Madah 2006 10 Cobit Intro e Gap[1]
-
Upload
jefsilva191 -
Category
Documents
-
view
36 -
download
2
Transcript of Madah 2006 10 Cobit Intro e Gap[1]
Introdução ao COBITIntrodução ao COBITe e COBIT Gap AnalysisCOBIT Gap Analysis
Outubro 2006
Mair Affonso Rangel CalvoSócio/Diretor
Sumário
Apresentação– Histórico– O COBIT Hoje
Conceitos e Estruturação do COBIT
COBIT Gap Analysis (Metodologia
MADAH)
Apresentação
É cada vez mais importante, para o sucesso e sobrevivência de uma organização na nossa sociedade global de informação, o gerenciamento efetivo da informação e da respectiva tecnologia de informação (TI), considerando:
Apresentação (cont.)
a crescente dependência da informação e dos sistemas que a fornecem;
as crescentes vulnerabilidades e um amplo espectro de ameaças como “cyber-ameaças” e guerra de informações;
Apresentação (cont.)
o montante e o custo de investimentos atuais e futuros em informações e sistemas de informação; e
o potencial de tecnologias em mudar dramaticamente as organizações e práticas comerciais, criando novas oportunidades e reduzindo custos.
Histórico (um pouco de
Arqueologia... :)
“DNA” do
COBIT(+ de 40fontes...)
O COBIT hoje:O COBIT hoje:
Relatório de Status Relatório de Status GlobalGlobal
dadaGovernança de TIGovernança de TI
20042004
Relatório de Status Global da Governança de TI
Fonte: IT Governance Global Status Report - Excerpt
Pequisa publicada em 2004, efetuada em 2003 pela PwC sob orientação do ITGI / ISACA
335 entrevistados (níveis CEO e CIO)– 276 escolhidos aleatoriamente– 56 dentre os que adquiriram o COBIT
Principais Resultados
Mais de 93% reconhecem que a TI é importante para a estratégia da organização
As organizações padecem de problemas operacionais de TI
Os CIOs reconhecem a necessidade de melhorar a governança de TI
Principais Resultados
Mais de 93% reconhecem que a TI é importante para a estratégia da organização
As organizações padecem de problemas operacionais de TI
Os CIOs reconhecem a necessidade de melhorar a governança de TI
Principais Resultados
Padrões de governança de TI são usados para alinhar a estratégia de TI e gerenciar os riscos operacionais de TI
Boa governança de TI ajuda as organizações a agregar valor de TI e gerenciar os riscos de TI. O COBIT é a forma preferida para implementar governança efetiva de TI
Principais Resultados
Padrões de governança de TI são usados para alinhar a estratégia de TI e gerenciar os riscos operacionais de TI
Boa governança de TI ajuda as organizações a agregar valor de TI e gerenciar os riscos de TI. O COBIT é a forma preferida para implementar governança efetiva de TI
Principais Resultados
Os usuários do COBIT, embora não sejam numerosos, estão bastante satisfeitos
Principais Resultados
Os usuários do COBIT, embora não sejam numerosos, estão bastante satisfeitos
Mais de 93% reconhecem que a TI é importante para a estratégia da
organização
Há consenso mundial sobre a importância da TI na consecução da estratégia global das organizações, o que se observa na maioria dos segmentos
Paradoxalmente, a administração geral percebe a importância de TI um pouco mais do que a própria administração de TI
Mais de 93% reconhecem que a TI é importante para a estratégia da
organização
Há consenso mundial sobre a importância da TI na consecução da estratégia global das organizações, o que se observa na maioria dos segmentos
Paradoxalmente, a administração geral percebe a importância de TI um pouco mais do que a própria administração de TI
As organizações padecem de problemas operacionais de TI
Apenas 7% dos entrevistados não tiveram problemas com TI no ano passado
