Arte & Opinião
O Lider

Indice
Início
Artigos
Metodologia
Modelos
Bibliografia
 
Construção e Aplicação do Conhecimento

 

Apresentação

O indivíduo somente se emancipa quando adquire consciência crítica e capacidade de elaborar suas próprias propostas.


DZIEDZIC, Maurício. O ciclo de aprendizagem na prática de sala de aula. Revista Athena v. 8, n. 8, jan./jun. 2007

pdf Obtenha a versão em PDF
Resumo

RESUMO

Este artigo aborda conceitos básicos sobre aprendizagem e sobre sistematização das percepções que o ser humano produz enquanto ser social, cidadão, trabalhador e cientista; sugere que o processo de construção do conhecimento melhora a eficiência, a eficácia e a efetividade de sua aplicação.

 

 

 

INTRODUÇÃO

 

Estamos diante de uma mudança de paradigma, onde a mão-de-obra, equipamentos e imóveis não são mais fatores competitivos e assim o conhecimento tem sido cada vez mais determinante no desempenho das organizações, então é importante o aprendizado para a competitividade e isso requer que as mesmas se reinventem.

Para tornar-se uma organização que aprende, sugere-se cursar cinco “disciplinas”:

1.Domínio pessoal – Expandir a capacidade de aprender das pessoas
2.Modelos mentais – São os paradigmas que determinam não apenas a forma de ver o mundo, mas também as ações das pessoas.
3.Visão compartilhada – É uma idéia-força que, vista como verdadeira e como bem comum por todos, deixa de ser uma abstração e passa a existir de fato. 4.Aprendizagem em equipe – A gestão do conhecimento, apoiada na geração, codificação, disseminação e apropriação de conhecimentos, valoriza e perpetua o capital intelectual.
5.Visão sistêmica - as organizações, como sistemas vivos, precisam aprender a valorizar suas redes formais com clientes, parceiros e fornecedores, bem como as redes que emergem espontaneamente entre seus integrantes e estes com o ambiente externo.

Organizações que criam novos conhecimentos são capazes de inovar e de se adaptar a condições de incerteza de maneira mais rápida e eficaz; os gerentes são versados na administração do processo de esquecimento quanto já o são no caso do aprendizado. Sem a habilidade para descartar conhecimento, a maior parte dos esforços para mudar fracassará. Quatro dimensões são especialmente importantes:

1.ativos
2.procedimentos
3.estruturas
4.cultura

 

A organização com visão de futuro pensa, planeja e aprende estrategicamente, obtendo resultados sustentáveis e de alto desempenho em suas atividades no presente e no futuro. Seu planejamento está voltado para o sucesso no longo prazo e para os resultados no presente, sem comprometer o futuro em função de ganhos no curto prazo.

A atividade inovativa das organizações excelentes se orienta por uma cultura que incentive o desejo de fazer as coisas de maneira diferente, a capacidade de entender de forma simples questões complexas, a propensão ao risco e à tolerância ao erro bem intencionado.

Segue alguns padrões de mudanças culturais das organizações:

Mudança revolucionária -Novos padrões são antagônicos aos anteriores
Mudança gradual - Novos valores complementam e melhoram os antigos
Mudança aparente - Mudanças são apenas superficiais.

A mudança gradual parece ser a mais adequada para o desenvolvimento de uma cultura de aprendizagem, dado que geram menos trauma e ansiedade pela destruição dos elementos simbólicos e das práticas conhecidas.

 

 

METODOLOGIA

 

 

Um conhecimento, para ser considerado científico, apresenta o caminho para sua construção – as operações mentais e técnicas que foram utilizadas para atingir os objetivos devem ser passíveis de verificação.

Considera-se cinco disciplinas, segundo Senge (2008):

1.Domínio pessoal
2.Modelos mentais
3.Vião compartilhada
4.Aprendizagem em equipe
5.Pensamento sistêmico Ljungberg (2010)

 

Aa validade em pesquisas qualitativas está relacionada com a responsabilidade no tratamento das informações obtidas e nas decisões do pesquisador, envolvendo preocupação ética.

Apoiado na teoria de GUNTHER(2006) sobre a triangulação (formulação+desenvolvimento+resultado) , pode se usar abordagens múltiplas a fim de evitar distorções devido a um método, uma teoria ou um pesquisador.

Ponto negativo da pesquisa qualitativa é seu caráter descritivo e narrativo buscando a análise e compreensão.

Por que se faz pesquisa qualitativa:

1.) Os pesquisadores estão interessados nas experiências, interações e documento em seu contexto original;
2.) Transformar as situações sociais em texto é uma preocupação central;
3.) A pesquisa qualitativa se abstém de conceitos bem definidos que possam ser testados. s conceitos são desenvolvios e refinados no processo da pequisa;
4.) A pesquisa qualitativa leva a sério o contexto;
5.) Parte da ideia de que teoria e métodos devem se ajustar um ao outro;
6.) Os pesquisadores são uma parte importante do processo de pesquisa.

 

APRENDIZADO

 

Processo de tornar-se apto para desempenhar alguma atividade, aplicando o conhecimento, estudo, observação, experiência e advertência.
Há um consenso que a organização de aprendizado vive em ambientes organizacionais que sofrem constantes transformações, neste caso a abordagem para solução de problemas é a abordagem sistêmica, entendendo que os problemas são complexos e, têm mais de uma causa e mais de uma solução, e estão inter-relacionados com o restante da organização. - Pensamento Sistêmico, de Peter Senge.

Tipos de aprendizado

 

Algumas tipologias de aprendizagem organizacional:
Aprender ao operar - ocorre a partir dos processos de feedback das próprias atividades.
Aprender ao mudar - acontece quando uma empresa procura mudar suas características operacionais de maneira sistemática, pelo processo de tentativa-e- erro. Aprender pela análise de desempenho - a partir de indicadores de desempenho.
Aprender ao treinar - existem formas variadas de realização e várias formas de adquirir treinamentos.
Aprender por contratação - consiste na apropriação de conhecimentos e habilidades que estão disponíveis no mercado, por meio da contratação de pessoas. Aprender por busca: processo conhecido como transferência de tecnologia, trata da busca, decodificação, entendimento, incorporação e registro de conhecimento.

 

Schein apud Fleury e Fleury (2008) explica que para aprender, a organização precisa valorizar uma visão pragmática da inevitabilidade da mudança.
Na decisão de torna-se uma organização que aprende, uma empresa precisa criar mecanismos para evitar a concordância sistemática com as opiniões uns dos outros e, neste caso sugere-se uma certa intensidade de conflito construtivo.

O papel da liderança é criar uma cultura flexível e estimulante ao conhecimento, disseminar os valores e crenças da organização e assegurar um fluxo aberto e contínuo de informações, assim para que uma empresa possa se configurar como uma organização de aprendizagem, é importante investir em formação de líderes.

 

FORMAÇÃO DE LIDERES

 

Alguns cursos e certficações que habilitam um lider:

Lei Sarbanes Oxley
A Lei Sarbanes-Oxley é obrigatória para todas as empresas que vão com suas ações no mercado de ações dos EUA.
A Lei Sarbanes-Oxley é um sistema extremamente rigoroso de padrões de relatórios financeiros e de governança corporativa para garantir a transparência das empresas.
A Lei Sarbanes-Oxley exige um sistema eficaz de controle interno e, como resultado, melhorar a qualidade da governança corporativa, o que aumenta a confiança dos investidores na empresa e deles retiram investimentos financeiros adicionais.
A introdução da Lei Sarbanes-Oxley pode melhorar a reputação da empresa aos olhos dos parceiros, investidores, credores e clientes.


