cobit foundation resumo
TRANSCRIPT
Este m
aterial não pode ser distribuído. S
omente poderá ser utilizado por alunos do site T
IEX
AM
ES
. w
ww
.tiexames.com
.br
E
XA
ME
CO
BIT
FO
UN
DA
TIO
N 4.1
R
EV
ISÃ
O D
OS
PO
NT
OS
-CH
AV
E
IMP
OR
TA
NT
E!
O objetivo deste m
aterial é revisar e mem
orizar os conceitos-chave da Governança de
TI, F
ramew
ork do CO
BIT
e produtos relacionados para lhe preparar para o exame
CO
BIT
4.1 Foundation da IS
AC
A/IT
GI. E
ste material serve apenas com
o revisão – é recom
endável que você faça o curso e-learning da TIE
XA
ME
S e leia o m
aterial com
plementar disponibilizado na área de links de referência. É
garan
tido
qu
e mu
itos
do
s con
ceitos aq
ui ab
ord
ado
s irão ap
arecer nas q
uestõ
es do
exame.
GO
VE
RN
AN
ÇA
DE
TI
PR
INC
IPA
IS D
ES
AF
IOS
DA
TI
• P
romover alinham
ento entre TI e negócio
• R
eduzir os custos da TI
• G
erenciar a complexidade da T
I •
Proporcionar segurança da inform
ação •
Aum
entar a qualidade dos serviços •
Gerenciar fornecedores externos
• E
star em conform
idade com leis e regulam
entos O
QU
E É
GO
VE
RN
AN
ÇA
DE
TI
É um
conjunto de estruturas e processos que visa garantir que a TI suporte e
maxim
ize adequadamente os objetivos e estratégias de negócio da organização,
adicionando valores aos serviços entregues, balanceando os riscos e obtendo o retorno sobre os investim
entos em T
I. O
conselho de administração e os executivos são responsáveis pela G
overnança de T
I. S
TA
KE
HO
LD
ER
S N
A G
OV
ER
NA
NÇ
A D
E T
I S
ão pessoas ou elementos relacionados com
as operações de TI, com
o: •
Fornecedores
• U
suários •
Órgãos públicos
• G
overno •
Acionistas
• D
iretores/executivos/gerentes
Este m
aterial não pode ser distribuído. S
omente poderá ser utilizado por alunos do site T
IEX
AM
ES
. w
ww
.tiexames.com
.br
ÁR
EA
S D
E F
OC
O D
A G
OV
ER
NA
NÇ
A D
E T
I
G
ER
EN
CIA
ME
NT
O D
E R
ISC
OS
O
s riscos são gerenciados de quatro formas:
•
Mitig
and
o risco
s: implem
entar controles que protejam contra riscos. P
or exem
plo: implem
entação de um firew
all de segurança. •
Tran
sferind
o risco
s: compartilhar riscos com
parceiros ou contratar seguro apropriado.
• A
ceitand
o risco
s: confirmar e m
onitorar riscos, e ter pronto um plano de
resposta ao risco. •
Evitan
do
riscos: adotar um
a opção diferente que evite completam
ente o risco. C
AR
AC
TE
RÍS
TIC
AS
NE
CE
SS
ÁR
IAS
EM
UM
FR
AM
EW
OR
K D
E C
ON
TR
OL
E
Um
framew
ork (estrutura) de controle de TI deve conter as seguintes características:
• F
oco no negócio •
Orientação a processo
• P
adrão aceito •
Linguagem com
um
• R
equisitos regulatórios B
EN
EF
ÍCIO
S D
A G
OV
ER
NA
NÇ
A D
E T
I •
Confiança da alta adm
inistração •
TI m
ais comprom
etida com o negócio
• M
aior RO
I (Retorno sobre o Investim
ento) •
Serviços m
ais confiáveis •
Mais transparência
1. Alin
ham
ento
Estratég
ico
Alin
hand
o T
I co
m o
neg
ócio
e fo
rnecen
do
solu
ções c
ola
bora
tivas
2. En
trega d
e Valo
r E
xecuta
ndo a
pro
posiç
ão d
e v
alo
r atra
vés d
o
cic
lo d
e e
ntre
ga
3. G
erenciam
ento
de R
iscos
Gere
ncia
ndo ris
cos d
e T
I, impacto
s d
as
muda
nças, s
eg
ura
nça, c
on
form
idad
e.
4. Geren
ciamen
to d
e Recu
rsos
Otim
iza
nd
o o
desenvo
lvim
ento
e o
uso d
e
recurs
os d
isponív
eis
. 5. M
ensu
ração d
e Desem
pen
ho
M
on
itora
men
to d
os re
curs
os p
ara
ação
corre
tiva.
Gerenciam
ento de R
ecursos
Mensu
ração de
Dese
mpenho
D
om
ínio
s da
Go
vernan
ça d
e TI
Geren
ciame
nto de
Riscos
Alinham
ento E
stratégico
Entrega
de Valor
Áreas de foco da G
overnança de T
I conforme o IT
GI:
Este m
aterial não pode ser distribuído. S
omente poderá ser utilizado por alunos do site T
IEX
AM
ES
. w
ww
.tiexames.com
.br
IN
TR
OD
UÇ
ÃO
AO
CO
BIT
C
ON
CE
ITO
S B
ÁS
ICO
S
• C
OB
IT =
Control O
bjectives for Inform
ation and related Technology
• É
um fram
ework (estrutura) e um
a base de conhecimento para os processos
de TI e seu gerenciam
ento •
Não é um
padrão definitivo – deve ser adaptado para cada empresa
• É
um fram
ework (estrutura) de controle que tem
o propósito de assegurar que os recursos de T
I estarão alinhados com os objetivos da organização
• É
baseado na premissa de que a T
I precisa entregar informação que a
empresa necessita para atingir seus objetivos
• O
princípio do framew
ork CO
BIT
é o de prover um link entre as expectativas e
as responsabilidades de gerenciamento de T
I, com o objetivo de facilitar que a
Governança de T
I agregue valor à TI enquanto gerencia riscos
• F
az com que a T
I seja mais responsiva ao negócio
MIS
SÃ
O D
O C
OB
IT
Pesquisar, desenvolver, publicar e prom
over um conjunto de objetivos de controle para
tecnologia que seja embasado, atual, internacional e aceito em
geral para uso no dia-a-dia de gerentes de negócio e auditores. O
CO
BIT
AT
EN
DE
AO
S 5 R
EQ
UIS
ITO
S D
E U
M F
RA
ME
WO
RK
DE
CO
NT
RO
LE
•
Define um
a linguagem com
um para T
I e negócio •
Ajuda a atender aos requisitos regulatórios
• É
um padrão aceito entre em
presas •
É orientado a processos
• É
focado nos requisitos de negócio C
OM
PO
NE
NT
ES
DO
CO
BIT
PR
OC
ES
SO
S D
E T
I S
ão 4 D
om
ínio
s e 34 Pro
cessos d
e TI:
1. P
lanejamento e O
rganização 2.
Aquisição e Im
plementação
3. E
ntrega e Suporte
4. M
onitoração e Avaliação
Este m
aterial não pode ser distribuído. S
omente poderá ser utilizado por alunos do site T
IEX
AM
ES
. w
ww
.tiexames.com
.br
CR
ITÉ
RIO
S D
E IN
FO
RM
AÇ
ÃO
D
ica: deco
re isto, vai cair n
a pro
va! P
ara satisfazer os objetivos de negócio as informações precisam
estar em
conformidade com
os critérios chamados R
equ
isitos d
e Neg
ócio
. São eles:
� R
equ
isitos d
e Qu
alidad
e �
Q
ualidade �
C
usto �
E
ntrega
� R
equ
isitos F
idu
ciários (R
elatório
do
CO
SO
) �
E
ficácia e eficiência das operações �
C
onfiabilidade das informações
�
Conform
idade com leis e regulam
entos
� R
equ
isitos d
e Seg
uran
ça �
C
onfidencialidade �
Integridade
�
Disponibilidade
O C
OB
IT m
apeia os requisitos de negócio para informação em
CR
ITÉ
RIO
S D
E
INF
OR
MA
ÇÃ
O:
• E
ficácia (ou
efetividad
e): ligado com relevância e utilidade da inform
ação. •
Eficiên
cia: ligado com otim
ização de recursos. •
Co
nfiab
ilidad
e: ligado com inform
ação correta. •
Co
nfo
rmid
ade: relacionado com
conformidades a leis e regulam
entos. •
Co
nfid
encialid
ade: relacionado com
proteção e segurança da informação.
• In
tegrid
ade: relacionado com
validez da informação.
• D
ispo
nib
ilidad
e: informação disponibilizada quando requerida.