Falhas e incidentes operacionais e visão inadequada da performance de TI são frequentes, e mencionadas por cerca de 40% dos entrevistados
As organizações padecem de problemas operacionais de TI
Apenas 7% dos entrevistados não tiveram problemas com TI no ano passado
Falhas e incidentes operacionais e visão inadequada da performance de TI são frequentes, e mencionadas por cerca de 40% dos entrevistados
Os CIOs reconhecem a necessidade de melhorar a governança de TI
75% da comunidade de TI está ciente de que a TI tem problemas a serem sanados
Mais de 80% reconhece que é necessária governança de TI para saná-los
Apenas 40% responderam que pretendem adotar ou planejar medidas de governança de TI
Os CIOs reconhecem a necessidade de melhorar a governança de TI
75% da comunidade de TI está ciente de que a TI tem problemas a serem sanados
Mais de 80% reconhece que é necessária governança de TI para saná-los
Apenas 40% responderam que pretendem adotar ou planejar medidas de governança de TI
Padrões de governança de TI são usados para alinhar a estratégia de TI e gerenciar os riscos operacionais
de TI
57% utilizam padrões (“frameworks”) para alinhar as estratégias de TI e da organização
53% os utilizam para gerenciar os riscos operacionais de TI
Padrões conhecidos ou usados:– Soluções internas ou de provedores– ISO 9000– COBIT
Padrões de governança de TI são usados para alinhar a estratégia de TI e gerenciar os riscos operacionais
de TI
57% utilizam padrões (“frameworks”) para alinhar as estratégias de TI e da organização
53% os utilizam para gerenciar os riscos operacionais de TI
Padrões conhecidos ou usados:– Soluções internas ou de provedores– ISO 9000– COBIT
Boa governança de TI ajuda as organizações a agregar valor de TI e gerenciar os riscos de TI. O COBIT é a forma preferida para implementar
governança efetiva de TI
O COBIT é percebido como um importante padrão para a governança de TI por aqueles que estão familiarizados com ele (89% manifestaram-se satisfeitos ou muito satisfeitos)
Boa governança de TI ajuda as organizações a agregar valor de TI e gerenciar os riscos de TI. O COBIT é a forma preferida para implementar
governança efetiva de TI
O COBIT é percebido como um importante padrão para a governança de TI por aqueles que estão familiarizados com ele (89% manifestaram-se satisfeitos ou muito satisfeitos)
Os usuários do COBIT, embora não sejam numerosos, estão bastante
satisfeitos
18% dos entrevistados conhecem o COBIT
30% das organizações que o conhecem efetivamente o utilizam
5% das organizações entrevistadas usam o COBIT
43% dos usuários entendem como de fácil implementação
25% entendem como algo difícil
Os usuários do COBIT, embora não sejam numerosos, estão bastante
satisfeitos
18% dos entrevistados conhecem o COBIT
30% das organizações que o conhecem efetivamente o utilizam
5% das organizações entrevistadas usam o COBIT
43% dos usuários entendem como de fácil implementação
25% entendem como algo difícil
O COBIT hoje:O COBIT hoje:
Pesquisa de Mercado Pesquisa de Mercado IPMIPM
Março / 2005Março / 2005
Realizada em 100 dentre as 2000 maiores empresas do Brasil
1,05 %
Conceitos e Conceitos e EstruturaçãoEstruturação
dodoCOBITCOBIT
Benefícios da TI X Riscos
Muitas organizações reconhecem os benefícios potenciais que a tecnologia pode propiciar.
Entretanto, somente as organizações de sucesso
compreendem e gerenciam os riscos associados com a implementação de novas tecnologias.
Qual o papel do COBIT ?
Auxiliar a associação entre os riscos do negócio, as necessidades de controle e os aspectos tecnológicos.
Propiciar boas práticas através de uma matriz de domínios e processos estruturados de forma lógica e gerenciável.