COSO
O Comitê de Organizações Patrocinadoras da Comissão Treadway (COSO) é uma iniciativa conjunta das cinco organizações do setor privado e é dedicado a fornecer liderança de pensamento por meio do desenvolvimento de quadros e orientações sobre gerenciamento de riscos corporativos, controles internos e dissuasão da fraude.
As cinco organizações do setor privado que desenvolvem os quadros e orientações são:
(1-) American Accounting Association -
A Associação Americana de Contabilidade é a maior comunidade de contadores no mundo. Fundada em 1916, tem uma história rica e respeitável pois é construída sobre pesquisas e publicações de ponta criando um ambiente fértil para a colaboração e inovação.
(2-) American Institute of CPAs -
merican Institute of Certified Public Acconutants é a maior associação contadores do mundo, representando a profissão contábil, com mais de 394.000 membros em 128 países e mais de uma herança de servir o interesse público de 125 anos. Membros do AICPA representam muitas áreas, incluindo o comércio e a indústria, governo, educação e consultoria. O AICPA estabelece padrões éticos para a profissão e as normas de auditoria dos EUA para as auditorias de empresas privadas, organizações sem fins lucrativos, governos federal, estaduais e governos locais.
(3-) Financial Executives Intenational -
O objetivo do fundador da FEI foi definir a profissão, trocar idéias sobre as melhores práticas, educar os membros a trabalhar com o governo para melhorar a economia em geral.
FEI é um fórum único para executivos financeiros compartilhando as melhores práticas; participando de conferências de construção de conhecimento e seminários; representado em importantes debates nacionais e globais de política , alinhados com uma cultura que promove a liderança ética.
(4- ) The Association of Accountants and Financial Professionals in Business -
A organização foi fundada em Buffalo, NY, em 1919, como a Associação Nacional de Contadores de custos (NACA) para promover o conhecimento e profissionalismo entre os contadores de custos e promover a compreensão do papel da contabilidade de custos na gestão. O nome foi mudado mais tarde para a Associação Nacional dos Contabilistas (NAA). Em 1991, o nome da organização foi novamente alterado para o Institute of Management Accountants (IMA).
(5-) The Institute of Internal Auditors
Fundada em 1941, o IIA é uma associação profissional internacional com sede mundial em Altamonte Springs, Flórida, EUA. O IIA é a voz global da profissão de auditoria interna. Geralmente, os membros trabalham em auditoria interna, gestão de riscos, governança, controle interno, auditoria de tecnologia da informação, educação e segurança.


COBIT
É um guia de boas práticas apresentado como framework, com testes dirigidos para a gestão em TI.
Ainda dentro deste tópico temos as considerações abaixo:


(A-) ITIL – Gestão de Serviços
Biblioteca que descreve as melhores maneiras práticas para a organização de unidades de trabalho ou empresas envolvidas na prestação de serviços na área de tecnologia da informação.
Foi distribuído em sete volumes descrevendo todo o conjunto de processos necessários para assegurar que os serviços de TI de alta qualidade contínua e melhorar a satisfação do usuário.
A segunda edição do ITIL inclui sete livros:

Os serviços de suporte (Service Support)
Prestação de serviços (Service Delivery)
O planejamento para a implementação da gestão de serviços (Planning to Implement Service Management).
Gerenciamento de Aplicativos (Application Management)
Tecnologias de informação de gestão de infraestrutura e comunicação (ICT Infrastructure Management)
Gestão de Segurança (Security Management)
Perspectiva de Negócios (The Business Perspective)

A terceira versão do ITIL (ITIL v.3) foi lançada em maio de 2007, é completamente redesenhado e suas seções reorganizadas para apoiar a nova abordagem de formato de serviços de ciclo de vida.
O ITIL v.3 já contém apenas cinco livros, e consiste em:

Estratégia de Serviço (Service Strategy)
Desenho de Serviço (Service Design)
Transição de Serviço (Service Transition)
Operação de Serviço (Service Operation)
Melhoria de Serviço Continuada (Continual Service Improvement)

A parte mais famosa do ITIL - dez principais processos, suporte e entrega de serviços de TI - IT Service Management ou ITSM:

Processo de gestão de incidentes
Processo de Gerenciamento de Problemas
Processo de gestão de configuração
O processo de gestão da mudança
Processo de Gerenciamento de Liberação
Processo de gestão de nível de serviço
Processo de Gerenciamento da Capacidade (capacidade)
Processo de gerenciamento de disponibilidade
Processo de gestão de continuidade
Processos de gestão financeira

(A-1) ISO 20000 – Gestão de Serviços
A Certificação de Sistema de Gestão de Serviços de TI – ISO 20000 é uma “norma irmã” suportada também pelo ITIL destinados para setores públicos e privados.
Esta norma está alinhada com outros sistemas de gestão e suporta a implementação e operação onde sistemas integrados são necessários.
Também comprova que seu sistema de gestão de serviços foi certificado de acordo com as melhores práticas. A norma é destinada a organização que fornece gerenciamento de serviço de TI como infraestrutura e suporte de aplicação para clientes internos e externos.

 

(B-) PMBOK – Gestão de Projetos
O Guia do Conhecimento em Gerenciamento de Projetos é uma norma reconhecia para a profissão de gerenciamento de projetos. É um documento formal (padrão) que descreve normas, métodos, processos e práticas estabelecidas; assim como em outras profissões como direito, medicina e contabilidade, o conhecimento contido nesse padrão evoluiu a partir das boas práticas reconhecidas de profissionais de gerenciamento de projetos que contribuíram para o seu desenvolvimento.
(B.1) PRINCE2 – Gestão de Projetos
É um padrão desenvolvido e usado extensivamente pelo governo do Reino Unido e é amplamente reconhecido e utilizado no setor privado. Valoriza e agrada as melhores práticas em gerenciamento de projetos.
Este modelo de gerenciamento de projetos é usado em ambientes controlados e permite que navegue através de todos os elementos essenciais para a execução de um projeto bem sucedido, é flexível e destina-se a todos os tipos de projetos.
O processo de certificação é gerenciado pela Axelos (www.axelos.com) e é dividido em três níveis:

Foundation
Practitioner
Professional

Há seis variáveis envolvidas em qualquer projeto, e, portanto, seis aspectos de desempenho do projeto a ser gerenciado:

Custos
Prazos
Qualidade
Escopo
Risco
Benefícios

PRINCE2 é uma estrutura integrada de processos e temas que aborda o planejamento, delegação, monitoramento e controle de todos esses seis aspectos de desempenho do projeto.
O método PRINCE2 aborda gerenciamento de projetos com quatro elementos integrados de princípios, temas, processos e do ambiente de projeto:
1. Os Princípios - Estas são as obrigações de orientação e boas práticas que determinam se o projeto é realmente a ser gerido utilizando pelo PRINCE2.
2. Os Temas - Estes descrevem aspectos do gerenciamento de projetos que devem ser abordadas de forma contínua e em paralelo ao longo do projeto.
3. Os Processos - Eles descrevem uma progressão passo a passo através do ciclo de vida do projeto, a partir de começar a projetar o encerramento. Cada processo fornece listas de verificação de atividades recomendadas, produtos e responsabilidades relacionadas.
4. Adaptação ao Meio Ambiente PRINCE2 Project - Este capítulo aborda a necessidade de adequar PRINCE2 ao contexto específico do projeto. PRINCE2 não é uma solução "One Size Fits All“, é uma estrutura flexível que pode ser facilmente adaptado a qualquer tipo ou tamanho de projeto.
(C-) ISO 17799 – Segurança da Informação
A ISO/IEC 17799, segundo a ABNT, é voltada a Tecnologia da Informação – Código de prática para a gestão de segurança da informação.
A informação pode ser:

Impressa
Escrita
Armazenada
Transmitida
Filmada
Falada

A segurança da informação é caracterizada quando preserva:

Confidencialidade
Integridade
Disponibilidade
A avaliação de risco deve ser sistemática no:
Impacto que gera aos negócios
Probabilidade de falhas
Controles considerados essenciais para uma organização:
Proteção de dados e privacidade de informações pessoais
Salvaguarda de registros organizacionais
Direitos de propriedade
Documento da política de segurança da informação
Definição das responsabilidades na segurança da informação
Educação e treinamento em segurança da informação
Relatório dos incidentes de segurança
Gestão da continuidade do negócio.

Fatores críticos para o sucesso:

Política de segurança, objetivos e atividades, que reflitam os objetivos do negocio;
Enfoque para a implementação da segurança que seja consistente com a cultura organizacional;
Comprometimento e apoio visível da direção;
Um bom entendimento dos requisitos de segurança, avaliação de risco e gerenciamento de risco;
Divulgação eficiente da segurança para todos os gestores e funcionários;
Distribuição das diretrizes sobre as normas e política de segurança da informação;
Proporcionar educação e treinamento adequados;
Um abrangente e balanceado sistema de medição.

 

 

(C.1) ISO 27001 – Segurança da Informação
A norma ISSO 27001 é referência para a Gestão da Segurança da Informação, tem como princípio a adoção pela organização de um conjunto de requisitos, processos e controles com os objetivos de mitigar e gerir adequadamente o risco da organização
Ao adotar esta norma, fica estabelecido no Sistema de Gestão de Segurança da Informação:

Implementar
Operar
Monitorar
Revisar

O modelo de abordagem é holístico porque acaba por ser uma abordagem 360º à Segurança da Informação, tratando de múltiplos temas tais como:

Telecomunicação
Segurança para instalação de aplicação
Proteção do meio físico
Recursos humanos
Continuidade de negócios
Licenciamento

 

 

(D-) CMMI - Capability Maturity Model Integration
Este modelo desempenha um papel importante para assegurar o sucesso do projeto, pois se concentra em pesquisa durante o desenvolvimento.
O CMMI inclui três modelos:

Development – Foco em organizações envolvida em desenvolvimento de SW & HW.
Service – Foco em processo de prestação de serviços
Acquisition – Foco em aquisição e terceirização de bens e serviços.

Foi desenvolvido em meados da década de 80 pela SEI - Software Engineering Institute na Universidade Carnegie Mellon.
A estrutura é dividida em 22 processos e para cada área há uma série de objetivos a serem alcançados:

Objetivos únicos – específicos
Objetivos genéricos - comuns

Qualquer melhoria de processo envolve um sistema de medição, essas etapas são formalizadas da seguinte forma:

5 Otimizado:Foco na melhoria do processo

4 Controlado na base de dados quantitativa: Processo medido e controlado

3 Definido: Os processos são definidos no nível de toda a organização e executado com antecedência.

2 Gerenciado: Processos são definidos no nível do projeto. Processos ocorrem frequentemente em resposta a determinados eventos.

1 Inicial :Processo imprevisível: processos ocorrem em resposta a certos eventos.

 

(E-) BSC – Planejamento de TI
Esta metodologia (BSC – Balanced ScoreCards) vê o negócio sob quatro perspectivas visando a gestão de desempenho, derivado da visão estratégia, refletindo os aspectos mais importantes do negócio, são elas:

Perspectiva do cliente
Perspectiva de processo interno
Perspectiva do aprendizado
Perspectiva financeira

O fator crítico para o sucesso é gerir informações corretas e adequadas para que sejam tomadas as decisões mais apropriadas.
O BSC é uma ferramenta organizacional que auxilia a manter um sistema de informação gerencial que forneça informações corretas e oportunas para tomada de decisão, estabelece metas:

Individuais
Equipe
Remuneração
Alocação de recursos
Planejamento e orçamento
Feedback – Opinião ou Realimentação
Aprendizado estratégico

Este modelo considera os objetivos em curto/longo prazo, medida financeira/não financeira, indicadores de performance/desempenho e perspectiva interna/interna do desempenho empresarial.


(F-) SIX SIGMA - Qualidade
Busca melhoria contínua de processos e produtos. Esta metodologia norteia-se pela redução variabilidade dos processos em números absolutos, 3,4 por milhão e em números relativos 99,9997% de aproveitamento.
Funções no SIX SIGMA:
Consultoria – Treina Champion, Black Belt e Green Belt e acompanha conceito para implantação.
Comitê diretivo – Conduzir, disseminar e patrocinar o programa SIX SIgMA; avaliar os projetos.
Gerente do programa – Administrar o desenvolvimento do programa
Champion – Patrocinar os projetos. Elaborar business do projeto; acompanhar o projeto.
Membros da equipe de projeto – Participam do desenvolvimento dos projetos.
Green Belts – Condutores de projetos dentro dos setores.
Black Belts – Responsável pelo gerenciamento do projeto; possui habilidade e prática para resolver problemas; Lidera Breen Belts e equipe de projeto.
(F.1) TQM - Qualidade
É um sistema – um conjunto de rotinas independentes que interagem entre si – de gerenciamento que permite chegar à qualidade total, que se pauta pela satisfação das necessidades das pessoas ligadas à empresa.
Segue a premissa do respeito ao empregado como ser humano e que exista cooperação com a empresa – Pirâmide de Maslow.
Também o pensamento cartesiano, que consiste em dividir o todo em partes menores.
Modelos de Maturidade
O modelo abaixo avalia e classifica a maturidade de um determinado processo, de modo que o gerenciamento e controle podem ser classificados em um nível onde o processo é:

Inexistente: Processo de gerenciamento inexistente

Inicial Ad-Hoc:Processos são ad-hoc e desorganizados

Repetitivo mas intuitivo: Processos seguem um padrão regular

Processos Definidos: Processos estão documentados e são comunicados

Gerenciado e Medido: Processos são monitorados e medidos

Otimizado: Melhores práticas são seguidas e automatizadas

Esta avaliação auxilia a fazer comparações – benchmarking – e análise de “gap” avaliando onde a empresa se encontra, onde o mercado está posicionado e onde a empresa deseja chegar.
A abordagem dos modelos de maturidade do COBIT deriva do modelo de maturidade da capacidade para desenvolvimento de software definido pelo SEI – Software Engineering Institute.

