórias (ex: Sarbanes-Oxley, Basiléia II
e Solvência II).
4. Melhor definição e seleção de fornecedores de
serviço.
5. Riscos relacionados a TI cada vez mais complexos.
6. Adoção de frameworks de controle com o objetivo de monitorar e melhorar atividades
críticas.
7. Padronização em áreas especialistas,como desenvolvimento para aprimorar a relação
custo x benefício.
8. A maturidade crescente e a aceitação por parte do mercado de estruturas de controle como
COBIT, ITIL, ISO 17799, ISO 9001, CMM e PRINCE2.
9. Necessidade de benchmarking para avaliar como estão executando seus processos de TI
em confronto aos padrões geralmente aceitados.
O uso de frameworks e boas práticas tem em
vista os seguintes requerimentos:

27. Novembro/2005
Governança
1. Os entregáveis de TI devem realçar seu valor diante dos acionistas.
2. Crescente interesse no aumento do nível das despesas da área de TI.
3. Necessidade de conformidade com exigências regulatórias (ex: Sarbanes-Oxley, Basiléia II
e Solvência II).
4. Melhor definição e seleção de fornecedores de serviço.
5. Riscos relacionados a TI cada vez mais complexos.
6. Adoção de frameworks de controle com o objetivo de monitorar e melhorar atividades
críticas.
7. Padronização em áreas especialistas,como desenvolvimento para aprimorar a relação
custo x benefício.
8. A maturidade crescente e a aceitação por parte do mercado de estruturas de controle como
COBIT, ITIL, ISO 17799, ISO 9001, CMM e PRINCE2.
9. Necessidade de benchmarking para avaliar como estão executando seus processos de TI
em confronto aos padrões geralmente aceitados.
O uso de frameworks e boas práticas tem em
vista os seguintes requerimentos:

28. Novembro/2005
Governança
1. Os entregáveis de TI devem realçar seu valor diante dos acionistas.
2. Crescente interesse no aumento do nível das despesas da área de TI.
3. Necessidade de conformidade com exigências regulatórias (ex: Sarbanes-Oxley, Basiléia II
e Solvência II).
4. Melhor definição e seleção de fornecedores de serviço.
5. Riscos relacionados a TI cada vez mais complexos.
6. Adoção de frameworks de controle com o objetivo de
monitorar e melhorar atividades críticas.
7. Padronização em áreas especialistas,como desenvolvimento para aprimorar a relação
custo x benefício.
8. A maturidade crescente e a aceitação por parte do mercado de estruturas de controle como
COBIT, ITIL, ISO 17799, ISO 9001, CMM e PRINCE2.
9. Necessidade de benchmarking para avaliar como estão executando seus processos de TI
em confronto aos padrões geralmente aceitados.
O uso de frameworks e boas práticas tem em
vista os seguintes requerimentos:

29. Novembro/2005
Governança
1. Os entregáveis de TI devem realçar seu valor diante dos acionistas.
2. Crescente interesse no aumento do nível das despesas da área de TI.
3. Necessidade de conformidade com exigências regulatórias (ex: Sarbanes-Oxley, Basiléia II
e Solvência II).
4. Melhor definição e seleção de fornecedores de serviço.
5. Riscos relacionados a TI cada vez mais complexos.
6. Adoção de frameworks de controle com o objetivo de monitorar e melhorar atividades
críticas.
7. Padronização em áreas especialistas, como
desenvolvimento, para aprimorar a relação custo x
benefício.
8. A maturidade crescente e a aceitação por parte do mercado de estruturas de controle como
COBIT, ITIL, ISO 17799, ISO 9001, CMM e PRINCE2.
9. Necessidade de benchmarking para avaliar como estão executando seus processos de TI
em confronto aos padrões geralmente aceitados.
O uso de frameworks e boas práticas tem em
vista os seguintes requerimentos:

30. Novembro/2005
Governança
1. Os entregáveis de TI devem realçar seu valor diante dos acionistas.
2. Crescente interesse no aumento do nível das despesas da área de TI.
3. Necessidade de conformidade com exigências regulatórias (ex: Sarbanes-Oxley, Basiléia II
e Solvência II).
4. Melhor definição e seleção de fornecedores de serviço.
5. Riscos relacionados a TI cada vez mais complexos.
6. Adoção de frameworks de controle com o objetivo de monitorar e melhorar atividades
críticas.
7. Padronização em áreas especialistas,como desenvolvimento para aprimorar a relação
custo x benefício.
8. A maturidade crescente e a aceitação por parte do
mercado de estruturas de controle como COBIT, ITIL,
ISO 17799, ISO 9001, CMM e PRINCE2.
9. Necessidade de benchmarking para avaliar como estão executando seus processos de TI
em confronto aos padrões geralmente aceitados.
O uso de frameworks e boas práticas tem em
vista os seguintes requerimentos:

31. Novembro/2005
Governança
1. Os entregáveis de TI devem realçar seu valor diante dos acionistas.
2. Crescente interesse no aumento do nível das despesas da área de TI.
3. Necessidade de conformidade com exigências regulatórias (ex: Sarbanes-Oxley, Basiléia II
e Solvência II).
4. Melhor definição e seleção de fornecedores de serviço.
5. Riscos relacionados a TI cada vez mais complexos.
6. Adoção de frameworks de controle com o objetivo de monitorar e melhorar atividades
críticas.
7. Padronização em áreas especialistas,como desenvolvimento para aprimorar a relação
custo x benefício.
8. A maturidade crescente e a aceitação por parte do mercado de estruturas de controle como
COBIT, ITIL, ISO 17799, ISO 9001, CMM e PRINCE2.
9. Necessidade de benchmarking para avaliar como
estão executando seus processos de TI em
confronto aos padrões geralmente aceitados.
O uso de frameworks e boas práticas tem em
vista os seguintes requerimentos:

32. Novembro/2005
Desafios de TI
O que a empresa espera da área de TI ?
ATIVIDADE

33. Novembro/2005
Governança
Que relação existe
com o Planejamento
Estratégico?
Quais sinônimos você
relacionaria ao termo
Governança ?
ATIVIDADE
Quais são os
elementos essenciais
para se ter
Governança?
Que tipo de benefício
é possível ter com
Governança?

34. Novembro/2005
Governança Corporativa é o sistema pelo qual
as sociedades são dirigidas e monitoradas,
envolvendo os relacionamentos entre
Acionistas/Cotistas, Conselho de
Administração, Diretoria, Auditoria
Independente e Conselho Fiscal. As boas
práticas de governança corporativa têm a
finalidade de aumentar o valor da sociedade,
facilitar seu acesso ao capital e contribuir para
a sua perenidade. (IBGC)
Governança

35. Novembro/2005
Governança
Princípios da Governança Corporativa:
 Transparência
 Eqüidade
 Prestação de contas (accountability)
 Responsabilidade Corporativa

36. Novembro/2005
Governança
E
st
a
é
gi
a
E
st
a
é
gi
a
T
á
i
c
a
T
á
i
c
a
O
p
e
a
ç
ã
o
O
p
e
a
ç
ã
o

37. Novembro/2005
SIMPLES FLEXÍVEL
COM CONTROLES
FACTÍVEIS
PADRONIZADO
GOVERNANÇA DE
TI
Governança – Modelo
Como deve ser um modelo de Governança de TI?

38. Novembro/2005
Transparência Eficiência Eficácia
GOVERNANÇA DE TI
Transparência Eficiência
Prestação de ContasProteção dos Investidores
Eqüidade
GOVERNANÇA CORPORATIVA
Governança – O que é?
Confiabilidade Valor
Foco no Negócio

39. Novembro/2005
Estrutura de relacionamento e
processos para dirigir e
controlar a empresa em
função de alcançar seus
objetivos por
ADICIONAR VALOR
enquanto
EQUILIBRA O RISCO
versus
o RETORNO
sobre os investimentos de TI e
seus processos
Governança – O que é?
Governança
de TI
É um conjunto de processos e
controles que direcionam a TI a um
adequado suporte às estratégias e
objetivos de negócio das empresas.
Para o
ITGI
Definição

40. Novembro/2005
PROCESSOS orientados pelo NEGÓCIO
Governança – O que é?
Elementos
Fundamentais:
Definições de Níveis de
Responsabilidade pelo processo
baseada em COMPROMETIMENTO,
INFLUÊNCIA e COMPETÊNCIA.