Decore os 3 critérios de inform
ação relacionados à segurança da informação: C
ID
(Confidencialidade – Integridade – D
isponibilidade)
Este m
aterial não pode ser distribuído. S
omente poderá ser utilizado por alunos do site T
IEX
AM
ES
. w
ww
.tiexames.com
.br
RE
CU
RS
OS
DE
TI
� A
plicativo
s: sistemas autom
atizados e procedimentos m
anuais para processar inform
ações. �
Info
rmação
: dados de todos os formulários de entrada, processados e
exibidos pelos sistemas de inform
ação, podendo ser qualquer formulário usado
pelo negócio. �
Infraestru
tura: inclui hardw
are, sistemas operacionais, sistem
as de banco de dados, rede, m
ultimídia, etc. É
tudo que seja necessário para o funcionamento
das aplicações. �
Pesso
as: pessoal necessário para planejar, organizar, adquirir, implem
entar, entregar, dar suporte, m
onitorar e avaliar os sistemas de inform
ação e serviços. E
las podem ser internas ou terceirizadas.
CO
BIT
X O
UT
RO
S P
AD
RÕ
ES
•
O C
OB
IT é com
patível com outros padrões – este é um
benefício da sua adoção
• O
CO
BIT
está em um
nível mais genérico, portanto pode ser utilizado para
avaliar outros processos implem
entados por outros framew
orks como IT
IL e IS
O 17799
• O
CO
BIT
pode ser aplicado depois que outros padrões de nível mais
operacional já estejam aplicados, já que o C
OB
IT vai servir para auditar estes
processos •
O C
OS
O é um
framew
ork para controle de interno e não somente de T
I: pode ser utilizado em
qualquer área de negócio. Já o CO
BIT
é específico para TI –
mas está alinhado com
o CO
SO
•
O C
OB
IT cobre todos os processos da IT
IL, entretanto a ITIL é m
ais detalhada •
O C
OB
IT é um
framew
ork que diz o que tem ser feito e não se preocupa em
com
o fazer •
O C
OB
IT atende aos requisitos regulatórios aos quais a em
presa está subm
etida, por isto pode ser utilizado para cumprir a conform
idade com a
Sarbanes-O
xley
Este m
aterial não pode ser distribuído. S
omente poderá ser utilizado por alunos do site T
IEX
AM
ES
. w
ww
.tiexames.com
.br
OB
JET
IVO
S D
E C
ON
TR
OL
E
Dica im
po
rtante: b
aixe o fram
ewo
rk do
CO
BIT
no
site da IS
AC
A e leia tu
do
sob
re os
pro
cessos P
O10 e D
S2.
Co
mo
framew
ork d
e con
trole, o
CO
BIT
tem 2 fo
cos:
1. F
ornecer informações necessárias para suportar os objetivos e requisitos de
negócio 2.
Tratar inform
ações como sendo o resultado com
binado de aplicações de TI e
recursos que precisam ser gerenciados por processos de T
I M
OD
EL
O D
E P
RO
CE
SS
O D
O C
OB
IT
Este m
aterial não pode ser distribuído. S
omente poderá ser utilizado por alunos do site T
IEX
AM
ES
. w
ww
.tiexames.com
.br
RE
SU
MO
DO
S P
RO
CE
SS
OS
MA
IS IM
PO
RT
AN
TE
S
Do
mín
io
Pro
cesso
Descrição
P
O
PO
9 Assess an
d M
anag
e IT R
isks C
ria e mantém
um fram
ework de gerenciam
ento de riscos de T
I. Todos os assuntos relacionados a riscos estão
envolvidos neste processo.
PO
10 Man
age P
rojects
Envolve-se com
todos os assuntos relacionados ao gerenciam
ento de projetos de TI.
A
I
AI4 E
nab
le Op
eration
and
Use
Preocupa-se em
disponibilizar conhecimento sobre os
novos sistemas. E
ste processo requer a produção de docum
entação e manuais para usuários e T
I, e fornece treinam
ento aos usuários.
AI6 M
anag
e Ch
ang
es
Inclui todas as mudanças, inclusive as m
udanças em
ergenciais relacionadas com a infraestrutura.
D
S
DS
1 Defin
e and
Man
age S
ervice L
evels
Define os níveis de serviços requeridos junto com
os clientes, e m
onitora e emite relatórios para os stakeholders.
D
S2 M
anag
e Th
ird-p
arty Services
Assegura os serviços fornecidos por terceiros para que
estes satisfaçam as necessidades do negócio. E
nvolve-se com
regras, responsabilidades e acordos com terceiros.
Este m
aterial não pode ser distribuído. S
omente poderá ser utilizado por alunos do site T
IEX
AM
ES
. w
ww
.tiexames.com
.br
D
IRE
TR
IZE
S D
E G
ER
EN
CIA
ME
NT
O
As diretrizes de gerenciam
ento fornecem ferram
entas para medir e com
parar a capacidade para cada processo de T
I.
• M
etas e métricas
o
Medidas de resultado (outcom
e measures)
o
Indicadores de desempenho (perform
ance indicators)
• R
ecursos o
E
ntradas e saídas para cada processo o
G
ráfico RA
CI (m
atriz de responsabilidades) M
ÉT
RIC
AS
A
s diretrizes de gerenciamento especificam
medidas de resultado em
forma de O
Ms
(Outcom
e Measures) e m
edidas de performance em
forma de P
Is (Perform
ance Indicators). In
dicad
ores d
e p
erform
ance
(performance
indicators)
Medem
como você está fazendo. T
ambém
conhecidos como
indicadores de tendência.
Med
idas d
e resu
ltado
(outcom
e measures) M
edem o que você tem
feito. Tam
bém conhecidas com
o indicadores de lag pelo fato de m
edirem som
ente após o fato ocorrido.
As diretrizes de gerenciam
ento do CO
BIT
sugerem utilizar balanced business
scorecards, os quais fornecem m
étricas para alcançar as metas de T
I. Um
scorecard tem
4 dimensões que m
apeiam m
etas e indicadores de performance:
Este m
aterial não pode ser distribuído. S
omente poderá ser utilizado por alunos do site T
IEX
AM
ES
. w
ww
.tiexames.com
.br
GR
ÁF
ICO
/TA
BE
LA
RA
CI
Para cada processo é sugerido um
gráfico/tabela RA
CI com
os responsáveis por cada atividade:
M
OD
EL
OS
DE
MA
TU
RID
AD
E
Um
modelo de m
aturidade é uma m
edida que possibilita uma organização a classificar
sua maturidade para determ
inado processo. A classificação vai de inexistente (0) a
otimizado (5).
Os m
odelos de maturidades fazem
parte das diretrizes de gerenciamento e podem
ser utilizados para fazer com
parações de maturidade com
outras empresas.
M
od
elo g
enérico
de m
aturid
ade
0 Inexisten
te N
ão existem controles.
1 Inicial
Já existem processos, m
as não há documentos nem
padrões.
2 Rep
etível P
rocessos padronizados, mas falta docum
entação e comunicação.
3 Defin
ido
O
s processos são formalizados. E
xiste documentação, treinam
ento e comunicação
definida.
4 Geren
ciado
Processos em
aperfeiçoamento já fornecem
boas práticas, mas faltam
ferramentas de
automação.
5 Otim
izado
O
s processos já estão refinados a partir das melhores práticas identificadas. E
xiste institucionalização das m
elhores práticas.
0
1
2
3
4 5
Inexistente
Inicial R
epítivel D
efinido G
erenciado O
timizado
En
terprise cu
rrent
status
Intern
ation
al stand
ard
gu
idelin
es In
du
stry best
practice
En
terprise
strategy
Leg
end
a para o
s símb
olo
s
Leg
end
as para o
rankin
g
0 0 – Pro
cessos d
e geren
ciamen
to n
ão são
aplicad
os a to
do
s 1 1 – P
rocesso
s são d
esorg
anizad
os
2 2 – Pro
cessos seg
uem
um
pad
rão reg
ular
3 3 – Pro
cessos são
do
cum
entad
os e co
mu
nicad
os
4 4 – Pro
cessos são
mo
nito
rado
s e med
ido
s 5 5 – M
elho
res práticas são
segu
idas e au
tom
atizadas
Este m
aterial não pode ser distribuído. S
omente poderá ser utilizado por alunos do site T
IEX
AM
ES
. w
ww
.tiexames.com
.br
RE
LA
CIO
NA
ME
NT
O E
NT
RE
OS
RE
CU
RS
OS
DO
CO
BIT
M
etas d
e neg
ócio
M
etas T
I
A
tividad
es- ch
ave
G
ráfico
RA
CI
In
dicad
or d
e d
esemp
enh
o
In
dicad
or d
e resu
ltado
Mo
delo
de
matu
ridad
e
T
estes do
s resu
ltado
s d
os co
ntro
les
O
bjetivo
s de
con
trole
T
estes de
desen
ho
d
o co
ntro
le
P
ráticas de
con
trole
Informação
Requisitos
Controlado por
Derivado de
Auditada por
Decom
posto em
Medido por
Executada pelo
Pelo desem
penho
Pelo resultado
Pela m
aturidade
Auditado
com
Implantados
com
Baseado em
Pro
cessos
de T
I
Esta figura m
ostra como os
componentes do C
OB
IT se inter-
relacionam, fornecendo recursos
para suportar governança, gestão e controle.
