Alguns objetivos de controles foram agrupados e /ou reformulados para evitar a sobreposição e tornar a lista de objetivos de contro- les um processo mais consistente. Essas alterações resultaram na renumeração dos objetivos de controle restantes. Alguns objetivos de controle foram reformulados para torná-los mais orientados para ação e consistente nas palavras. As revisões incluem:
· AI5.5 e AI5.6 foram combinados com o AI5.4
· AI7.9, AI7.10 e AI7.11 foram combinados com o AI7.8
· ME3 foi revisado para incluir conformidade com requisitos contratuais, além de requisitos legais e regulatórios
· Os controles de aplicativos foram retrabalhados para serem mais efetivos, baseados no trabalho para suportar a efetividade na avaliação e relatórios de controles. Isto resultou em uma lista de seis controles de aplicativos que substituíram os 18 controles de aplicativos do CobiT 4.0, com detalhes adicionais providos no CobiT Control Practices, 2nd Edition.
· A lista de objetivos de negócios e de TI no apêndice I foi aprimorada a partir dos novos entendimentos obtidos durante a pesqui- sa de validação executada pela University of Antwerp Management School (Bélgica).
· O material destacável foi expandido para prover uma lista de referência rápida dos processos CobiT e o diagrama geral contendo os
domínios foi revisado para incluir uma referência aos elementos de controle de processos e aplicativos da metodologia CobiT.
· Melhorias identificadas por usuários CobiT (CobiT 4.0 e CobiT Online) foram revisadas e incorporadas quando apropriado.
OBJETIVOS DE CONTROLE
Como pode ser visto na descrição acima sobre as alterações ocorridas no modelo, e o trabalho para esclarecer manter o foco do conteúdo nos objetivos de controle, a atualização do modelo COBIT mudou consideravelmente os objetivos de controle. Esses componentes foram reduzidos de 215 para 210, pois todo o material genérico foi mantido apenas no nível do modelo e não se repete em cada processo. Além disso, todas as referências a controles de aplicativos foram movidas para o modelo, e objetivos de
c
obi
T 4.1
CobiT 3ª Edição CobiT 4.1
10.2 Participação da área usuária no 10.4 início de projetos
10.3 Participação e responsabilidade do 10.8 time de projeto
10.4 Definição de projeto 10.5 10.5 Aprovação de projeto 10.6 10.6 Aprovação de fases de projeto 10.6 10.7 Plano master do projeto 10.7 10.8 Plano de avaliação de sistemas 10.10 10.9 Planejamento de métodos de 10.12 avaliações
10.10 Gerenciamento formal dos riscos 10.9 do projeto
10.11 Plano de testes AI7.2 10.12 Plano de treinamento AI7.1 10.13 Plano de revisão pós 10.14
implementação (parte)
PO11 Gerenciamento de qualidade. 11.1 Plano geral de qualidade 8.5
11.2 Enfoque QA 8.1 11.3 Planejamento de QA 8.1 11.4 Revisão de QA da aderência a 8.1, 8.2 padrões e procedimentos de TI 11.5 Metodologia de desenvolvimento de 8.2, 8.3 sistemas (SDLC)
11.6 Metodologia SDLC pra grandes 8.2, 8.3 mudanças na tecnologia atual
11.7 Atualizações da metodologia SDLC 8.2, 8.3 11.8 Coordenação e comunicação 8.2 11.9 Metodologia de aquisição e 8.2 manutenção da infraestrutura de tecnologia 11.10 Relacionamento da implementação 8.2, DS2.3 de terceiros
11.11 Padrões de documentação de AI4.2, AI4.3,
programas AI4.4
11.12 Padrões de testes de programas AI7.2, AI7.4 11.13 Padrões de testes de sistemas AI7.2, AI7.4 11.14 Testes paralelo/piloto AI7.2, AI7.4 11.15 Documentação de testes de AI7.2, AI7.4 sistemas
11.16 Avaliação de QA da aderência a 8.2 padrões de desenvolvimento
11.17 Revisão de QA do atingimento dos 8.2 objetivos de TI
11.18 Métricas de qualidade 8.6 11.19 Relatórios de revisões de QA 8.2 CobiT 3ª Edição CobiT 4.1
