Fundamentos do Processo ME4 do COBIT.
Objetivos de Controle ME4
ME4.1 Existência de uma estrutura de Governança de TI
Recomendação 1: Trabalhar com o ''board" na definição e criação de uma estrutura de governança de TI que inclua liderança, processos, funções, responsabilidades, requisitos de informação e estruturas organizacionais que assegurem o alinhamento dos programas de investimento de TI com as estratégias e metas corporativas.
Questão
1 Pergunta - Existe a formalização de grupo(s) de liderança, processos, funções,
responsabilidades, requisitos de informação e estruturas organizacionais que assegurem o alinhamento dos programas de investimento de TI com as estratégias e metas corporativas?
Recomendação 2: Caso exista, essa estrutura deve oferecer um vínculo claro entre a estratégia corporativa, o portfólio de programas de investimento capacitados por TI que executam a estratégia, programas específicos de investimento e os projetos de TI e corporativos que compõem esses programas.
Questão 2
Pergunta - Existe vínculo claro entre a estratégia corporativa, o portifólio de programas
de investimento capacitados por TI que executam a estratégia, programas específicos de investimento e os projetos de TI e corporativos que compõem esses programas?
Recomendação 3: A estrutura deve apresentar responsabilidades e práticas muito claras que evitem qualquer problema de controle interno e vigilância.
Questão
3 Pergunta - Existem responsabilidades e práticas muito claras que evitem qualquer
problema de controle interno e vigilância?
Recomendação 4: Deve ser consistente com o ambiente de controle da empresa, com os princípios de controle geralmente aceitos e ter como base o processo de TI e a estrutura de controle.
Questão
4 Pergunta - Existe consistência com o ambiente de controle da empresa, com os
princípios de controle geralmente aceitos e ter como base o processo de TI e a estrutura de controle?
ME4.2 Alinhamento estratégico
Recomendação 5: Permitir que o board e os executivos entendam as questões estratégicas de TI como a função de TI, sua capacidade e visão da tecnologia.
Questão
5 Pergunta - Há entedimentos por parte da gestão corporativa das questões estratégicas
de TI como a função de TI, sua capacidade e visão da tecnologia?
Recomendação 6: Certificar-se que tanto a empresa como TI reconheçam o valor da contribuição de TI para a estratégia corporativa.
Questão
6 Pergunta - Há o reconhecimento por parte da gestão corporativa e da gestão da TI
quanto ao valor da contribuição de TI para a estratégia corporativa?
Recomendação 7: Garantir que fique claro que só se obtém valor de TI quando os investimentos são gerenciados como um portfólio de programas que inclua todo o escopo das mudanças que as empresas precisam fazer para otimizar o valor da capacidade de TI em viabilizar sua estratégia.
Questão
7 Pergunta - Há entendimentos de que somente se obterá valor de TI quando os
investimentos são gerenciados como um portfólio de programas que inclua todo o escopo das mudanças que as empresas precisam fazer para otimizar o valor da capacidade de TI em viabilizar sua estratégia?
Recomendação 8: Trabalhar com o board na definição e implementação de grupos de governança como comitê de estratégias de TI, para apresentar a direção estratégica de TI à gerência, garantindo sempre que a estratégia e as metas compreendam as áreas e cargos de TI e que haja um clima de confiança entre a empresa e TI.
Questão
8 Pergunta - Existe a definições por parte da gestão corporativa quanto a implementação
de grupos de governança como comitê de estratégias de TI, para apresentar a direção estratégica de TI à gerência, garantindo sempre que a estratégia e as metas compreendam as áreas e cargos de TI e que haja um clima de confiança entre a empresa e TI?
Recomendação 9: Viabilizar o alinhamento de TI com os negócios, em estratégia e operações, incentivando a responsabilidade conjunta na tomada de decisões estratégicas e pelos benefícios gerados pelos investimentos.
Questão
9 Pergunta - Evidencia-se o alinhamento de TI com os negócios, em estratégia e
operações, incentivando a responsabilidade conjunta na tomada de decisões estratégicas e pelos benefícios gerados pelos investimentos?
ME4.3 Entrega de valor
Recomendação 10: Gerenciar os programas de investimento em TI e outros ativos e serviços, de forma a garantir que eles ofereçam o máximo valor possível para o suporte da estratégia e metas corporativas.
Questão 10
Pergunta - Os programas de investimento em TI e outros ativos e serviços são
gerenciados de forma a garantir que eles ofereçam o máximo valor possível para o suporte da estratégia e metas corporativas?
Recomendação 11: Garantir os resultados esperados pelos negócios com os investimentos em TI, que todo o esforço feito para se obter esses resultados seja compreendido, a criação e aprovação de casos abrangentes e consistentes pelos interessados, que os ativos e investimentos sejam gerenciados em todo o ciclo de vida econômico e que haja um verdadeiro empenho para a realização desses benefícios como contribuição com novos serviços, ganho de eficiência e agilidade no atendimento das necessidades dos clientes.
Questão 11
Pergunta - Constata-se a garantia dos resultados esperados pelos negócios com os
investimentos praticados em TI?
Questão 12 Pergunta - Constata-se o reconhecimento por todo o esforço feito para se obter
esses resultados?
Questão 13
Pergunta - Os ativos e investimentos são efetivamente gerenciados em todo o ciclo
de vida econômico, reconhecendo um verdadeiro empenho para a realização desses benefícios em contribuição aos novos serviços, ganho de eficiência e agilidade no atendimento das necessidades dos clientes?
Recomendação 12: Definir um enfoque disciplinado com relação ao gerenciamento do portfólio, do programa e do projeto, insistindo para que os negócios assumam responsabilidade sobre os investimentos de TI e que TI garanta a otimização dos custos da oferta de seus serviços e capacidades.