41. Novembro/2005
Governança – O que é?
Quem é
Responsável:
É responsabilidade dos executivos e
do grupo de diretores.
Consiste de:
y Liderança,
y Estruturas Organizacionais e
y Processos.
Estes asseguram a:
y Manutenção,
y Execução,
y Extensão das estratégias e
objetivos da organização
y

42. Novembro/2005
Governança – Como se sustêm?
COMITÊ DE TECNOLOGIA
O Comitê de Tecnologia é responsável por dar o feedback a TI
de como está a qualidade dos serviços, estabelecimento
conjunto de SLAs, acompanhamento (SLM), alinhamento
com o Plano Estratégico da empresa.
Mensuração de desempenho compreende definição de
métricas e objetivos alinhados as necessidades do
negócio, sua utilização através de medições periódicas,
benchmarking, avaliações de satisfação de clientes.
MENSURAÇÃO DE DESEMPENHO
GESTÃO DE RISCOS
A Gestão de Riscos envolve o levantamento dos riscos
associados ao não cumprimento dos objetivos de
controles, as fraquezas dos controles, impactos
potenciais, ameaças e vulnerabilidades, medidas de
melhorias de controles e mitigação de riscos.

43. Novembro/2005
É fundamentada em:
PROCESSOS
PESSOAS
TECNOLOGIA
Governança
de TI
Melhores práticas de Governança de TI

44. Novembro/2005
TecnologiaPessoas Processos
Os principais objetivos da governança só podem ser conseguidos por meio da melhor utilização
dos seguintes recursos:
Usuários, clientes,
equipe de TI e gerentes.
Todos estão incluídos
nesta categoria.
Comunicação,
treinamento e
definições claras de
papéis e
responsabilidades, para
todas as partes
envolvidas, são
essenciais para a
utilização deste valioso
recurso.
Os processos são o
coração da organização
de TI, pois concentra as
atividades de operação
do dia-a-dia,
planejamento e melhoria
dos serviços.
Deve ser considerado
como recurso auxiliar na
implantação de um modelo
de gestão. A simples
utilização não quer dizer
que se está trabalhando
adequadamente.
“Um tolo com uma
ferramenta/tecnologia
continua um tolo”
(Hewlett Packard White
Paper)
Melhores práticas de Governança de TI

45. Novembro/2005
q A governança permite uma maior
agilidade operacional e uma resposta
rápida e eficiente as demandas.
q Os controles propiciam um modelo
para as áreas das empresas e, em
especial TI, aprimorarem os quesitos
de eficiência, segurança,
produtividade, acuracidade e
disponibilidade dos processos.
Governança – Auxilia
Em síntese temos:

46. Novembro/2005
Um modelo ideal de Governança de TI deve oferecer uma estrutura de
controle que responda as seguintes questões:
TI esta alinhada com o negócio?
TI viabiliza o negócio e maximiza as vantagens?
Os recursos de TI são usados com responsabilidade?
Os riscos inerentes a TI são gerenciados apropriadamente?
Governança – Auxilia
O que precisa ser revisto nas estruturas de controle?

47. Novembro/2005
Governança – O que é?
Estas questões podem
ser resolvidas com um
conjunto de ações e
processos que foquem
as seguintes áreas

48. Novembro/2005
Governança – ÁREAS DE FOCO
ALINHAMENTO ESTRATÉGICO
Garantir o elo entre o negócio e o
Planejamento de TI. Isto se dá
por meio de definições,
manutenção e validação da
proposição de valor de TI.
Garante o alinhamento da
operação de TI com as
operações do negócio.

49. Novembro/2005
VALOR ENTREGUE
Refere-se à execução das ações
que garantam a Proposta ou
proposição de valor de TI durante
todo o ciclo da entrega. Esta
disciplina assegura que TI
entregue os benefícios
prometidos segundo a estratégia
definida, com otimização dos
custos e provendo o valor
intrínseco da tecnologia de
informação.
Governança – ÁREAS DE FOCO

50. Novembro/2005
GERENCIA DE RECURSOS
Visa gerenciar e maximizar o
investimento em recursos críticos
da tecnologia de informação.
Estes recursos compreendem
Aplicações, Informação, Infra-
estrutura e Pessoas.
Governança – ÁREAS DE FOCO

51. Novembro/2005
GERENCIAMENTO DE RISCOS
Envolve garantir a plena
consciência do corpo diretivo da
empresa quanto aos riscos
relacionados às estratégias de TI.
Visa oferecer um entendimento
claro dos níveis de risco
aceitáveis, da necessidade de
conformidade com normas e leis,
transparência sobre os riscos
significativos à empresa e as
responsabilidades da Gerência
de Risco na organização.
Governança – ÁREAS DE FOCO

52. Novembro/2005
MEDIÇÃO DE DESEMPENHO
A Medição do Desempenho rastreia e monitora a
execução da estratégia, a conclusão do projeto, o
uso dos recursos, o desempenho dos processos e
a entrega do serviço. Ela usa, por exemplo, os
Balanced Scorecards. Estes são coletados pela
TI e baseados informações de finanças,
clientes, processos e o conhecimento
gerencial de vários stakeholders. Este método
fornece um retrato global de onde a
organização está e para onde ela está indo.
Usando um BSC, a TI se alinhará com as
necessidades do negócio. Os Balanced
Scorecards ajudam a mostrar o valor entregue
pela TI, suas capacidades, riscos e
performance.
Governança – ÁREAS DE FOCO

53. Novembro/2005
Exercício

54. Novembro/2005
Como traduzir os
elementos da
Governança de TI em
valores práticos?
Governança – Benefício Prático

55. Novembro/2005
SARBOX – UM NOVO ELEMENTO NA GOVERNANÇA

56. Novembro/2005
O ato Sarbanes-Oxley, elaborado pelo senador americano Paul Sarbanes e o
representante Michael Oxley, tornou-se lei em 30 de julho de 2002 e introduziu
mudanças significativas à governança corporativa e ao cenário financeiro, visando
“proteger os investidores através da melhoria dos processos que geram as
demonstrações financeiras” .
Outro objetivo é “deter e punir a fraude e corrupção corporativa,
garantindo a justiça e protegendo os interesses dos
trabalhadores e acionistas” (Presidente Bush).
Sarbanes-Oxley

57. Novembro/2005
Sarbanes-Oxley
INFORMAÇÕES
FINANCEIRAS
Relatórios financeiros
acurados e dentro do
prazo legal
LEI SARBANES-OXLEY
necessidade de controles
internos efetivos e instituição da
responsabilidade pessoal dos
executivos das empresas
Maior dependência da
qualidade e integridade das
informações geradas pelos
sistemas de TI.
Aspectos de maior impacto
no médio e curto prazo =
conformidade com seções
302 e 404
AÇÕES DAS EMPRESAS
Demonstrar a existência de
controles efetivos sobre os
dados financeiros através da
substituição no médio prazo
de controles manuais por
automatizados.

58. Novembro/2005
Papel da TI perante a Sarbanes - Oxley
Governança de TI
Controles Internos eficientes
100% compliance com a Sarbanes - Oxley
MELHORES PRÁTICAS

59. Novembro/2005
COBIT
Como é a estrutura do
COBIT?

60. Novembro/2005
• Desenvolvido pela ISACA
• Mantido pelo Instituto de Governança de TI (ITGI)
• Principais características:
• FOCADO EM NEGÓCIO
• ORIENTADO POR PROCESSOS DE TI
• BASEADO EM CONTROLES
• CONDUZIDO POR MÉTRICAS E MEDIÇÕES
C Control
OB OBjectives
I for Information
T and related Technology
COBIT

61. Novembro/2005
MISSÃO DO COBIT:
“Pesquisar, desenvolver, publicar e
promover um conjunto de objetivos de
controle para tecnologia que seja
embasado, atual, internacional e aceito
em geral para o uso do dia-a-dia de
gerentes de negócio e auditores”
C Control
OB OBjectives
I for Information
T and related Technology
COBIT

62. Novembro/2005
Ajudar no atendimento das necessidades da administração,
cobrindo as defasagens entre riscos de negócio, requisitos de
controle e questões técnicas relacionadas à TI.
Este guia proporciona as melhores
práticas para Governança de TI.
O COBIT é baseado na definição de
Objetivos de Controle de Processos de TI,
que por sua vez podem ser definidos como:
“Uma declaração sobre o resultado desejado ou propósito a ser
alcançado pela implementação de procedimentos de controle
em atividades específicas à Tecnologia da Informação.”
Objetivo do COBIT

63. Novembro/2005
COBIT em resumo
FOCO NO
NEGÓCIO
CONFORMIDADE
LEGAL
LINGUAGEM
COMUM
BOAS
PRÁTICAS
ORIENTADO POR
PROCESSOS
As características fundamentais do COBIT e que o caracterizam como um
Control Framework são:

64. Novembro/2005
Estas praticas ajudarão a:
1. Otimizar investimentos habilitados por
TI.
2. Estabelece relacionamento entre os
Processos de TI e os requisitos de
negócios
3. Organiza as atividades de TI em
modelos de processos aceitos
amplamente
4. Identifica os principais recursos de TI a
serem valorizados
5. Define os objetivos de controle de
gestão a serem considerados
COBIT em resumo

65. Novembro/2005
COBIT NO TEMPO:
1996
Primeira edição do COBIT
ISACA lança um conjunto de objetivos de controle para as aplicações de negócio
1998
Segunda versão do COBIT
Inclusa uma ferramenta de suporte a implementação e a especificação de objetivos de alto nível e de detalhe
2000
COBIT v3
Adicionado normas e guias associadas a gestão. O ITGI torna-se o principal editor do framework
2002
Sarbanes-Oxley Act
O Sarbanes-Oxley Act foi aprovado. Este acontecimento teve um impacto significativo na adoção do COBIT nos Estados Unidos e empresas globais que atuam nos
EUA
2005
COBIT v4
Melhoria dos controles para assegurar a segurança e disponibilidade dos ativos de TI na organização.
História do COBIT

66. Novembro/2005
Guia completo para a administração, gestores, usuários e auditores, que visa a
otimização dos recursos de TI.
A versão quatro do COBIT foca em seis padrões básicos de Gerenciamento de TI, a
saber:
Visão geral do COBIT
Committee of Sponsoring Organisations of the Treadway Commission (COSO):
Internal Control—Integrated Framework, 1994
Enterprise Risk Mangement—Integrated Framework, 2004
Office of Government Commerce (OGC®):
IT Infrastructure Library® (ITIL®), 1999-2004
International Organisation for Standardisation:
ISO/IEC 17799:2005, Code of Practice for Information Security Management
Software Engineering Institute (SEI®):
SEI Capability Maturity Model (CMM®), 1993
SEI Capability Maturity Model Integration (CMMI®), 2000
Project Management Institute (PMI®):
Project Management Body of Knowledge (PMBOK®), 2000
Information Security Forum (ISF):
The Standard of Good Practice for Information Security, 2003

67. Novembro/2005
As melhores práticas do COBIT
representam o consenso de
especialistas.
Elas são fortemente focadas
em controle e
menos em execução.
COBIT em resumo

68. Novembro/2005
A Composição do CobiT
ALGUNS CONCEITOS
SOBRE O COBIT

69. Novembro/2005
Efetividade (eficácia): Lida com a relevância da informação e
pertinência aos processos de negócio bem como a sua entrega
em prazo apropriado, de forma correta, precisa, consistente e em
formato adequado para utilização.
Critérios de Informação
Eficiência: Refere-se à provisão da informação através da melhor (mais produtiva e com
menor custo) forma de utilização dos recursos.
Confidencialidade: Refere-se à proteção de informação considerada privilegiada
contra divulgação não autorizada.
Integridade: Relaciona-se com a precisão e exatidão da informação, bem como
sua validade de acordo com os padrões e expectativas de negócio estabelecidos.
Principais conceitos
Disponibilidade: Relaciona-se a prover a informação no momento em que for
requerida pelos processos de negócio, o que inclui também a salvaguarda dos
recursos.
Conformidade: Lida com o cumprimento das leis, regulamentos e cláusulas contratuais
aos quais um determinado processo de negócio está sujeito. (O foco está em atender
regulamentações externas).
Confiabilidade: Relaciona-se ao fornecimento, por parte dos sistemas, de informações
apropriadas aos gerentes para a tomada de decisões, relatórios financeiros precisos e
informações adequadas aos órgãos normatizadores sobre o cumprimento das leis.

70. Novembro/2005
Requisitos do Negócio para a Informação
O conjunto de critérios da informação compõe um conjunto mais
simples, o dos Requisitos do Negócio para a Informação.
Requisitos de Qualidade
Efetividade
Eficiência
Disponibilidade
Requisitos Fiduciários
Efetividade e eficiência das Operações
Confiabilidade das Informações
Conformidade com Leis e Regulamentos
Requisitos de Segurança
Confidencialidade
Integridade
Disponibilidade
Principais conceitos

71. Novembro/2005
Aplicações são os sistemas automatizados do usuário
e procedimentos manuais que processam informação.
Informação é o dado em todas suas formas de
entrada, processamento e saída pelos sistemas
de informação, seja qual for a maneira que seja usado pelo negócio.
Infraestrutura é a tecnologia e facilidades (hardware, sistemas operacionais,
sistemas de gerenciamento de bancos de dados, rede, multimedia, etc., e o
ambiente que os contém e suporta) que possibilitam o processamento das
aplicações.
Pessoas são o pessoal necessário para planejar, organizar, adquirir,
implantar, entregar, suportar, monitorar e avaliar a informação, sistemas e
serviços. Podem ser internos, terceirizados ou contratados sob demanda.
Recursos de Tecnologia da Informação
Principais conceitos

72. Novembro/2005
As métricas do COBIT
Principais conceitos

73. Novembro/2005
As métricas do COBIT
Principais conceitos
Outcome Measure
● Indicadores de meta – são medidas pré-
definidas que indicam se um processo de TI
alcançou o requisito do negócio.
● Os KGIs para TI são os drivers de negócio, usualmente
suportam as perspectivas financeiras e clientes, são
medidas que refletem se atingiu-se a meta, são medidas
após o fato ocorrido, usualmente expressos nos seguintes
termos:
● Disponibilidade das informações
necessárias para suportar as
necessidades de negócios;
● Riscos de falta de integridade e
confidencialidade das
informações;
● Eficiência nos custos dos
processos e operações;
● Confirmação de confiabilidade,
efetividade e conformidade das
informações.

74. Novembro/2005
As métricas do COBIT
Principais conceitos
Outcome Measure
● Key Goal Indicators (KGIs). Exemplos de KGIs:
● Aumento do Nível de entrega de serviço
● Número de clientes e custo por cliente
atendido
● Disponibilidade dos sistemas e serviços
● Ausência de integridade e riscos de
confidencialidade
● Confirmação da confiabilidade e eficácia
● Aderência ao custo de desenvolvimento e
prazo
● Custo-eficiência do processo
● Produtividade da equipe
● Número de mudanças aplicadas na hora
certa nos processos e sistemas
● Aumento da produtividade

75. Novembro/2005
As métricas do COBIT
Principais conceitos
KPI - Principais Indicadores de Desempenho
Define quão bem está o desempenho dos
processos de TI em alinhamento ao que foi
definido como objetivo. Não indicam
diretamente o sucesso em alcançar os
resultados definidos para o processo, mas em
conjunto podem fazê-lo. São medidas antes do
fato.

76. Novembro/2005
As métricas do COBIT
Principais conceitos
KPI - EXEMPLOS
Processo
Disponibilidade do processo e do sistema
Desenvolvimento dentro do prazo e no custo
Tempos de respostas
Quantidade de erros e retrabalho
Financeiro
Número de Clientes de TI
Custo por Cliente de TI
Custo-eficiência do serviço de TI
Entrega de valor de TI por funcionário
Cliente
Nível de Entrega de Serviço
Satisfação do cliente
Número de novos clientes
Número de novos canais de serviço
Aprendizado
Produtividade da Equipe
Número de pessoas treinadas em uma nova tecnologia
Valor entregue por funcionário
Aumento da disponibilidade do conhecimento

77. Novembro/2005
A Composição do CobiT
COMO O COBIT É
ENTREGUE?

78. Novembro/2005
210 (Versão 4.1)
OBJETIVOS DE
CONTROLE
34
PROCESSOS
FOCO DA
GOVERNANÇA
DOMÍNIOS DE TI PROCESSOS DE TI
PROCESSOS
DETALHADOS ou
BOAS PRÁTICAS DE TI
CRITERIOS DA
INFORMAÇÃO
RECURSOS DE TI
Principais conceitos

79. Novembro/2005
Principais conceitos

80. Novembro/2005
Principais conceitos

81. Novembro/2005
O CONJUNTO DE PROCESSOS DE
TI NO COBIT
COBIT

82. Novembro/2005
COBIT
P L A N A N D O R G A N I S E
PO1 Define a Strategic IT Plan
PO2 Define the Information Architecture
PO3 Determine Technological Direction
PO4 Define the IT Processes, Organisation and Relationships
PO5 Manage the IT Investment
PO6 Communicate Management Aims and Direction
PO7 Manage IT Human Resources
PO8 Manage Quality
PO9 Assess and Manage IT Risks - PROVA
PO10 Manage Projects - PROVA

83. Novembro/2005
COBIT
PO1 Define a Strategic IT Plan
IT strategic planning is required to manage and direct all IT resources in line with the
business strategy and priorities. The IT function and business stakeholders are
responsible for ensuring that optimal value is realised from project and service portfolios.
The strategic plan should improve key stakeholders’ understanding of IT opportunities and
limitations, assess current performance and clarify the level of investment required. The
business strategy and priorities are to be reflected in portfolios and executed by the IT
tactical plan(s), which establishes concise objectives, plans and tasks understood and
accepted by both business and IT.
PO2 Define the Information Architecture
The information systems function should create and regularly update a business
information model and define the appropriate systems to optimise the use of this
information. This encompasses the development of a corporate data dictionary with the
organisation’s data syntax rules, data classification scheme and security levels. This
process improves the quality of management decision making by making sure that reliable
and secure information is provided, and it enables rationalising information systems
resources to appropriately match business strategies. This IT process is also needed to
increase accountability for the integrity and security of data and to enhance the
effectiveness and control of sharing information across applications and entities.