Boas práticas
Consenso de especialistas, tendo sido pesquisadas e consolidadas pela ISACF – Information Systems Audit and Control Foundation
Fonte educacional para profissionais de controle
Boas práticas (cont.)
Padrão geralmente aceito e aplicável para boas práticas de controle e segurança de Tecnologia de Informação
Objetiva ser equivalente aos Princípios Contábeis Geralmente Aceitos
Missão do COBIT
Pesquisar, desenvolver e promover um conjunto internacional, abalizado e atualizado, de objetivos de controle geralmente aceitos sobre tecnologia de informação, para uso cotidiano por administradores e auditores
Público alvo
Administradores: para os auxiliar na ponderação entre risco e investimentos em controles de TI;
Usuários: para se certificarem da segurança e dos controles dos serviços de TI fornecidos internamente ou por terceiros; e
Público alvo (cont.)
Auditores de Sistemas: para subsidiar suas opiniões e/ou prover aconselhamento aos administradores sobre controles internos
Definições
Controle : políticas, procedimentos, práticas e estruturas organizacionais projetados para prover razoável segurança de que os objetivos do negócio serão atingidos e de que eventos indesejados serão prevenidos ou detectados e corrigidos.
Definições (cont.)
Objetivo de Controle de TI : uma declaração do resultado desejado, ou propósito a ser atingido, pela implementação de procedimentos de controle numa atividade de Tecnologia de Informação em particular.
Documentos do COBIT
CONTROLOBJECTIVES
FrameworkExecutiveSummary
Implemen-tation
Tool Set
ManagementGuidelines
AuditGuidelines
Padrão aberto
Exclusivo para Associados
Estrutura do COBIT
4 Domínios 34 Macro-Objetivos ou
Processos 318 Objetivos Detalhados
M1 monitorar os processosM2 avaliar a adequação do controle internoM3 obter certificação independenteM4 providenciar auditoria independente
DS1 definir níveis de serviçosDS2 gerenciar serviços de terceirosDS3 gerenciar performance e capacidadeDS4 garantir continuidade dos serviçosDS5 garantir segurança dos sistemasDS6 identificar e alocar custosDS7 educar e treinar usuáriosDS8 auxiliar e aconselhar usuários de TIDS9 gerenciar a configuraçãoDS10 gerenciar problemas e incidentesDS11 gerenciar dadosDS12 gerenciar instalaçõesDS13 gerenciar a operação
AI1 identificar soluçõesAI2 adquirir e manter software aplicativoAI3 adquirir e manter arquitetura tecnológicaAI4 desenvolver e manter procedimentos de TIAI5 instalar e certificar sistemasAI6 gerenciar mudanças
PO1 definir um plano estratégico de TIPO2 definir a arquitetura de informaçãoPO3 determinar a direção tecnológicaPO4 definir a organização e relacionamentos da TIPO5 gerenciar o investimento em TIPO6 comunicar metas e diretivas gerenciaisPO7 gerenciar recursos humanosPO8 garantir cumprimento de exigências externasPO9 avaliar riscosPO10 gerenciar projetosPO11 gerenciar qualidade
• eficácia• eficiência• confidencialidade• integridade• disponibilidade• compliance• confiabilidade
• pessoas• sistemas aplicativos• tecnologia• instalações• dados
INFORMAÇÕES
PLANEJAMENTO EORGANIZAÇÃO
MONITORAÇÃO
AQUISIÇÃO EIMPLEMENTAÇÃO
OBJETIVOS DO NEGÓCIO
RECURSOS DE TI
PRODUÇÃO E SUPORTE
CCOBIOBITT
COBIT - PROCESSOS DE TI DEFINIDOS NOS QUATRO DOMÍNIOS
543210
Inexistente Inicial Repetitivo Definido Administrado Otimizado
Situação atual da organização
Padrão de mercado
Melhores práticas
Estratégia da organização
Escala do Modelo de Maturidade (EMM)
COBIT Gap AnalysisCOBIT Gap Analysis
(Metodologia MADAH)(Metodologia MADAH)
Gap Analysis Objetiva auxiliar os responsáveis pela TI a
identificar, de forma abrangente, rápida e econômica, como os macro controles de TI da Instituição estão posicionados em relação aos padrões esperados do mercado e/ou da própria Instituição
Metodologia baseada no
COBIT Framework 3rd Edition, 2000 e no
COBIT Management Guidelines, 2000
Etapas do Gap Analysis
Workshop com os gestores de TI para levantamento da situação atual dos controles
Entrevistas individuais com os gestores de TI para detalhamento da situação atual dos controles
Tabulação e Análise dos Aspectos Considerados
Opcional: Validação dos Resultados
Elaboração do Relatório
Workshop para Análise dos Resultados
Valid
ação Base: Control Objectives e/ou
Management Guidelines(318 Objetivos Detalhados e/ou204 Descrições Específicas da EMM +coleta de evidências)
3
?