Este m
aterial não pode ser distribuído. S
omente poderá ser utilizado por alunos do site T
IEX
AM
ES
. w
ww
.tiexames.com
.br
PR
OD
UT
OS
DO
ITG
I D
ica imp
ortan
te: naveg
ue p
elo site d
a ISA
CA
e pesq
uise u
m p
ou
co m
ais sob
re os
pro
du
tos. P
od
em cair q
uestõ
es mu
ito esp
ecíficas sob
re o q
ue h
á den
tro d
e cada
pro
du
to. É
imp
ortan
te ter um
overview
. P
RÁ
TIC
AS
DE
CO
NT
RO
LE
A
s práticas de controle de TI fornecem
detalhamento sobre com
o implem
entar objetivos de controle. C
OB
IT O
NL
INE
A
presenta informações do C
OB
IT na w
eb. Ele possibilita que vários usuários
naveguem, pesquisem
, compartilhem
e utilizem a base de conhecim
ento. É um
a área restrita aos assinantes. P
rincipais recursos do CO
BIT
Online:
• D
ownload de arquivos P
DF
•
Benchm
arking (para comparar sua em
presa com outras)
• Q
uestionários de avaliação •
Com
unidade para trocar ideias com outros usuários
IT A
SS
UR
AN
CE
GU
IDE
(GU
IA D
E G
AR
AN
TIA
) �
É um
guia de validação para profissionais que precisam de orientações para
garantir o funcionamento dos controles internos e m
elhoria de processos. �
Fornece conselhos sobre com
o testar o funcionamento de cada objetivo de
controle, assegurando que os controles são suficientes e ajudando a docum
entar seus pontos fracos. O
IT A
ssurance Guide oferece um
a estrutura para o plano de auditoria/validação com
posta por três estágios: Planejam
ento, Definição de E
scopo e Execução.
PL
A
NE
JÁ
M
EN
T
O
ES
CO
PO
EX
EC
U
ÇÃ
O
Estabelece o universo de validação de T
I para designar o que será validado.
Define m
etas de negócio e de TI para o am
biente que será revisado/auditado, e quais são os processos e recursos de T
I necessários para suportar estas m
etas.
Guia os profissionais apresentando os principais testes a serem
executados durante um
a auditoria/validação.
Este m
aterial não pode ser distribuído. S
omente poderá ser utilizado por alunos do site T
IEX
AM
ES
. w
ww
.tiexames.com
.br
C
OB
IT Q
UIC
KS
TA
RT
É
uma versão com
pacta do CO
BIT
para que a empresa consiga beneficiar-se de seu
uso. É direcionado para em
presas de pequeno é médio porte.
IT IM
PL
EM
EN
TA
TIO
N G
UID
E
É um
roadmap para o conselho de adm
inistração, a gerência executiva, os profissionais de T
I e controle, os profissionais de auditoria em T
I e os gerentes de conform
idade.
C
OB
IT S
EC
UR
ITY
BA
SE
LIN
E
O C
OB
IT S
ecurity Baseline fornece inform
ações sobre a segurança de uma m
aneira sim
ples. É um
kit de sobrevivência para diretores, executivos, gerentes e usuários profissionais e dom
ésticos. Portanto, não é guia técnico para especialistas em
segurança da inform
ação. V
AL
IT
O fram
ework do V
AL IT
é baseado no CO
BIT
. Seus princípios incluem
governança de valor, gerenciam
ento de portfólio e gerenciamento de investim
entos. P
rincípios do VA
L IT:
� O
s investimentos habilitados pela T
I serão administrados com
o um p
ortfó
lio
de in
vestimen
tos
� O
s investimentos habilitados pela T
I incluirão um esco
po
com
pleto
de
atividad
es que são necessárias para gerar valor ao negócio �
Os investim
entos habilitados pela TI serão adm
inistrados através de tod
o o
seu
ciclo d
e vida eco
nô
mico
�
As práticas de entrega de valor reconhecerão que existem
diferentes categ
orias d
e investim
ento
s, que serão avaliadas e administradas de
maneiras diferentes
� A
s práticas de entrega de valor irão definir e monitorar m
étricas-chave e
responderão rapidamente a quaisquer m
udanças ou divergências O
estágio de execução subdivide-se em 6 etapas:
Refinar o
entendimento
Redefinir
o escopo
Testar o
desenho do controle
Testar os
resultados
Docum
entar o im
pacto C
omunicar as
recomendações
1 2
3 4
5 6
IT
Go
vernan
ce Imp
lemen
tation
Ro
adm
ap b
aseado
no
CO
BIT
Iden
tifica n
ecessidad
es V
isualiza
a solu
ção
Imp
lemen
ta a so
lução
P
laneja
a solu
ção
Op
eracion
aliza a so
lução
Conscientiza
Define o escopo
Define os riscos
Define recursos e entregáveis
Planeja o
programa
Avalia o
programa
Define m
etas de m
elhoria
Analisa os gaps e identifica as
melhorias
Define os
projetos
Desenvolve plano
de melhoria
Implem
enta as m
elhorias
Monitora o
desempenho da
implem
entação
Revisa a eficácia do program
a
Constrói
sustentabilidade
Identifica novos requisitos de
A p
articipação
do
neg
ócio
du
rante a G
overn
ança d
e TI é essen
cial
Este m
aterial não pode ser distribuído. S
omente poderá ser utilizado por alunos do site T
IEX
AM
ES
. w
ww
.tiexames.com
.br
� A
s práticas de entrega de valor devem engajar todos os stakeholders e definir
uma p
restação d
e con
tas apro
priad
a sobre a entrega de capacidades e obtenção de benefícios de negócio
� A
s práticas de entrega de valor serão con
tinu
amen
te mo
nito
radas, avaliad
as e m
elho
radas
Fram
ewo
rk do
CO
BIT
4.1 Ob
jetivos d
e Co
ntro
le
Este m
aterial não pode ser distribuído. S
omente poderá ser utilizado por alunos do site T
IEX
AM
ES
. w
ww
.tiexames.com
.br
DS
1 Definir níveis de S
erviços D
S2 G
erenciar Serviços de T
erceiros D
S3 G
erenciar Perform
ance e Capacidade
DS
4 Garantir C
ontinuidade dos Serviços
DS
5 Garantir S
egurança dos Sistem
as D
S6 Identificar e A
locar Custos
DS
7 Educar e T
reinar usuários D
S8 G
erenciar Service D
esk e Incidentes D
S9 G
erenciar a Configuração
DS
10 Gerenciar P
roblemas
DS
11 Gerenciar D
ados D
S12 G
erenciar os Am
bientes Físicos
DS
13 Gerenciar O
perações
ME
1 Monitorar e A
valiar a Perform
ance de TI
ME
2 Monitorar e A
valiar Controle Interno
ME
3 Assegurar C
onformidade R
egulatória M
E4 F
ornecer Governança de T
I
AI1 Identificar soluções autom
atizadas A
I2 Adquirir e m
anter software aplicativo
AI3 A
dquirir e manter arquitetura
tecnológica A
I4 Manter operação e uso
AI5 O
bter Recursos de T
I A
I6 Gerenciar m
udanças A
I7 Instalar e certificar Soluções e M
udanças
PL
AN
EJ
AM
EN
TO
E
O
RG
AN
IZA
ÇÃ
O
AQ
UIS
IÇÃ
O E
IM
PL
EM
EN
TA
ÇÃ
O
EN
TR
EG
A E
S
UP
OR
TE
MO
NIT
OR
AÇ
ÃO
E
AV
AL
IAÇ
ÃO
PO
1 Definir um
Plano E
stratégico de TI
PO
2 Definir a A
rquitetura de Informação
PO
3 Determ
inar a Direção T
ecnológica P
O4 D
efinir Processos de T
I, Organização e
Relacionam
ento P
O5 G
erenciar o Investimento em
TI
PO
6 Com
unicar Metas e D
iretivas Gerenciais
PO
7 Gerenciar R
ecursos Hum
anos P
O8 G
erenciar Qualidade
PO
9 Avaliar e G
erenciar Riscos
PO
10 Gerenciar P
rojetos
Este m
aterial não pode ser distribuído. S
omente poderá ser utilizado por alunos do site T
IEX
AM
ES
. w
ww
.tiexames.com
.br
PL
AN
EJA
ME
NT
O E
OR
GA
NIZ
AÇ
ÃO
P
O1 D
efinir u
m P
lano
Estratég
ico d
e TI
O planejam
ento estratégico é requerido para gerenciar e direcionar todos os recursos da TI em
linha com
as estratégias e prioridades do negócio. A função da T
I e os stakeholder’s do negócio são responsáveis para assegurar que um
valor otimizado é realizado através dos portfolios dos projetos e
serviços. O plano estratégico deve aum
entar a compreensão dos stakeholder’s chaves em
relação das oportunidades e lim
ites da TI, avaliar o desem
penho atual e esclarecer o nível de investimentos
requeridos. A estratégia e as prioridades do negócio devem
ser refletidas nos portfolios e executadas através dos planos táticos da T
I, os quais estabeleçam objetivos concisos, planos e tarefas
compreendidas e aceitos pelo negócio e da T
I. P
O2 D
efinir a A
rqu
itetura d
e Info
rmação
A
função dos sistemas de inform
ação deve criar e atualizar regularmente um
modelo de inform
ação de negócio e definir os sistem
as apropriados para otimizar o uso da inform
ação. Isso inclua o desenvolvim
ento de um dicionário coorporativo de dados com
as regras de sintaxe da organização, esquem
a de classificação de dados e níveis de segurança. Este processo m
elhora a qualidade de decisões feitas pelas gerencias e assegura que inform
ações confiáveis e seguras são providas e isso habilita de racionalizar recursos de sistem
as de informação para atender apropriadam
ente as estratégias de negócio. E
ste processo da TI tam
bém necessita de aum
entar a responsabilidade sobre a integridade e segurança dos dados e m
elhorar a efetividade e controle sobre o compartilham
ento de informação
através de aplicações e entidades. P
O3 D
etermin
ar a Direção
Tecn
oló
gica
A função dos serviços de inform
ação deve determinar a direção tecnológica para suportar o negócio.