84. Novembro/2005
COBIT
PO3 Determine Technological Direction
The information services function should determine the technology direction to support the
business. This requires the creation of a technological infrastructure plan and an
architecture board that sets and manages clear and realistic expectations of what
technology can offer in terms of products, services and delivery mechanisms. The plan
should be regularly updated and encompasses aspects such as systems architecture,
technological direction, acquisitions plans, standards, migration strategies and
contingency. This enables timely responses to changes in the competitive environment,
economies of scale for information systems staffing and investments as well as improved
interoperability of platforms and applications.
PO4 Define the IT Processes, Organisation and Relationships
An IT organisation must be defined considering requirements for staff, skills, functions,
accountability, authority, roles and responsibilities, and supervision. This organisation is to
be embedded into an IT process framework that ensures transparency and control as well
as the involvement of senior executives and business management. A strategy committee
should ensure board oversight of IT and one or more steering committees, in which
business and IT participate, should determine prioritisation of IT resources in line with
business needs. Processes, administrative policies and procedures need to be in place
for all functions, with specific attention to control, quality assurance, risk management,
information security, data and systems ownership, and segregation of duties. To ensure
timely support of business requirements, IT is to be involved in relevant decision
processes.

85. Novembro/2005
PO5 Manage the IT Investment
Establish and maintain a framework to manage IT-enabled investment programmes that
encompasses cost, benefits, prioritization within budget, a formal budgeting process and
management against the budget. Work with stakeholders to identify and control the total
costs and benefits within the context of the IT strategic and tactical plans, and initiate
corrective action where needed. The process fosters partnership between IT and business
stakeholders, enables the effective and efficient use of IT resources, and provides
transparency and accountability into the total cost of ownership, the realisation of
business benefits and the return on investment of IT-enabled investments.
PO6 Communicate Management Aims and Direction
Management should develop an enterprise IT control framework and define and
communicate policies. An ongoing communication programme should be implemented to
articulate the mission, service objectives, policies and procedures, etc., approved and
supported by management. The communication supports achievement of IT objectives
and ensures awareness and understanding of business and IT risks, objectives and
direction. The process should ensure compliance with relevant laws and regulations.
COBIT

86. Novembro/2005
PO7 Manage IT Human Resources
Acquire, maintain and motivate a competent workforce for creation and delivery of IT
services to the business. This is achieved by following defined and agreed practices
supporting recruiting, training, evaluating performance, promoting and terminating. This
process is critical as people are important assets and governance and the internal control
environment are heavily dependent on the motivation and competence of personnel.
PO8 Manage Quality
A quality management system should be developed and maintained, which includes
proven development and acquisition processes and standards. This is enabled by
planning, implementing and maintaining the quality management system by providing
clear quality requirements, procedures and policies. Quality requirements should be
stated and communicated in quantifiable and achievable indicators. Continuous
improvement is achieved by ongoing monitoring, analysing and acting upon deviations,
and communicating results to stakeholders. Quality management is essential to ensure
that IT is delivering value to the business, continuous improvement and transparency for
stakeholders.
COBIT

87. Novembro/2005
PO9 Assess and Manage IT Risks
Create and maintain a risk management framework. The framework documents a
common and agreed level of IT risks, mitigation strategies and agreed-upon residual risks.
Any potential impact on the goals of the organisation caused by an unplanned event
should be identified, analysed and assessed. Risk mitigation strategies should be adopted
to minimise residual risk to an accepted level. The result of the assessment should be
understandable to the stakeholders and expressed in financial terms, to enable
stakeholders to align risk to an acceptable level of tolerance.
PO10 Manage Projects
Establish a programme and project management framework for the management of all IT
projects. The framework should ensure the correct prioritisation and co-ordination of all
projects. The framework should include a master plan, assignment of resources, definition
of deliverables, approval by users, a phased approach to delivery, quality assurance, a
formal test plan, and testing and post-implementation review after installation to ensure
project risk management and value delivery to the business. This approach reduces the
risk of unexpected costs and project cancellations, improves communications to and
involvement of business and end users, ensures the value and quality of project
deliverables, and maximises their contribution to IT-enabled investment programmes.
COBIT

88. Novembro/2005
A C Q U I R E A N D I M P L E M E N T
AI1 Identify Automated Solutions
AI2 Acquire and Maintain Application Software
AI3 Acquire and Maintain Technology Infrastructure
AI4 Enable Operation and Use - PROVA
AI5 Procure IT Resources
AI6 Manage Changes - PROVA
AI7 Install and Accredit Solutions and Changes
COBIT

89. Novembro/2005
AI1 Identify Automated Solutions
The need for a new application or function requires analysis before acquisition or creation
to ensure that business requirements are satisfied in an effective and efficient approach.
This process covers the definition of the needs, consideration of alternative sources,
review of technological and economic feasibility, execution of a risk analysis and cost-
benefit analysis, and conclusion of a final decision to ‘make’ or ‘buy’. All these steps
enable organisations to minimise the cost to acquire and implement solutions whilst
ensuring they enable the business to achieve its objectives.
AI2 Acquire and Maintain Application Software
Applications have to be made available in line with business requirements. This process
covers the design of the applications, the proper inclusion of application controls and
security requirements, and the actual development and configuration according to
standards. This allows organisations to properly support business operations with the
correct automated applications.
COBIT

90. Novembro/2005
AI3 Acquire and Maintain Technology Infrastructure
Organisations should have processes for the acquisition, implementation and upgrade of
the technology infrastructure. This requires a planned approach to acquisition,
maintainance and protection of infrastructure in line with with agreed technology strategies
and the provision of development and test environments. This ensures that there is
ongoing technological support for business applications.
AI4 Enable Operation and Use
Knowledge about new systems needs to be made available. This process requires the
production of documentation and manuals for users and IT, and provides training to
ensure proper use and operations of applications and infrastructure.
COBIT

91. Novembro/2005
AI5 Procure IT Resources
IT resources, including people, hardware, software and services need to be procured.
This requires the definition and enforcement of procurement procedures, the selection of
vendors, the setup of contractual arrangements and the actual acquisition itself. Doing so
ensures that the organisation has all required IT resources in a timely and cost-effective
manner.
COBIT

92. Novembro/2005
AI6 Manage Changes
All changes, including emergency maintenance and patches, relating to infrastructure and
applications within the production environment must be formally managed in a controlled
manner. Changes (including procedures, processes, system and service parameters)
must be logged, assessed and authorised prior to implementation and reviewed against
planned outcomes following implementation. This assures mitigation of the risks of
negatively impacting the stability or integrity of the production environment.
AI7 Install and Accredit Solutions and Changes
New systems need to be made operational once development is complete. This requires
proper testing in a dedicated environment with relevant test data, definition of rollout and
migration instructions, release planning and actual promotion to production, and a post-
implementation review. This assures that operational systems are in line with the agreed
expectations and outcomes.
COBIT

93. Novembro/2005
D E L I V E R A N D S U P P O R T
DS1 Define and Manage Service Levels
DS2 Manage Third-party Services - PROVA
DS3 Manage Performance and Capacity
DS4 Ensure Continuous Service
DS5 Ensure Systems Security - PROVA
DS6 Identify and Allocate Costs
DS7 Educate and Train Users - PROVA
DS8 Manage Service Desk and Incidents
DS9 Manage the Configuration
DS10 Manage Problems
DS11 Manage Data - PROVA
DS12 Manage the Physical Environment - PROVA
DS13 Manage Operations
COBIT