Base: Framework(34 Macro Objetivos ou Processos + lista de 280 aspectos considerados +6 Descrições Genéricas da EMM)
SENÃO Executar Validação ( Resultado3 ) Situação Atual = Resultado3
Etapas do Cobit Gap Analysis(Metodologia MADAH)
Self
Assesm
en
t
1
2
Base: Conceituação dos34 Macro Objetivos ou Processos +6 Descrições Genéricas da EMM
?
Etapas obrigatórias
Etapa opcional
SE Optou = Sim Delta = | Resultado1 (-) Resultado2 | SE Delta =< 20 % Situação Atual = MAIOR (Resultado1, Resultado2)
Situação Atual = MENOR (Resultado1, Resultado2)
Exemplo de aplicação doCobit Gap Analysis
Self
Assesm
en
t
1 Base: Conceituação dos34 Macro Objetivos ou Processos +6 Descrições Genéricas da EMM
Obtenção das avaliações medianteworkshop com os responsáveis (em conjunto)
M1 monitorar os processosM2 avaliar a adequação do controle internoM3 obter certificação independenteM4 providenciar auditoria independente
DS1 definir níveis de serviçosDS2 gerenciar serviços de terceirosDS3 gerenciar performance e capacidadeDS4 garantir continuidade dos serviçosDS5 garantir segurança dos sistemasDS6 identificar e alocar custosDS7 educar e treinar usuáriosDS8 auxiliar e aconselhar usuários de TIDS9 gerenciar a configuraçãoDS10 gerenciar problemas e incidentesDS11 gerenciar dadosDS12 gerenciar instalaçõesDS13 gerenciar a operação
AI1 identificar soluçõesAI2 adquirir e manter software aplicativoAI3 adquirir e manter arquitetura tecnológicaAI4 desenvolver e manter procedimentos de TIAI5 instalar e certificar sistemasAI6 gerenciar mudanças
PO1 definir um plano estratégico de TIPO2 definir a arquitetura de informaçãoPO3 determinar a direção tecnológicaPO4 definir a organização e relacionamentos da TIPO5 gerenciar o investimento em TIPO6 comunicar metas e diretivas gerenciaisPO7 gerenciar recursos humanosPO8 garantir cumprimento de exigências externasPO9 avaliar riscosPO10 gerenciar projetosPO11 gerenciar qualidade
• eficácia• eficiência• confidencialidade• integridade• disponibilidade• compliance• confiabilidade
• pessoas• sistemas aplicativos• tecnologia• instalações• dados
INFORMAÇÕES
PLANEJAMENTO EORGANIZAÇÃO
MONITORAÇÃO
AQUISIÇÃO EIMPLEMENTAÇÃO
OBJETIVOS DO NEGÓCIO
RECURSOS DE TI
PRODUÇÃO E SUPORTE
CCOBIOBITT
COBIT - PROCESSOS DE TI DEFINIDOS NOS QUATRO DOMÍNIOS
Macro Objetivos
Macro Objetivo Quesitos da Informação Recursos de TI
PO01 P eficácia pessoas
Controle sobre o processo de TI de que satisfaça a exigência do negócio de S eficiência aplicativos
confidencialidade tecnologia
integridade instalações
disponibilidade dados
é atingido mediante compliance
confiabilidade
e leva em consideração
Definir um plano estratégico de TI
∙ definição de como a TI suporta os objetivos do negócio
∙ inventário de soluções tecnológicas e infraestrutura atual
∙ monitoração dos mercados de tecnologia
definir um plano estratégico de TI alcançar um equilíbrio ótimo entre oportunidades de tecnologia de informação e necessidades de negócio para TI assim como assegurar seu atendimento
um processo de planejamento estratégico efetuado a intervalos regulares originando planos de longo prazo; os planos de longo prazo devem ser periodicamente traduzidos em planos operacionais estabelecendo metas claras e palpáveis de curto prazo