PO1 Definição do plano estratégico de TI. 1.1 TI como parte dos planos de 1.4 curto e longo prazo da organização 1.2 Plano de TI de longo prazo 1.4 1.3 Planejamento de longo prazo 1.4 de TI - enfoque e estrutura
1.4 Alterações no plano de longo 1.4 prazo de TI 1.5 Planejamento de curto-prazo 1.5 para a função de TI 1.6 Comunicação de planos de TI 1.4 1.7 Monitoração e avaliação de 1.3 planos de TI
1.8 Avaliação dos sistemas atuais 1.3 PO2 Definição da arquitetura de informação. 2.1 Modelo da arquitetura de 2.1 informação
2.2 Dicionário de dados corporativos 2.2 e regras de sintaxe de dados
2.3 Esquema de classificação de 2.3 dados
2.4 Níveis de segurança 2.3 PO3 Definição do direcionamento tecnológico. 3.1 Planejamento da infraestrutura 3.1 tecnológica 3.2 Monitoração de tendências 3.3 futuras e regulatórias 3.3 Contingência da infraestrutura 3.1 tecnológica
3.4 Planos de aquisição de 3.1, AI3.1
hardware e software
3.5 Padrões de tecnologia 3.4, 3.5 PO4 Definição da organização de TI e relacionamentos. 4.1 Planejamento de TI ou comitê 4.3 de gerenciamento
4.2 Posicionar a função de TI na 4.4 organização
4.3 Revisão dos resultados organizacionais 4.5 4.4 Papéis e responsabilidades 4.6 4.5 Responsabilidade pela avaliação 4.7 de qualidade
4.6 Responsabilidade pela 4.8 segurança lógica e física
4.7 Propriedade e custódia 4.9 4.8 Propriedade de dados e sistemas 4.9
4.9 Supervisão 4.10
4.10 Segregação de funções 4.11 4.11 Pessoal de TI 4.12 4.12 Descrição de cargos para 4.6 o pessoal de TI
4.13 Pessoal-chave de TI 4.13 4.14 Políticas e procedimentos de 4.14 pessoal contratado
4.15 Relacionamentos 4.15 PO5 Gerenciamento de investimento de TI. 5.1 Orçamento anual da operação 5.3 de TI
CobiT 3ª Edição CobiT 4.1
5.2 Monitoração do custo e benefício 5.4 5.3 Justificativa de custo e benefício 1.1, 5.3,
5.4, 5.5 PO6 Comunicar as diretrizes e metas da Diretoria. 6.1 Informação positiva sobre ambiente 6.1 de controle
6.2 Responsabilidade da gerência pelas 6.3, 6.4
políticas 6.5
6.3 Comunicação de políticas organizacionais 6.3, 6.4, 6.5 6.4 Política de implementação de recursos 6.4 6.5 Manutenção de políticas 6.3, 6.4, 6.5 6.6 Conformidade com políticas, 6.3, 6.4, 6.5 procedimentos e padrões
6.7 Compromisso com qualidade 6.3, 6.4, 6.5 6.8 Política de segurança no ambiente 6.2 de controle interno
6.9 Propriedades de direitos intelectuais 6.3, 6.4, 6.5 6.10 Políticas sobre questões específicas 6.3, 6.4, 6.5 6.11 Comunicação para conscientização 6.3, 6.4, 6.5 de segurança de TI
PO7 Gerenciamento de recursos humanos. 7.1 Recrutamento e promoção de funcionários 7.1 7.2 Qualificação de funcionários 7.2 7.3 Papéis e responsabilidades 7.4 7.4 Treinamento de funcionários 7.5 7.5 Treinamento cruzado ou pessoal 7.6 de backup
7.6 Procedimentos de verificação de 7.7 antecedentes de pessoal
7.7 Avaliações de performance de 7.8 funcionários
7.8 Alterações no contrato de trabalho e 7.8 desligamentos
PO8 Assegurar conformidade com regulamentos externos.
8.1 Revisão de requisitos externos ME3.1 8.2 Práticas e procedimentos para ME3.2 conformidade com requisitos externos
8.3 Conformidade com segurança e ME3.1 ergonomia
8.4 Privacidade, proteção intelectual e ME3.1 fluxo de dados
8.5 Comércio eletrônico ME3.1 8.6 Conformidade com contratos de seguro ME3.1 PO9 Avaliação de riscos
9.1 Avaliação de riscos de negócio 9.1, 9.2, 9.4 9.2 Enfoque de avaliação de riscos 9.4 9.3 Identificação de riscos 9.3 9.4 Medição de riscos 9.1, 9.2,
9.3, 9.4 9.5 Plano de ação para riscos 9.5 9.6 Aceitação de riscos 9.5 9.7 Seleção de salvaguardas 9.5 9.8 Compromisso com avaliação de riscos 9.1 PO10 Gerenciamento de Projetos.
10.1 Metodologia de gerenciamento 10.2 de projetos