94. Novembro/2005
DS1 Define and Manage Service Levels
Effective communication between IT management and business customers regarding
services required is enabled by a documented definition and agreement of IT services and
service levels. This process also includes monitoring and timely reporting to stakeholders
on the accomplishment of service levels. This process enables alignment between IT
services and the related business requirements.
DS2 Manage Third-party Services
The need to assure that services provided by third parties meet business requirements
requires an effective third-party management process. This process is accomplished by
clearly defining the roles, responsibilities and expectations in third-party agreements as
well as reviewing and monitoring such agreements for effectiveness and compliance.
Effective management of third-party services minimises business risk associated with
non-performing suppliers.
DS3 Manage Performance and Capacity
The need to manage performance and capacity of IT resources requires a process to
periodically review current performance and capacity of IT resources. This process
includes forecasting future needs based on workload, storage and contingency
requirements. This process provides assurance that information resources supporting
business requirements are continually available.
COBIT

95. Novembro/2005
DS4 Ensure Continuous Service
The need for providing continuous IT services requires developing, maintaining and
testing IT continuity plans, offsite backup storage and periodic continuity plan training. An
effective continuous service process minimises the probability and impact of a major IT
service interruption on key business functions and processes.
DS5 Ensure Systems Security
The need to maintain the integrity of information and protect IT assets requires a security
management process. This process includes establishing and maintaining IT security
roles and responsibilties, policies, standards and procedures. Security management also
includes performing security monitoring and periodic testing and implementing corrective
actions for identified security weaknesses or incidents. Effective security management
protects all IT assets to minimise the business impact of security vulnerabilities and
incidents.
DS6 Identify and Allocate Costs
The need for a fair and equitable system of allocating IT costs to the business requires
accurate measurement of IT costs and agreement with business users on fair allocation.
This process includes building and operating a system to capture, allocate and report IT
costs to the users of services. A fair system of allocation enables the business to make
more informed decisions regarding use of IT services.
COBIT

96. Novembro/2005
DS7 Educate and Train Users
Effective education of all users of IT systems, including those within IT, requires identifying
the training needs of each user group. In addition to identifying needs, this process
includes defining and executing a strategy for effective training and measuring the results.
An effective training programme increases effective use of technology by reducing user
errors, increasing productivity and increasing compliance with key controls such as user
security measures.
DS8 Manage Service Desk and Incidents
Timely and effective response to IT user queries and problems requires a well-designed
and well-executed service desk and incident management process. This process includes
setting up a service desk function with registration, incident escalation, trend and root
cause analysis, and resolution. The business benefits include increased productivity
through quick resolution of user queries. In addition, the business can address root
causes (such as poor user training) through effective reporting.
DS9 Manage the Configuration
Ensuring the integrity of hardware and software configurations requires establishment and
maintenance of an accurate and complete configuration repository. This process includes
collecting initial configuration information, establishing baselines, verifying and auditing
configuration information, and updating the configuration repository as needed. Effective
configuration management facilitates greater system availability, minimises production
issues and resolves issues faster.
COBIT

97. Novembro/2005
DS10 Manage Problems
Effective problem management requires the identification and classification of problems,
root cause analysis and resolution of problems. The problem management process also
includes identification of recommendations for improvement, maintenance of problem
records and review of the status of corrective actions. An effective problem management
process improves service levels, reduces costs and improves customer convenience and
satisfaction.
DS11 Manage Data
Effective data management requires identifying data requirements. The data management
process also includes establishing effective procedures to manage the media library,
backup and recovery of data, and proper disposal of media. Effective data management
helps ensure the quality, timeliness and availability of business data.
COBIT

98. Novembro/2005
DS12 Manage the Physical Environment
Protection for computer equipment and personnel requires well-designed and well-
managed physical facilities. The process of managing the physical environment includes
defining the physical site requirements, selecting appropriate facilities and designing
effective processes for monitoring environmental factors and managing physical access.
Effective management of the physical environment reduces business interruptions from
damage to computer equipment and personnel.
DS13 Manage Operations
Complete and accurate processing of data requires effective management of data
processing and maintenance of hardware. This process includes defining operations’
policies and procedures for effective management of scheduled processing, protection of
sensitive output, monitoring infrastructure and preventative maintenance of hardware.
Effective operations management helps maintain data integrity and reduces business
delays and IT operating costs.
COBIT

99. Novembro/2005
M O N I T O R A N D E VA L U A T E
ME1 Monitor and Evaluate IT Performance - PROVA
ME2 Monitor and Evaluate Internal Control
ME3 Ensure Regulatory Compliance
ME4 Provide IT Governance
COBIT

100. Novembro/2005
ME1 Monitor and Evaluate IT Performance
Effective IT performance management requires a monitoring process. This process
includes defining relevant performance indicators, a systematic and timely reporting of
performance, and prompt acting upon deviations. Monitoring is needed to make sure that
the right things are done and are in line with the set directions and policies.
ME2 Monitor and Evaluate Internal Control
Establishing an effective internal control programme for IT requires a well-defined
monitoring process. This process includes the monitoring and reporting of control
exceptions, results of self-assessments and third-party reviews. A key benefit of internal
control monitoring is to provide assurance regarding effective and efficient operations and
compliance with applicable laws and regulations.
COBIT

101. Novembro/2005
ME3 Ensure Regulatory Compliance
Effective regulatory oversight requires the establishment of an independent review
process to ensure compliance with laws and regulations. This process includes defining
an audit charter, auditor independence, professional ethics and standards, planning,
performance of audit work, and reporting and follow-up of audit activities. The purpose of
this process is to provide positive assurance related to IT compliance with laws and
regulations.
ME4 Provide IT Governance
Establishing an effective governance framework includes defining organisational
structures, processes, leadership, roles and responsibilities to ensure that enterprise IT
investments are aligned and delivered in accordance with enterprise strategies and
objectives.
COBIT

102. Novembro/2005
Exercício

103. Novembro/2005
A Composição do CobiT
O COBIT É COMPOSTO POR UM
CONJUNTO DE CADERNOS OU
LIVROS, ALÉM DE UMA
FERRAMENTA ONLINE
ESTRUTURA
MÉTRICAS
COMPLIANCE
ROAD
MAP
AUDITORIA
BOARD
ON-LINE
QUICK START

104. Novembro/2005
A Composição do CobiT
PROCESSOS
FRAMEWORK
MANAGEMENT
GUIDELINES
AUDIT
GUIDELINES
CONTROL
OBJECTIVES
CONTROL
PRACTICES
FRAMEWORK
Explica como o COBIT organiza os
objetivos da Governança de TI e
melhores práticas através de domínios e
processos, e os relaciona aos
requerimentos de negócios.
Na versão três do COBIT o Framework é
limitado aos objetivos de controle de alto
nível enquanto que os objetivos de controle
detalhados estão no caderno Control
Objetives. Na versão quatro estes dois
cadernos, bem como o Management
Guidelines são publicados fisicamente no
mesmo caderno.
LIVROS DO COBIT

105. Novembro/2005
Navegando pelo Framework
Domínios
Recursos
Critério da
Informação
Áreas de foco
Governança de TI
Descrição do Processo
Control over the IT process of
Process name
That satisfies the business requirement for IT of
summary of most important business goal
by focusing on
summary of most important IT goals
is achieved by
key controls
and is measured by
key metrics

106. Novembro/2005
Navegando pelo Framework

107. Novembro/2005
A Composição do CobiT
PROCESSOS
FRAMEWORK
MANAGEMENT
GUIDELINES
AUDIT
GUIDELINES
CONTROL
OBJECTIVES
CONTROL
PRACTICES
MANAGEMENT GUIDELINES
O produto de interesse primário para a
gerência de negócios e para a gerência de TI
é o, que auxilia na atribuição de
responsabilidades, medição de
performance, comparação e análise de
lacunas de capacidade.
Ajuda a responder perguntas típicas como:
•
Quão longe devemos ir em controlar TI?
•
O custo é justificado pelo benefício?
•
Quais são os indicadores de bom desempenho?
•
Quais são as práticas de gerenciamento mais
importantes a aplicar?
•
O que o mercado está fazendo?
•
Como medimos e comparamos?
LIVROS DO COBIT