∙ a estratégia de negócios da empresa
∙ necessidade de patrocínio, suporte e revisão crítica da alta administração
∙ estudos de viabilidade tempestivos e conferência de seu realismo
∙ avaliações dos sistemas existentes
∙ posição da empresa no tocante a riscos, time-to-market e qualidade
Ponderação dosMacro Objetivos
Estágio
Ine
xis
ten
te
Inic
ial
Re
pe
titi
vo
De
fin
ido
Ad
min
istr
ad
o
Oti
miz
ad
o
RE
SU
LTA
DO
1
PO01 Definir um plano estratégico de TI S X 2PO02 Definir a arquitetura de informação S X 4PO03 Determinar a direção tecnológica S X 4PO04 Definir a organização e relacionamentos da TI S X 4PO05 Gerenciar o investimento em TI S X 4PO06 Comunicar objetivos e diretrizes da administração S X 4PO07 Gerenciar recursos humanos S X 4PO08 Garantia do cumprimento de exigências externas S X 4PO09 Avaliação de riscos S X 4PO10 Gerenciar projetos S X 4PO11 Gerenciar qualidade S X 1AI01 Identificar soluções S X 4AI02 Adquirir e manter software aplicativo S X 2
Ma
cro
Ob
jeti
vo
Descrição Ap
licá
ve
l?
Exemplo de aplicação doCobit Gap Analysis
Base: Framework(34 Macro Objetivos ou Processos + lista de 280 aspectos considerados +6 Descrições Genéricas da EMM)S
elf
Assesm
en
t
1
2
Base: Conceituação dos34 Macro Objetivos ou Processos +6 Descrições Genéricas da EMM
Obtenção das avaliações medianteentrevistas com os responsáveis (individuais)
Framework:Aspectos Considerados
Macro Objetivo Quesitos da Informação Recursos de TI
PO01 P eficácia pessoas
Controle sobre o processo de TI de que satisfaça a exigência do negócio de S eficiência aplicativos
confidencialidade tecnologia
integridade instalações
disponibilidade dados
é atingido mediante compliance
confiabilidade
e leva em consideração
Definir um plano estratégico de TI
∙ definição de como a TI suporta os objetivos do negócio
∙ inventário de soluções tecnológicas e infraestrutura atual
∙ monitoração dos mercados de tecnologia
definir um plano estratégico de TI alcançar um equilíbrio ótimo entre oportunidades de tecnologia de informação e necessidades de negócio para TI assim como assegurar seu atendimento
um processo de planejamento estratégico efetuado a intervalos regulares originando planos de longo prazo; os planos de longo prazo devem ser periodicamente traduzidos em planos operacionais estabelecendo metas claras e palpáveis de curto prazo
∙ a estratégia de negócios da empresa
∙ necessidade de patrocínio, suporte e revisão crítica da alta administração
∙ estudos de viabilidade tempestivos e conferência de seu realismo
∙ avaliações dos sistemas existentes
∙ posição da empresa no tocante a riscos, time-to-market e qualidade
Ponderação dosAspectos Considerados
Estágio
Inex
iste
nte
Inic
ial
Rep
etiti
vo
Def
inid
o
Ad
min
istr
ado
Otim
izad
o
PO01 Definir um plano estratégico de TI 2PO01 alcançar um equilíbrio ótimo entre oportunidades de tecnologia de informação e
necessidades de negócio para TI assim como assegurar seu atendimento
PO01 um processo de planejamento estratégico efetuado a intervalos regulares originando planos de longo prazo; os planos de longo prazo devem ser periodicamente traduzidos em planos operacionais estabelecendo metas claras e palpáveis de curto prazo
