Você está na página 1de 60

UNIJUI - UNIVERSIDADE REGIONAL DO NOROESTE DO ESTADO DO RIO

GRANDE DO SUL

DCEEng DEPARTAMENTO DE CINCIAS EXATAS E ENGENHARIAS

A GOVERNANA DE TI COM AS MELHORES


PRTICAS DO COBIT

ALAN DRESSLER CHRISTMANN

Iju / RS
Dezembro/2013
2

UNIJUI - UNIVERSIDADE REGIONAL DO NOROESTE DO ESTADO DO RIO


GRANDE DO SUL

DCEEng DEPARTAMENTO DE CINCIAS EXATAS E ENGENHARIAS

A GOVERNANA DE TI COM AS MELHORES


PRTICAS DO COBIT

ALAN DRESSLER CHRISTMANN

Trabalho de Concluso de Curso


apresentado ao Curso de Informtica -
Sistemas de Informao do Departamento
de Cincias Exatas e Engenharias
(DCEEng), da Universidade Regional do
Noroeste do Estado do Rio Grande do Sul
(UNIJU), como requisito para a obteno
do ttulo Bacharel em Informtica -
Sistemas de Informao.

Orientador: Prof. Msc. Romrio Lopes Alcntara

Iju / RS

Dezembro / 2013
3

A GOVERNANA DE TI COM AS MELHORES


PRTICAS DO COBIT

ALAN DRESSLER CHRISTMANN

Trabalho de Concluso de Curso


apresentado ao Curso de Informtica -
Sistemas de Informao do Departamento
de Cincias Exatas e Engenharias
(DCEEng), da Universidade Regional do
Noroeste do Estado do Rio Grande do Sul
(UNIJU), como requisito para a obteno
do ttulo Bacharel em Informtica -
Sistemas de Informao.

______________________________________
Prof. Msc Romrio Lopes Alcntara

Orientador

BANCA EXAMINADORA

______________________________________

Prof. Msc Marcos Ronaldo Melo Cavalheiro

Coordenador da Disciplina

Iju / RS

Dezembro/2013
4

RESUMO

A alta competitividade entre empresas evidencia a real necessidade de pequenos


detalhes que fazem a diferena para o cliente na hora de escolher a empresa para fornecer o
servio e/ou produto. Esses detalhes podem ser muitas vezes processos que aumentam a
chance de sucesso dentro da empresa, por exemplo, processos de TI que facilitem a tomada de
deciso dos executivos.

Organizao e automatizao de processos internos a soluo para a atualidade. A


Governana de TI surgiu aps o mercado evidenciar uma real necessidade de ter tudo que
ocorre dentro de uma empresa sob controle dos executivos, das pessoas onde a tomada de
deciso precisa ser rpida e correta. A transparncia dos custos, do valor e dos riscos de TI foi
uma das maiores metas buscadas pela Governana de TI algum tempo atrs.

O framework COBIT focado no que necessrio para atingir um adequado controle


e gerenciamento de TI, ele foi alinhado e harmonizado com outros padres de boas praticas de
TI mais detalhados, englobando tudo que uma empresa necessita para se manter viva e
organizada no mercado competitivo atual.

Atravs do acompanhamento da implementao dos processos do COBIT possvel


ter conhecimento dos custos, riscos e valores embarcados em cada processo. A mensurao de
desempenho provida pelo COBIT o diferencial que a Governana de TI buscava.

Palavras Chave: Governana de TI, Gerenciamento de TI, Processos, COBIT.


5

ABSTRACT

The high competitiveness among companies highlights the real need for small details
that make a difference to the customer in choosing the company to provide the service and / or
product. These details can often be processes that increase the chance of success within the
company, for example, IT processes that facilitate the decision making of executives.

Organization and automation of internal processes is the solution to the present. IT


Governance has emerged after the market show a real need to have everything that occurs
within a company under the control of executives, people where decision making needs to be
quick and accurate. The transparency of costs, the value and risks of IT was one of the
greatest goals sought by IT Governance a while ago.

The COBIT framework is focused on what is necessary to achieve adequate control


and management of IT , it was aligned and harmonized with other standards of good practices
in IT more detailed , encompassing everything a company needs to stay organized and living
in the competitive market current .

By monitoring the implementation of COBIT processes can be aware of the costs,


risks and values embedded in each process. The performance measurement is provided by the
differential COBIT IT Governance sought.

Keywords: IT governance, IT management, processes, COBIT.


6

LISTA DE FIGURAS

Figura 1 - Empresas que utilizam Governana de TI e o COBIT 4.1.....................................19

Figura 2 Aplicao do COBIT..............................................................................................27

Figura 3 reas da Governana de TI.....................................................................................28

Figura 4 Cubo do COBIT 4.1, Critrios de informao (Requisitos de Negcios), Recursos


de TI, Processos de TI...............................................................................................................31

Figura 5 Exemplo fictcio de uma empresa e seu processo de implementao do COBIT


4.1..............................................................................................................................................54
7

LISTA DE ABREVIATURAS

TI Information Technology

COBIT Control Objectives for Information and Related Technology

ITIL Information Technology Infrastructure Library

TCU Tribunal de Contas da Unio

CEO Chief Executive Officer

EUA Estados Unidos da Amrica

EDIFACT Eletronic Data Interchange For Administration, Commerce and Transport

OECD Organisation for Economic Co-operation and Development

ISACA Information Systems Audit and Control Association

ITSEC Information Technology Security Evaluation Criteria

TCSEC Truted Computer System Evaluation Criteria

ISO International Organization for Standardization

TICKIT Certification Program for quality-management

COSO Committee of Sponsoring Organizations of the Treadway Commission

IFAC International Federation of Accountants

AICPA American Institute of Certified Public Accountants

CICA Canadian Institute of Chartered Accountants

IIA Institute of International Auditors

GAO Government Accountability Office

IBAG Integrative Bayesian Analysis of high-dimensional multiplatform genomics


data

NIST National Institute of Standards and Technology

DTI Diretoria de Tecnologia de Informao


8

SUMRIO
RESUMO ................................................................................................................................................ 4
ABSTRACT ............................................................................................................................................ 5
LISTA DE FIGURAS ............................................................................................................................. 6
OBJETIVOS ......................................................................................................................................... 11
Objetivo Geral ............................................................................................................................... 11
Objetivo Especfico ....................................................................................................................... 11
JUSTIFICATIVA .................................................................................................................................. 12
INTRODUO .................................................................................................................................... 13
1. ASPECTOS GERAIS DA GOVERNANA DE TI ..................................................................... 15
1.1 Surgimento da Governana de TI................................................................................................ 16
1.2 Diversos Frameworks de Governana de Tecnologia de Informao ......................................... 16
1.3 A Governana de TI na rea Publica Federal ............................................................................. 18
1.4 A Governana de TI na rea Privada ......................................................................................... 20
2. COMPARATIVO ENTRE AS DUAS FERRAMENTAS DE GOVERNANA MAIS
UTILIZADAS DA ATUALIDADE ..................................................................................................... 21
2.1 Escolha dos frameworks ou ferramentas para anlise ................................................................. 21
2.2 Introduo a Ferramenta ITIL ..................................................................................................... 21
2.3 Desvantagens de Implementar a ITIL ......................................................................................... 23
2.4 Benefcios da Implementao da ITIL ........................................................................................ 24
2.4.1 Benefcios para a Organizao ............................................................................................. 25
2.4.2 Benefcios para os clientes ................................................................................................... 25
3. O USO DAS MELHORES PRTICAS COM COBIT E SUA APLICABILIDADE.................. 26
3.1 Aprofundando-se no COBIT ....................................................................................................... 26
3.2 A misso do COBIT .................................................................................................................... 28
3.3 Contribuies estruturais que ajudaram o COBIT a ser o que hoje ......................................... 30
3.4 Resumo do Framework COBIT 4.1 ............................................................................................ 31
3.4.1 Planejar e Organizar ............................................................................................................. 33
3.4.1.1 Definir um plano estratgico de TI.................................................................................... 33
3.4.1.2 Definir a Arquitetura da Informao ................................................................................. 33
3.4.1.3 Determinar as Diretrizes da Tecnologia ............................................................................ 34
9

3.4.1.4 Definir os Processos, Organizao e Relacionamentos de TI ........................................... 34


3.4.1.5 Gerenciar o Investimento de TI ......................................................................................... 35
3.4.1.6 Comunicar metas e Diretrizes Gerenciais ......................................................................... 36
3.4.1.7 Gerenciar os recursos humano de TI ................................................................................. 36
3.4.1.8 Gerenciar a Qualidade ....................................................................................................... 37
3.4.1.9 Avaliar e Gerenciar os Riscos de TI .................................................................................. 37
3.4.1.10 Gerenciar Projetos ........................................................................................................... 38
3.4.2 Adquirir e Implementar ........................................................................................................ 38
3.4.2.1 Identificar solues automatizadas .................................................................................... 38
3.4.2.2 Adquirir e Manter Software Aplicativo............................................................................. 39
3.4.2.3 Adquirir e Manter Infraestrutura de Tecnologia ............................................................... 39
3.4.2.4 Habilitar Operao e Uso .................................................................................................. 40
3.4.2.5 Adquirir Recursos de TI .................................................................................................... 40
3.4.2.6 Gerenciar Mudanas .......................................................................................................... 41
3.4.2.7 Instalar e Homologar Solues e Mudanas ..................................................................... 41
3.4.3 Entregar e Suportar............................................................................................................... 42
3.4.3.1 Definir e Gerenciar Nveis de Servio .............................................................................. 42
3.4.3.2 Gerenciar Servios Terceirizados ...................................................................................... 43
3.4.3.3 Gerenciar o Desempenho e a Capacidade ......................................................................... 43
3.4.3.4 Assegurar a Continuidade dos Servios ............................................................................ 44
3.4.3.5 Garantir a Segurana dos Sistemas ................................................................................... 44
3.4.3.6 Identificar e Alocar Custos ................................................................................................ 45
3.4.3.7 Educar e Treinar Usurios ................................................................................................. 45
3.4.3.8 Gerenciar a Central de Servio e os Incidentes ................................................................. 46
3.4.3.9 Gerenciar a Configurao .................................................................................................. 46
3.4.3.10 Gerenciar Problemas ....................................................................................................... 47
3.4.3.11 Gerenciar os Dados ......................................................................................................... 47
3.4.3.12 Gerenciar o Ambiente Fsico ........................................................................................... 48
3.4.3.13 Gerenciar as Operaes ................................................................................................... 48
3.4.4 Monitorar e Avaliar .............................................................................................................. 49
3.4.4.1 Monitorar e Avaliar o Desempenho de TI......................................................................... 49
3.4.4.2 Monitorar e Avaliar os Controles Internos ........................................................................ 50
3.4.4.3 Assegurar a Conformidade com Requisitos Externos ....................................................... 50
10

3.4.4.4 Prover a Governana de TI................................................................................................ 51


3.5 Modelos de Maturidade ........................................................................................................... 51
3.6 Aplicabilidade do COBIT 4.1 ................................................................................................. 52
3.7 Benefcios na utilizao do COBIT 4.1................................................................................... 55
3.8 Malefcios na utilizao do COBIT 4.1................................................................................... 56
CONCLUSO ...................................................................................................................................... 57
REFERNCIAS .................................................................................................................................... 59
11

OBJETIVOS

Objetivo Geral

O Trabalho tem como objetivo analisar a importncia da Governana de TI, fazendo


uma analise mais profunda e tambm comparativa com algumas tecnologias do mercado mais
voltadas para a rea de Governana procurando focar na Tecnologia COBIT 4.1, seus
benefcios e aplicabilidade.