Isso requer a criação de um plano da infra-estrutura tecnológica e um
comitê de arquitetura que fixa e
gerencia expectativas claras e realísticas o que a tecnologia pode oferecer em term
os de produtos, serviços e m
ecanismos de entrega. O
plano deve ser atualizado regularmente e incluir aspectos com
o a arquitetura de sistem
as, direção tecnológica, planos de aquisição, padrões, estratégias de migração e
contingência. Isso habilita uma resposta em
tempo para m
udar para um am
biente competitiva,
economias em
escala com o pessoal e os investim
entos em sistem
as de informação e um
investimento
que melhora a interoperabilidade de plataform
as e aplicações. P
O4 D
efinir P
rocesso
s de T
I, Org
anização
e Relacio
nam
ento
U
ma organização da T
I precisa ser definida, considerando os requerimentos para pessoas, habilidades,
funções, responsabilidade, autoridade, papeis e supervisão. Esta organização deve estar em
butida dentro um
framew
ork de processos da TI que asseguram
transparência e controle, como tam
bém
envolvem os executivos sênior e gerentes de negócio. U
m com
itê estratégico deve assegurar uma visão
geral da TI e um
ou mais com
itês de direção, em quais os participantes do negócio e da T
I devem
determinar a priorização dos recursos da T
I em linha com
as necessidades do negócio. Processos,
políticas e procedimentos adm
inistrativos necessitam de ser im
plementadas para todas as funções, com
atenção especifica para o controle, garantia de qualidade, gerenciam
ento de riscos, segurança de inform
ação, propriedade para dados e sistemas e segregação de direitos. P
ara assegurar um suporte
em tem
po para os requerimentos do negócio, a T
I deve estar envolvida em processos relevantes de
decisão. P
O5 G
erenciar o
Investim
ento
em T
I E
stabelecer e manter um
framew
ork para gerenciar programas que habilitem
investimentos em
TI e que
abrangem custos, benefícios, priorização nos orçam
entos, um processo form
al de orçamentos e
gerenciamento em
relação dos orçamentos. T
rabalhar com os stakeholder’s para identificar e controlar o
total dos custos e benefícios dentro do contexto dos planos estratégicos e táticos da TI e iniciar ações
corretivas quando necessárias. O processo deve favorecer os relacionam
entos entre a TI e stakeholder’s
do negócio, habilitar o uso efetivo e eficiente dos recursos da TI e prover transparência e
Este m
aterial não pode ser distribuído. S
omente poderá ser utilizado por alunos do site T
IEX
AM
ES
. w
ww
.tiexames.com
.br
responsabilidade nos custos totais de propriedade, a relação do beneficio para o negócio e o retorno sobre investim
entos que habilitam a T
I. P
O6 C
om
un
icar Metas e D
iretivas Geren
ciais A
administração deve desenvolver um
framew
ork de controle empresarial da T
I e definir e comunicar
políticas. Um
programa continua de com
unicação deve ser implem
entada para articular a missão,
objetivos de serviço, políticas e procedimentos, etc. aprovados e suportados pela adm
inistração. A
comunicação suporta o atingim
ento dos objetivos da TI e assegura conscientização e com
preensão em
relação do negócio e os riscos, objetivos e a direção da TI. O
processo deve assegurar a conformidade
com leis e regulam
entos. P
O7 G
erenciar R
ecurso
s Hu
man
os
Adquire, m
antêm e m
otiva uma força de trabalho com
petente para criar e entregar serviços da Ti para o
negócio. Isso é atingido seguindo praticas definidos e acordadas que suportam o recrutam
ento, treinam
ento, avaliação do desempenho, prom
oção e demissão. E
ste processo é critico, como as
pessoas são um ativo e de governança im
portante e o ambiente interno de controle depende bastante
da motivação e com
petência do pessoal. P
O8 G
erenciar Q
ualid
ade
Um
sistema de gerenciam
ento da qualidade deve ser desenvolvido e mantido, o qual inclua um
processo de desenvolvim
ento e aquisição comprovado e padronizado. Isso é habilitado através do planejam
ento, im
plementação e m
anutenção do sistema de qualidade que provêm
requerimentos claros de qualidade,
procedimentos e políticas. R
equerimentos de qualidade devem
ser determinados e com
unicados, com
indicadores quantificáveis e atingíveis. Melhorias contínuas são atingidas através de um
monitoram
ento operacional, analises e ações sobre desvios e a com
unicação dos resultados para os stakeholder’s. G
erenciamento da qualidade é essencial para assegurar que a T
I entrega valor para o negócio, m
elhorias contínuas e transparência para stakeholder’s . P
O9 A
valiar e Geren
ciar Risco
s C
riar e manter um
framew
ork de gerenciamento de riscos. O
framew
ork documenta um
nível de riscos da T
I comum
e acordado, estratégias de mitigação e acordos sobre riscos residuais. Q
ualquer impacto
potencial sobre as metas da organização, causada por eventos não planejados, deve ser identificado,
levantado e avaliado. Estratégias de m
itigação de riscos devem ser adotadas para m
inimizar riscos
residuais ao um nível aceitável. O
resultado da avaliação deve ser compreensível para os stakeholder’s
e expresso em term
os financeiros, para habilitar os stakeholder’s de alinhar os riscos com um
nível aceitável de tolerância. P
O10 G
erenciar P
rojeto
s E
stabelecer um fram
ework de gerenciam
ento de programas e projetos para gerenciar todos os projetos
da TI. E
ste framew
ork deve assegurar a correta priorização e coordenação de todos os projetos. O
framew
ork deve incluir um plano m
estre, atribuição de recursos, definição de entregáveis, aprovações pelos usuários, um
a abordagem em
fases para as entregáveis, garantia de qualidade, um plano form
al de teste, testes e revisões pós-im
plementação após da instalação para assegurar o gerenciam
ento de risco e a entrega do valor para o negócio. E
sta abordagem reduz o risco de custos não esperados e
cancelamento de projetos, aum
enta a comunicação com
os envolvidos do negócio e usuários finais, assegura o valor e a qualidade dos entregáveis do projeto e m
aximiza a contribuição de program
as que habilitam
investimentos em
TI.