PO01 · a estratégia de negócios da empresa S X 0PO01 · definição de como a TI suporta os objetivos do negócio S X 1PO01 · inventário de soluções tecnológicas e infraestrutura atual S X 2PO01 · monitoração dos mercados de tecnologia S X 3PO01 · estudos de viabilidade tempestivos e conferência de seu realismo S X 2PO01 · avaliações dos sistemas existentes S X 2PO01 · posição da empresa no tocante a riscos, time-to-market e qualidade S X 3PO01 · necessidade de patrocínio, suporte e revisão crítica da alta administração S X 2
Mac
roO
bje
tivo
Descrição Ap
licáv
el?
PO
NT
UA
ÇÃ
O
Exemplo de aplicação doCobit Gap Analysis
Base: Framework(34 Macro Objetivos ou Processos + lista de 280 aspectos considerados +6 Descrições Genéricas da EMM)S
elf
Assesm
en
t
1
2
Base: Conceituação dos34 Macro Objetivos ou Processos +6 Descrições Genéricas da EMM
Apenas as etapas obrigatórias(neste exemplo)
A seguir, alguns modelos das saídas (resultados)
Quesitos da Recursos deInformação TI
efic
áci
ae
ficiê
nci
aco
nfid
en
cia
lida
de
inte
grid
ad
ed
isp
on
ibili
da
de
com
plia
nce
con
fiab
ilid
ad
e
pe
sso
as
ap
lica
tivo
s
tecn
olo
gia
inst
ala
çõe
s
da
do
s
PO01 Definir um plano estratégico de TI P S PO02 Definir a arquitetura de informação P S S S PO03 Determinar a direção tecnológica P S PO04 Definir a organização e relacionamentos da TI P S PO05 Gerenciar o investimento em TI P P S PO06 Comunicar Objetivos e Diretrizes da Administração P S PO07 Gerenciar recursos humanos P P PO08 Garantia do cumprimento de exigências externas P P S PO09 Avaliação de riscos P S P P P S S PO10 Gerenciar projetos P P PO11 Gerenciar qualidade P P P S
0
1
2
3
4
5PO01
PO02
PO03
PO04
PO05
PO06PO07
PO08
PO09
PO10
PO11
Padrão
Instituição
PO - PLANEJAMENTO E ORGANIZAÇÃO
PO01 - Definir um Plano Estratégico de TI
Macro Objetivo Quesitos da Informação Recursos de TI
PO01 P eficácia pessoas
Controle sobre o processo de TI de que satisfaça a exigência do negócio de S eficiência aplicativos
confidencialidade tecnologia
integridade instalações
disponibilidade dados
é atingido mediante compliance
confiabilidade
Definir um plano estratégico de TI
definir um plano estratégico de TI alcançar um equilíbrio ótimo entre oportunidades de tecnologia de informação e necessidades de negócio para TI assim como assegurar seu atendimento
um processo de planejamento estratégico efetuado a intervalos regulares originando planos de longo prazo; os planos de longo prazo devem ser periodicamente traduzidos em planos operacionais estabelecendo metas claras e palpáveis de curto prazo
· a estratégia de negócios da empresa S X 0· definição de como a TI suporta os objetivos do negócio S X 1· inventário de soluções tecnológicas e infraestrutura atual S X 2· monitoração dos mercados de tecnologia S X 3· estudos de viabilidade tempestivos e conferência de seu realismo S X 2· avaliações dos sistemas existentes S X 2· posição da empresa no tocante a riscos, time-to-market e qualidade S X 3· necessidade de patrocínio, suporte e revisão crítica da alta administração S X 2
Estágio
Inex
iste
nte
Inic
ial
Rep
etit
ivo
Def
inid
o
Ad
min
istr
ado
Oti
miz
ado
Descrição Ap
licáv
el?