Objetivo Especfico

A pesquisa ter um estudo Exploratrio acerca do COBIT na qual identificar a


situao atual do framework e tambm do mercado em si, acerca das tecnologias disponveis
nessa rea.

No estudo Descritivo o trabalho registrar as informaes vinculadas tecnologia


assim como identificar os principais benefcios e malefcios trazidos pela ferramenta, tanto a
escolhida como as concorrentes e assemelhadas ou ate complementares.

No estudo Explicativo, o trabalho determinar alguns detalhes e pontos importantes


para que seja possvel realizar as observaes, e aprofundar o conhecimento acerca das
tecnologias aqui escolhidas e estudadas.
12

JUSTIFICATIVA

O tema abordado nesse trabalho de concluso suscita interesse tanto ao meio


acadmico quanto ao empresarial, por ser um assunto muito abordado na atualidade e de alto
diferencial para as empresas que possuem o conhecimento e a prtica da Governana de TI.

Usando como exemplo a empresa onde trabalho, posso verificar o dficit do uso de
sistemas de informaes ou at mesmo as simples tecnologias disponveis atualmente no
mercado e nessa enorme e sem preconceitos prateleira a qual chamamos de internet.

Por mais que o uso da TI no mostre diretamente o aumento na lucratividade da


empresa, podemos verificar que as empresas que possuem uma boa Governana de TI se
equivalem em nveis de organizao as suas concorrentes, evitando assim uma desigualdade
ou falta de competitividade entre as envolvidas (WEILL; ROSS, 2004).

Todos os cargos de alto poder de deciso sabem o quo importante para uma
empresa tomar as decises corretas e na hora correta, e isso muitas vezes no pode ser feito a
puro e simples achismo, so necessrias informaes, planilhas, relatrios e grficos
explicando e informando o caminho correto, o lado para qual levar a empresa e seus
funcionrios.

Segundo Queiroz (2006), a falta de controle efetivo de aes como, por exemplo,
medir os resultados obtidos, possibilitando a eventuais correes de rumo, resulta na perda de
recursos investidos, na percepo tardia de resultados negativos, na utilizao de ferramental
tecnolgico inadequado e/ou no oferecimento de produtos no alinhados s expectativas do
mercado. Os critrios de efetividade so, portanto, uma forma de posicionar a organizao
frente s estratgias estabelecidas anteriormente.

Sendo assim, a maioria das organizaes tem percebido que a TI j virou parte da
empresa, que no mais apenas um detalhe organizacional ou de capricho do Empresrio, a
TI esta passando por uma revoluo significativa, conduzida pelos novos modelos de negcio,
pelo poder dos consumidores, pelas operaes globais e tambm pelo surgimento das novas
tecnologias (CAMERON, 2006).
13

INTRODUO

A Informao algo extremamente valioso atualmente, e pode definir caminhos e


algumas vezes o destino de organizaes e empresas. Pensando pr ativamente, os Gerentes e
outros cargos do alto escalo perceberam a necessidade de obter, juntar, guardar as
informaes em local seguro e estud-las para auxiliar no processo de tomada de decises, o
que na maioria dos casos determinava altos ndices de sucesso e lucratividade, mesmo esse
ndice no podendo ser medido claramente.

As decises so tomadas pelo alto escalo, os cargos mais importantes da empresa, por
essa razo que o nome do conjunto de regras e mtodos ou melhores praticas para auxilio da
tomada de decises Governana de Tecnologia de Informao.

A falta de responsabilidades e informaes para tomar as decises corretas de acordo


com a estratgia da empresa um grande problema, e acontece muitas vezes em grande
empresas as quais so bem estruturadas, com amplo recurso humano e tecnologia.

Outros pequenos erros como, por exemplo: projetos duplicados, projetos ganhando
prioridade por razes polticas, prioridades de TI relacionadas prioridade de pessoas e no
do negcio, novos projetos adicionados sem foco e objetivos claros. Esses so problemas que
podem ser solucionados por melhores prticas que fazem parte da Governana de TI,
conforme Benson, Bugnitz e Walton (2004, p.33-35).

Usando como exemplo a empresa onde trabalho, posso verificar o dficit do uso de
sistemas de informaes ou at mesmo as simples tecnologias disponveis atualmente no
mercado e nessa enorme e sem preconceitos prateleira a qual chamamos de Internet.

Por mais que o uso da TI no mostre diretamente o aumento na lucratividade da


empresa, podemos verificar que as empresas que possuem uma boa Governana de TI se
equivalem em nveis de organizao as suas concorrentes, evitando assim uma desigualdade
ou falta de competitividade entre as envolvidas (WEILL; ROSS, 2004).
14

Todos os cargos de alto poder de deciso sabem o quo importante para uma
empresa tomar as decises corretas e na hora correta, e isso muitas vezes no pode ser feito a
puro e simples achismo, so necessrias informaes, planilhas, relatrios e grficos
explicando e informando o caminho correto, o lado para qual levar a empresa e seus
funcionrios.

A governana tecnolgica, ou governana de TI, considera a rea de TI no apenas


como suporte organizao, mas como uma rea fundamental para a gesto administrativa e
estratgica da organizao. Desse modo, a governana tecnolgica definida pelo ITGI
(2000a, p. 10) como a estrutura de relacionamentos entre processos para direcionamento e
controle de uma organizao de modo a alcanar objetivos corporativos, pela agregao de
valor e risco controlado atravs da utilizao da TI e de seus processos.

Como ncleo central da governana tecnolgica, a TI no pode ser simplesmente


entendida como a parte tecnolgica. Para Graeml (2003), a TI o conjunto de tecnologias
resultantes da utilizao simultnea e integrada de informtica e telecomunicaes, que
compreende um conjunto de processos inter-relacionados e interdependentes da organizao.

Na viso da ITIL, TI um agrupamento de hardware, de software, de instrumentos de


comunicao de dados, procedimentos, processos organizacionais e pessoas (OGC, 2002a).
Adicionalmente definio terica, a IDG Brasil (2006) classifica as reas de atuao das
empresas de tecnologia do Brasil como hardware, software, infraestrutura de TI,
telecomunicaes e canais de distribuio.

Na viso do COBIT, a responsabilidade da alta direo, consiste


em liderana, estruturas organizacionais e processos que garantem que a TI corporativa
sustenta e estende as estratgias e objetivos da organizao, processo pelo qual decises so
tomadas sobre os investimentos em TI, o que envolve: como as decises so tomadas, quem
toma as decises, quem responsabilizado e como os resultados so medidos e monitorados
(IT Governance Institute, 2007).

O COBIT independe das plataformas de TI adotadas nas empresas, tal como


independe do tipo de negocio e do valor e participao que a tecnologia da informao tem na
cadeia produtiva da empresa. Porem cada empresa pode dar um peso maior ou menos aos
controles implementados, de acordo com a importncia de TI para o seu negcio.
15

1. ASPECTOS GERAIS DA GOVERNANA DE TI

O Gerenciamento de Servios de TI segundo Magalhes e Pinheiro (2007) um servio


destinado para auxiliar as organizaes quanto ao gerenciamento e a integrao entre pessoas
(Clientes, Funcionrios...), processos e tecnologias. O objetivo principal a entrega e o
suporte aos servios de TI.

A governana tecnolgica, ou governana de TI, considera a rea de TI no apenas


como suporte organizao, mas como uma rea fundamental para a gesto administrativa e
estratgica da organizao.

Desse modo, a governana tecnolgica definida pelo ITGI (2000a, p. 10) como a
estrutura de relacionamentos entre processos para direcionamento e controle de uma
organizao de modo a alcanar objetivos corporativos, pela agregao de valor e risco
controlado atravs da utilizao da TI e de seus processos.

Como ncleo central da governana tecnolgica, a TI no pode ser simplesmente


entendida como a parte tecnolgica. Para Graeml (2003), a TI o conjunto de tecnologias
resultantes da utilizao simultnea e integrada de informtica e telecomunicaes, que
compreende um conjunto de processos inter-relacionados e interdependentes da organizao.

O servio de Governana tem como foco as necessidades dos clientes e estratgia de


negcio da organizao visando os objetivos de custo e desempenho atravs de acordos do
nvel de servio entre a rea de TI e as demais reas de negcio da empresa.

Conforme Magalhes e Pinheiro (2007), sua utilizao possvel em qualquer


organizao independentemente do seu segmento (Governamental, Pequenas e Mdias
Empresas, Multinacionais, fornecedores de servios de TI por outsourcing contratao
externa...) ou tamanho, podendo ser implantada at mesmo com apenas uma pessoa
destinada pela rea de TI.
16

1.1 Surgimento da Governana de TI

A necessidade de se obter uma Governana de TI operante originou-se com as


necessidades de controle, transparncia e previsibilidade das empresas nos meados dos anos
90. Nessa poca a demanda por governana de TI era notvel, mas a economia em ritmo
galopante fez com que essa necessidade ficasse em segundo plano, esquecida, pois os lucros
demonstravam que tudo ia de bem a melhor.

Na segunda metade dos anos 90, algo inesperado e de carter mundial aconteceu, uma
crise envolvendo muitos pases, entre eles a Rssia, o Mxico e a sia, fez com que os
investidores mudassem de comportamento, passando a ver a importncia de um controle
efetivo e a capacidade de previso, exigindo assim dos lderes administrativos e financeiros
das empresas, mais conhecidos como CEOS, um maior acerto nas precises oramentrias.

Conseguimos alcanar um nvel desejvel de Governana Tecnolgica apenas no final


dos anos 2000, o que representou um enorme avano para a rea de Governana. Mesmo com
esse grande avano, a economia ainda tinha uma necessidade de aprimorar os processos e ter
melhores resultados, o que somente veio acontecer aps o Bug do milnio, onde a
governana se tornou algo indispensvel e at mesmo prioridade nas mesas dos CEOS.

O que trouxe as empresas a se consolidar em um nvel considerado essencial de


Governana de TI foi lei Sarbanes-Oxley (lei de conformidade fiscal americana, mais
conhecida como lei SOX, a qual permite que os responsveis das empresas sejam presos em
casos de fraudes contra a economia). Essa lei fez com que as empresas consolidassem a
documentao e processos para efetivao de uma Governana de TI ativa e com extrema
importncia em todos os setores da empresa (SARBANES-OXLEY, 2002).

1.2 Diversos Frameworks de Governana de Tecnologia de Informao

A diversidade de modelos e opes que so oferecidos no mercado para tornar o


processo de maturidade da Governana de TI de uma empresa mais fcil, enorme. Temos
17

diversas maneiras de fazer a mesma coisa, muitos modelos so parecidos em sua natureza ou
modo de trabalho, mas quase todos so diferentes em seu interior, em seu resultado final.