108. Novembro/2005
A Composição do CobiT
PROCESSOS
FRAMEWORK
MANAGEMENT
GUIDELINES
AUDIT
GUIDELINES
CONTROL
OBJECTIVES
CONTROL
PRACTICES
CONTROL OBJECTIVES
Na versão quatro do COBIT este caderno é
publicado em conjunto com o Framework e o
Management Guidelines. Em ambas as
versões ele provê as melhores práticas
genéricas relacionadas a cada objetivo
de controle do COBIT. Ao todo são 215
Objetivos de Controle relacionados aos 34
Processos ou Objetivos de Controle de Alto
Nível.
LIVROS DO COBIT

109. Novembro/2005
A Composição do CobiT
PROCESSOS
FRAMEWORK
MANAGEMENT
GUIDELINES
AUDIT
GUIDELINES
CONTROL
OBJECTIVES
CONTROL
PRACTICES
CONTROL PRACTICES
CONTROL PRACTICES – Provê
direcionamento em como os controles são
mais bem implantados e porque implantá-los.
O valor deste documento é significativo. O
exemplo de texto a seguir pode esclarecer
melhor esta afirmação. Trata-se das Praticas
de Controle relacionadas ao Objetivo de
Controle Project Management Framework:
LIVROS DO COBIT

110. Novembro/2005
A Composição do CobiT
PROCESSOS
FRAMEWORK
MANAGEMENT
GUIDELINES
AUDIT
GUIDELINES
CONTROL
OBJECTIVES
CONTROL
PRACTICES
IT ASSURANCE GUIDE
Provê um DIRECIONAMENTO genérico para
auditoria e direcionamento de suporte a
auditorias de todos os processos de TI do
COBIT.
O documento fornece orientação para
elaboração de Planos de Auditoria que
deverão ser integrados ao COBIT
Framework e os Objetivos de Controle.
Este conjunto não deve ser entendido como
um conjunto de regras únicas e definitivas.
Não podem ser tudo para todos e terão que
ser adaptadas para cada ambiente específico.
LIVROS DO COBIT

111. Novembro/2005
A Composição do CobiT
IT ASSURANCE GUIDE
O Assurance Guide oferece uma estrutura para o
plano de auditoria composta por três estágios:

112. Novembro/2005
A Composição do CobiT
IT ASSURANCE GUIDE
Quanto ao Estágio de Execução, podemos ver seus
componentes abaixo:

113. Novembro/2005
A Composição do CobiT
O produto de interesse primário para os Executivos é o
LIVROS DO COBIT

114. Novembro/2005
A Composição do CobiT
COBIT QUICKSTART
LIVROS DO COBIT

115. Novembro/2005
A Composição do CobiTLIVROS DO COBIT
COBIT
SECURITY
BASELINE
Foca a
organização nos
O COBIT
Security
Este kit de sobrevivência não é uma documentação técnica com alto grau de
especialização e profundidade.
Esta disponível para vários níveis de audiência, como usuários domésticos, profissionais, executivos e
dirigentes de empresas.

116. Novembro/2005
A Composição do CobiT
IT CONTROL OBJECTIVES FOR
SARBANES-OXLEY
Direcionamento para garantir compliance
para o ambiente de TI, baseado nos
objetivos de controle do COBIT.
Descreve como o texto do COSO e da
PCAOB estão alinhados e como é possível
desenvolver um programa de auditoria que
envolva estas referências técnicas.
LIVROS DO COBIT

117. Novembro/2005
A Composição do CobiTLIVROS DO COBIT
IT GOVERNANCE
IMPLEMENTATION
GUIDE
Provê um road map
genérico para
implementar
Governança de TI
usando os recursos
do COBIT e um kit
de ferramentas de
suporte.

118. Novembro/2005
A Composição do CobiT
COBIT V3 COBIT V4
Framework
Management Guidelines
Control Objectives
COBIT V4.1
Audit Guidelines Assurance Guide
Control Practices Control Practices
Implementation Tool set
IT Governance Implementation
Guide

119. Novembro/2005
A Composição do CobiT
ESTRUTURA
MÉTRICAS
COMPLIANCE
ROAD
MAP
AUDITORIA
BOARD
ON-LINE
QUICK START
COMO MANTER-SE ATUALIZADO
SOBRE AS VERSÕES DO
COBIT E SEUS CADERNOS?

120. Novembro/2005
COBIT ON LINE
A Composição do CobiT

121. Novembro/2005

122. Novembro/2005

123. Novembro/2005
Click to edit Master text styles
Second level
● Third level
● Fourth level
● Fifth level

124. Novembro/2005

125. Novembro/2005
Effectiveness:
the degree to which the control
objective responds to the underlying
value delivery and risk mitigation
requirements, irrespective of efficiency,
cost, etc.
Expedience:
the time taken, on average, to
implement the control objective
Sustainability:
the degree to which the control can
continue to operate without maintenance
due to changes in the environment
Contribution:
the total contribution of the control
objective to improving risk mitigation
and value delivery and is the
combination of effectiveness,
expedience and sustainability
Effort:
an indication of cost and people
time required to implement and
maintain the control objective
Quickstart:
Ensure the correct prioritisation
and co-ordination of all projects, by
clearly defining what needs to be
achieved, by whom, when, at what
cost and with which benefits.

126. Novembro/2005

127. Novembro/2005

128. Novembro/2005

129. Novembro/2005

130. Novembro/2005

131. Novembro/2005

132. Novembro/2005

133. Novembro/2005

134. Novembro/2005

135. Novembro/2005

136. Novembro/2005

137. Novembro/2005

138. Novembro/2005

139. Novembro/2005

140. Novembro/2005

141. Novembro/2005

142. Novembro/2005

143. Novembro/2005

144. Novembro/2005

145. Novembro/2005

146. Novembro/2005

147. Novembro/2005
A Composição do CobiT

148. Novembro/2005
Exercício

149. Novembro/2005
INFORMAÇÃO, MÉTRICAS E
E OS RECURSOS NO COBIT
Principais conceitos

150. Novembro/2005
Principais conceitos

151. Novembro/2005
COBIT
COMO DETERMINAR A
MATURIDADE DA
CAPACIDADE DE UM
PROCESSO DE TI?

152. Novembro/2005
Modelo de Maturidade
0 54321
Inexistente Inicial Repetitivo Definido Gerenciado Otimizado
Legenda de Símbolos
Situação atual Padrão Internacional Melhor prática da indústria Estratégia da empresa
Níveis de Maturidade
0 – O gerenciamento de processos não é aplicado E não é reconhecido como necessário
1 – Processo sob demanda, não organizado
2 – Os processos seguem um padrão regular por diferentes pessoas
3 – Os processos são documentados e comunicados, mas ainda dependem de pessoas
4 – Os processos são monitorados e medidos
5 – As melhores práticas são seguidas e automatizadas
Principais conceitos

153. Novembro/2005
0 - Inexistente A organização não reconhece a existência de um processo a ser gerenciado.
1 - Inicial Há evidência de que a organização reconhece que o processo existe e que as
necessidades devem ser endereçadas. Entretanto não há um processo
padronizado e o gerenciamento é caso a caso e desorganizado.
2 - Repetitivo Os processos são estruturados e procedimentos similares são seguidos por
diferentes indivíduos para a mesma tarefa. Há forte dependência do conhecimento
individual e existe alguma documentação.
3 - Definido Os processos são padronizados, documentados e comunicados. Entretanto deixa
a cargo dos indivíduos seguirem os processos. Não há certeza que de desvios
serão detectados.
4 - Gerenciado Existe a possibilidade de monitorar e medir a conformidade dos processos com os
procedimentos definidos. Há ações para melhoria e uso de algumas ferramentas
automatizadas.
5 - Otimizado As melhores práticas são adotadas e os processos são automatizados. Há
preocupação com melhorias contínuas. TI é vista como uma integradora.
Níveis de maturidade
Principais conceitos

154. Novembro/2005
Níveis de maturidade
No seu entendimento qual
o nível mínimo que um
processo de ser?
Para que serve o modelo
de maturidade?

155. Novembro/2005
q Auxilia na determinação da posição atual da à Governança de TI e controles em
relação as melhores práticas;
q Auxilia na definição dos planos de ação para cobrir as lacunas entre a situação
atual e os níveis desejados de gestão;
q Dá suporte à análise de gap para determinar os requerimentos para atingir o nível
desejado.
Modelo de maturidade – serve para….

156. Novembro/2005
Pelo que foi apresentado como o
COBIT pode ajudar a TI na
implantação da governança ?
COBIT

157. Novembro/2005
A Composição do CobiT
ESTRUTURA
MÉTRICAS
COMPLIANCE
ROAD
MAP
AUDITORIA
BOARD
ON-LINE
QUICK START
COMO USAR O
AUDIT GUIDELINES?