Planejar e Organizar - PMBOK

Adquirir e Implementar - ITIL

Entregar e Suportar - ITIL

Monitorar e Avaliar Sarbanes-Oxley

A TI está incorporada pelo negócio de tal maneira que, caso os serviços te TI sejam interrompidos, as operações da empresas são impactadas de uma maneira a trazer impactos financeiros nos resultados. Esta dependência gerou grandes investimentos em projetos e processos, de modo que os profissionais envolvidos recebem forte pressão para minimizar custos operacionais por meio de uma melhor Gestão de Projetos.
O COBIT ajuda a direcionar os esforços da TI para atender aos requisitos do negócio, identifica quais os processos da TI estão impactando, de modo a priorizar o gerenciamento deste. Hoje é uma referência mundial utilizado na avaliação de controles e maturidade de processos de TI e, tem sido adotado em diversos projetos de governança de TI.


O benchmarking (comparativo) com outras organizações passa a fazer parte da estratégia das empresas para conseguir a melhor competitividade em TI.

Características

Foco no negócio
Orientado a processo
Baseado em controle
Direcionado por métrica

Objetivos

Padrão aceito nas melhores práticas de governança de TI
Aplicação das melhores práticas de uma matriz de domínio e processos
Interligação dos riscos no negócio
Associado as necessidades de controles junto com aspectos tecnológicos

Vantagem

Mapear os maiores padrões e frameworks de mercado
Ajudar a entender os requisitos regulatórios
Compatível com COSO
Definir uma linguagem comum entre TI & Negócio
Foco nos requisitos do negócio
Aceito internacionalmente
Orientado a processos

 

 

 

O COBIT foi projetado para ser utilizado por:

Administradores: Auxilia na avaliação entre risco, investimento e controle de ambientes imprevisíveis.

Usuários: Busca certificação da segurança e dos controles de serviços de terceiros para a TI.

Auditores:Adotam como subsídio das opiniões emitidas e promoção de aconselhamento aos administradores sobre controles internos.

Contribuição de empresas e organismos internacionais para o COBIT:

EDIFACT

The United Nations rules for Electronic Data Interchance for Administration, Commerce and Transport comprise a set of internationally agreed stardards, directries, and guidelines for the electronic interchange of structured data, between independent computerized information systems.

ISO

International Organization for Standardization is the world´s largest developer of voluntary International Standards. International Standards give state of the art specifications for produts, services and good practice, helping to make indutrtry more efficient and effective. Developed through global consensus, they help to break down barries to international trade.

Conselho Europeu

Que define as orientações e prioridades políticas gerais da União Europeia.

OECD

The Organisation For Economic Co-operation and Development - The mission of the Organisation
for Economic Co-Operation and Development is to promote policies that will improve the economic and social well-being of people around the world.

ITSEC

Was founded in 1995 as an independent supplier of IT-security related expertise and services. ITsec's reputation primarily comes forth from security-assessments and penetration tests carried out on behalf of banking- and insurance industry, governmental organisations and some major telecom- and professional service organisations. In almost all situations the objective of assessments carried out by ITsec is to determine whether an Internet-based IT-service or application is sufficiently cybercrime-/hacker-proof.

O framework do COBIT considera a necessidade de relacionar os processos de TI, os recursos de TI e os critérios de informação conforme tratado na tabela abaixo.

Critérios de Informação

Efetividade: Trata das informações que são relevantes e pertinentes aos processos de negócio, assim como estarem disponíveis no tempo adequado, corretas, consistentes e de maneira útil.

Eficiência: Trata do provisionamento de informações por meio do melhor uso de recursos (produtivo e econômico).

Confidencialidade: Trata da proteção de informações contra acesso não autorizado.

Integridade: Está relacionada à precisão e totalidade das informações assim como a sua validade em concordância com os valores e expectativas do negócio.

Disponibilidade: Trata de a informação estar disponível quando requerido pelos processos de negócio, tanto no momento atual quanto no futuro. Também trata da salvaguarda dos recursos, necessários e capacidades associadas.

Conformidade: Trata do comprimento das leis, regulamentos e contratos cujos processos de negócios estejam sujeitos a impostos ao negócio assim como políticas internas.

Confiabilidade : Trata do provisionamento de informações apropriadas para o gerenciamento para a operação da instituição e exercício de suas responsabilidades, fiduciárias e de governança.

 

 

Recursos de TI

Aplicações: São os sistemas automatizados e procedimentos manuais para processar informações.

Informação : São os dados de todos os formulários de entrada, processados e exibidos pelos sistemas de informação, podendo ser qualquer formulário que é usado pelo negócio.

Infraestrutura : Considera itens de hardware, software, sistemas de banco de dados, rede, e qualquer outro recurso necessário para funcionamento das aplicações.

Pessoas : Trata-se dos recursos humanos necessários para planejar, organizar, adquirir, implementar, entregar, suportar, monitorar e avaliar os sistemas de informação e serviços, podendo estes ser recursos internos ou terceirizados.

Processo de TI:

PO-Planejar e Organizar

AI-Adquirir e Implementar

DS-Entregar e Suportar

ME-Monitorar e Avaliar

 

O COBIT estabelece metas e métricas em três níveis:

Objetivos e métricas de TI - Definem o que o negócio espera da TI e como isso será medido.

Objetivos e métricas - Que definem o que os processos de TI devem entregar para suportar os objetivos de TI e como isso será medido.

Objetivos de atividades e respectivas métricas

 

 

Para estabelecer o que precisa ocorrer dentro dos processos para alcançar a desempenho desejado e como mensurar isso.

 

Não há regra para estabelecer uma perspectiva importante, todas contêm objetivos, vai depender do foco da empresa, ou seja, se a empresas tem como foco principal a obtenção de lucro, obviamente a perspectiva é financeira e deve ser apresentada em primeiro lugar.

No contexto isso não importa, é relevante estabelecer quais são os objetivos mais importantes e como eles serão mensurados.


BSC – Balanced Score Cards

Esta metodologia vê o negócio sob 4 perspectiva:

1) Perspectiva do cliente
2) Perspectiva de processo interno
3) Perspectiva do aprendizado
4) Perspectiva financeira

Sistema de gestão de desempenho, derivado da visão estratégia, refletindo os aspectos mais importantes do negócio.
Gerir informação corretas e adequadas para que sejam tomadas as decisões mais apropriadas.
O BSC é uma ferramenta organizacional que auxilia a manter um sistema de informação gerencial que forneça informações corretas e oportunas para tomada de decisão, estabelece metas:

Individuais
Equipe
Remuneração
Alocação de recursos
Planejamento e orçamento
Feedback – Opinião ou Realimentação
Aprendizado estratégico

Este modelo considera o desempenho empresarial em:

Objetivos em curto e longo prazo
Medida financeira e não financeira
Indicadores de desempenho
Perspectiva: interna e externa

O Balanced Score Cards inova com a junção de medidores de desempenho futuro, focados estrategicamente nas perspectivais das finanças, dos clientes, dos processos internos e crescimento. A definição e integração dos objetivos e das iniciativas desses quatros perspectivas constituem os pilares do sistema BSC, que devem ser conectados ao pensamento estratégico da organização.

Perspectiva Financeira

Visão dos gerentes e diretores. Mede o retorno sobre o investimento, o valor econômico agregado, a lucratividade (aumento de receitas & redução de custos).
A proposta para o shareholder é obter lucro se a empresa tiver sucesso no mercado.

Perspectiva do Cliente

Identificar os fatores que são importantes na concepção dos clientes é uma exigência do BSC, envolvendo tempo, qualidade, desempenho e serviço. Visando a participação de mercado: número de cliente, capital investido, unidades vendidas, retenção do cliente, captação do cliente, satisfação do cliente e lucratividade do cliente.