Embora possa haver alguma sobreposio entre alguns modelos, na maioria das vezes
eles no entram em conflito entre si, mas sim so complementares uns aos outros. Sendo
assim uma empresa pode utilizar de vrios modelos de Governana sem que haja problemas.

No mercado atual, os mais conhecidos modelos e frameworks de Governana de TI


so os seguintes:

COBIT Control Objectives for Information and Related Technology:


Objetivos de Controle para a informao e Tecnologia traduo do seu nome
original do Ingls, inicialmente criado para alinhar os recursos e processos de
TI com os objetivos de negocio, padres de qualidade, controle monetrio e
necessidade de segurana (OLTISIK, 2003). Composto por quatro domnios:
Planejamento e Organizao, Aquisio e Implementao, Entrega e Suporte e
Monitoramento. Este Framework o foco desse trabalho de Concluso.

ITIL Information Technology Infrastructure Library: Biblioteca de


Infraestrutura, Informao e Tecnologia a traduo do seu nome original do
Ingls, criado no final dos anos 80 pela CCTA (Central Computing and
Telecommunications Agency) por um pedido do governo britnico, reunindo
um conjunto de informaes divididas em dois blocos: Suporte de Servios e
Entrega de Servios (CACIATO, 2004). Neste modelo temos descritos os
processos necessrios para gerenciar a infraestrutura de TI de uma organizao
eficazmente e eficientemente, de modo a garantir os nveis de servio
acordados com os clientes internos e externos, tudo isso no passa de
disciplinas tticas, ou de planejamento, e operacionais.

PMI Project Management Institute: Instituto de Administrao de Projetos,


a traduo do seu nome original do Ingls, uma organizao sem fins
lucrativos, composta por profissionais da rea de gerenciamento de projetos.
Faz parte do PMBOK (Guide to the Project Management Body of Knowledge),
pois possui suas definies e processos publicados dentro desse projeto. O PMI
18

um manual que consegue definir e descrever habilidades, ferramentas e


tcnicas para o gerenciamento de um projeto em seu total desenvolvimento.
Ele dividido em Cinco partes, so elas: Incio, Planejamento, Execuo,
Controle e Fechamento, bem como Nove reas do conhecimento: Integrao,
Escopo, Tempo, Custo, Qualidade, Recursos Humanos, Comunicao, Anlise
de Risco e Aquisio (GAMA, 2008).

CMM Capability Maturity Model for Software: Modelo de Capacitao e


Maturao para Programas, a traduo do seu nome original do Ingls, foi
criado por um grupo de profissionais da rea de Software da Universidade
Carnegie Mellon de Pittsburgh, EUA. Teve sua primeira verso publicada em
1991, e possui cinco nveis sequenciais bem definidos: Inicial, Repetvel,
Definido, Gerencivel e otimizado. Esses nveis fazem parte de uma escala
crescente para mensurar a maturidade das organizaes de software e ajudam
as organizaes a definir prioridades nos esforos de melhoria dos processos
(GAMA, 2008).

BSC Balanced Scorecard: Grfico Balanceado, a traduo do seu nome


original do Ingls, criado por Robert Kaplan e David Norton nos anos 90,
constitui-se em um novo modelo de gesto estratgica, completamente baseado
em indicadores financeiros e no financeiros vinculados estratgia
organizacional e divididos em Quatro perspectivas de avaliao: financeira,
clientes, processos internos e aprendizado e crescimento (KAPLAN E
NORTON, 1997).

1.3 A Governana de TI na rea Publica Federal

Em 2007 foi realizado sob a responsabilidade do Tribunal de Contas da Unio o


primeiro levantamento de Governana de TI na rea da Administrao Publica Federal de
nosso pas, naquele ano, duzentas e cinquenta e cinco instituies federais participaram, as
participantes tiveram que responder a 39 questes com alternativas e aps enviando os
devidos relatrios dentro de um prazo definido (TCU, 2010).
19

Aps esse levantamento foi proposto um Acrdo n 1.603/2008-TCU - Plenrio,


assim ficou determinado a Sefti (Secretaria de Fiscalizao de Tecnologia de Informao)
novos levantamentos futuros buscando comparaes e medies do desempenho e evoluo
dos processos (TCU, 2010).

O novo levantamento foi realizado no ano de 2010, onde trezentas e quinze


instituies estavam aptas a enviar seu relatrio, mas foram considerados aptos para a
estatstica apenas as duzentas e cinquenta e cinco que participaram do levantamento no ano de
2007, para facilitar e apurar as comparaes e medies, esse numero representa
aproximadamente 79% dos recursos previstos nos Oramentos da Unio (TCU, 2010).

A partir dos dados que foram coletados e analisados, o ministro Aroldo Cedraz, relator
deste Sumrio Executivo, chegou aos seguintes pontos crticos:

A rea da Segurana da Informao chama ateno pelo alto ndice de no


conformidade com as boas praticas internacionais usadas como base na
pesquisa, sugerindo que, de forma geral, as organizaes pblicas, alm de no
tratarem os riscos aos quais esto expostas, os desconhecem.

Falta maturidade na gesto dos ativos de tecnologia, como o estabelecimento


de processos de gesto contratual, de planejamento da contratao e de gesto
de servios da TI, os quais ainda so pouco implantados.

Conceitos de Governana de TI so pouco difundidos nas Instituies Pblicas


Federais, de uma forma que a alta administrao no se considera responsvel
pelas polticas corporativas de TI e tambm no por prover a estrutura bsica
para que sua governana seja efetiva.

Desde modo, o TCU chegou a seguinte concluso:

Os benefcios estimados no presente trabalho, a partir da identificao dos pontos


mais vulnerveis da governana de TI da rea Pblica Federal, so: a induo da
melhoria da estrutura de governana de TI por meio de recomendaes aos rgos
governantes superiores, a induo de melhorias nos processos internos das
instituies pblicas participantes do levantamento, bem como o subsdio ao
processo de planejamento de aes de controle da Sefti e de outras unidades do
TCU.
20

1.4 A Governana de TI na rea Privada

A Governana de TI pode ser aplicada tanto na rea publica como na rea privada. Afinal
a nica diferena entre esses setores que o Setor pblico fornece servios pblicos, no
servios para a venda. O aspecto financeiro que diferencia o setor pblico do privado, permite
com mais facilidade e resultado a aquisio de tecnologias de ponta, sendo que o investimento
trar competitividade, ganhos financeiros e reduo de custos para as empresas privadas, pois
elas se enquadram em setores extremamente competitivos, diferente das organizaes do setor
publico. (ROCHELEAU, 2002)

Na rea privada temos cargos e funes muito bem definidas, supervisores,


coordenadores e diretores esto sempre disposio para tirar duvidas e necessitam dos
relatrios e outras formas utilizadas para medir o desempenho regulamente, mantendo uma
rotina de responsabilidades e compromissos, ou seja, a estrutura organizacional bem
definida permitindo que os objetivos e estratgias da organizao sejam alcanados.

A Governana de TI tambm traz como beneficio para as empresas da rea privada a


possibilidade de condensar as informaes de uma forma prtica e confivel, auxiliando a
tomada de decises difceis dos executivos da organizao relacionadas a questes de valor,
risco e controles.

Figura 1 Empresas que utilizam Governana de TI e o COBIT 4.1.

Fonte: Governace Institute (2013, p. 29).


21

2. COMPARATIVO ENTRE AS DUAS


FERRAMENTAS DE GOVERNANA MAIS
UTILIZADAS DA ATUALIDADE

Nesse capitulo do trabalho sero abordados dois frameworks de Governana de TI,


para que seja feita uma analise comparativa entre os dois modelos escolhidos, como por
exemplo, identificando qual deles trs para o cliente (empresa ou organizao) os melhores
benefcios e/ou dificuldades em sua aplicao e acompanhamento.

2.1 Escolha dos frameworks ou ferramentas para anlise

Efetuando uma pesquisa rpida na rede mundial e com os mestres que nos cercam em
nosso meio universitrio possvel observar um grande avano na divulgao e espao de
mercado que a ITIL vem ganhando dentro do meio acadmico assim como empresarial, e
tambm verificamos o avano da ferramenta a qual o assunto nesse trabalho abordado, o
COBIT, que tambm esta dentre as ferramentas plausveis e mais escolhidas para ajudar o
setor de tecnologia de informao na parte da governana de TI da maioria das empresas.

2.2 Introduo a Ferramenta ITIL

ITIL (Information Technology Infrastructure Library) que significa: Biblioteca de


Estrutura e Informao da Tecnologia, um conjunto de praticas criadas e transformadas em
livros, os quais visam auxiliar o Gerenciamento da TI nas empresas. Ou seja, este modelo de
boas prticas quando alinhadas com a TI, proporcionam uma gesto com nfase na eficincia
e eficcia. Oliveira (2011), Magalhes e Pinheiro (2007), compartilham do mesmo
pensamento ao afirmarem que a ITIL um dos modelos de referncia mais aceitos
globalmente.
22

A ITIL surgiu com a necessidade que os profissionais da rea de TI tinham de ter um


material que reunisse as melhores praticas para a Governana de TI, assim a CCTA (Central
Communications and Telecom Agency) ao final da dcada de 80, baseada em diversas
pesquisas realizadas por Consultores, Especialistas e Doutores, criou a ITIL e a disponibilizou
para o mundo da Tecnologia da Informao. Atualmente a ITIL esta sob a custodia do OGC
(Office of Government Commerce) (OLIVEIRA, 2011)

A ITIL sempre manteve a sua gesto focada nos clientes e/ou usurios da TI, visando
garantir a qualidade nos servios desses sistemas atravs da estruturao de processos,
gerenciamento dos processos, organizada em disciplinas facilitando assim a organizao
gerencial ttica e operacional da empresa com o objetivo de alinhar a estratgia com os
negcios, trazendo assim uma melhor experincia e satisfao do cliente final.

Em sua primeira verso a ITIL apresentava 40 livros com as melhores prticas


conhecidas pelos profissionais da rea de TI, assim ficou conhecida como uma biblioteca,
pelo seu tamanho e volume, trazia muitas informaes, mas era longa e complexa.

A primeira reviso da biblioteca ITIL veio nos meados do sculo 20, mais conhecida
como segunda verso da ITIL, esta trazia apenas sete volumes que foram os seguintes:

Service Support (Suporte aos Servios);


Service Delivery (Entrega dos Servios);
Planning and Implementation (Planejamento e Implementao) ;
Application Management (Gerenciamento de Aplicaes);
Security Management (Gerenciamento da Segurana);
Infraestructure Management ICT (Gerenciamento da Infraestrutura de TI e
Comunicaes);
Business Perspective (Perspectiva do Negcio).

Atualmente podemos contar desde o ano de 2007 com a terceira verso da ITIL, a qual
composta por apenas cinco livros, os quais englobam os tpicos de estratgia, design,
transio e operao de servios e melhorias continuas nos servios que fazem parte da ITIL,
sendo assim a nova verso aborda os processos de forma mais completa e ao mesmo tempo
mais enxuta identificando a necessidade, a estratgia, o seu desenho, a sua implementao, a
23

operao e tambm a sua extino, todas essas etapas formam o to importante ciclo de vida
do servio, o qual se bem realizado trs a to importante satisfao do cliente.

