Guia de Estudo para Exame de Certificao do Cobit Foundation

(Exemplo) Guia de Estudo para o Exame Certificao do Cobit Foundation

autor: Rildo Santos rildo.santos@companyweb.comb.r

Todos os direitos produtos e marcas citados neste guia so de propriedade dos seus donos, este material poder ser copiado, ampliando e distribudo deste autorizado pelo autor.

Pg: 1/11

Reviso 5.0

Guia de Estudo para Exame de Certificao do Cobit Foundation

Introduo: Este Guia de Estudo foi elaborado para ajudar e facilitar a preparao para o exame de certificao do Cobit Foundation verso 4.1. Seu propsito servir como um documento de reviso complementar ao treinamento de Cobit Foundation. O guia cobre todos os assuntos abordados no exame de certificao, contudo ele no prescritivo, ou seja, voc dever considerar outras fontes de estudo. Rildo Santos

Como se preparar para o exame de Certificao do Cobit Foundation 4.1: Check Lists: Material do treinamento: 1 Faa uma releitura de todo o material 2 Refaa os exerccios 3 Refaa o simulado Guia de Estudo: 1 - Leia o Guia 2 - No final de cada parte faa um resumo das partes mais importantes (elas esto grafadas na cor amarela) 3 - Faa os exerccios para fixao, aps a elaborao dos resumos de cada parte. 4 - Faa o simulado de certificao

Pg: 2/11

Reviso 5.0

Guia de Estudo para Exame de Certificao do Cobit Foundation

Este Guia foi organizado em quatro partes:

Primeira parte: Reviso Geral do Cobit Foundation

Segunda parte: Os Processos o DS2 o PO10 o Descrio dos demais processos

Terceira parte: Produtos Cobit o COBIT Online o COBIT Quickstart o IT Governance Implementation Guide Using COBIT e Val IT o COBIT Security Baseline

Quarta parte: Simulado com gabarito de respostas comentadas

Pg: 3/11

Reviso 5.0

Guia de Estudo para Exame de Certificao do Cobit Foundation Reviso Geral:

Desafios de TI: - Manter TI funcionando - Agregar valor - Otimizar custos - Manter o alinhamento de TI com o negcio - Atender a requisitos regulatrios (SOX, BASEL II, SPED e etc)

Definio de Governana Empresarial (Corporativa): Governana empresarial um conjunto de responsabilidades e prticas exercitadas pelo conselho e o gerenciamento executivo com as metas de: Fornecer um direcionamento estratgico. Garantir que os objetivos sejam alcanados. Estabelecer que os riscos sejam gerenciados apropriadamente. Verificar se os recursos da empresa sejam usados com responsabilidade. Governana empresarial se trata de: Performance o Melhorar o lucro, a eficincia, a efetividade e o crescimento Conformidade o Aderir legislao, polticas internas e requisitos de auditoria Governana Empresarial e a Governana de TI requerem um balano entre a conformidade e as metas de performance, como orientado pelo conselho (Conselho da Administrao).

Definio de Governana de TI: A governana de TI definida como uma estrutura de relacionamento e processos para direcionar e controlar a empresa para que ela possa alcanar suas metas agregando valor enquanto balanceia os riscos versus retorno sobre o TI e seus processos.

Quem responsvel pela Governana de TI ? O conselho de diretoria e o corpo executivo so responsveis pela governana de TI, o que envolve estruturas e processos que direcionam a organizao no sentido de alcanar seus objetivos. Conceitos chaves da Governana de TI: Direcionar: O gerenciamento fornece direcionamento para implementar uma mudana. Para fornecer um direcionamento efetivo, o gerenciamento precisa entender a mudana pretendida. Alm do mais, o gerenciamento direciona outra pessoa a executar essas mudanas. Controlar: O Controle garante que os objetivos sejam alcanados e nenhum incidente indesejado ocorra.

Princpios da Governana: Responsabilidade, Prestao de Conta (cobrana), Atividades: Responsabilidade: O CEO (presidente) o responsvel pelo controle interno. Gerentes Seniores (ou diretores) assumem responsabilidade para o estabelecimento de polticas e procedimentos de controle interno especficos para o pessoal executando a funo de uma unidade. Controle interno de responsabilidade de todos dentro de uma organizao e deve ser uma parte explcita ou implcita das descries do trabalho. Quem Cobrado (Quem presta conta): O que cobrado est relacionado responsabilidade, mas especificamente focado em ter autoridade de tomar decises e fazer aprovaes.