Perspectiva dos processos internos

Os processos internos são as diversas atividades empreendidas dentro da organização que possibilitam realizar desde a identificação das necessidades até a satisfação dos clientes. As medidas de processo interno devem ser voltadas para aqueles que terão maior impacto na satisfação do cliente e na consecução dos objetivos financeiros da empresa. São: Inovação – Operação – Pós venda.

Perspectiva do aprendizado e crescimento

O aprendizado e o crescimento da organização vêm de três principais fontes: pessoas – sistemas – processos.
Indicadores importantes: satisfação dos funcionários – rotatividades dos funcionários – lucratividade por funcionário.


A TI deve ser mais responsiva ao negócio

É necessário identificação e documentação do escopo do trabalho para mapear a estrutura de cada processo, desta forma, o foco é o entendimento dos riscos relacionados aos requisitos de negócio e medidas de controle relevantes.
A norma ISO 20000 tem como escopo definir requisitos para o correto gerenciamento de uma empresa prestadora de serviços de TI, garantindo a entrega aos clientes de serviços de qualidade. Esta norma adota a metodologia PDCA:

P Plan – Planejar: estabelecer os objetivos e processos para entrega dos serviços;
D Do – Fazer: Implementa os processos ;
C Check – Avalia: monitora e mede os processos;
A Act – Ação: aplicar as decições que visam melhoria nos processos.

Assim o COBIT estabelece diretrizes destas perspectivas e aponta para o uso da metodologia BSC, onde nesta visão o cliente, financeiro, processos internos e aprendizado são meios para estabelecer métricas, neste contexto o BSC é visto como uma ferramenta organizacional que pode ser utilizada para gerenciar importantes processos como:

Estabelecimento de metas individuais e de equipe, remuneração, alocação de recursos, planejamento e orçamento,
Feedback e aprendizado estratégico, funcionando como uma ferramenta equivalente á um sistema ERP, que tem a mesma função, embora seja mais complexo e caro.

O BSC equilibra as dimensões financeiras e não financeiras de uma empresa permitindo ao administrador monitorar a organização com o balanceamento da visão financeira, operacional e com a visão de longo prazo proporcionando aos gerentes um instrumento que necessitam para ter êxito competitivo futuro.
RACI

R – Define quem executa o processo
A – Define quem é responsável pelo resultado
C – Define quem deve ser consultado
I – Define quem deve ser informado.

SUGESTAO:
Um modelo de processo demanda que cada processo tenha um proprietário, de forma a definir claramente as responsabilidades e quem será cobrado pelos resultados dos processos.

DIRETRIZ DE AUDITORIA

Um processo de TI é auditado por meio da obtenção do entendimento dos riscos relacionados com os requisitos de negócio e medidas de controle relevantes.

Estágio ou etapas

Descrição

Identificação e documentação

A definição do escopo do trabalho; visa obter o entendimento dos riscos relacionados aos requisitos de negócio e medidas de controle relevantes.

Avaliação

Avalia o principal objetivo dos controles internos determinados.

Testes de conformidade

Avalia a conformidade testando se os controles determinados estão funcionando conforme sua definição.

Testes substantivos

Verifica os riscos dos objetivos de controle que não estão sendo alcançados, por meio de técnicas analíticas ou consultando fontes alternativas.

O gerenciamento se dá após avaliação de conformidade por meio de testes que devem identificar se os controles estabelecidos estão funcionando como previsto e, por último, se executa a transformação dos riscos dos objetivos de controle que não estão sendo atingidos.
Estas etapas devem ser executadas em função da necessidade que a alta administração tem em assegurar que as metas e objetivos da TI sejam atingidos e que os controles principais estejam sendo aplicados no dia a dia.
AS diretrizes de gerenciamento descrevem e sugerem atividades de auditoria e avaliação para serem executadas para cada um dos 34 objetivos de controle de alto nível do COBIT, de modo que dentre os principais objetivos citarem que estas devem fornecer um gerenciamento de modo a assegurar que os objetivos de controle estejam sendo alcançados.

Questões para planejamento e organização


Planejamento e organização:

A TI e estratégia do negócio estão devidamente alinhados?
A organização está tirando o melhor proveito de seus recursos?
Todos na organização compreendem os objetivos da TI?
Os riscos são compreendidos e gerenciados?
A qualidade dos sistemas de TI é apropriada para as necessidades do negócio?

Aquisição e implementação:

Os novos projetos estão no caminho de entregar soluções que venham ao encontro as necessidades de negócio?
Novos projetos estão sendo conduzidos de maneira que as entregas sejam realizadas dentro do tempo previsto e dentro do orçamento estabelecido?
Os novos sistemas vão funcionar adequadamente quando implementados?
As mudanças na infraestrutura serão realizadas sem causar impactos negativos para a operação do negócio?

Entregar e Suportar

Os serviços de TI estão sendo entregues alinhados com as prioridades de negócio?
Os custos de TI são otimizados?
A força de trabalho é capaz de utilizar os sistemas de TI de maneira produtiva e segura?
Há adequados níveis de confidencialidade, integridade e disponibilidade para a segurança da informação?

Monitoramento e avaliação

A performance de TI é medida de modo a identificar problemas antes que seja muito tarde?
O gerenciamento assegura os controles internos são eficientes e eficazes?
Há alguma maneira que a performance de TI esteja ligada aos objetivos de negócio ?
Há adequados níveis de confidencialidade, integridade e disponibilidade para a segurança da informação?


PO – AI – DS - ME

Os objetivos de controles são identificados por duas letras para identificar o domínio um número de processo e um número de objetivo de controle:
PO – Planejamento e Organização
AI – Aquisição e Implementação
DS – Entregar (Delivery) e Suportar
ME – Monitoramento e Avaliação
Além dos objetivos de controle, cada processo do COBIT possui requisitos de controle genéricos identificados por PC(n), que indica o número de controle do processo. Considera-se junto com os objetivos de controle dos processos para que se tenha uma visão completa dos requisitos de controle.
Todo o framework tem como métrica a satisfação do cliente, buscando eficiência e eficácia nas operações, protegendo o cumprimento dos objetivos de TI e aderindo a legislação, regulamentação ou contratos relacionados com a TI.
Objetivos de controle genéricos

PC1 – Objetivos e metas do processo
PC2 – Proprietário do processo
PC3 – Repetição do processo
PC4 – Papéis e responsabilidades
PC5 – Política, planos e procedimentos
PC6 – Melhoria da performance do processo

SMART

S – Específico
M – Mensurável
A – Alcançável
R – Realista
T - Em tempo

O conjunto de objetivos de controle recomendado para aplicações é identificado no COBIT pelas iniciais AC – Application Control – sendo que cada objetivo será listado a seguir:

AC1 – Autorização e preparação da fonte de dados
AC2 – Coleção de fonte de dados e alimentação
AC3 – Verificação de precisão, completude e autenticidade.
AC4 – Processamento com integridade e validade
AC5 – Revisão de saídas, reconciliação e tratamento de erros.
AC6 – Integridade e autenticação de transações

Domínio Planejar e Organizar

PO1 – Definir um plano estratégico de TI
O objetivo deste processo é sustentar ou expandir a estratégia do negócio e requisitos de governança com transparência sobre os benefícios, custos e riscos.