Essa segunda reviso composta pelos seguintes volumes:

Service Strategy (Servio de Estratgia);


Service Design (Servio de Design);
Service Transition (Servio de Transio);
Service Operations (Servio de Operaes);
Continual Service Improvement.

Assim como o COBIT a ITIL pode ser a ferramenta utilizada em empresas dos mais
diversos tipos e tamanhos, desde pequenas e mdias empresas a grandes e multinacionais
empresas do setor privado e tambm organizaes governamentais assim como os demais
tipos de empresas e organizaes.

A ITIL se assemelha com as demais ferramentas de Governana de TI a tal ponto que


ela compatvel com elas e pode ser utilizada ao mesmo tempo e at mesmo ajuda a organizar
e fornecer uma analise mais profunda do estado atual da empresa, as ferramentas que so
normalmente mais utilizadas em conjunto com a ITIL so: o COBIT, o PMBOK e a CMMI
(MAGALHAES E PINHEIRO, 2007).

2.3 Desvantagens de Implementar a ITIL

Acerca das desvantagens dessa ferramenta temos pouca informao, e esta provem de
empresas que adotaram o framework e acabaram identificando os pontos fracos da ITIL,
como por exemplo, SESI e SENAI, ambos em So Paulo, e ambas instituies de ensino que
possuem filiais em todo o territrio brasileiro.

Esse levantamento realizado pelo SESI e SENAI foi realizado em Dezembro de 2009
pela rea de TI com o objetivo de serem analisados, sendo possvel assim uma melhoria no
servio que a ITIL se prope a prestar (OLIVEIRA, 2011).
24

Normas que so difceis de implementar - Os Standards, como so chamadas


as regras da ITIL, descrevem em sua biblioteca de melhores praticas o que
precisa ser feito, mas no descreve e nem mostra como esse processo
implementado para que resulte no objetivo previsto, existindo uma lacuna
complexa onde muitas vezes o profissional acaba se perdendo ou deixando o
trabalho de lado desmotivado.

No define medidas de acompanhamento - A ITIL no trs para os usurios


modelos ou exemplos de medidas para acompanhamento e medio dos
resultados que as empresas obtm durante o processo de implementao.

No conseguir mapear os processos de negocio nos processos de TI Esta


considerada a maior fraqueza desse modelo de governana. Pois a ITIL
apresenta um conjunto de itens que deve ser usada pela rea de TI da empresa
para atingir o objetivo, ou seja, os Standards so usados para criar a mudana
propriamente dita na organizao, e no a mudana como todos pensamos ao
comear a trabalhar com esse framework. Assim cada organizao livre para
criar seu prprio caminho ate que a empresa esteja completamente de acordo
com a situao da norma, fazendo com que o objetivo principal esteja
concludo.

2.4 Benefcios da Implementao da ITIL

Os benefcios da implementao da ITIL so benficos para a organizao que


implementa esse framework, e tambm para os clientes que essa empresa ou organizao
negocia seus produtos ou servios. Como a ITIL focada nos processos, a empresa que a
utiliza, normalmente ganha destaque no nicho de mercado em que atua, tendo assim uma
breve vantagem das outras empresas (OLIVEIRA, 2011).
25

2.4.1 Benefcios para a Organizao

Melhor Gesto de Mudana;

Reduo dos Custos de TI;

TI alinhado com o negcio;

Preparado para usar ferramentas para gerir TI;

Framework para decises de outsourcing;

Modelo de Referncia Uniforme para comunicao mutual;

Mudanas culturais no sentido de fornecimento de servios;

Organizao de TI mais sistemtica e clara;

Procedimentos estandardizados e fceis de compreender/reconhecer;

Menor duplicao de trabalho e por isso um aumento de eficincia;

um salto inicial para uma certificao ISO-9000.

2.4.2 Benefcios para os clientes

Servios de TI, bem documentado e detalhado;

Ambiente de TI mais estvel;

Aumento de confiana e de credibilidade sendo o objetivo final a garantia e uma


qualidade de fornecimento de servios;

Canais de comunicao claros;

Diminuio do tempo que os novos produtos de TI demoram a chegar ao mercado.


26

3. O USO DAS MELHORES PRTICAS COM COBIT


E SUA APLICABILIDADE

Nesse Capitulo ser abordado com mais detalhes e dados o framework COBIT em sua
verso 4.1. Ser feita uma analise acerca dos benefcios e implementao da ferramenta.

3.1 Aprofundando-se no COBIT

O COBIT uma estrutura de gerenciamento que se dedica ao ciclo de vida completo


do investimento de TI. A estrutura suporta as realizaes de TI as metas corporativas, garante
o alinhamento de TI corporativo e melhora a eficincia e produtividade de TI, disse Roger
Debreceny, diretor do Comit Geral COBIT do ITGI.

Usado amplamente como uma ferramenta de conformidade com o Sarbanes-Oxley (lei


de conformidade fiscal americana, mais conhecida como lei SOX) e muitos outros padres
globais, o COBIT pr-data o controle legislativo sendo executado mundialmente.

Esta ferramenta um produto de 15 anos de pesquisa e cooperao entre os experts


corporativos e de TI globais e uma estrutura de unificao internacional que integra todos os
principais padres de tecnologia de informao globais, incluindo ITIL, CMMI e ISO17799
(IT Governance Institute, 2007).

A estrutura COBIT aceita internacionalmente como uma boa prtica para o controle
da informao, de TI e dos riscos relacionados. O COBIT usado para implementar
governana de TI e melhorar os seus controles. A estrutura contm metas de controle,
diretrizes de garantia, medida de desempenho e resultado, fatores crticos de sucesso e
modelos de maturidade. Os estudos dos casos COBIT apresentando organizaes tais como a
Harley-Davidson, Prudential sia e Unisys esto disponveis no http://www.itgi.org (IT
Governance Institute, 2007).
27

A primeira edio foi liberada em 1996, com base em referencias sobre auditoria e
objetivos de controle. Quem reuniu essas informaes foi o ISACF (Information Systems
Audit and Control Foundation). Os objetivos de controle detalhados e de alto nvel foram
revisados para a 2 edio publicada em 1998 acrescida de ferramentas de implementao. A
3 edio foi lanada em 2000 e foi marcada como a primeira publicao do IT Governance
Institute, contando com uma ferramenta adicional Management Guidelines. (GULDENTOPS,
2002).

A sua 4 edio veio em 2005 e tinha por nomenclatura COBIT 4.0, tinha maior
consolidao e detalhamento de instrumentos gerenciais. O COBIT 4.1 veio em 2007 e no
trouxe nada de novo, apenas um refinamento acerca da verso 4.0.

A sua verso mais atualizada a 5.0 e foi lanada em 2012, ainda esta engatinhando
na viso dos auditores e usurios.

O COBIT foi projetado para ser utilizado por trs pblicos distintos. So eles:

a. Administradores podem fazer uso do COBIT para auxili-los na avaliao


entre risco, investimento e controle de ambientes muitas vezes imprevisveis,
como o de TI.

b. Usurios podem utilizar para se certificarem da segurana e dos controles dos


servios de TI fornecidos internamente ou por terceiros.

c. Por ltimo, mas no menos importante, o COBIT tambm pode ser utilizado
por auditores de sistemas onde serve como subsdio das opinies emitidas ou
para prover aconselhamento aos administradores sobre os controles internos.
28

Figura 2 Aplicao do COBIT

Fonte: Fund. Bradesco (2013, p.15)

3.2 A misso do COBIT

O livro do COBIT 4.1 traz por definio na pagina 13, a seguinte misso de seu
Framework:

Pesquisar, desenvolver, publicar e promover um conjunto de objetivos de controle


para tecnologia que seja embasado, atual, internacional e aceito em geral para o uso
do dia-a-dia de gerentes de negcio e auditores.

O COBIT ajuda a direcionar ou priorizar os esforos e recursos da TI para atender aos


requisitos do negcio. A adoo do COBIT no tem como meta controlar todos os processos,
mas apenas identificar quais processos da TI esto impactando, ou gerando riscos para o
negcio, de modo a priorizar o gerenciamento destes processos.
29

Conforme o ITGI o framework do COBIT foi criado tendo como principais


caractersticas o foco no negcio, a orientao a processos, ser baseado em controles e
direcionado por mtricas. Adotar COBIT ajuda uma empresa a implementar boas prticas em
governana de TI, pois ele oferece um guia de melhores prticas e direcionamento, assim
como a ITIL. Sua estrutura classifica os processos em Quatro grandes grupos, criando
diversos processos menores, com mais detalhes onde apresenta atividades em uma estrutura
gerencivel e lgica.

Figura 3 reas da Governana de TI

Fonte: Governance Institute (2013, p. 29).


30

A figura acima mostra as reas da Governana de TI, as quais so abrangidas pelo


COBIT. Cada uma delas tem o seu significado, e para um melhor entendimento futuro, coloco
abaixo um breve detalhamento das reas mostradas conforme o ITGI (2007, p.8):

Strategic Alignment Alinhamento Estratgico: Visa integrar a TI ao


escopo do negocio, atribuindo responsabilidades, incorporando a TI
com as operaes rotineiras.
Value Delivery Entrega de Valor: Garantir que a TI seja efetiva,
cumprindo os prazos determinados por meio dos acordos estabelecidos.
Risk Management Gesto de Risco: Requer concentrao e
investimento na elaborao de planos de preveno, priorizando a
transparncia das transaes.
Resource Management Gesto de Recursos: serve para que seja
escolhida a melhor maneira de investimento na TI e seus recursos de
trabalho, tais como aplicativos e pessoas.
Performance Measurement Mensurao de Desempenho: como a TI
verificara os resultados, medindo o desempenho das aes.

3.3 Contribuies estruturais que ajudaram o COBIT a ser o que hoje

O COBIT chegou a sua estrutura atual contando com um conjunto de contribuies de


vrias empresas e organismos internacionais, entre eles podemos citar:

Padres tcnicos da ISO e EDIFACT, dentre outros.

Cdigos de conduta emitidos pelo Conselho de Europa, OECD, ISACA e


outros.

Critrios de qualificao para TI e processos: ITSEC, TCSEC, ISO 9000,


SPICE, TickIT dentre outros.
31

Padres profissionais para controles internos e auditoria, como o COSO, IFAC,


AICPA, CICA, ISACA, IIA, GAO e outros.

Prticas e exigncias dos fruns da indstria e das plataformas recomendadas


pelos governos (IBAG, NIST, DTI), etc..

Exigncias das indstrias emergentes como operao bancria, comrcio


eletrnico e engenharia de software.

Com a dependncia cada vez maior nos recursos de tecnologia as organizaes


passam a ter a necessidade de demonstrar controles crescentes em segurana.

3.4 Resumo do Framework COBIT 4.1

O COBIT definido por quatro grandes reas, e cada rea tem seus objetivos e
processos com foco diferenciado, conforme Governance Institute (2007, p. 30-170) segue
breve relato do framework COBIT 4.1.

A estrutura do resumo ser assim disposta: breve resumo dos objetivos do Processo,
relao de importncia para com os Requisitos de Negcios, os quais esto dispostos no Cubo
do COBIT na Figura Quatro, quais os recursos de TI amplamente utilizados nesse processo,
os quais tambm esto na Figura a seguir, e tambm ser detalhado em quais reas da
Governana de TI o processo se encaixa com mais importncia.