Pg: 4/11

Reviso 5.0

Guia de Estudo para Exame de Certificao do Cobit Foundation

Por exemplo: A responsabilidade para o processo de definir a estratgia de TI ser dividida por diversas pessoas, cada um responsvel por certas tarefas e atividades. Finalmente pode ser o CEO quem decide os problemas chave e aprova a verso final. Ele ento cobrado pela estratgia de TI. Atividades: As atividades de TI so efetivas quando h uma boa governana de TI. Geralmente, os departamentos de TI precisam se alinhar com as necessidades de negcios da empresa. O alinhamento um indicador de performance que pode ser qualquer parmetro tcnico.

Acionistas internos (Stakeholders) da Governana de TI: - Gerente de TI - Auditor de TI - Conselho, Executivos, e Gerente de Negcios - Gerente de Riscos e Conformidade

Acionistas externos (Stakeholders) da Governana de TI: - Clientes - Fornecedores - Auditor Externo - Reguladores

Governana de TI: As 5 reas de Foco: Alinhamento Estratgico: Focar em garantir a ligao dos negcios e planos de TI; em definir, manter, e validar a proposta de valor de TI e em alinhar as operaes de TI com as operaes da empresa Garantir que o investimento da empresa em TI esteja em harmonia com os objetivos estratgicos da empresa Agregao de Valor: Trata-se de executar a proposta de valor atravs do ciclo de agregao, garantindo que o TI entregue os benefcios prometidos sobre a estratgia, se concentrando em otimizar os custos, e fornecendo o valor essencial da TI. Gerenciar Riscos: Requer: Conscincia dos riscos dos responsveis snior da corporao. Um entendimento claro do apetite da empresa por riscos. Um entendimento de requisitos de conformidade. Transparncia sobre riscos significantes para a empresa. Embutir as responsabilidades de gerenciamento de riscos dentro da organizao. Os riscos podem ser administrados pela: Mitigao de riscos. Transferncia de riscos. Aceitao de riscos. Evitar riscos. Gerenciar Recursos: Trata-se de investimentos otimizados e gerenciamento apropriado de recursos crticos de TI, como: Aplicaes. Informao. Infra-estrutura. Pessoas. Medio de Performance: Busca e monitora a implementao de estratgias, concluso de projetos, performance de projetos, e agregao de servios Se no h uma maneira de medir e avaliar as atividades de TI, no possvel governar TI e garantir o alinhamento, agregao de valor, gerenciamento de riscos, e um uso eficiente dos recursos.

Pg: 5/11

Reviso 5.0

Guia de Estudo para Exame de Certificao do Cobit Foundation

Benefcios da Governana de TI: Aumentar a confiabilidade dos servios Maior transparncia Boa receptividade do TI para os negcios Confiana da diretoria Melhorar ROI (Retorno sobre Investimento)

Por que da necessidade de um Framework de Controle: As empresas no conseguiro atender efetivamente aos negcios e requisitos de governana sem adotar e implementar uma governana e O framework de controle para o TI que permitam: Alinhar os requisitos de negcios. Exibir de forma transparente a performance destes requisitos. Organizar as atividades de TI em um modelo de processos genericamente aceitvel. Identificar os principais recursos a serem relevados. Definir os objetivos de controle de gerenciamento a serem considerados.

Resumo: Organizaes tipicamente enfrentam os seguintes desafios de TI que acabam demandando a necessidade de governana de TI: Manter a TI funcionando Entregar valor aos clientes Gerenciar os custos de TI Dominar as complexidades Alinhar a TI com os negcios Garantir conformidade regulatria Gerenciar a segurana

Cobit e Governana de TI: O COBIT ajuda a melhorar a governana de TI. O COBIT fornece um framework para gerenciar e controlar as atividades de TI e suporta cinco requisitos para um framework de controle. Estrutura de Controle: - Fornece melhor foco de Trabalho - Foco de Negcios O COBIT atende melhor aos negcios focando no alinhamento de TI com os objetivos de negcios. A medio da performance de TI dever focar-se na contribuio da TI em disponibilizar e estender a estratgia de negcios. O COBIT, suportado por mtricas prprias focadas no negcio, pode garantir que o objetivo primrio a entrega de valor e no a excelncia tcnica. - Define uma linguagem comum - Linguagem Comum uma estrutura que ajuda a manter com o mesmo entendimento, definindo termos crticos e fornecendo um glossrio. Coordenao dentro e atravs de equipes de projeto; as organizaes podem desempenhar o papel chave para o sucesso de qualquer projeto. Linguagem comum constri confidncia e confiana. - Garante a orientao a processos Orientao a Processos Quando as organizaes implementam o COBIT, o seu foco mais orientado a processos. Os incidentes e problemas tiram a ateno dos processos. Excees podem ser claramente definidas como parte de processos padres. Com a posse do projeto definida, designada e aceitada, a organizao mais capaz de manter controle atravs de perodos com mudanas rpidas ou crise organizacional.