PO1.1 Gerenciamento do valor da TI
PO1.2 Alinhamento entre TI e o negócio
PO1.3 Avaliação de capacidade e performance atual
PO1.4 Plano estratégico de TI
PO1.5 Planos táticos de TI
PO1.6 Gerenciamento do portfólio de TI

Medir através da porcentagem o objetivo e projeto de TI com o plano estratégico e tático.
PO2 – Definir a arquitetura da informação

Considerar o desenvolvimento de um dicionário de dados corporativo com as regras de sintaxe dos dados da organização, esquemas de classificação dos dados e níveis de segurança.

PO2.1 Modelo corporativo de arquitetura da informação
PO2.2 Dicionário de dados corporativo e regras de sintaxe de dados
PO2.3 Esquema de classificação dos dados
PO2.4 Gerenciamento de integridade

Medir através da porcentagem de dados redundantes e frequência das atividades de validação.
PO3 – Determinar a direção tecnológica
A função dos serviços de informação determina a direção tecnológica para suportar o negócio.

PO3.1 Planejamento do direcionamento tecnológico
PO3.2 Plano da infraestrutura tecnológica
PO3.3 Monitorar tendências futuras e regulamentação
PO3.4 Padrões tecnológicos
PO3.5 Conselho de arquitetura de TI

Mede com o número de plataformas tecnológicas por função em toda a organização.

PO4 – Definir os processo de TI, sua organização e relacionamentos
Uma organização de TI é definida ao considerar os requisitos para as pessoas, competências, funções, responsabilidades, autoridade, papéis e supervisão.

PO4.1 – Framework de processo de TI
PO4.2 – Comitê de estratégia de TI
PO4.3 – Comitê de direcionamento de TI
PO4.4 – Colocação organizacional da Fundação da TI
PO4.5 – Estrutura organizacional da TI
PO4.6 – Estabelecimento de papéis e responsabilidades
PO4.7 – Responsabilidade pelo controle de qualidade de TI
PO4.8 – Responsabilidade por riscos, segurança e aderência
PO4.9 – Propriedade sobre sistemas e dados
PO4.10 - Supervisão
PO4.11 – Segregação de funções
PO4.12 - Equipe
PO4.13 – Pessoas-chave na TI
PO4.14 – Procedimento e políticas para contratados
PO4.15 - Relacionamentos

Número de processos de negócios não suportados pela organização da TI que deveriam ser suportados.
PO5 – Gerenciar os investimentos em TI
Um framework é estabelecido e mantido para gerenciar os programas de investimento em TI e este englobam os custos, benefícios e priorização de acordo com o orçamento e gerenciamento sobre o orçamento.

PO5.1 – Framework de gerenciamento financeiro
PO5.2 Priorização de acordo com o orçamento
PO5.3 – Orçamentação de TI
PO5.4 – Gerenciamento de custos
PO5.5 – Gerenciamento de benefícios

Percentual de redução do custo unitário dos serviços de TI entregues.
PO6 – Comunicar metas gerenciais e direcionamento
A comunicação suporta o alcance aos objetivos de TI e assegura a consciência e compreensão dos riscos do negócio e da TI, objetivos e direcionamento.

PO6.1 – Política de TI e ambiente de controle
PO6.2 – Riscos corporativos de TI e framework de controle
PO6.3 – Gerenciamento de políticas de TI
PO6.4 – Aplicação de políticas, padrões e procedimentos
PO6.5 – Comunicação dos objetivos de TI e direcionamento

Número de interrupções no negócio causadas por interrupções dos serviços de TI.
PO7 – Gerenciar recursos humanos de TI
Uma força de trabalho competente é adquirida e mantida para a criação e entrega dos serviços de TI para o negócio.

PO7.1 – Contratação e retenção de pessoal
PO7.2 – Competências pessoais
PO7.3 - Papéis
PO7.4 - Treinamento
PO7.5 – Dependência sobre indivíduos
PO7.6 – Procedimentos de autorização de pessoal
PO7.7 – Avaliação de performance dos colaboradores
PO7.8 – Mudanças de emprego e desligamentos

Percentual do pessoal certificado de acordo com as necessidades do trabalho
PO8 – Gerenciar Qualidade
Requisitos de qualidade são estabelecidos e comunicados em indicadores quantificáveis e alcançáveis.

PO8.1 – Sistema de gerenciamento de qualidade
PO8.2 – Padrões de TI e práticas de qualidade
PO8.3 – Padrões de desenvolvimento e aquisição
PO8.4 – Foco no cliente
PO8.5 – Melhoria contínua
PO8.6 – Medição de qualidade, monitoramento e revisão

Percentual de partes interessadas satisfeitas com a qualidade da TI
PO9 – Avaliar e gerenciar riscos de TI
Qualquer impacto potencial nos objetivos da organização que seja causado por um evento não planejado é identificado, analisado e avaliado.

PO9.1 – Framework de gerenciamento de riscos de TI
PO9.2 – Estabelecimento do contexto dos riscos
PO9.3 – Identificação de eventos
PO9.4 – Avaliação de riscos
PO9.5 – Resposta a riscos
PO9.6 – Manutenção e monitoramento de um plano de ação de riscos

Percentual de planos de ação para gerenciamento de riscos aprovados para implementação.
PO10 – Gerenciar Projetos
Um framework para gerenciamento de programas e projetos para o gerenciamento de todos os projetos de TI é estabelecido. O framework assegura a priorização correta e a coordenação de todos os projetos.

PO10.1 – Framework de gerenciamento de programas
PO10.2 – Framework de gerenciamento de projetos
PO10.3 – Abordagem de gerenciamento de projetos
PO10.4 – Comprometimento das partes interessadas
PO10.5 – Declaração do escopo dos projetos
PO10.6 – Fase de iniciação de projetos
PO10.7 – Plano integrado de projetos
PO10.8 – Recursos dos projetos
PO10.9 – Gerenciamento de riscos dos projetos
PO10.10 – Plano de qualidade dos projetos
PO10.11 – Controle de mudanças dos projetos
PO10.12 – Planejamento de métodos de segurança dos projetos
PO10.13 – Medição de performance, relatórios e monitoramento de projetos
PO10.14 – Encerramento dos projetos

Percentual de projetos que estão seguindo as práticas e padrões para gerenciamento de projetos.
Domínio Adquirir e Implementar

AI1 – Identificar soluções automatizadas
A necessidade para uma nova aplicação ou funções requer análise antes da aquisição ou criação para assegurar que os requisitos de negócio sejam satisfeitos em uma abordagem efetiva e eficiente.

AI1.1 – Definição e manutenção do funcionamento do negócio e requisitos técnicos
AI1.2 – Relatórios de análise de riscos
AI1.3 – Estudo de viabilidade e formulação de cursos de ação alternativos
AI1.4 – Aprovação de estudos de viabilidade e requisitos

Número de projetos cujos objetivos estabelecidos não foram atingidos em função de estudos de viabilidade incorretos.
AI2 – Adquirir e manter software aplicativo
O objetivo deste processo é alinhar as aplicações disponíveis com os requisitos de negócio.