Este m
aterial não pode ser distribuído. S
omente poderá ser utilizado por alunos do site T
IEX
AM
ES
. w
ww
.tiexames.com
.br
AQ
UIS
IÇÃ
O E
IMP
LE
ME
NT
AÇ
ÃO
A
I1 Iden
tificar solu
ções au
tom
atizadas
A necessidade para novas aplicações ou funções requer um
a análise antes da aquisição ou criação para assegurar que os requerim
entos do negócio são satisfeitos numa abordagem
efetiva e eficiente. Este
processo cubra a definição das necessidades, considerando fontes alternativas, revisão da viabilidade tecnológica e econôm
ica, execução de análise de risco e análise de custo / beneficio e a conclusão de um
a decisão final de “fazer” ou “comprar”. T
odos estes passos habilitam a organização de m
inimizar os
custos de adquirir e implem
entar soluções, enquanto asseguram que estes habilitam
o negócio de atingir seus objetivos. A
I2 Ad
qu
irir e man
ter softw
are aplicativo
A
plicações devem estar disponíveis em
linha com os requerim
entos de negócio. Este processo envolve
o desenho de aplicações, a inclusão apropriada de controles de aplicação e requerimentos de segurança
e o atual desenvolvimento e configuração conform
e os padrões. Isso permita as organizações de
suportar apropriadamente as operações de negócio com
as corretas aplicações automatizadas.
AI3 A
dq
uirir e m
anter arq
uitetu
ra tecno
lóg
ica O
rganizações devem haver um
processo para a aquisição, implem
entação e atualização da infra-estrutura tecnológica. Isso requer um
a abordagem planejada para a aquisição, m
anutenção e proteção da infra-estrutura em
linha com as estratégias tecnológicas acordadas e a provisão de am
bientes de desenvolvim
ento e teste. Isso assegura que o suporte tecnológico operacional suporta as aplicações de negócio. A
I4 Man
ter op
eração e u
so
Conhecim
ento sobre novos sistemas necessita de ser disponibilizado. E
ste processo requer a produção de docum
entação e manuais para usuários e T
I e prover treinamento que assegura o uso e a operação
apropriado de aplicações e infra-estrutura. A
I5 Ob
ter Recu
rsos d
e TI
Recursos de T
I, inclusive pessoas, hardware, softw
are e serviços, necessitam ser obtidos. Isso requer
uma definição e sanção de procedim
entos de aquisição, a seleção de fornecedores, a realização de arranjos contratuais e a aquisição em
se. Fazer assim
assegura que a organização tem todos os
recursos de TI requeridos em
tempo e de m
aneira efetivo em custo.
AI6 G
erenciar m
ud
anças
Todas as m
udanças, inclusive mudanças em
ergenciais e correções, relacionados à infra-estrutura e aplicações dentro de um
ambiente de produção precisam
ser gerenciados formalm
ente de uma m
aneira controlada. M
udanças (incluindo procedimentos, processos, sistem
as e parâmetros de serviços)
precisam ser registradas, avaliados e autorizadas antes de im
plementar e revisados em
relação dos resultados planejados em
seguida da implem
entação. Isso assegura a mitigação de riscos de im
pactos negativos sobre a estabilidade ou integridade de am
bientes produtivos. A
I7 Instalar e certificar S
olu
ções e M
ud
anças
Novos sistem
as precisam ser feitos operacionais um
a vez que o desenvolvimento é com
pleto. Isso requer testes apropriados em
um am
biente dedicado com dados de teste relevantes, definição da
introdução e instruções de migração, planejam
ento de liberações, promoção atual para a produção e
revisões pós-implem
entação. Isso assegura que sistemas operacionais estão em
linha com as
expectativas e resultados acordados.
Este m
aterial não pode ser distribuído. S
omente poderá ser utilizado por alunos do site T
IEX
AM
ES
. w
ww
.tiexames.com
.br
EN
TR
EG
A E
SU
PO
RT
E
DS
1 Defin
ir níveis d
e Serviço
s C
omunicação efetiva entre a gerência da T
I e os clientes do negócio, em relação dos serviços
requeridos, é habilitado através da documentação e o acordo de serviços da T
I e níveis de serviços. E
ste processo também
inclua o monitoram
ento e o reporte em tem
po para os stakeholders sobre o cum
primento dos níveis de serviços. E
ste processo habilita o alinhamento entre os serviços da T
I o os requerim
entos de negócio associados. D
S2 G
erenciar S
erviços d
e Terceiro
s A
necessidade de assegurar que serviços providos por terceiros atendem os requerim
entos do negócio requer um
processo efetivo de gerenciamento de terceiros. E
ste processo é efetuado com papeis
claramente definidos, responsabilidades e expectativas em
acordos com terceiros, com
o também
com
revisão e monitoram
ento destes acordos para efetividade e conformidade. G
erenciamento efetivo de
serviços de terceiros minim
iza os riscos de negócio associados com fornecedores não conform
es. D
S3 G
erenciar P
erform
ance e C
apacid
ade
A necessidade de gerenciar o desem
penho e a capacidades dos recursos de TI requer um
processo para rever periodicam
ente o desempenho e a capacidade atual dos recursos da T
I. Este processo inclua
a previsão das futuras necessidades baseada na carga de trabalho, requerimentos de arm
azenamento e
de contingência. Este processo provém
a garantia que os recursos da informática, que suportam
os requerim
entos de negócio, são continuamente avaliados.
DS
4 Garan
tir Co
ntin
uid
ade d
os S
erviços
A necessidade de prover serviços contínuos de T
I requer o desenvolvimento, m
anutenção e testes de planos de continuidade da T
I, armazenam
ento externo de backup e treinamento periódico para o plano
de continuidade. Um
processo efetivo da continuidade de serviço minim
iza a probabilidade e o impacto
de interrupções maiores de serviço sobre funções e processos de negócio.
DS
5 Garan
tir Seg
uran
ça do
s Sistem
as A
necessidade de manter a integridade da inform
ação e proteger os ativos da TI requer um
processo de gerenciam
ento de segurança. Este processo inclui de estabelecer e m
anter papeis e responsabilidades, políticas, padrões e procedim
entos da segurança de TI. G
erenciamento da segurança tam
bém inclui
realizar monitoram
ento da segurança, testes periódicos e implem
entar ações corretivas para identificar fraquezas ou incidentes de segurança. U
m gerenciam
ento efetivo de segurança proteja todos os ativos da T
I para minim
izar o impacto sobre o negócio das vulnerabilidades e incidentes de segurança.
DS
6 Iden
tificar e Alo
car Cu
stos
A necessidade para um
justo e imparcial sistem
a de alocar custos para o negócio requer a medição
exata de custos da TI e acordos com
usuários de negócio para uma alocação correta. E
ste processo inclua a criação e operação de um
sistema de captura, alocação e reporte dos custos da T
I para os usuários de serviços. U
m sistem
a justo de alocação habilita o negócio de fazer mais decisões
informadas em
relação do uso de serviços da TI.
DS
7 Ed
ucar e T
reinar u
suário
s E
ducação efetiva de todos os usuários de sistemas de T
I, incluindo estes dentro da TI, requer a
identificação das necessidades de treinamento de cada grupo de usuários. E
m adição da identificação
da necessidade, este processo inclua a definição e execução de uma estratégia para um
treinamento
efetivo e medição de resultados. U
m program
a efetivo de treinamento aum
enta o uso efetivo da tecnologia com
a redução de erros de usuários, aumenta a produtividade e aum
enta a conformidade
com controles chaves com
o as medidas de segurança de usuários.
DS
8 Geren
ciar Service D
esk e Incid
entes
Respostas em
tempo e efetivos para as perguntas e problem
as dos usuários da TI requerem
uma central
de serviço bem desenhada e im
plementada e um
processo de gerenciamento de incidentes. E
ste processo inclua a im
plementação da função da central de serviços com
registro, escalação, tendências, análise de causas raiz e resolução de incidentes. O
benefício para o negócio inclua um aum
ento de produtividade através da resolução rápido das perguntas dos usuários. E
m adição, o negócio pode
endereçar causas raiz (como um
pobre treinamento de usuários) através de um
reporte efetivo.
Este m
aterial não pode ser distribuído. S
omente poderá ser utilizado por alunos do site T
IEX
AM
ES
. w
ww
.tiexames.com
.br
Este m
aterial não pode ser distribuído. S
omente poderá ser utilizado por alunos do site T
IEX
AM
ES
. w
ww
.tiexames.com
.br
DS
9 Geren
ciar a Co
nfig
uração
A
ssegurar a integridade da configuração de hardware e softw
are requer de estabelecer e manter um
preciso e com
pleto repositório da configuração. Este processo inclua a coleta inicial de inform
ação da configuração, estabelecer referências, verificar e auditar a inform
ação da configuração e atualizar o repositório da configuração quando necessário. G
erenciamento efetivo da configuração facilita a
disponibilidade maior do sistem
a, minim
izar assuntos de produção e resolver estes assuntos mais
rápidos. D
S10 G
erenciar P
rob
lemas
Um
gerenciamento efetivo de problem
as requer a identificação e classificação de problemas, análise da
causa raiz e resolução de problemas. O
processo do gerenciamento de problem
as também
inclua a identificação de recom
endações para melhorar a m
anutenção de registros de problemas e revisar o
status de ações corretivas. Um
processo do gerenciamento de problem
as efetivo melhora níveis de
serviço, reduz custos e melhora a conveniência e satisfação.