Pg: 6/11

Reviso 5.0

Guia de Estudo para Exame de Certificao do Cobit Foundation

- Ajuda a alcanar requisitos regulatrios - Requisitos Regulatrios Recentes escndalos empresariais tm aumentado as presses regulatrias em conselhos de diretoria para relatar seus status e garantir que os controles internos sejam apropriados. Isto tambm cobre os controles de TI. As organizaes precisam constantemente melhorar a performance de TI e demonstrar controles adequados sobre suas atividades. Muitos gerentes de TI, conselheiros e auditores esto se voltando ao COBIT como a resposta de fato para requisitos regulatrios de TI.

- Possui aceitao entre as empresas - Aceitabilidade: O COBIT um padro Aprovado e globalmente aceito para aumentar a contribuio de TI para o sucesso da organizao. O framework continua a melhorar e desenvolve-se para manter-se em paz com as melhores prticas. Os profissionais de TI de todo o mundo contribuem com suas idias e tempo em reunies de reviso regulares.

A estrutura do Cobit:

As suas principais caractersticas so: Focado nos Negcios Orientado a Processos Baseado em Controles Dirigido pela Medio O acrnimo COBIT quer dizer Control Objectives for Information and related Technology

Modelo de Governana do provido pelo Cobit: Inicia a partir dos requisitos de negcios. orientado a processos, organizando as atividades de TI em um modelo de processos geralmente aceitos. Identifica os principais recursos de TI a serem considerados. Define os objetivos de controle a serem considerados. Incorporando os principais padres internacionais. um modelo de fato para o controle geral de TI

Audincia: COBIT Concebido para a gerncia, Auditores e TI A estrutura do COBIT ajuda no apenas aos usurios tcnicos, mas tambm aqueles que so responsveis pelo uso efetivo de TI, como os gestores e auditores. A estrutura do COBIT auxilia estes usurios garantindo que: Seus requisitos esto definidos e propriamente entendidos. Todos tem o mesmo entendimento usando um modelo de referencia entendido de forma comum.

Premissa: A estrutura do COBIT baseada na premissa de que TI precisa entregar a informao que uma empresa precisa para alcanar seus objetivos. A estrutura do COBIT ajuda a alinhar TI com os negcios focando-se nas requisies de informaes de negcios e em organizar os recursos de TI. O COBIT fornece a estrutura e o guia para implementar a governana de TI.

Pg: 7/11

Reviso 5.0

Guia de Estudo para Exame de Certificao do Cobit Foundation Componentes do Cobit:

Uma empresa depende da credibilidade e prontido da informao. Os componentes do COBIT iro fornecer uma estrutura capaz de entregar valor e ao mesmo tempo gerenciar riscos e controlar dados e informaes.

Como estrutura para governana e controle de TI, o COBIT focar em duas reas: Fornecer as informaes necessrias para suportar os requisitos e objetivos de negcios Tratar a informao como resultado da aplicao conjunta dos recursos de TI que precisam ser gerenciados pelos processos de TI. O framework do COBIT descreve como os processos de TI entregam a informao que os negcios precisam para alcanar seus objetivos. Para controlar esta entrega, o COBT fornece trs componentes chave: - Requisitos de Negcio; - Recursos de TI - Processos de TI Formando as dimenses do Cubo do COBIT.

Cubo do Cobit Inter-relao dos componentes do COBIT: Em um ambiente complexo, o gerenciamento requer informaes compreensivas e em tempo para tomar decises eficientes sobre risco e controle. O COBIT enderea estes problemas como uma forma de diretrizes de gerenciamento. Estas diretrizes esto destacadas abaixo: Metas de TI e Processos de TI: So Medidas por: So decompostas em: Performance: Indicadores de Desempenho - Atividades Chaves Resultado: Mtrica de Resultado Que so executadas pela Maturidade: Modelo de Maturidade - Matriz RACI Metas de TI e Processos de TI:

Pg: 8/11

Reviso 5.0

Guia de Estudo para Exame de Certificao do Cobit Foundation

O COBIT descreve o ciclo de vida da TI com a ajuda de 4 domnios: o Planejar e Organizar o Adquirir e Implementar o Entregar e Suportar o Monitorar e Avaliar O que so processos: Processos so sries de atividades com quebras de controle naturais. Existem 34 processos nos quatro domnios. Estes processos especificam o que os negcios precisam para alcanar seus objetivos. A entrega de informaes controlada atravs de 34 objetivos de controle de alto nvel, um para cada processo. Que so atividades ? As Atividades so aes que so necessrias para alcanar resultados mensurveis. Alm disso, as atividades tm ciclos de vida e incluem muitas tarefas discretas.

As Atividades so aes que so necessrias para alcanar resultados mensurveis. Alm disso, as atividades tm ciclos de vida e incluem muitas tarefas discretas.