158. Novembro/2005
Governança e COBIT são
modismos ou
necessidade?
Governança e COBIT

159. Novembro/2005
q Nova visão cultural sobre os serviços prestados e processos de TI;
q Ter o claro entendimento da importância dos controles;
q Papéis e responsabilidades definidos;
q Processos padronizados porém flexíveis.
Resumindo implantar a Governança é....

160. Novembro/2005
COBIT – Outros modelos
Como podemos usar o COBIT na prática?

161. Novembro/2005
Entende negócios
Avalia
Situação atual dos
Processos de TI
Define
processos
relevantes
Implementa
processos
Treinamento em
COBIT
GAP Analysis
Divulgue o projeto e acompanhe os resultados
Avalia e mede
resultados
MODELODEGESTÃO
Onde estou Onde quero chegar
COBIT – como implementar

162. Novembro/2005
Para que a governança seja implementada com sucesso é necessário ter o
apoio dos seguintes grupos:
Executivos de TI
Membros do Comitê de TI
Especialistas de TI
Usuários Chaves
Tomador de decisão
Respaldo, ratifica prioridades
Operacionalizam, agentes
de mudanças
Dissemina cultura
COBIT – Profissionais necessários

163. Novembro/2005
Como alinhar TI às estratégias de negócios?
• Obtenha o plano estratégico de negócios. Na ausência deste plano a TI deve buscar junto
às Áreas quais são as suas metas. É fundamental a atuação pró-ativa de TI.
• Estratifique o plano de negócios pelas Áreas de TI. Atente para os seguintes pontos:
o Ao Desenvolvimento de Sistemas cabe conduzir suas estratégias de forma a garantir
que seus esforços sejam aderentes às necessidades críticas da organização, sem
esquecer de identificar e atender as oportunidades de melhoria dos processos;
o Às Áreas Operacionais compete projetar e operacionalizar uma infra-estrutura que
realmente dê suporte às necessidades presentes e futuras da Organização.
• Formalize as estratégias de TI – Este documento deve conter as ações, investimentos e
prazos.
• Apresente as estratégias de TI às Áreas de Negócios e defina as prioridades e ratifique os
prazos.
COBIT – Entendendo os negócios

164. Novembro/2005
COBIT – Situação atual dos processos
Utilize o modelo de maturidade de cada processo como base para a análise dos
processos e definição do nível a ser atingido.
ONDE ESTOU? ONDE QUERO CHEGAR?

165. Novembro/2005
COBIT – Implementar
• Utilize o COBIT como referência para entendimento dos controles dos
processos e outras práticas para auxiliar na definição / operacional.
• A medida que for implementado cada processo avalie os resultados com
uma equipe independente e faça os eventuais ajustes.
Fluxos
Procedimentos
ProcessosFerramentas
ParticipantesOrganização
Formulários
TI

166. Novembro/2005
IT Governance with VAL IT
VAL IT FRAMEWORK

167. Novembro/2005
• Optimising the realisation of Value from IT
VAL IT adds best practices for the end by providing the means to
Measure, Monitor and Optimise the realisation of business
value from investment in IT.

168. Novembro/2005
• O Framework VAL IT
• É um complemento do COBIT;
• Focado na decisão do investimento em TI e na realização
dos benefícios planejados;
• É dirigido para o Board, CEO e todos os executivos
envolvidos nas decisões estratégicas de investimentos
de TI;
• Incrementa o entendimento e transparência dos custos, benefícios e riscos de TI;
• Incrementa a probabilidade de acerto na escolha dos investimento com maior poder
de retorno;
• Incrementa as chances de sucesso na execução dos investimentos selecionados.

169. Novembro/2005
• Val IT Principles
q IT-enabled investments will be managed as a portfolio of investments.
q IT-enabled investments will include the full scope of activities that are required to achieve
business value.
q IT-enabled investments will be managed through
their full economic life cycle.
q Value delivery practices will recognize that there
are different categories of investments that will be
evaluated and managed differently.
q Value delivery practices will define and monitor key metrics and will respond quickly to any
changes or deviations.
q Value delivery practices will engage all stakeholders and assign appropriate accountability for the
delivery of capabilities and the realization of business benefits.
q Value delivery practices will be continually monitored, evaluated and improved.

170. Novembro/2005
• O Framework VAL IT – Áreas Foco
A questão Estratégica. O investimento é:
Alinhado com nossa visão?
Consistente com nossos princípios de
negócios?
Contribuem para nossos objetivos estratégicos?
Provê ganho a um preço justo com um risco
aceitável?
A questão da Arquitetura. O investimento é:
Alinhado com nossa arquitetura?
Consistente com nossos princípios estruturais?
Contribuem para a população da nossa
arquitetura?
Esta alinhado com outras iniciativas?
A questão do Valor. Nós temos;
Um claro e compartilhado entendimento dos
benefícios esperados?
Clara responsabilização pela prestação de
contas em relação a materialização dos
benefícios?
Métricas relevantes?
Um processo efetivo para a materialização
dos benefícios?
A questão da Entrega. Nós temos:
Efetivo e disciplinado gerenciamento do
Processo de Gestão de Mudanças e
Entregas?
Recursos Técnicos e de Negócios
competentes e disponíveis para entregar (I) a
capacidade requerida e (II) as mudanças
organizacionais
necessárias para garantir
a capacidade?

171. Novembro/2005
• Key Terms Used in Val IT
Implement
In business, includes the full economic life cycle of the investment programme through retirement, i.e., when the
full expected value of the investment is realised, as much value as is considered possible has been realised, or it
is determined that the expected value cannot be realised and the programme is terminated
Portfolio
In business, a grouping of programmes, projects, services, resources or assets selected, managed and monitored
to optimise business return (Note that the initial focus of Val IT is primarily on a portfolio of programmes. COBIT is
interested in portfolios of projects, services or assets.)
Programme
In business, a structured grouping of interdependent projects that include the full scope of business, process,
people, technology and organisational activities that are required (both necessary and sufficient) to achieve a
clearly specified business outcome
Project
In business, a structured set of activities concerned with delivering to the enterprise a defined capability (that is
necessary but not sufficient to achieve a required business outcome) based on an agreed-upon schedule and
budget
In business, relative value or importance of an investment for an organisation or its key stakeholders taking into
account the benefits accruing from the expenditures and risks
Implement
Portfolio
Programme
Project
ProjectValue

172. Novembro/2005
• Val IT – Top Management Issues
ü Are responsabilities and accountabilities assigned for IT investment?
ü Is it clear how the investment portfolio should be governed?
Value
Governance
VG
Portfolio
Management PM
ü Is the investment portfolio managed adequately?
ü Is programme perfomance evaluated and optimised?
Investment
Management IM
ü Is there a sound business case for the programme?
ü Are responsabilities and accountabilities assigned?
ü Is there a benefit realisation plan?
ü Is programme performance monitored?

173. Novembro/2005
• Val IT - Key Management Practices
Value Governance (VG)—11 key management practices covering:
a) The establishment of the governance, monitoring and control framework
b) The provision of strategic direction for the investments
c) The definition of investment portfolio characteristics
Value
Governance
VG
Portfolio
Management PM
Portfolio Management (PM)—14 key management practices covering:
a) Identification and maintenance of resource profiles
b) The definition of investment thresholds
c) Evaluation, prioritisation and selection, deferral or rejection of investments
d) Management of the overall portfolio
e) Monitoring and reporting on portfolio performance
Investment
Management IM
Investment Management (IM)—15 key management practices covering:
a) Identification of business requirements
b) Development of clear understanding of candidate investment programmes
c) The analysis of alternatives
d) Programme definition (scoping) and documentation of a detailed business case, including
benefits details
e) Assignment of clear accountability and ownership
f) Management of the programme through its full economic life cycle
g) Monitoring and reporting on programme performance

174. Novembro/2005
• Val IT – Control Structure
Value
Governance
VG
Portfolio
Management PM
Investment
Management IM
VAL IT PROCESS
(COMO OS
DOMÍNIOS CO
COBIT)
KEY MANAGEMENT
PRACTICES
(COMO OS
ROCESSOS DO COBIT)
VG1, VG2, ....,
VG11
PM1, PM2,
…, PM14
IM1, IM2,
…, IM15
VG1 =Primary
PO1.2, PO1.4, PO4.4,
ME4.1, ME4.2
PM1= Primary:
PO4.5, ME4.4
Secondary: PO4.13
IM1= Primary:
PO1.2, PO1.3, AI1.1
CONTROL OBJECTIVES
(DO TEXTO DO COBIT
ORGANIZADOS
CONFORME O FOCO
DO KEY MANAGEMENT
PRACTICE)