PO
NT
UA
ÇÃ
O
PO11 - Gerenciar a Qualidade
Macro Objetivo Quesitos da Informação Recursos de TI
PO11 P eficácia pessoas
Controle sobre o processo de TI de que satisfaça a exigência do negócio de P eficiência aplicativos
confidencialidade tecnologia
P integridade instalações
disponibilidade dados
é atingido mediante compliance
S confiabilidade
Gerenciar qualidade
gerenciar a qualidade atender as especificações do usuário de TI
planejamento, implementação e manutenção de padrões e sistemas de gerenciamento da qualidade pela organização, que deve adotar e aplicar uma metodologia que forneça distintas fases de desenvolvimento bem como produtos e serviços ("entregáveis") claramente definidos, explicitando responsabilidades
Estágio
Ine
xis
ten
te
Inic
ial
Re
pe
titi
vo
De
fin
ido
Ad
min
istr
ad
o
Oti
miz
ad
o
Descrição Ap
lic
áv
el?
PO
NT
UA
ÇÃ
O
· estabelecimento de uma cultura da qualidade S X 1· plano de qualidade S X 0· responsabilidades pela garantia da qualidade S X 0· práticas de controle de qualidade S X 1· metodologia de ciclo de vida do desenvolvimento de sistemas S X 2· teste e documentação de programas e sistemas S X 2· revisões e relatórios de garantia de qualidade S X 0· treinamento e envolvimento do usuário final e do pessoal de garantia da qualidade S X 1· desenvolvimento de uma base de conhecimentos de qualidade S X 2· "benchmarking" contra padrões de mercado S X 2
0
1
2
3
4
5PO01
PO02
PO03
PO04
PO05
PO06PO07
PO08
PO09
PO10
PO11
Padrão
Instituição
PO - PLANEJAMENTO E ORGANIZAÇÃO
0
1
2
3
4
5AI01
AI02
AI03
AI04
AI05
AI06
Padrão
Instituição
AI - AQUISIÇÃO E IMPLEMENTAÇÃO
0
1
2
3
4
5DS01
DS02
DS03
DS04
DS05
DS06
DS07DS08
DS09
DS10
DS11
DS12
DS13
Padrão
Instituição
DS - PRODUÇÃO E SUPORTE
0
1
2
3
4
5M1
M2
M3
M4
Padrão
Instituição
M - MONITORAÇÃO
COBIT GAP ANALYSISAvaliação Geral
0
1
2
3
4
5PO01
PO02PO03
PO04
PO05
PO06
PO07
PO08
PO09
PO10
PO11
AI01
AI02
AI03
AI04AI05
AI06DS01
DS02DS03
DS04
DS05
DS06
DS07
DS08
DS09
DS10
DS11
DS12
DS13
M1
M2M3
M4
Padrão
Instituição
Workshop para Análise dos Resultados
Validação e obtenção de consenso sobre os resultados obtidos
Identificação e atribuição de prioridades
Elaboração de sumário executivo para apresentação à Alta Administração, com eventual sugestão de projetos de melhoria
Próximos Passos
Após o Gap Analysis:
– Avaliação de Custo/Benefício dos eventuais Projetos de Melhoria
– Aprovação dos Projetos– Desenvolvimento e Implementação– Certificação Independente