AI2.1 - Design de alto nível
AI2.2 – Design detalhado
AI2.3 – Controle e auditoria de aplicativos
AI2.4 – Segurança e disponibilidade de aplicativos
AI2.5 = Configuração e implementação de software aplicativo adquirido
AI2.6 – Maior upgrades em sistemas existentes
AI2.7 = Desenvolvimento de software aplicativo
AI2.8 – Controle de qualidade de software
AI2.9 – Gerenciamento de requisitos de aplicativos
AI2.10 – Manutenção de software aplicativo

Número de problemas em ambiente de produção, por aplicação, causando downtime visível.
AI3 – Adquirir e manter infraestrutura tecnológica
O objetivo deste processo é adquirir e manter uma infraestrutura de TI integrada e padronizada.

AI3.1 – Plano de aquisição de infraestrutura tecnológica
AI3.2 – Disponibilidade e proteção de recursos da infraestrutura
AI3.3 – Manutenção da infraestrutura
AI3.4 – Viabilidade do ambiente de testes

Percentual de plataformas que não estão alinhadas com a arquitetura de TI e padrões tecnológicos.
AI4 – Habilitar operação e uso
O processo visa assegurar a satisfação dos usuários finais em relação a oferta de serviços e respectivos níveis e integrando continuamente as aplicações e soluções tecnológicas aos processos de negócio.

AI4.1 – Planejamento para soluções operacionais
AI4.2 – Transferência de conhecimento para as gerências de negócio
AI4.3 – Transferência de conhecimento para usuários finais
AI4.4 – Transferência de conhecimento para operação e equipes de suporte

Número de aplicativos com usuários adequados e treinamento de suporte operacional
AI5 – Obtenção de recursos de TI
Os recursos de TI são: pessoas, hardware, software e serviços.

AI5.1 – Controle de aquisições
AI5.2 – Gerenciamento de contrato de fornecedores
AI5.3 – Seleção de fornecedores
AI5.4 – Aquisição de recursos de TI

Número de disputas relacionadas a contratos de compra.
AI6 - Gerenciar mudanças
Objetivo deste processo é responder aos requisitos de negócio em alinhamento com a estratégia do negócio, reduzindo os defeitos na entrega de serviços e retrabalho.

AI6.1 – Padrões e procedimentos de mudança
AI6.2 – Avaliação de impacto, priorização e autorização
AI6.3 – Mudanças emergenciais
AI6.4 – Acompanhamento de mudança de status e relatórios
AI6.5 – Fechamento e documentação da mudança

Volume de retrabalho em aplicações ou infraestrutura causados por especificações de mudanças inadequadas.
AI7 – Instalar e validar soluções e mudanças
Novos sistemas devem ser colocados em operação após seu desenvolvimento estar completo. Isto requer testes adequados em um ambiente dedicado com dados relevantes para o propósito de testes, definição do plano de implementação e instruções para migração, planejamento da liberação para colocar o sistema em produção, e inclui também uma revisão pós-implementação.
AI7.1 - Treinamento

AI7.2 – Plano de testes
AI7.3 – Plano de Implementação
AI7.4 – Ambiente de testes
AI7.5 – Conversão de sistema e dados
AI7.6 – Testes das mudanças
AI7.7 – Teste de aceitação final
AI7.8 – Promoção para produção
AI7.9 – Revisão pós-implementação

Volume de downtime de aplicações ou número de correções nos dados causados em função de testes inadequados.
Entregar e suportar DS

DS1 - Definir e gerenciar níveis de serviço
Trata-se da comunicação efetiva entre a gerência da TI e os clientes do negócio, em relação aos serviços requeridos.

DS1.1 - Framework de gerenciamento de nível de serviço
DS1.2 - Acordos de nível de serviço
DS1.3 - Acordos de nível operacional
DS1.4 - Monitoramento e reporte sobre os níveis de serviço alcançados
DS1.5 - Revisão dos acordos de nível de serviço e contratos

Número de reuniões por ano para revisão formal dos níveis de serviço realizados com clientes de negócio.
DS2 - Gerenciar serviços de terceiros
Este processo é efetuado com papéis claramente definidos, responsabilidades e expectativa sem acordos com terceiros, assim como revisão e monitoramento destes acordos para efetividade e conformidade.

DS2.1 - Identificação de todos os relacionamentos com fornecedores
DS2.2 - Gerenciar o relacionamento com fornecedores
DS2.3 - Gerenciar risco dos fornecedores
DS2.4 - Monitorar a performance dos fornecedores

Percentual de número de reclamações de usuários sobre os serviços contratados.
DS3 - Gerenciar performance e capacidade
O objetivo deste processo é aperfeiçoar a performance da infraestrutura de TI, recursos e capacidade em resposta as necessidades de negócio.

DS3.1 - Planejamento de performance e capacidade
DS3.2 - Performance e capacidade atual
DS3.3 - Performance e capacidade futura
DS3.4 - Disponibilidade dos recursos de TI
DS3.5 - Monitoramento e relatórios

Números de horas perdidas por usuário/por mês em função de um planejamento de capacidade insuficiente.
DS4 - Garantir a continuidade dos serviços
A necessidade de prover serviços de TI de maneira contínua requer o desenvolvimento, manutenção e testes de planos de continuidade dos serviços de TI, utilizando armazenamento externo de backups e proporcionando treinamento periódico sobre os planos de continuidade.

DS4.1 - Framework de continuidade de TI
DS4.2 - Plano de continuidade de TI
DS4.3 - Recursos críticos de TI
DS4.4 - Manutenção do plano de continuidade de TI
DS4.5 - Teste do plano de continuidade de TI
DS4.6 - Treinamento do plano de continuidade de TI
DS4.7 - Distribuição do plano de continuidade de TI
DS4.8 - Recuperação e retomada dos serviços de TI
DS4.9 - Armazenamento externo de backup
DS4.10 - Revisão pós-retomada

Números de processos críticos para o negócio dependentes de recursos de TI que não estão cobertos por um plano de continuidade.
DS5 - Garantir a segurança dos sistemas
O objetivo deste processo é manter a integridade da informação e sua infraestrutura necessária.

DS5.1 - Gerenciamento da segurança de TI
DS5.2 - Plano de segurança de TI
DS5.3 - Gerenciamento de identidade
DS5.4 - Gerenciamento de contas de usuários
DS5.5 - Teste de segurança, fiscalização e monitoramento
DS5.6 - Definição de incidentes de segurança
DS5.7 - Proteção da tecnologia de segurança
DS5.8 - Gerenciamento de chaves de criptografia
DS5.9 - Prevenção, detecção e correção de SW malicioso
DS5.10 - Segurança de redes
DS5.11 - Troca de dados importantes

Número de violações em segregação de papéis e número de incidentes que afetaram a reputação da organização no mercado.
DS6 - Identificar e alocar custos
A necessidade para um sistema justo e imparcial de alocação de custos para o negócio requer a medição exata dos custos da TI e acordos com usuários de negócio para uma alocação correta.
O objetivo deste processo é assegurar transparência e entendimento dos custos de TI e melhorar a eficiência por meio de uso consciente dos serviços de TI.

DS6.1 - Definição dos serviços
DS6.2 - Contabilidade de TI
DS6.3 - Modelo de custos e cobranças
DS6.4 - Manutenção do modelo de custos

Percentual de variação entre orçamento, previsão e custo atual.
DS7 - Educar e treinar usuários
Um programa efetivo de treinamento melhora o uso efetivo da tecnologia com a redução de erros de usuários, aumenta a produtividade e aumenta a conformidade com controles chaves, tais como as medida de segurança para usuários.