A seguir uma representao do CUBO para melhor entendimento:


32

Figura 4 Cubo do COBIT 4.1, Critrios de informao (Requisitos de Negcios), Recursos de TI,
Processos de TI.

Fonte: Governance Institute (2013, p. 27).


33

3.4.1 Planejar e Organizar

Esta grande rea do COBIT composta por Dez processos, so eles:

3.4.1.1 Definir um plano estratgico de TI

Segundo o ITGI (2010, p.31), o planejamento estratgico da organizao necessrio


para gerenciar todos os recursos de TI em alinhamento com as prioridades e estratgias do
negcio, melhorando assim o entendimento entre as partes interessadas, no que diz respeito a
oportunidades e limitaes da TI, avaliar o desempenho atual e esclarecer o nvel de
investimento requerido. A estratgia e as prioridades de negcio devem ser refletidas nos
portflios e executadas por meio de planos tticos de TI que estabeleam objetivos concisos,
tarefas e planos bem definidos e aceitos pelas duas partes, negcio e TI.

Relacionamento para com os Critrios de informao: Primrio com a Eficcia


e Secundrio com a Eficincia.
Recursos de TI utilizados: Aplicaes, Informao, Infraestrutura e Pessoas.
reas de Foco: Primrio com o Alinhamento Estratgico e Secundrio com
Gesto de Recursos e Gesto de Risco.

3.4.1.2 Definir a Arquitetura da Informao

Conforme o ITGI (2007, p.35), os sistemas de informaes devem criar e manter


atualizados um modelo de informao do negcio e definir os sistemas apropriados para
otimizar o uso dessa informao. Isso abrange o desenvolvimento de um dicionrio de dados
corporativos com as regras de sintaxe de dados, a classificao desses dados e os nveis de
segurana da organizao. Isso tudo melhora a qualidade de deciso do gerenciamento,
certificando-se que informaes seguras e confiveis sejam fornecidas, racionalizando os
recursos de sistemas de informaes para atender as estratgias de negocio de forma
apropriada, e tambm aumentando a responsabilidade pela integridade e segurana dos dados,
34

melhorando o controle efetivo acerca do compartilhamento de informaes atravs de


aplicaes e entidades.

Relacionamento para com os Critrios de informao: Primrio com a


Eficincia e Integridade e Secundrio com a Eficcia e Confidencialidade.
Recursos de TI utilizados: Aplicaes e Informao.
reas de Foco: Primrio com o Alinhamento Estratgico e Gesto de Recursos
e Secundrio com Entrega de Valor e Gesto de Risco.

3.4.1.3 Determinar as Diretrizes da Tecnologia

De acordo com o ITGI (2007, p.39), o direcionamento tecnolgico dado pelos


esponsveis de sistemas de Informaes para suportar o negocio, demanda a criao de um
plano de infraestrutura tecnolgica e um conselho de arquitetura que estabelea e gerencie
expectativas claras e realistas do que a tecnologia pode oferecer em termos de produtos,
servios e mecanismos de entrega. Necessita de atualizao regularmente e abrange aspectos
como arquitetura de sistemas, direcionamento tecnolgico, plano de aquisies, padres,
estratgias de migrao e contingencia, permitindo respostas rpidas e mudanas importantes
em um ambiente competitivo, economia de escala em equipes e em investimentos de sistemas
de informao, bem como melhor interoperabilidade entre plataformas e operaes.

Relacionamento para com os Critrios de informao: Primrio com a Eficcia


e Eficincia.
Recursos de TI utilizados: Aplicaes e Infraestrutura.
reas de Foco: Primrio com Gesto de Recursos e Secundrio com
Alinhamento Estratgico, Entrega de Valor e Gesto de Risco.

3.4.1.4 Definir os Processos, Organizao e Relacionamentos de TI

Conforme o ITGI (2007, p.43), uma organizao de TI definida considerando os


requisitos de pessoal, habilidades, funes, autoridade, papis e responsabilidades,
35

rastreabilidade e superviso. Isso tudo deve fazer parte de uma organizao que possua um
comit que assegure controle e transparncia, alm de envolver executivos snior e a direo
do negcio. Os processos, as politicas administrativas e os procedimentos precisam estar
estabelecidos para todas as funes, com especial ateno s de controle, garantia de
qualidade, gesto de risco, segurana da informao, propriedade de sistemas e dados e
segregao de funes. Para assegurar o rpido atendimento das exigncias do negocio, a TI
deve ser envolvida nos processos de deciso relevantes.

Relacionamento para com os Critrios de informao: Primrio com a Eficcia


e Eficincia.
Recursos de TI utilizados: Pessoas.
reas de Foco: Primrio com Gesto de Recursos e Gesto de Risco e
Secundrio com Alinhamento Estratgico.

3.4.1.5 Gerenciar o Investimento de TI

Segundo o ITGI (2007, p.49), estabelecer e manter uma estrutura para gerenciar os
programas de investimentos em TI que contemple custos, benefcios, prioridade dentro do
oramento, um processo formal de definio oramentaria e gerenciamento de acordo com o
oramento. Mantendo as partes interessadas sempre informadas para identificar e controlar os
custos totais e benefcios dentro dos contextos estratgicos e tticos da TI e iniciar correes
quanto necessrio. Promove a parceria entre a TI a as partes interessadas do negocio, permite
o uso eficaz e eficiente dos recursos da TI, prove transparncia, atribui responsabilidade pelo
custo total de propriedade, realizao dos benefcios do negocio e do retorno sobre os
investimentos de TI.

Relacionamento para com os Critrios de informao: Primrio com a Eficcia


e Eficincia e Secundrio com a Confiabilidade.
Recursos de TI utilizados: Aplicaes, Infraestrutura e Pessoas.
reas de Foco: Primrio com Entrega de Valor e Secundrio com Gesto de
Recursos e Alinhamento Estratgico e Mensurao de Desempenho.
36

3.4.1.6 Comunicar metas e Diretrizes Gerenciais

De acordo com o ITGI (2007, p.53), a direo deve desenvolver uma estrutura de
controle de TI corporativo e definir e comunicar politicas, pode ser atravs de um programa
de comunicao contnuo, onde tambm deve ser articulado a misso, metas, politicas,
procedimentos e etc. A comunicao apoia o alcance dos objetivos de TI e assegura a
conscincia e o entendimento dos negcios, dos riscos de TI, dos objetivos e diretrizes. O
processo deve assegurar conformidade com leis e regulamentos relevantes.

Relacionamento para com os Critrios de informao: Primrio com a Eficcia


e Secundrio com a Conformidade.
Recursos de TI utilizados: Aplicaes, Informao, Infraestrutura e Pessoas.
reas de Foco: Primrio com o Alinhamento Estratgico e Secundrio com
Gesto de Recursos e Gesto de Risco.

3.4.1.7 Gerenciar os recursos humano de TI

Segundo o ITGI (2007, p.57), contratar, manter e motivar uma fora de trabalho
competente para criar e entregar servios de TI para o negocio. Esse objetivo pode ser
alcanado se a empresa seguir praticas definidas e acordadas de recrutamento, treinamento,
avaliao de desempenho, promoo e desligamento. um processo critico porque as pessoas
so extremamente importantes para que a governana funcione, assim como o ambiente de
controle de dados altamente dependente da motivao e competncia dessas pessoas.

Relacionamento para com os Critrios de informao: Primrio com a Eficcia


e Eficincia.
Recursos de TI utilizados: Pessoas.
reas de Foco: Primrio com o Alinhamento Estratgico e Gesto de Recursos
e Secundrio com Gesto de Risco e Mensurao de Desempenho.
37

3.4.1.8 Gerenciar a Qualidade

Conforme o ITGI (2007, p.61), desenvolver e manter um sistema de gesto de


qualidade necessrio, onde inclua padres e processos comprovados de desenvolvimento e
aquisio. Isso feito atravs de planejamento, implementao e manuteno de um sistema
de gesto de qualidade que gere requisitos, procedimentos e politicas claras. Os requisitos de
qualidade devem ser definidos e comunicados em indicadores quantificveis e atingveis, pois
a melhoria continua pode ser alcanada por constante monitoramento, anlise e atuao sobre
desvios e na comunicao dos resultados as partes interessadas. A gesto de qualidade
essencial para assegurar que a TI esteja fornecendo valor para o negcio, melhoria contnua e
transparncia para s partes interessadas.

Relacionamento para com os Critrios de informao: Primrio com a Eficcia


e Eficincia e Secundrio com a Integridade e Confiabilidade.
Recursos de TI utilizados: Aplicaes, Informao, Infraestrutura e Pessoas.
reas de Foco: Primrio com o Alinhamento Estratgico e Secundrio com
Entrega de Valores e Gesto de Risco.

3.4.1.9 Avaliar e Gerenciar os Riscos de TI

De acordo com o ITGI (2007, p.65), criar e manter uma estrutura de gesto de Risco,
essa documentaria um nvel comum e acordado de riscos de TI, estratgias de mitigao e
riscos residuais. Qualquer impacto em potencial nos objetivos da empresa causado por um
evento no planejado deve ser identificado, analisado e avaliado. Estratgias de mitigao de
risco devem ser adotadas para minimizar o risco residual a nveis aceitveis. O resultado da
avaliao deve ser entendido pelas partes interessadas e expresso em termos financeiros para
permitir que as partes interessadas alinhem o risco a nveis de tolerncia aceitveis.

Relacionamento para com os Critrios de informao: Primrio com a


Confidencialidade, Integridade e Disponibilidade e Secundrio com a Eficcia,
Eficincia, Conformidade e Confiabilidade.
Recursos de TI utilizados: Aplicaes, Informao, Infraestrutura e Pessoas.
38

reas de Foco: Primrio com o Alinhamento Estratgico e Gesto de Risco.

3.4.1.10 Gerenciar Projetos

Conforme o ITGI (2007, p.69), estabelecer um programa e uma estrutura de gesto de


projeto para o gerenciamento de todos os projetos de TI. Assegurando assim a correta
priorizao e a coordenao de todos os projetos. Essa estrutura deve incluir um plano mestre,
atribuio de recursos, definio dos resultados a serem entregues, aprovao dos usurios,
diviso por fases de entrega, garantia da qualidade, um plano de teste formal e uma reviso
ps-implementao para assegurar a gesto de risco de projeto e a entrega do valor ao
negocio. Isso tudo reduz o risco de custos inesperados e de cancelamentos do projeto,
aperfeioa a comunicao, melhora o envolvimento das reas de negocio e dos usurios finais,
assegura o valor e a qualidade dos resultados do projeto e maximiza a contribuio para os
programas de investimento em TI.

Relacionamento para com os Critrios de informao: Primrio com a Eficcia


e Eficincia.
Recursos de TI utilizados: Aplicaes, Infraestrutura e Pessoas.
reas de Foco: Primrio com o Alinhamento Estratgico e Secundrio com
Gesto de Recursos, Gesto de Risco, Entrega de Valor e Mensurao de
Desempenho.