175. Novembro/2005
• Val IT - Key Management Practices
Value Governance (VG)—11 key management practices covering:
a) The establishment of the governance, monitoring and control framework
b) The provision of strategic direction for the investments
c) The definition of investment portfolio characteristics
Value
Governance
VG
ID KEY MANAGEMENT PRACTICES PRIMARY SECUNDARY
VG1 Ensure informed and committed leadership
PO1.2, PO1.4, PO4.4,
ME4.1, ME4.2
VG2 Define and implement process
PO4.1, ME1.1, ME1.3,
ME4.1
PO5.2, PO5.3-PO5.5,
PO10.2
VG3 Define roles and responsibilities PO4.6, PO4.15
PO4.8, PO4.9, PO10.1,
PO10.2
VG4 Ensure appropriate and accepted accountability
PO1.1, PO6.1-PO6.4,
ME4.1-ME4.3
ME4.2
VG5 Define information requirements ME1.1-ME1.3, ME4.1
VG6 Establish reporting requirements
ME1.5, ME3.5, ME4.1,
ME4.6
VG7 Establish organizational structures
PO3.5, PO4.2, PO4.3,
PO4.15, ME4.1
VG8 Establish strategic direction PO1.2, ME4.2
VG9 Define investment categories PO5.1
VG10 Determine a target portfolio mix PO5.1 ME4.5
VG11 Define evaluation criteria by category PO5.1
PO1.2, PO2.1, PO5.2,
ME4,5

176. Novembro/2005
• Val IT - Key Management Practices
Value
Governance
VG

177. Novembro/2005
• Val IT - Key Management Practices
Portfolio
Management PM
ID KEY MANAGEMENT PRACTICES PRIMARY SECUNDARY
PM1 Maintain a human resource inventory PO4.5, ME4.4 PO4.13
PM2 Identify resource requirements PO4.5, ME4.4 PO4.13
PM3 Perfom a gap analysis PO4.5, ME4.4 PO4.13
PM4 Develop a resourcing plan PO4.5, ME4.4
PO4.13, PO7.1, PO7.2,
PO7.5
PM5 Monitor resource requirements and utilization PO1.5, PO4.5, ME4.4 PO4.13
PM6
Establish an investment threshould (point of
beggining)
PO1.4, PO5.3
PM7
Evaluate the initial programme concept business
case
PO1.1, PO5.1, PO5.2,
ME4.3
Portfolio Management (PM)—14 key management practices covering:
a) Identification and maintenance of resource profiles
b) The definition of investment thresholds
c) Evaluation, prioritisation and selection, deferral or rejection of investments
d) Management of the overall portfolio
e) Monitoring and reporting on portfolio performance

178. Novembro/2005
• Val IT - Key Management Practices
Portfolio
Management PM
Portfolio Management (PM)—14 key management practices covering:
a) Identification and maintenance of resource profiles
b) The definition of investment thresholds
c) Evaluation, prioritisation and selection, deferral or rejection of investments
d) Management of the overall portfolio
e) Monitoring and reporting on portfolio performance
ID KEY MANAGEMENT PRACTICES PRIMARY SECUNDARY
PM8
Evaluate and assign a relative score to the programme
business case
PO1.1, PO5.1, PO5.2,
ME4.3
PM9 Create an overall portfolio view
PO1.1, PO5.1, PO5.2,
ME4.3
PM10 Make and communicate the investment decision
PO1.1, PO5.1, PO5.2,
ME4.3
PM11 Stage-gate (and fund) selected programmes
PO1.1, PO5.1, PO5.2,
ME4.3
PM12 Optimize portfolio perfomance
PO1.1, PO1.6, PO5.1,
ME1.4, ME1.6, ME4.3
PM13 Re-prioritise the portfolio
PO1.1, PO1.6, PO5.1,
PO5.2, ME1.4, ME1.6,
ME4.3
PM14 monitor ans report on portfolio performance
ME1.1, ME1.3, ME1.5,
ME4.3, ME4.6
PO5.4, PO5.5

179. Novembro/2005
• Val IT - Key Management Practices
Investment Management (IM)—15 key management practices covering:
a) Identification of business requirements
b) Development of clear understanding of candidate investment programmes
c) The analysis of alternatives
d) Programme definition (scoping) and documentation of a detailed business case, including benefits
details
e) Assignment of clear accountability and ownership
f) Management of the programme through its full economic life cycle
g) Monitoring and reporting on programme performance
Investment
Management IM
ID KEY MANAGEMENT PRACTICES PRIMARY SECUNDARY
IM1 Develop a high level definition of investment opportunity PO1.2, PO1.3, AI1.1
IM2 Develop an initial programme concept business case PO1.1, PO5.3, AI1.5
IM3 Develop a clear understanding of candidate programmes PO1.1, AI1.1, AI1.2
IM4 Perfom alternatives analysis PO1.1, AI1.3
IM5 Develop a programme plan
PO1.1, PO10.1, PO10.7,
PO10.8, ME4.4
IM6 Develop a benefits realization plan PO1.1, PO5.5
IM7 Identify full life cicle costs and benefits PO1.1, PO5.3
IM8 Develop a detailed programme business case PO1.1, PO5.3

180. Novembro/2005
• Val IT - Key Management Practices
Investment Management (IM)—15 key management practices covering:
a) Identification of business requirements
b) Development of clear understanding of candidate investment programmes
c) The analysis of alternatives
d) Programme definition (scoping) and documentation of a detailed business case, including benefits
details
e) Assignment of clear accountability and ownership
f) Management of the programme through its full economic life cycle
g) Monitoring and reporting on programme performance
Investment
Management IM
ID KEY MANAGEMENT PRACTICES PRIMARY SECUNDARY
IM8 Develop a detailed programme business case PO1.1, PO5.3
IM9 Assign clear accountability and ownership PO1.1, PO6.1, PO10.1
IM10 Initiate, plan and launch the programme PO10.1, PO10.3, PO10.6
IM11 Manage the programme PO10.13, ME1.4, ME4.3
IM12 Manage/track benefits
PO5.5, PO10.13, ME1.4,
ME4.3
IM13 Update the business case PO5.4, PO5.5, PO10.6
IM14 Monitor and report on programe perfomance ME4.3, ME4.6
IM15 Retire the programme ME4.3, PO10.14 AI4.1-AI4.4

181. Novembro/2005
• Val IT Process and Management Practices

182. Novembro/2005
COBIT e outras metodologias
Fornece subsídios para que as Organizações, sua
administração e auditoria, possam utilizar e avaliar um
sistema de controle interno. O COSO não é aplicável à
Tecnologia da Informação.
É forte em controles e métricas de TI. É um guia para a
gestão de TI, abrange diretrizes de gerenciamento, objetivo
de controle e diretrizes de auditoria. O principal objetivo do
CobiT é assegurar que os controles de TI atendam de forma
efetiva e eficiente os objetivos de negócios.
COSO
Committee of
Sponsoring
Organizations of the
Tradeway Commission
COBIT
Control Objectives for IT
and Related Technology
O QUE SIGNIFICA A SOPA DE LETRAS ?

183. Novembro/2005
O QUE SIGNIFICA A SOPA DE LETRAS ?
Contempla elementos essenciais para o atendimento das
necessidades de desenvolvimento de software. Promove
maior controle sobre as atividades e aumento na segurança
do desenvolvimento de sistemas. É forte para
desenvolvimento de sistemas.
Descreve as necessidades dos processos para a infra-
estrutura de TI ser gerenciada de forma eficiente e eficaz para
garantir os níveis de serviços acordados com a Organização e
clientes.
CMM
Capability Maturity
Model
ITIL
IT Infrastructure
Library
Código de práticas para a gestão da segurança da
informação.
BS7799 (British
Standards)
COBIT e outras metodologias

184. Novembro/2005
Para onde
queremos ir?
Onde estamos
Como chegamos
lá?
Como saberemos
se chegamos?
Visão e Objetivos
Avaliações
Desenho de TI
Métricas
ITIL
ISO17799
CobiT
Alinhamento
Compliance CobiT
Segurança ISO17799
Benchmark de custos
Pesquisas de satisfação
ITIL
ISO17799
CobiT
CobiT Management
Guidelines
Governança de TI – relacionamento entre melhores práticas
A seguir apresentamos as melhores práticas que podem auxiliar na obtenção das
respostas dos questionamentos:

185. Novembro/2005
Principais conceitos

186. Novembro/2005
Principais conceitos