DS7.1 - Identificação de necessidade de educação e treinamento
DS7.2 - Entrega de treinamento e educação
DS7.3 - Avaliação do treinamento recebido

Tempo decorrido entre a identificação de uma necessidade de treinamento e a entrega do mesmo.
DS8 - Gerenciar a central de serviços e incidentes
Respostas efetivas e no tempo adequado. Implementação da função da central de serviços. Buscar aumento da produtividade por meio da rápida resolução das perguntas dos usuários.

DS8.1 - Central de serviços
DS8.2 - Registro das solicitações dos usuários
DS8.3 - Escalação de incidentes
DS8.4 - Fechamento de incidentes
DS8.5 - Relatório e análises de tendências

Taxa de abandono de ligações. Percentual de incidentes resolvidos dentro do tempo acordado ou em um período aceitável.
DS9 - Gerenciar a configuração

Assegurar a integridade da configuração de hardware e software requer estabelecer e manter um preciso e completo repositório da configuração.
DS9.1 - Repositório de configuração e referência
DS9.2 - Identificação e manutenção de itens de configuração
DS9.3 - Revisão da integridade da configuração

Número de divergências identificadas ente o repositório de configuração e a configuração atual dos ativos.
DS10 - Gerenciar problemas
Um gerenciamento efetivo de problemas requer a identificação e classificação de problemas, análise da causa raiz e resolução de problemas.

DS10.1 - Identificação e classificação de problemas
DS10.2 - Acompanhamento de problemas e resoluções
DS10.3 - Fechamento de problemas
DS10.4 - Integração do gerenciamento de configuração, incidentes e problemas

Frequência de relatórios ou atualizações sobre o tratamento dos problemas, baseado na severidade.
DS11 - Gerenciar dados
O processo de gerenciamento de dados também inclui estabelecer procedimentos efetivos para gerenciar a biblioteca de mídias, backup e recuperação e disponibilizar mídias apropriadas.

DS11.1 - Requisitos de negócio para o gerenciamento de dados
DS11.2 - Providências para retenção e armazenamento
DS11.3 - Sistema de gerenciamento de biblioteca de mídias
DS11.4 - Descarte
DS11.5 - Backup e restauração
DS11.6 - Requisitos de segurança para gerenciamento de dados

Números de incidentes onde dados importantes foram recuperados após a mídia ter sido descartada.
DS12 - Gerenciar os ambiente físicos
O objetivo deste processo é proteger ativos e dados do negócio e minimizar o risco de interrupção do negócio.

DS12.1 - Seleção de local e layout
DS12.2 - Medidas de segurança física
DS12.3 - Acesso físico
DS12.4 - Proteção contra fatores ambientais
DS12.5 - Gerenciamento das instalações físicas

Frequência de avaliação de riscos físicos e revisões. Número de incidentes causados por brechas ou falhas na segurança física.
DS13 - Gerenciar operações
O objetivo deste processo é a manutenção da integridade dos dados e assegurar que a infraestrutura de TI possa resistir e se recuperar de erros e falhas.

DS13.1 - Procedimento e instruções operacionais
DS13.2 - Agendamento de trabalhos
DS13.3 - Monitoramento da infraestrutura de TI
DS13.4 - Documentos importantes e dispositivos de saída
DS13.5 - Manutenção preventiva de hardware

Números de níveis de serviço impactados por incidentes operacionais e horas de downtime não planejado causados por incidentes operacionais.
Monitorar e avaliar - ME

ME1 – Monitorar e avaliar a performance da TI
Este processo inclui definir indicadores de performance relevantes, relatórios sistemáticos e no tempo adequado sobre questões de performance e ações tomadas em relação a desvios.

ME1.1 – Abordagem de monitoramento
ME1.2 – Definição e coleções de dados de monitoramento
ME1.3 – Métodos de monitoramento
ME1.4 – Avaliação da performance
ME1.5 – Relatórios para a alta administração e executivos
ME1.6 – Ações corretivas

Percentual de processo críticos monitorados

ME2 – Monitorar e avaliar controles internos
Este processo inclui monitorar e reportar exceções de controle, resultados de auto-avaliação e revisão de terceiros.

ME2.1 – Framework de monitoramento de controles internos
ME2.2 – Revisão de supervisão
ME2.3 – Controle de exceções
ME2.4 – Controle de autoavaliação
ME2.5 – Segurança de controles internos
ME2.6 – Controles internos de terceiros
ME2.7 – Ações corretivas

Número de brechas graves nos controles internos, número de iniciativas para melhoria dos controles, número e cobertura de auto-avaliação de controles.
ME3 – Assegurar aderência com requisitos externos
O objetivo deste processo é assegurar a conformidade com leis, regulamentação e requisitos contratuais.

ME3.1 – Identificação de requisitos externos de conformidade com a legislação, regulamentação e contratos
ME3.2 – Otimização das respostas aos requisitos externos
ME3.3 – Otimização das respostas aos requisitos externo
ME3.4 – Validação positiva de conformidade
ME3.5 – Relatórios integrados

Custo da não conformidade, incluindo acordos e multas.
ME4 – Prover governança de TI
O objetivo deste processo é integrar a governança de TI com os objetivos da governança corporativa.

ME4.1 – Estabelecimento de um framework de governança de TI
ME4.2 – Alinhamento estratégico
ME4.3 – Entrega de valor
ME4.4 – Gerenciamento de recursos
ME4.5 – Gerenciamento de riscos
ME4.6 – Avaliação de performance
ME4.7 – Auditoria independente

Frequência de relatórios emitidos da alta-administração para partes interessadas.

Família de Produtos COBIT
COBIT online -

Acesso para os recursos por meio do MyCOBIT. Pode-se comparar o desempenho de sua empresa com outras do mesmo segmento, ter acesso a questionários. O serviço é restrito para assinantes.
Val IT

Recurso que complementa o COBIT com uma perspectiva de negócio e finanças, obtendo o melhor retorno possível da TI.
COBIT Security Baseline

Oferece introdução a segurança da informação. Baseado na norma ISO 17799, com sumário dos principais riscos de segurança.
Guia de implementação de TI

KIT com os modelos extremamente úteis com ferramentas de diagnóstico e técnicas para relatórios que auxiliam na adoção de framework de governança baseado no COBIT, oferecendo um modelo genérico que permite estabelecer um plano de ação para adaptá-los às necessidades da sua empresa.
COBIT Quick Start

Versão compactada dos recursos do COBIT com foco nos processos mais críticos de TI, seus objetivos, controles e métricas.
COBTI Foundations

E exame para cerificação COBIT FOUNDATIONS tem 1 hora de duração e é composto de 40 questões de múltipla escolha, sendo que, para aprovação o aproveitamento deve ser de 70 %, ou seja, 28 questões.
È necessário indicar quem será o seu proctor – pessoa que vai acompanhar você no momento do exame para assegurar que este seja realizado dentro dos padrões.
O investimento é de US$ 120,00 e não há limites de tentativas.

 

Leia também o tópico Metodologia.

Categoria de Artigos
 
Economia & Mercado
Qualidade Total
Governanca de TI
Planejamento Estratégico
Modelagem de Sistema
Rede de Computadores
Segurança da Informação
Ética e Legislação
Matemática Aplicada
Sistema de Informação
Banco de Dados

 
 
 
h.Linsys 1989-2018
Início |Contato | Sobre