3.4.2 Adquirir e Implementar

Essa grande rea do COBIT composta por Sete processos, so eles:

3.4.2.1 Identificar solues automatizadas

Segundo o ITGI (2007, p.75), a necessidade de uma nova aplicao ou funo requer
uma analise previa aquisio ou ao desenvolvimento para assegurar que os requisitos de
39

negocio sejam atendidos atravs de uma abordagem eficaz e eficiente. Este processo
contempla a definio das necessidades, considera fontes alternativas, a reviso da viabilidade
econmica e tecnolgica, a execuo das analises de risco e de custo-benefcio e a obteno
de uma deciso final por desenvolver ou comprar. Todos esses passos permitem s
organizaes minimizar custos de aquisio e implementao de solues e permitem ao
negocio alcanar seus objetivos.

Relacionamento para com os Critrios de informao: Primrio com a Eficcia


e Secundrio com a Eficincia.
Recursos de TI utilizados: Aplicaes e Infraestrutura.
reas de Foco: Primrio com o Alinhamento Estratgico e Entrega de Valor e
Secundrio com Gesto de Recursos e Gesto de Risco.

3.4.2.2 Adquirir e Manter Software Aplicativo

De acordo com o ITGI (2007, p.79), as aplicaes devem ser disponibilizadas em


alinhamento com os requisitos do negocio, assim esse processo contempla o projeto das
aplicaes, a incluso de controles e requisitos de segurana apropriados, o desenvolvimento
e a configurao de acordo com os padres. Permitindo assim s organizaes apoiarem de
forma adequada s operaes do negocio com as aplicaes corretas.

Relacionamento para com os Critrios de informao: Primrio com a Eficcia


e Eficincia e Secundrio com a Integridade e Confiabilidade.
Recursos de TI utilizados: Aplicaes.
reas de Foco: Primrio com o Alinhamento Estratgico e Entrega de Valor e
Secundrio com Gesto de Risco.

3.4.2.3 Adquirir e Manter Infraestrutura de Tecnologia

Conforme o ITGI (2007, p.83), as organizaes devem ter processos de aquisio,


implementao e atualizao da infraestrutura de tecnologia. necessrio assim uma
40

abordagem planejada de aquisio, manuteno e proteo da infraestrutura em alinhamento


com as estratgias tecnolgicas acordadas e o fornecimento de ambientes de desenvolvimento
e testes. Assegurando assim um apoio tecnolgico continuo as aplicaes de negocio.

Relacionamento para com os Critrios de informao: Primrio com a


Eficincia e Secundrio com a Eficcia, Integridade e Disponibilidade.
Recursos de TI utilizados: Infraestrutura.
reas de Foco: Primrio com Gesto de Recursos

3.4.2.4 Habilitar Operao e Uso

Segundo o ITGI (2007, p.87), o conhecimento e atualizao sobre novos sistemas deve
sempre estar disponvel. Ou seja, esse processo requer a elaborao de documentao e
manuais para usurios de TI e a promoo de treinamento para assegurar a operao e uso
apropriado das aplicaes e infraestrutura.

Relacionamento para com os Critrios de informao: Primrio com a Eficcia


e Eficincia e Secundrio com a Integridade, Disponibilidade, Conformidade, e
Confiabilidade.
Recursos de TI utilizados: Aplicaes, Infraestrutura e Pessoas.
reas de Foco: Primrio com a Entrega de Valor e Secundrio com Gesto de
Recursos e Gesto de Risco e Alinhamento Estratgico.

3.4.2.5 Adquirir Recursos de TI

De acordo com o ITGI (2007, p.91), recursos de TI, incluindo pessoas, hardware,
software e servios precisam ser adquiridos. Requerendo assim a definio e aplicao de
procedimentos de aquisio, seleo de fornecedores, estabelecimento de arranjos contratuais
e a aquisio propriamente dita. Assegurando assim que a organizao tenha todos os recursos
de TI necessrios a tempo e com boa relao custo-benefcio.
41

Relacionamento para com os Critrios de informao: Primrio com a


Eficincia e Secundrio com a Eficcia e Conformidade.
Recursos de TI utilizados: Aplicaes, Informao, Infraestrutura e Pessoas.
reas de Foco: Primrio com a Gesto de Recursos e Secundrio com Entrega
de Valor.

3.4.2.6 Gerenciar Mudanas

Segundo o ITGI (2007, p.95), todas as mudanas, incluindo manutenes e correes


de emergncia, relacionadas com as infraestruturas e as aplicaes no ambiente de produo,
so formalmente gerenciadas de maneira controlada. Essas mudanas (incluindo
procedimentos, processos, parmetros de sistemas e de servio) devem ser registradas,
avaliadas e autorizadas antes de sua implementao e revisadas em seguida, tendo como base
os resultados efetivos e planejados. Isso assegura a mitigao de riscos de impactos negativos
na estabilidade ou na integridade do ambiente de produo.

Relacionamento para com os Critrios de informao: Primrio com a Eficcia,


Eficincia, Integridade e Disponibilidade e Secundrio com a Confiabilidade.
Recursos de TI utilizados: Aplicaes, Informao, Infraestrutura e Pessoas.
reas de Foco: Primrio com a Entrega de Valor e Secundrio com Gesto de
Recursos.

3.4.2.7 Instalar e Homologar Solues e Mudanas

Conforme o ITGI (2007, p.99), aps concluir o desenvolvimento dos novos sistemas,
eles necessitam ser colocados em operao. Sendo necessria a realizao de testes
apropriados em ambiente dedicado, com dados de teste relevantes, definies de instrues de
implantao e migrao, planejamento de liberao e mudanas no ambiente de produo e
uma reviso ps-implementao. Assegurando assim que os sistemas operacionais estejam
alinhados com as expectativas e os resultados acordados.
42

Relacionamento para com os Critrios de informao: Primrio com a Eficcia


e Secundrio com a Eficincia, Integridade e Disponibilidade.
Recursos de TI utilizados: Aplicaes, Informao, Infraestrutura e Pessoas.
reas de Foco: Primrio com a Entrega de Valor e Secundrio com Gesto de
Recursos, Gesto de Risco, Alinhamento Estratgico e Mensurao de
Desempenho.

3.4.3 Entregar e Suportar

Essa grande rea do COBIT composta por Treze processos, so eles:

3.4.3.1 Definir e Gerenciar Nveis de Servio

De acordo com o ITGI (2007, p.103), a comunicao eficaz entre os Gerentes da TI e


os clientes de negocio acerca dos servios necessrios necessria e possibilitada por um
acordo definido e documentado que aborda os servios da TI e os nveis de servio esperado.
Inclui tambm monitoramento e relatrio oportuno as partes interessadas quanto ao
atendimento dos nveis de servio. Esse processo permite ento o alinhamento entre os
servios de TI e os respectivos requisitos do negocio.

Relacionamento para com os Critrios de informao: Primrio com a Eficcia


e Eficincia e Secundrio com a Confidencialidade, Integridade,
Disponibilidade, Conformidade e Confiabilidade.
Recursos de TI utilizados: Aplicaes, Informao, Infraestrutura e Pessoas.
reas de Foco: Primrio com o Alinhamento Estratgico, Gesto de Recursos,
Entrega de Valor e Mensurao de Desempenho.
43

3.4.3.2 Gerenciar Servios Terceirizados

Segundo o ITGI (2007, p.107), de grande necessidade assegurar que os servios


prestados por fornecedores satisfaam aos requisitos do negocio, sendo assim preciso um
processo efetivo de gesto de terceirizao. Esse processo realizado definindo-se claramente
os papeis, responsabilidades e expectativas nos acordos de terceirizao bem como revisando
e monitorando tais acordos quanto efetividade e conformidade. Essa gesto eficaz
minimiza os riscos de negocio associados aos fornecedores que no cumprem seu papel.

Relacionamento para com os Critrios de informao: Primrio com a Eficcia


e Eficincia e Secundrio com a Confidencialidade, Integridade,
Disponibilidade, Conformidade e Confiabilidade.
Recursos de TI utilizados: Aplicaes, Informao, Infraestrutura e Pessoas.
reas de Foco: Primrio com a Entrega de Valor e Gesto de Riscos e
Secundrio com a Gesto de Recursos e Mensurao de Desempenho.

3.4.3.3 Gerenciar o Desempenho e a Capacidade

Conforme o ITGI (2007, p.111), a necessidade de gerenciar o desempenho e a


capacidade dos recursos de TI requer um processo que realize analises criticas peridicas do
desempenho e da capacidade atuais dos recursos de TI. Inclui-se aqui a previso de
necessidades futuras com base em requisitos de carga de trabalho, armazenamento e
contingncia. Assegurando assim que os recursos de informao que suportam os requisitos
de negocio estejam sempre disponveis.

Relacionamento para com os Critrios de informao: Primrio com a Eficcia


e Eficincia e Secundrio com a Disponibilidade.
Recursos de TI utilizados: Aplicaes e Infraestrutura.
44

reas de Foco: Primrio com Gesto de Recursos e Secundrio com Entrega de


Valor, Mensurao de Desempenho, Gesto de Risco e Alinhamento
Estratgico.

3.4.3.4 Assegurar a Continuidade dos Servios

De acordo com o ITGI (2007, p.115), prover a continuidade dos servios da TI requer
o desenvolvimento, manuteno e teste de um plano de continuidade de TI, copias de
segurana (backup) em instalaes remotas e realizar treinamentos peridicos do plano de
continuidade. Um processo eficaz de continuidade de servios minimiza a probabilidade e o
impacto de uma interrupo de um servio chave de TI nas funes e processos crticos de
negcio.

Relacionamento para com os Critrios de informao: Primrio com a Eficcia


e Disponibilidade e Secundrio com a Eficincia.
Recursos de TI utilizados: Aplicaes, Informao, Infraestrutura e Pessoas.
reas de Foco: Primrio com Entrega de Valor e Gesto de Risco e Secundrio
com o Alinhamento Estratgico, Gesto de Recursos e Mensurao de
Desempenho.

3.4.3.5 Garantir a Segurana dos Sistemas

Segundo o ITGI (2007, p.119), para manter a integridade da informao e proteger os


ativos da TI, necessrio implementar um processo de gesto de segurana. Esse processo
inclui o estabelecimento e a manuteno de papeis, responsabilidades, politicas, padres e
procedimentos de segurana de TI. A gesto de segurana inclui o monitoramento, teste
peridico e a implementao de aes corretivas das deficincias ou incidentes de segurana.
Essa gesto eficaz protege os ativos de TI e minimiza o impacto sobre os negcios de
vulnerabilidade e incidentes de segurana.
45

Relacionamento para com os Critrios de informao: Primrio com a


Confidencialidade e Integridade e Secundrio com a Disponibilidade,
Conformidade e Confiabilidade.
Recursos de TI utilizados: Aplicaes, Informao, Infraestrutura e Pessoas.
reas de Foco: Primrio com Gesto de Risco.

3.4.3.6 Identificar e Alocar Custos

Conforme o ITGI (2007, p.123), a necessidade de um sistema justo e equitativo de


alocao de custo de TI para o negocio requer avaliao precisa dos custos de TI e acordo
com os usurios do negocio sobre uma alocao razovel. Esse processo contempla a
construo e a operao de um sistema para capturar, alocar e reportar os custos de TI aos
usurios dos servios. Esse sistema sendo justo permite empresa tomar decises mais
embasadas sobre o uso dos servios.