Questão 14
Pergunta - Os negócios assumem responsabilidade sobre os investimentos de TI e a
TI garante a otimização dos custos da oferta de seus serviços e capacidades de forma disciplinada e alinhada aos potifólios de programas e de projetos?
Recomendação 13: Garantir que os investimentos em tecnologia sejam padronizados o máximo possível para evitar aumento de custos e complexidade em várias soluções técnicas.
Questão 15
Pergunta - Os investimentos em tecnologia estão padronizados de forma a evitar
aumento de custos e complexidade em várias soluções técnicas?
ME4.4 Gerenciamento de recursos
Recomendação 14: Otimizar o investimento, uso e alocação dos ativos de TI através da avaliação periódica, certificando-se que TI tenha recursos suficientes, competentes e capazes para atender as metas atuais e futuras e as demandas corporativas.
Questão 16
Pergunta - Os investimentos, uso e alocação dos ativos de TI são avaliádos e
monitorados periodicamente, possibilitando recursos suficientes e competentes para TI capazes atender as metas atuais e futuras e as demandas corporativas?
Recomendação 15: A gerência deve definir políticas claras, consistentes e reforçadas e recursos humanos e de compras para garantir o atendimento efetivo dos requisitos de recursos e a conformidade com os padrões e políticas da arquitetura.
Questão 17
Pergunta - Existem políticas claras, consistentes e reforçadas e recursos humanos e
de compras para garantir o atendimento efetivo dos requisitos de recursos e a conformidade com os padrões e políticas da arquitetura?
Recomendação 16: A infra-estrutura de TI deve ser avaliada regularmente para assegurar sua padronização sempre que possível e interoperacionalidade onde necessário.
Questão 18
Pergunta - A infra-estrutura de TI é avaliada regularmente assegurando sua
ME4.5 Gerenciamento de riscos
Recomendação 17: Trabalhar em conjunto com o board na avaliação dos riscos de TI.
Questão 19
Pergunta - Evidencia-se avaliação de riscos de TI?
Recomendação 18: Comunicar esses riscos e elaborar um plano conjunto de gerenciamento dos mesmos.
Questão 20
Pergunta - Exestes riscos são regularmente comunicados através de um plano
conjunto de gerenciamento de riscos?
Recomendação 19: Designar responsáveis pelo gerenciamento de riscos para garantir a avaliação e a emissão periódica de relatórios sobre os riscos de TI e dos impactos desses riscos sobre os negócios.
Questão 21
Pergunta - Há a designação de um responsável específico para avaliação e emissão
periódica de relatórios sobre os riscos de TI e dos impactos desses riscos sobre os negócios?
Recomendação 20: Certificar-se que a gerência de TI acompanhe a exposição a riscos, dedicando atenção especial às falhas no controle de TI e pontos fracos na supervisão e controles internos e o impacto dos mesmos nos negócios.
Questão 22
Pergunta - A gerência de TI acompanha a exposição a riscos dedicando atenção
especial às falhas no controle de TI e pontos fracos na supervisão e controles internos e o impacto dos mesmos nos negócios?
Recomendação 21: A situação dos riscos de TI deve ser transparente para todos.
Questão 23
Pergunta - A situação dos riscos de Ti é transparente a todos?
ME4.6 Avaliação do desempenho
Recomendação 22: Reportar o desempenho do portIfólio, do programa e de TI para o board e executivos regularmente e de forma precisa.
Questão 24
Pergunta - O desempenho do portIfólio do programa e de TI é regularmente
reportado para a gestão corporativa de forma precisa?
Recomendação 23: A gerência sênior deve receber relatórios gerenciais que permitam avaliar o progresso das metas estabelecidas.
Questão 25
Pergunta - O gestor da TI recebe com regularidade relatórios gerenciais que lhe
permita avaliar o progresso das metas estabelecidas?
Recomendação 24: Os relatórios de status devem incluir até que ponto as metas estabelecidas e as metas de desempenho foram alcançadas e os riscos mitigados.
Questão 26
Pergunta - Os relatórios de status incluem a performance de alcance das metas
estabelecidas e das metas de desempenho assim como os riscos mitigados?
Recomendação 25: Integrar os relatórios com documentos similares de outras áreas corporativas.
Questão 27
Pergunta - Os relatórios estão integrados ou alinmhandos com documentos
similares de outras áreas corporativas?
Recomendação 26: As avaliações de desempenho devem ser aprovadas pelos principais envolvidos.
Questão 28
Pergunta - As avaliações de desempenho são aprovadas pelos principais envolvidos?
Recomendação 27: O board e os executivos podem contestar esses relatórios de desempenho e a gerência de TI poderá explicar desvios e os problemas relacionados ao desempenho.
Questão 29
Pergunta - Em situação de contestação destes relatórios de desempenho, o gestor
da TI explica os desvios e problemas relacionados ao desempenho?
Recomendação 28: Após a análise, devem ser tomadas as devidas providências.
Questão 30
ME4.7 Garantia independente
Recomendação 29: Assegurar que o departamento defina um responsável competente e com uma equipe devidamente capacitada e/ou que procure serviços de garantia externos, para assegurar ao board — normalmente isso irá acontecer via comitê de auditoria — garantia de conformidade de TI com as políticas, padrões e procedimentos, assim como com as práticas geralmente aceitas.
Questão 31
Pergunta - Existe a definição de um responsável competente, com uma equipe
capacitada, ou a contratação de consultoria externa para assegurar e garantir a conformidade da TI com as políticas, padrões e procedimentos, assim como as práticas convencionadas?