O COBIT possui 34 processos de TI definidos dentro dos 4 domnios de TI:

PLANEJAR E ORGANIZAR (PO)

Objetivos: o Formular estratgia e tticas o Identificar como TI pode contribuir melhor para alcanar os objetivos de negcios o Planejar, comunicar, e gerenciar a realizao da viso estratgica o Implementar uma infra-estrutura organizacional e tecnolgica Escopo: o A TI e os negcios esto estrategicamente alinhados? o A empresa est alcanando um uso otimizado dos recursos de TI? o Todos na organizao entendem os objetivos de TI? o Os riscos de TI esto entendidos e sendo gerenciados? o A qualidade dos sistemas de TI est apropriada para as necessidades de negcios? PO1 Definir um Plano Estratgico de TI PO2 Definir a Arquitetura da Informao PO3 Determinar o Direcionamento Tecnolgico PO4 Definir os Processos, a Organizao e os Relacionamentos de TI PO5 Gerenciar o Investimento de TI PO6 Comunicar os Objetivos e Direcionamento da Diretoria PO7 Gerenciar Recursos Humanos de TI

Processos

Pg: 9/11

Reviso 5.0

Guia de Estudo para Exame de Certificao do Cobit Foundation

PO8 Gerenciar Qualidade PO9 Avaliar e Gerenciar Risco de TI PO10 Gerenciar Projetos

ADQUIRIR IMPLEMENTAR (AI)

Objetivos: o Identificar, desenvolver ou adquirir, implementar, e integrar as solues de TI o Mudanas e manuteno de sistemas existentes Escopo: o Os novos projetos esto preparados para entregar solues que alcancem as necessidades de negcios? o Os novos projetos esto preparados para serem entregues a tempo e dentro do oramento? o Os novos sistemas iro funcionar bem quando implementados? o As mudanas sero feitas sem atrapalhar as operaes de negcios atuais? AI1 Identificar as Solues Automatizadas AI2 Adquirir e Manter Software Aplicativo AI3 Adquirir e Manter Infra-estrutura de Tecnologia AI4 Permitir Operao e Uso AI5 Adquirir Recursos de TI AI6 Gerenciar Mudanas AI7 Instalar e Validar Solues e Mudanas Objetivos: o A entrega real de servios necessrios, incluindo a entrega de servios o O gerenciamento da segurana, continuidade, dados, e facilidades operacionais o Suporte de servios para os usurios Escopo: o Os servios de TI esto sendo entregues alinhados com as prioridades de negcios? o Os custos de TI esto otimizados? o A fora de trabalho capaz de usar os sistemas de TI de forma produtiva e segura? o A confidencialidade, integridade e disponibilidade esto adequadas? DS1 Definir e Gerenciar Nveis de Servios DS2 Gerencia Servios Terceirizados DS3 Gerenciar o Desempenho e a Capacidade DS4 Garantir Continuidade de Servios DS5 Garantir Segurana dos Sistemas DS6 Identificar e Alocar Custos DS7 Educar e Treinar os Usurios DS8 Gerenciar Central de Servio e Incidentes DS9 Gerenciar Configurao DS10 Gerenciar Problema DS11 Gerenciar Dado DS12 Gerenciar Ambiente Fsico DS13 Gerenciar Operaes

Processos

ENTREGAR E SUPORTAR (DS)

Processos

Pg: 10/11

Reviso 5.0

Guia de Estudo para Exame de Certificao do Cobit Foundation

MONITORAR E AVALIAR (ME)

Objetivos: o Gerenciamento de Performance o Monitoramento de controles internos o Conformidade regulatria o Governana Escopo: o A performance de TI est sendo medida para detectar problemas antes que seja tarde demais? o O gerenciamento garante que os controles internos sejam eficazes e eficientes? o A performance de TI pode ser ligada s metas de negcios? o Os riscos, controles, conformidade e performance esto sendo medidos e relatados? ME1 Monitorar e Avaliar o Desempenho de TI ME2 Monitorar e Avaliar os Controles Internos ME3 Assegurar a Conformidade Regulatria ME4 Fornecer Governana de TI

Processos

Notas sobre a traduo:

Accountability - Foi traduzido para cobrana, mas Prestao de Conta seria a melhor traduo. Agregao de Valor = Tambm pode ser traduzido (melhor) para Entrega de Valor Assurance Guide - foi traduzido para Guia de Avaliao Compliance = Conformidade com leis, regulamentos e contratos, Governana Corporativa = Foi traduzido para Governana Empresarial: IT Governance Implementation Guide No foi traduzido (Guia de Implementao de Governana de TI) Requisitos fiducirios = Tambm so conhecidos como requisitos de conformidade com leis e regulamentos Stakeholder - foi traduzido para acionistas

Nota: Este material parte integrando do Guia de Estudo Para Exame de Certificao do Cobit 4.1

Pg: 11/11

Reviso 5.0