Relacionamento para com os Critrios de informao: Primrio com Eficincia


e Confiabilidade.
Recursos de TI utilizados: Aplicaes, Informao, Infraestrutura e Pessoas.
reas de Foco: Primrio com Gesto de Recursos e Secundrio com Entrega de
Valor e Mensurao de Desempenho.

3.4.3.7 Educar e Treinar Usurios

De acordo com o ITGI (2007, p.127), a educao efetiva de todos os usurios de


sistemas de TI, inclusive daqueles dentro da prpria TI, requer a identificao das
necessidades de treinamento de cada grupo de usurio. Como complemento identificao
dessas necessidades, esse processo compreende a definio e a execuo de uma estratgia
eficaz de treinamento e medio dos resultados. Assim aumentaria o uso eficaz de tecnologia
atravs da reduo dos erros de usurio, aumento na produtividade e aumento da
conformidade com os controles principais (como as medidas de segurana do usurio).
46

Relacionamento para com os Critrios de informao: Primrio com a Eficcia


e Secundrio com Eficincia.
Recursos de TI utilizados: Pessoas.
reas de Foco: Primrio com Entrega de Valor e Secundrio com Alinhamento
Estratgico, Gesto de Risco e Gesto de Recursos.

3.4.3.8 Gerenciar a Central de Servio e os Incidentes

Segundo o ITGI (2007, p.131), a resposta efetiva e em tempo adequado a duvidas e


problemas dos usurios de TI, requer uma central de servio (Servie Desk) e processos no
gerenciamento de incidentes bem projetados e implementados. Esse projeto inclui a
implementao de uma central de servios capacitada para p tratamento de incidentes,
incluindo registro, encaminhamento, analise de tendncias, analise de causa-raiz e resoluo.
Com isso os benefcios incluem aumento de produtividade por meio de resoluo rpida dos
chamados dos usurios. Complementarmente, as reas de negocio podem tratar as causas-raiz
(como treinamento deficiente de usurio), atravs de relatrios efetivos.

Relacionamento para com os Critrios de informao: Primrio com a Eficcia


e Eficincia.
Recursos de TI utilizados: Aplicaes e Pessoas.
reas de Foco: Primrio com Entrega de Valor e Secundrio com Mensurao
de Desempenho.

3.4.3.9 Gerenciar a Configurao

Conforme o ITGI (2007, p.135), assegurar a integridade das configuraes de


hardware e software requer o estabelecimento e a manuteno de um repositrio de
configurao preciso e completo, inicialmente coletando as informaes de configurao,
estabelecer um perfil bsico, verificar as informaes de configurao e a atualizao do
repositrio de configurao conforme necessrio. Um gerenciamento de configurao eficaz
47

facilita uma maior disponibilidade do sistema, mnima as questes de produo e soluciona


problemas com mais rapidez.

Relacionamento para com os Critrios de informao: Primrio com a Eficcia


e Secundrio com Eficincia, Disponibilidade e Confiabilidade.
Recursos de TI utilizados: Aplicaes, Informao e Infraestrutura.
reas de Foco: Primrio com Gesto de Recursos e Entrega de Valor e
Secundrio com Gesto de Risco.

3.4.3.10 Gerenciar Problemas

De acordo com o ITGI (2007, p.139), o efetivo gerenciamento de problemas requer


identificao e classificao dos mesmos, analise de causas-raiz e respectiva resoluo.
necessrio tambm que contemple a identificao de recomendaes para melhoria,
manuteno dos registros de problemas e reviso da situao das aes corretivas. Esse
processo sendo efetivo, melhora os nveis de servio, reduz os custos e aumenta a
convenincia e a satisfao do cliente.

Relacionamento para com os Critrios de informao: Primrio com a Eficcia


e Secundrio com Eficincia e Disponibilidade.
Recursos de TI utilizados: Aplicaes, Informao, Infraestrutura e Pessoas.
reas de Foco: Primrio com Entrega de Valor e Secundrio com Gesto de
Risco e Mensurao de Desempenho.

3.4.3.11 Gerenciar os Dados

Segundo o ITGI (2007, p.143), o efetivo gerenciamento dos dados requer a


identificao dos requisitos de dados. necessrio tambm que contemple o estabelecimento
de procedimentos efetivos para controlar a biblioteca de mdia, copias de segurana (backup),
48

recuperao de dados e dispensa de mdias de forma adequada. Esse processo sendo efetivo
ajuda a assegurar a qualidade, a rapidez e disponibilidade dos dados de negocio.

Relacionamento para com os Critrios de informao: Primrio com


Integridade e Confiabilidade.
Recursos de TI utilizados: Informao.
reas de Foco: Primrio com Gesto de Recursos, Entrega de Valor e Gesto
de Risco.

3.4.3.12 Gerenciar o Ambiente Fsico

Conforme o ITGI (2007, p.147), a proteo de pessoas e equipamentos de informtica


requer instalaes fsicas bem planejadas e gerenciadas. Esse processo esta incluso a definio
dos requisitos do local fsico, a escolha de instalaes apropriadas, o projeto de processos
eficazes de monitoramento dos fatores ambientais e o gerenciamento de acessos fsicos. O
gerenciamento eficaz do ambiente fsico reduz as interrupes nos negcios provocadas por
danos causados a equipamentos ou pessoas.

Relacionamento para com os Critrios de informao: Primrio com


Integridade e Disponibilidade.
Recursos de TI utilizados: Infraestrutura.
reas de Foco: Primrio com Gesto de Risco e Secundrio com Gesto de
Recursos.

3.4.3.13 Gerenciar as Operaes

De acordo com o ITGI (2007, p.151), o processamento preciso e completo de dados


requer um gerenciamento eficaz do processamento de dados e a continua manuteno de
hardware. Esta incluso nesse processo a definio de politicas e procedimentos de operaes
para o gerenciamento eficaz do processamento agendado, proteo de resultados sigilosos,
49

monitoramento de infraestrutura e manuteno preventiva de hardware. A efetividade desse


processo ajuda a manter a integridade dos dados e reduzir atrasos e custos de operaes de TI.

Relacionamento para com os Critrios de informao: Primrio com a Eficcia


e Eficincia e Secundrio com Integridade e Disponibilidade.
Recursos de TI utilizados: Aplicaes, Informao, Infraestrutura e Pessoas.
reas de Foco: Primrio com Gesto de Recursos.

3.4.4 Monitorar e Avaliar

Essa grande rea do COBIT composta por Quatro processos, so eles:

3.4.4.1 Monitorar e Avaliar o Desempenho de TI

Segundo o ITGI (2007, p.155), a gesto eficaz de desempenho de TI exige um


processo de monitoramento. Esse processo inclui a definio de indicadores de desempenho
relevantes, informes de desempenho sistemticos e oportunos e uma pronta ao em relao
aos desvios encontrados. O monitoramento necessrio para assegurar que as atividades
corretas estejam sendo feitas e que estejam em alinhamento com as politicas e diretrizes
estabelecidas.

Relacionamento para com os Critrios de informao: Primrio com a Eficcia


e Eficincia e Secundrio com Confidencialidade, Integridade,
Disponibilidade, Conformidade e Confiabilidade.
Recursos de TI utilizados: Aplicaes, Informao, Infraestrutura e Pessoas.
reas de Foco: Primrio com Mensurao de Desempenho e Secundrio com
Gesto de Risco, Gesto de Recursos, Entrega de Valor e Alinhamento
Estratgico.
50

3.4.4.2 Monitorar e Avaliar os Controles Internos

Conforme o ITGI (2007, p.159), estabelecer um programa eficaz de controles internos


de TI requer um processo de monitoramento bem definido. Esta incluso nesse processo o
monitoramento e o retorno das excees de controle, dos resultados de auto avaliao e
avaliao de terceiros. O principal beneficio do monitoramento dos controles internos
assegurar uma operao eficaz e eficiente em conformidade com as leis e os regulamentos
aplicveis.

Relacionamento para com os Critrios de informao: Primrio com a Eficcia


e Eficincia e Secundrio com Confidencialidade, Integridade,
Disponibilidade, Conformidade e Confiabilidade.
Recursos de TI utilizados: Aplicaes, Informao, Infraestrutura e Pessoas.
reas de Foco: Primrio com Entrega de Valor e Gesto de Risco.

3.4.4.3 Assegurar a Conformidade com Requisitos Externos

De acordo com o ITGI (2007, p.163), a superviso eficaz da conformidade requer o


estabelecimento de um processo de reviso para assegurar a conformidade com as leis e
regulamentaes e os requisitos contratuais. Esta incluso nesse processo identificar os
requisitos de conformidade, otimizar e avaliar a resposta, assegurar que os requisitos sejam
atendidos e integrar os relatrios de conformidade de TI com os das reas de negcios.

Relacionamento para com os Critrios de informao: Primrio com


Conformidade e Secundrio com Confiabilidade.
Recursos de TI utilizados: Aplicaes, Informao, Infraestrutura e Pessoas.
reas de Foco: Primrio com Alinhamento Estratgico e Gesto de Risco.
51

3.4.4.4 Prover a Governana de TI

Segundo o ITGI (2007, p.167), o estabelecimento de uma efetiva estrutura de


governana envolve a definio das estruturas organizacionais, dos processos, da liderana,
dos papeis e respectivas responsabilidades para assegurar que os investimentos corporativos
em TI estejam alinhados e sejam entregues em conformidade com as estratgias e os objetivos
da organizao.

Relacionamento para com os Critrios de informao: Primrio com a Eficcia


e Eficincia e Secundrio com Confidencialidade, Integridade,
Disponibilidade, Conformidade e Confiabilidade.
Recursos de TI utilizados: Aplicaes, Informao, Infraestrutura e Pessoas.
reas de Foco: Primrio com Mensurao de Desempenho, Gesto de Risco,
Gesto de Recursos, Entrega de Valor e Alinhamento Estratgico.

3.5 Modelos de Maturidade

Toda essa pesquisa e classificao dos processos e sistemas de nada adiantaria se no


houvesse mtodo para medir o estagio atual desse processo, ter conhecimento do andamento
da implantao do servio, ter a viso do objetivo final e saber qual o caminho que ainda falta.
O COBIT como j foi dito orientado a processos, e o meio que esse framework oferece para
medio e acompanhamento da implementao desses processos, so os modelos de
maturidade.

A medio do desempenho essencial para determinar a situao atual da empresa


para com seus processos de TI, facilitando e mostrando prazos reais para atingir o objetivo
final, um processo otimizado. (IT Governance Institute, 2007)

Os modelos de maturidade esto divididos em Cinco classes de implementao, so elas:

0 ou Inexistente: Completa falta de um processo reconhecido, a empresa no


reconhece que existe uma questo a ser trabalhada.
52

1 ou Inicial: Existe evidencias que a empresa reconhece as questes que


precisam ser trabalhadas. No existe processo padronizado, no mximo
processos individuais, mais conhecidos como enfoques, os quais tendem a ser
desorganizados.
2 ou Repetvel/Intuitivo: Os processos evoluram para um estagio onde as
pessoas fazem procedimentos similares, mas sem um treinamento formal e
comunicao dos procedimentos formais. A Responsabilidade deixada com a
pessoa que esta com o processo, exigindo um alto grau de confiana nessa
pessoa, e assim podendo ocorrer erros.
3 ou Definido: Procedimentos foram padronizados, documentados e
comunicados atravs de treinamento. Obrigatrio que os processos sejam
seguidos, mas se houver desvios, os mesmos no sero detectados.
4 ou Gerenciado e Mensurvel: A gerencia acompanha e mede a aderncia aos
procedimentos. Os processos esto sob um constante aprimoramento e
fornecem boas praticas. Automao e ferramentas ainda so utilizadas de
maneira limitada.
5 ou Otimizado: Os processos foram refinados a nveis de boas praticas,
baseado no resultado de continuo aprimoramento e maturidade da empresa e de
outras empresas. A TI utilizada para automatizar o trabalho, provendo
ferramentas para aprimorar a qualidade e efetividade da organizao.