DS
11 Geren
ciar Dad
os
Gerenciam
ento efetivo de dados requer a identificação de requerimentos para dados. O
processo de gerenciam
ento de dados também
inclua estabelecer procedimentos efetivos para gerenciar a biblioteca
de mídias, backup e recuperação e disponibilizar m
ídias apropriadas. Gerenciam
ento efetivo de dados ajuda assegurar a qualidade, oportunidade e disponibilidade de dados do negócio. D
S12 G
erenciar o
s Am
bien
tes Físico
s A
proteção para equipamentos de com
putação e pessoal requer instalações bem desenhadas e bem
gerenciadas. O
processo de gerenciar o ambiente físico inclua de definir os requerim
entos para um lugar
físico, seleção de instalações apropriadas e desenho efetivo dos processos para monitorar elem
entos am
bientais e gerenciar o acesso físico. Gerenciam
ento efetivo do ambiente físico reduz interrupções do
negócio devida de danos nos equipamentos de com
putação e no pessoal. D
S13 G
erenciar O
peraçõ
es P
rocessamento com
pleto e exato de dados requer o gerenciamento efetivo do processam
ento de dados e a m
anutenção de hardware. E
ste processo inclua a definição de políticas e procedimentos
operacionais para um gerenciam
ento efetivo da programação do processam
ento, proteção de output sensitivo, m
onitoramento da infra-estrutura e m
anutenção preventiva de hardware. G
erenciamento
efetivo da operação ajuda de manter a integridade de dados e reduz atrasos no negócio e custos da
operação da TI.
MO
NIT
OR
AÇ
ÃO
E A
VA
LIA
ÇÃ
O
ME
1 Mo
nito
rar e Avaliar a P
erform
ance d
e TI
Assegura que a adm
inistração estabeleça um fram
ework geral de m
onitoramento e um
a abordagem que
defina o escopo, metodologia e processos para serem
seguidos para o monitoram
ento da TI contribua
para os resultados do gerenciamento do portfolio em
presarial e processos de programas gerenciais e
estes processos que são específicos para entregar as competências e serviços da T
I. O fram
ework deve
estar integrado com o sistem
a de gerenciamento de desem
penho da companhia.
ME
2 Mo
nito
rar e Avaliar C
on
trole In
terno
E
stabelecer um program
a de controle interno efetivo para a TI requer um
processo de m
onitoração bem definido. E
ste processo inclui monitoração e reporte de exceções de controle,
resultados da auto-avaliação e revisão de fornecedores (terceiros). Um
benefício principal do controle interno de m
onitoração é fornecer segurança relacionada à eficiência e eficácia das operacionais e conform
idade com leis e regulam
entos. M
E3 A
ssegu
rar Co
nfo
rmid
ade R
egu
latória
Um
a vigilância regulatória eficiente requer o estabelecimento de um
processo de revisão independente para garantir a conform
idade com leis e regulam
entos. Este processo inclui
definir um auditor independente, ética profissional e padrões, planejam
ento, desempenho do
trabalho de auditoria, e reporte do acompanham
ento das atividades de auditoria. O propósito
deste processo é fornecer uma garantia positiva relacionada à conform
idade da TI com
leis e regulam
entos.
Este m
aterial não pode ser distribuído. S
omente poderá ser utilizado por alunos do site T
IEX
AM
ES
. w
ww
.tiexames.com
.br
ME
4 Fo
rnecer G
overn
ança d
e TI
Estabelecer um
framew
ork efetivo de governança, incluindo a definição de estruturas organizacionais, processos, liderança, papeis e responsabilidades para assegurar que os investim
entos em T
I em
presarial são alinhados e entregas de acordo com as estratégias e objetivos em
presariais.
DE
SC
RIÇ
ÃO
DO
PR
OC
ES
SO
Serve para criar um
a estrutura de programa e gerenciam
ento de projetos para o gerenciamento
de todos os projetos de TI estabelecidos. A
estrutura garante priorização correta e coordenação de todos os projetos. E
sta estrutura inclui plano mestre, alocação de recursos,
definição de entregáveis, aprovação pelos usuários, abordagem por fases para entrega,
qualidade, plano de testes, revisão pós-implem
entação e testes após a instalação para assegurar o gerenciam
ento de riscos e a entrega de valor para o negócio.
Co
ntro
le sob
re o p
rocesso
de T
I de
Gerenciar projetos
Q
ue satisfaz o
s requ
isitos d
e neg
ócio
para T
I E
ntregando os projetos dentro do prazo, custo e qualidade F
ocan
do
em
Um
programa definido e um
a abordagem para gerenciam
ento de projetos que são aplicados aos projetos de T
I, que habilitam o envolvim
ento das partes interessadas no m
onitoramento de riscos do projeto e progresso
É
alcançad
o
� D
efinindo e reforçando estruturas de programa e abordagem
para gerenciam
ento de projetos �
Liberando diretrizes de gerenciamento de projetos
� F
azendo o planejamento de projeto para cada projeto do portfólio
É m
edid
o p
or
� P
ercentual de projetos atendendo às expectativas das partes interessadas
� P
ercentual de projetos recebendo revisões pós-implem
entação �
Percentual de projetos seguindo padrões e práticas de
gerenciamento de projetos
Este m
aterial não pode ser distribuído. S
omente poderá ser utilizado por alunos do site T
IEX
AM
ES
. w
ww
.tiexames.com
.br
Este m
aterial não pode ser distribuído. S
omente poderá ser utilizado por alunos do site T
IEX
AM
ES
. w
ww
.tiexames.com
.br
OB
JET
IVO
S D
E C
ON
TR
OL
E
P
O10 G
ER
EN
CIA
R P
RO
JET
OS
P
O10.1 F
ramew
ork d
e Geren
ciamen
to d
e Pro
gram
a
Manter o program
a de projetos relacionados ao portfólio de programas de investim
ento de T
I. Fazer isso identificando, definindo, avaliando, priorizando, selecionando,
iniciando, gerenciando e controlando projetos. Assegurar que os projetos suportam
os objetivos do program
a. Coordenar as atividades e interdependências de m
últiplos projetos, gerenciar a contribuição dos projetos do program
a para os entregáveis esperados e resolver conflitos relacionados a requisitos de recursos. P
O10.2 F
ramew
ork d
e Geren
ciamen
to d
e Pro
jeto
Estabelecer e m
anter um fram
ework de gerenciam
ento de projeto que defina o escopo e os lim
ites do gerenciamento, assim
como o m
étodo a ser adotado e aplicado a cada projeto. O
framew
ork e o método de suporte devem
estar integrados ao processo de gerenciam
ento de programa.
PO
10.3 Ab
ord
agem
de G
erenciam
ento
de P
rojeto
E
stabelecer uma abordagem
de gerenciamento de projeto com
patível com o tam
anho, a com
plexidade e os requisitos regulatórios de cada projeto. A estrutura de
governança do projeto pode incluir os papéis e responsabilidades do patrocinador do program
a, dos patrocinadores do projeto, do comitê de direção, do escritório de
projetos e do gerente de projetos, e os mecanism
os através dos quais eles poderão cum
prir essas tarefas (como, por exem
plo, fazer relatórios e revisão de estágios). C
ertificar-se de que todos os projetos de TI têm
patrocinadores com autoridade
suficiente para serem proprietários da execução do projeto dentro do program
a estratégico geral. P
O10.4 C
om
pro
metim
ento
das P
artes Interessad
as O
bter comprom
etimento e participação dos stakeholders afetados na definição e
execução do projeto dentro do contexto do programa geral de investim
ento de TI.
PO
10.5 Declaração
de E
scop
o d
o P
rojeto
D
efinir e documentar a natureza e o escopo do projeto para confirm
ar e desenvolver, entre os stakeholders, um
entendimento com
um do escopo do projeto e de com
o ele se relaciona com
outros projetos dentro do programa geral de investim
ento de TI. A
definição deve ser aprovada form
almente pelos patrocinadores do program
a e do projeto antes do início do projeto. P
O10.6 In
ício d
e Fase d
o P
rojeto
A
provar o início de cada fase principal do projeto e comunicá-lo a todos os
stakeholders. Basear a aprovação da fase inicial em
decisões da governança de program
a. A aprovação de fases seguintes deve ser baseada na análise e na
aceitação dos entregáveis da fase anterior e na aprovação de um business case
atualizado na próxima revisão do program
a. Em
caso de sobreposição de fases do projeto, um
ponto de aprovação deve ser estabelecido pelos patrocinadores do program
a e do projeto, para autorizar seu andamento.
PO
10.7 Plan
o In
tegrad
o d
o P
rojeto
E
stabelecer um plano integrado de projeto, form
al e aprovado (que cubra recursos de negócio e de sistem
as de informação), para guiar e controlar a execução do projeto
através de seu ciclo de vida. As atividades e interdependências de m
últipos projetos dentro de um
programa devem
ser entendidas e documentadas. O
plano do projeto deve ser m
antido durante seu ciclo de vida. O plano de projeto e suas alterações
Este m
aterial não pode ser distribuído. S
omente poderá ser utilizado por alunos do site T
IEX
AM
ES
. w
ww
.tiexames.com
.br
devem ser aprovados em
conformidade com
o programa e com
o framew
ork de governança de projeto. P
O10.8 R
ecurso
s do
Pro
jeto
Definir responsabilidades, relacionam
entos, autoridades e critérios de desempenho
dos mem
bros da equipe do projeto, e especificar a base para obter e designar m
embros do staff e/ou contratados para o projeto. A
aquisição de produtos e serviços necessários para cada projeto deve ser planejada e gerenciada para atingir os objetivos do projeto usando as práticas de aquisição da organização. P
O10.9 G
erenciam
ento
de R
isco d
o P
rojeto
E
liminar ou m
inimizar os riscos específicos associados a projetos individuais através
de um processo sistem
ático de planejamento, identificação, análise, resposta,
monitoram
ento e controle das áreas ou eventos que tenham potencial para causar
mudanças indesejadas. O
s riscos enfrentados pelo processo de gerenciamento de
projetos e pelo entregável do projeto devem ser estabelecidos e registrados.
PO
10.10 Plan
o d
e Qu
alidad
e do
Pro
jeto
Preparar um
plano de gerenciamento de qualidade que descreva o sistem
a de qualidade do projeto e com
o ele será implem
entado. O plano deve ser revisado
formalm
ente, e todas as partes interessadas devem form
almente concordar com
ele e incorporá-lo no plano integrado do projeto. P
O10.11 C
on
trole d
e Mu
dan
ças do
Pro
jeto
Estabelecer um
sistema de controle de m
udança para cada projeto, para que todas as alterações feitas à linha de base (com
o custo, cronograma, escopo, qualidade) sejam
devidam
ente revisadas, aprovadas e incorporadas ao plano integrado do projeto de acordo com
o programa e com
o framew
ork de governança de projeto. P
O10.12 P
lanejam
ento
de M
étod
os d
e Garan
tia do
Pro
jeto
Identificar tarefas de garantia necessárias para suportar a acreditação de sistemas
novos ou modificados durante o planejam
ento do projeto, e incluí-las no plano integrado do projeto. E
stas tarefas devem fornecer garantias de que os controles
internos e as funções de segurança cumprem
os requisitos definidos. P
O10.13 M
étricas, Relató
rios e M
on
itoram
ento
do
Pro
jeto
Medir a perform
ance do projeto contra os critérios de cronograma, qualidade, custos e
riscos do projeto-chave. Identificar desvios do plano. Avaliar o im
pacto dos desvios no projeto e no program
a geral, e reportar os resultados aos stakeholders principais. R
ecomendar, im
plementar e m
onitorar ações corretivas (quando requeridas) alinhadas ao o program
a e ao framew
ork de governança de projeto. P
O10.14 F
echam
ento
do
Pro
jeto
Requerer que, no final de cada projeto, os stakeholders confirm
em se o projeto
entregou os resultados e benefícios planejados. Identificar e comunicar quaisquer
atividades extraordinárias necessárias para alcançar os resultados do projeto e os benefícios do program
a planejados, e identificar e documentar lições aprendidas para
uso em futuros projetos e program
as.
Este m
aterial não pode ser distribuído. S
omente poderá ser utilizado por alunos do site T
IEX
AM
ES
. w
ww
.tiexames.com
.br
DIR
ET
RIZ
ES
DE
GE
RE
NC
IAM
EN
TO
Este m
aterial não pode ser distribuído. S
omente poderá ser utilizado por alunos do site T
IEX
AM
ES
. w
ww
.tiexames.com
.br
MO
DE
LO
DE
MA
TU
RID
AD
E
O
gerenciamento do processo gerenciar projetos que satisfaça o requisito do negócio
para a TI assegurando a entrega de resultados do projeto dentro de um
período de tem
po, orçamento e qualidade com
binados é: 0 – In
existente quando
Técnicas de gerenciam
ento de projeto não são usadas e a organização não considera os im
pactos no negócio associados com a m
á administração de projetos e as falhas
de desenvolvimento.
1 – Inicia / A
d H
oc quando
O uso de técnicas e abordagens de gerenciam
ento de projeto dentro da TI é um
a decisão deixada aos gerentes de T
I individualmente. H
á uma falta de
comprom
etimento gerencial para com
a propriedade e gerenciamento do projeto.
Decisões críticas em
gerenciamento de projeto são tom
adas sem participação do
gerenciamento do usuário ou cliente. E
xiste pouco ou nenhum envolvim
ento do cliente/usuário em
definir projetos de TI. N
ão existe nenhuma organização clara dentro
da TI para o gerenciam
ento de projetos. Os papéis e responsabilidades para o
gerenciamento de projetos não são definidos. P
rojetos, programações e pontos de
verificação são pobremente definidos, se é que existem
. O tem
po e as despesas de staff do projeto não são verificados e nem
comparados aos orçam
entos. 2 – R
epetível m
ais intu
itivo quando
A gerência sênior adquiriu e com
unicou a conscientização da necessidade de gerenciam
ento de projetos de TI. A
organização está na fase de desenvolver e aproveitar algum
as técnicas e métodos de projeto a projeto. O
s projetos de TI têm
objetivos de negócio e técnicos definidos inform
almente. E
xiste um envolvim
ento lim
itado das partes interessadas no gerenciamento do projetos de T
I. Diretrizes iniciais
foram desenvolvidas para m
uitos aspectos do gerenciamento de projeto. A
aplicação de diretrizes de gerenciam
ento de projeto é deixada a critério do gerente individual do projeto. 3 – D
efinid
o quando
O processo e a m
etodologia de gerenciamento de projetos de T
I foram estabelecidos e
comunicados. O
s projetos de TI são definidos com
objetivos técnicos e de negócio apropriados. A
gerência sênior de TI e do negócio estão com
eçando a se com
prometer e se envolver no gerenciam
ento de projetos de TI. U
m escritório de
gerenciamento de projeto é estabelecido dentro da T
I, com papéis iniciais e
responsabilidades definidas. Os projetos de T
I são monitorados, com
marcos,
cronograma, orçam
ento e medição de desem
penho definidos e atualizados. O
treinamento do gerenciam
ento de projeto está disponível. O treinam
ento do gerenciam
ento de projeto é primeiram
ente um resultado de iniciativas individuais da
equipe. Os procedim
entos da garantia de qualidade e atividades de implem
entação pós-sistem
a foram definidos, m
as não são totalmente aplicados pelos gerentes de T
I. O
s projetos estão começando a ser adm
inistrados como portfólios.
4 – Geren
ciado
e men
surável quando
O gerenciam
ento requer métricas de projeto form
ais e padronizadas e lições aprendidas a serem
revistas na conclusão do projeto. O gerenciam
ento do projeto é m
edido e avaliado por toda a organização e não somente dentro da T
I. Avanços no
processo de gerenciamento de projeto são form
alizados e comunicados aos m
embros
da equipe do projeto treinados nos avanços. O gerenciam
ento de TI im
plementou um
a estrutura de organização de projeto com
papéis documentados, responsabilidades e
critérios de desempenho da equipe. O
s critérios para avaliar o sucesso em cada ponto
de verificação foram estabelecidos. V
alor e risco são medidos e gerenciados antes,
Este m
aterial não pode ser distribuído. S
omente poderá ser utilizado por alunos do site T
IEX
AM
ES
. w
ww
.tiexames.com
.br
durante e após a conclusão dos projetos. Os projetos crescentem
ente direcionam-se
às metas da organização, m
ais do aqueles específicos para a TI. E
xiste um suporte de
projeto forte e ativo para gerenciamento de patrocinadores, assim
como de partes
interessadas. O treinam
ento de gerenciamento relevante de projeto é planejado para
os funcionários no escritório de gerenciam
ento de projeto e através da função de TI.
5 – Otim
izado
quando U
m ciclo de vida do projeto com
pleto é aprovado e uma m
etodologia de programa é
implem
entada, imposta e integrada na cultura de toda a organização. U
ma iniciativa
contínua para identificar e institucionalizar melhores práticas de gerenciam
ento de projeto foi im
plementada. U
ma estratégia de T
I para fornecimento de projetos
operacionais e de desenvolvimento é definida e im
plementada. U
m escritório de
gerenciamento de projeto integrado é responsável por projetos e program
as do início até a pós-im
plementação. O
planejamento de program
as e projetos globais da organização assegura que os recursos do usuário e de T
I sejam m
elhor utilizados para apoiar iniciativas estratégicas.
DE
SC
RIÇ
ÃO
DO
PR
OC
ES
SO
A necessidade de assegurar que serviços fornecidos por terceiros (fornecedores, vendedores e
parceiros) alcancem os requisitos do negócio requer um
processo eficaz de gerenciamento de
terceiros. Este processo é claram
ente realizado definindo os papéis, responsabilidades e expectativas em
acordos de terceiros como a revisão e o m
onitoramento de tais acordos para a
eficácia e a conformidade. O
gerenciamento eficaz de serviços de terceiros m
inimiza o risco do
negócio associado com o m
au desempenho dos fornecedores.
Co
ntro
le sob
re o p
rocesso
de T
I de
Gerenciar serviços de terceiros
Q
ue satisfaz o
requ
isito d
o n
egó
cio p
ara a TI
Fornecendo serviços satisfatórios de terceiros sendo transparente sobre benefícios,
custos e riscos
Fo
cand
o em
Este m
aterial não pode ser distribuído. S
omente poderá ser utilizado por alunos do site T
IEX
AM
ES
. w
ww
.tiexames.com
.br
estabelecer relacionamentos e responsabilidades bilaterais com
os fornecedores de serviço qualificado de terceiros e m
onitorar a entrega de serviço para verificar e assegurar aderência aos acordos
É
alcançad
o
• Identificando e categorizando fornecedores de serviços
• Identificando e m
itigando risco de fornecedores •
Monitorando e m
ensurando desempenho do fornecedor
É
med
ido
po
r •
Núm
ero de reclamações de usuário devido a serviços
contratados •
Porcentagem
dos principais fornecedores alcançando requisitos e níveis de serviço claram
ente definidos •
Porcentagem
dos principais fornecedores sujeitos a m
onitoração
Este m
aterial não pode ser distribuído. S
omente poderá ser utilizado por alunos do site T
IEX
AM
ES
. w
ww
.tiexames.com
.br
OB
JET
IVO
S D
E C
ON
TR
OL
E
D
S2 G
ER
EN
CIA
R S
ER
VIÇ
OS
DE
TE
RC
EIR
OS
D
S2.1 Id
entificação
de R
elacion
amen
tos co
m F
orn
ecedo
res Identificar todos os serviços de fornecedores e classificá-los de acordo com
o tipo, im
portância e criticidade de cada fornecedor. Manter docum
entação formal sobre
relacionamentos técnicos e organizacionais cobrindo papéis e responsabilidades,
metas, entregáveis esperados e credenciais dos representantes destes fornecedores.
DS
2.2 Geren
ciamen
to d
e Relacio
nam
ento
com
Fo
rneced
ores
Form
alizar o processo de gerenciamento de relacionam
ento para cada fornecedor. Os
responsáveis devem se com
unicar sobre assuntos ligados à relação cliente-fornecedor para que seja assegurada um
a relação baseada em confiança e transparência (por
exemplo, através de A
cordos de Nível de S
erviço). D
S2.3 G
erenciam
ento
de R
isco d
e Fo
rneced
or
Identificar e mitigar os riscos relacionados à habilidade do fornecedor de prestar
serviços de maneira eficiente e segura continuam
ente. Assegurar que os contratos
estejam em
conformidade com
padrões universais de negócios em relação à
legalidade e a requisitos regulatórios. O gerenciam
ento de riscos deve ainda considerar acordos de confidencialidade, docum
entos sob custódia de terceiros, viabilidade continuada de fornecedor, conform
idade com requisitos de segurança,
fornecedores alternativos, multas e recom
pensas, etc. D
S2.4 M
on
itoram
ento
de P
erform
ance d
e Fo
rneced
or
Estabelecer um
processo para monitorar a acom
panhar a prestação de serviços para garantir que o fornecedor esteja cum
prindo os requisitos atuais do negócio e continuando a seguir os contratos e A
cordos de Nível de S
erviço, e que sua perform
ance esteja em um
nível competitivo com
fornecedores alternativos e condições de m
ercado.
Este m
aterial não pode ser distribuído. S
omente poderá ser utilizado por alunos do site T
IEX
AM
ES
. w
ww
.tiexames.com
.br
DIR
ET
RIZ
ES
DE
GE
RE
NC
IAM
EN
TO
Este m
aterial não pode ser distribuído. S
omente poderá ser utilizado por alunos do site T
IEX
AM
ES
. w
ww
.tiexames.com
.br
MO
DE
LO
DE
MA
TU
RID
AD
E
O
gerenciamento do processo G
erenciar Serviços de T
erceiros que satisfaz os requisitos de T
I do negócio de prover serviços terceirizados satisfatórios sendo transparente sobre benefícios, custos e riscos significa: 0 - In
existente quando
Quando responsabilidades não estão definidas. N
ão existem políticas e procedim
entos form
ais sobre contratação de terceiros. Serviços de terceiros não são revisados nem
aprovados pela gerência. N
ão há atividades de avaliação nem de reporte e a alta
gerência não fica ciente da qualidade do serviço prestado. 1 - In
icial/Ad
ho
c quando Q
uando a gerência está consciente da necessidade de ter políticas e procedimentos
documentados para o gerenciam
ento de terceiros, incluindo contratos. Não existem
cláusulas-padrão para acordos com
prestadores de serviços. A avaliação dos serviços
prestados é informal e reativa. A
s práticas dependem da experiência do indivíduo e do
fornecedor. 2 - R
epetível m
as intu
itivo quando
Quando o processo de supervisionar prestadores de serviços terceirizados, riscos
associados e entrega de serviços é informal. F
az-se uso de um contrato pró-form
a com
termos e condições padrão (por exem
plo, a descrição dos serviços a serem
prestados). Relatórios sobre os serviços prestados estão disponíveis, m
as não suportam
os objetivos do negócio. 3 – D
efinid
o quando
Quando há procedim
entos documentados com
processos claros de negociação que regem
serviços de terceiros. Quando é feito um
acordo para prestação de serviços, o relacionam
ento com o terceirizado é puram
ente contratual. A natureza dos serviços a
serem prestados é detalhada no contrato e inclui requisitos legais e operacionais. A
responsabilidade de supervisionar serviços de terceiros é atribuída. C
láusulas contratuais são baseadas em
modelos padronizados. O
risco do negócio associado aos serviços de terceiros é avaliado e reportado. 4 - G
erenciad
o e M
ensu
rável quando Q
uando c ritérios formais e norm
alizados são estabelecidos para definir as condições do contrato, incluindo escopo do trabalho, serviços e entregáveis a serem
fornecidos, pressupostos, cronogram
a, custos, formas de cobrança e responsabilidades. A
responsabilidade de gerenciar contrato e fornecedor é atribuída. Q
ualificações, riscos e capacidades do fornecedor são verificados continuam
ente. Requisitos de serviço são
definidos e relacionados aos objetivos do negócio. Existe um
processo de revisão de perform
ance de serviço contra as cláusulas contratuais que fornece entradas para avaliar serviços atuais e futuros. M
odelos de transferência de preços são utilizados no processo de aquisição. T
odas as partes envolvidas estão cientes das expectativas quanto a serviço, custo e m
arcos. Existem
metas e m
étricas acordadas para a supervisão de prestadores de serviços. 5 – O
timizad
o quando
Quando contratos assinados com
terceiros são revisados periodicamente em
intervalos pré-definidos. A
responsabilidade de gerenciar fornecedores e qualidade dos serviços prestados é atribuída. M
onitoram-se a observância e o cum
primento das
cláusulas contratuais operacionais, legais e de controle, e ações corretivas são realizadas. O
terceirizado está sujeito a revisões periódicas independentes, e um
feedback sobre seu desempenho é utilizado para m
elhorar a entrega do serviço. A
valiações variam de acordo com
as condições mutáveis do negócio, e suportam
a detecção precoce de problem
as potenciais com serviços terceirizados. A
remuneração
Este m
aterial não pode ser distribuído. S
omente poderá ser utilizado por alunos do site T
IEX
AM
ES
. w
ww
.tiexames.com
.br
do terceirizado está ligada a uma reporte abrangente do nível de serviço realizado.
Baseada em
métricas, a gerência ajusta o processo de aquisição e m
onitoramento de
serviços terceirizados.