3.6 Aplicabilidade do COBIT 4.1

Aplicabilidade do framework COBIT se d a partir do interesse dos executivos,


gerentes ou auditores da empresa ou organizao em buscas de solues ou melhorias para a
rea de TI de sua empresa.

Preferencialmente a implementao deve ser conduzida por um profissional que tenha


a Certificao COBIT. Essa certificao pode ser obtida atravs de uma prova, a qual possui
Quarenta questes e custa U$ 150,00. Qualquer pessoa que se ache apta pode se inscrever e
53

fazer a prova de certificao em sua prpria residncia. O mnimo de acertos para ganhar a
certificao de 70% ou 28 questes. A prova realizada on-line, diretamente no site da
ISACA, e o candidato possui o tempo total de 1 hora para realizao do exame (IT
Governance Intitute, 2007).

A ISACA oferece gratuitamente junto com o COBIT, outras ferramentas gratuitas que
facilitam e completam a implementao do framework na empresa, essas ferramentas esto
listadas no site (http://www.isaca.org/Knowledge-Center/cobit/Pages/Overview.aspx) e so:

COBIT on-line: Base de recursos, com funcionalidade interativa;


IT Assurance Guide: Guia com orientaes e conselhos que ajudam na
implementao;
COBIT Quickstart: Ferramenta direcionada para empresas de pequeno e mdio
porte, pois uma verso resumida, apresenta o que mais importante da
ferramenta original e acompanha ferramentas de auto avaliao;
IT Governance Implementation Guide: Fornece um guia e um conjunto de
ferramentas para implementar um ciclo de vida de Governana de TI;
COBIT Security Baseline: Um guia com linguagem para usurios comuns, trs
44 tcnicas para a organizao alcanar a segurana da norma ISO27.002;
Val IT: Framework baseado no COBIT, que possui orientaes e processos de
suporte relacionados a avaliao e seleo de investimentos de negcios
viabilizados por TI;
Balanced Scorecard: Sistema gerencial que permite a organizao implantar,
gerenciar e divulgar suas estratgias, sendo uma ferramenta de apoio para
implantao da Governana de TI.

Para implementao da ferramenta, os lideres do processo de implementao devem


seguir os passos descritos pelo manual do COBIT, para melhor acompanhamento e
mensurao do desempenho atravs de seus 34 processos e mtricas de desempenho.

Aps pesquisa com os usurios, supervisores, gerentes e todos os demais envolvidos


nas reas de TI para localizao dos processos que necessitam melhorias, utilizando planilhas
as quais esto disponveis juntamente com o framework para download gratuito no site da
54

organizao ISACA, o COBIT oferece com fcil visualizao, atravs de notas de 0 a 5,


conforme modelos de maturidade j citados anteriormente, o estado atual da empresa (IT
Governance Institute, 2007).

Visualizando o relatrio com as notas e detalhamento dos processos descritos,


definido pela liderana de empresa e processo de implementao os objetivos iniciais e
urgentes assim como todos os processos que necessitam de correo, todos devem ter prazos
definidos.

Os modelos de maturidade juntamente com os processos do COBIT possibilitam que


as trs grandes necessidades da empresa no processo de implementao da Governana de TI
sejam atendidas, so elas:

Medida relativa de onde a empresa est;


Maneira de eficientemente decidir para onde ir;
Ferramenta para avaliao do progresso em relao s metas.

Abaixo uma figura que trs um exemplo para melhor entendimento da aplicao dos
modelos de maturidade, mostrando o estagio atual da empresa, a media das empresas
concorrentes no mercado e o objetivo final com a implementao das melhores praticas de
Governana de TI com base no COBIT 4.1.

Figura 5 Exemplo fictcio de uma empresa e seu processo de implementao do COBIT 4.1.

Fonte: Governance Institute (2013, p. 20).


55

3.7 Benefcios na utilizao do COBIT 4.1

Segundo o IT Governance Institute, ou ITGI, as organizaes devem satisfazer os


requisitos de qualidade, guarda e segurana das informaes, bem como de todos os seus
bens, dessa forma o COBIT uma ferramenta de Governana de TI a qual habilita a
organizao a obter todas as vantagens de sua informao, maximizando os benefcios,
capitalizando as oportunidades e ganhando poder competitivo. Alm dos benefcios explcitos
pelo ITGI, o autor Assi trs outros benefcios importantes os quais cito abaixo:

Focado na melhoria da Governana de TI na instituio;


Disponibiliza ferramentas para auxiliar no gerenciamento e controle das
atividades da TI;
Auxilia na reduo de custos operacionais;
Gerencia e controla as atividades de TI;
Propicia o gerenciamento dos riscos e investimentos em tecnologia;
Maximiza os recursos da TI;
Independe da plataforma de hardware;
Auxilia na avaliao dos controles internos;
Realiza auditoria orientada aos objetivos de negcios;
recomendado por entidades reguladoras como o Banco Central;

Na atualidade onde as empresas lutam por maiores lucros, por transparncia para com
seus investidores e gerenciamento de riscos atuais e futuros, o COBIT consegue satisfazer os
executivos, auditores e usurios da organizao de qualquer que seja o ramo.

uma ferramenta gratuita que consta para download no sita da Organizao sem fins
lucrativos a qual mantem o framework, ISACA.org, com atualizaes frequentes, a qual
tambm disponibiliza as ferramentas para analise, controle e acompanhamento da
implementao.
56

3.8 Malefcios na utilizao do COBIT 4.1

O COBIT um framework baseado em informaes providas pelos usurios,


normalmente gerentes, executivos ou responsveis dos setores de TI e demais setores
envolvidos durante o processo. Um risco constante so as pessoas, pois muitas vezes
distradas com pensamentos e processos externos a organizao ou empresa cometem erros, e
esses erros sero os responsveis por resultados insatisfatrios ou inconsistentes nos relatrios
e assim consequentemente nas tomadas de decises.

As planilhas de pesquisa servem para alinhamento estratgico, definio dos objetivos,


acompanhamento, mensurao do desempenho e gerao dos relatrios para os executivos, os
quais so responsveis pela liderana da equipe e/ou funcionrios. O executivo ou lder, aps
anlise dos dados, deve tomar a atitude baseada ao alinhamento estratgico da empresa, seus
objetivos finais e parciais.

Na literatura atual no foi encontrado nenhum exemplo ou estudo de caso onde se


apresente algo que traga prejuzo ou deixe a desejar para a empresa que esta implementando o
COBIT. Algo que poderia ser levado em considerao foi falta de compreenso e
informaes da terceira verso do COBIT para com a lei SOX, mas esse pequeno deslize foi
extinto com o lanamento da Quarta Verso.

A ISACA disponibiliza um espao para que os usurios comentem e se ajudem


entre si, conversando e discutindo acerca dos processos, dos pontos positivos e negativos
acerca de cada detalhe do framework. Algo notvel entre os usurios do COBIT, existe a
possibilidade de no ocorrer a visualizao e identificao de erros ou atrasos no desempenho
do processo. Sendo necessrio mais tempo para correo das informaes, gerando assim um
pequeno atraso na gerao dos relatrios e alcance dos objetivos estabelecidos.

Esses e outros detalhes podem ser visualizados mediante cadastro no site da ISACA e
posterior acesso ao endereo virtual da organizao.
57

CONCLUSO

A Governana de TI tem mostrado a sua importncia a cada dia que passa, pois o
momento que se estamos vivendo assim necessita que seja. Grandes empresas esto tendo que
dividir suas grandiosas fatias de mercado com empresas mdias e pequenas que tem uma
grande abrangncia devido ao e-commerce.

Qualquer pessoa pode criar uma empresa e colocar seus produtos em um balco virtual
para que sejam comercializados para pessoas do Brasil inteiro, ate mesmo o mundo. A
Governana de TI se encaixa justamente aqui, se tornando um diferencial competitivo,
fazendo com que as empresas que implementaram Governana possuam um maior controle
acerca dos processos, gerando assim um lucro maior, um atendimento melhor aos seus
clientes e tendo assim um diferencial para com as demais empresas.

A implementao da Governana se torna algo necessrio quando a empresa esta em


um patamar que necessita de transparncia, como por exemplo, as empresas participantes da
principal Bolsa de Valores Brasileira, a BOVESPA. E essa transparncia implcita a
empresa que implementa o COBIT, devido aos seus processos e a sua constante mensurao
de desempenho os executivos e lderes dessa empresa possuem relatrios apontando os pontos
fracos e os pontos fortes dessa organizao, facilitando assim a tomada de deciso dessa
pessoa, a qual humana como qualquer outra, esta sugestvel a erros, os quais so diminudos
com a ajuda do COBIT e tambm muitos outros frameworks de Governana de TI.

O COBIT um framework muito completo, todos os benefcios que trs a empresa por
si s j leva a empresa a um patamar diferenciado das demais no optantes da Governana de
TI. Algo que me chamou a ateno, alm do COBIT ser um framework mundialmente aceito
e implementado, a facilidade de uso com outras ferramentas, possibilitando um
aprimoramento ainda maior da empresa ou organizao em certas reas em especifico. Alm
de ser gratuito e possuir uma extensa gama de manuais, artigos e complementos.

Referente a aplicabilidade do COBIT, o que posso relatar a necessidade do setor de


TI da empresa estar formado e bem organizado, para que haja uma melhor entrega dos
58

funcionrios no processo de implementao e tambm manter o processo de implementao


em constante desenvolvimento, proporcionando uma mensurao de desempenho constante e
atrativa para os envolvidos e os executivos que buscam os numero positivos que a
Governana de TI trar para a empresa.

Sendo assim para trabalhos futuros poderia ser abordado outras melhores prticas, de
frameworks como: ITIL, BSC e outras, para resolver os mesmos problemas aqui vivenciados,
porque estas outras melhores prticas tambm so indicadas para ser implementadas nas
organizaes de forma geral, tanto pblicas, quanto privadas objetivando uma Governana
complementar das organizaes.
59

REFERNCIAS

ASSI, MARCOS. Controles Internos e Cultura Organizacional. So Paulo: Saint Paul,


2009.

BENSON, ROBERT J., THOMAS L. BUGNITZ, AND WILLIAM B. WALTON, "From


Business Strategy to IT Action." Right Decisions for. 2004.

CACIATO, L. M., Mtricas e metodologias do gerenciamento de TI, Disponvel em:


http://www.timaster.com.br/revista/artigos/main_artigo.asp?codigo=980. Publicado em
25/01/2004. Acesso em 15.jul.2013.

CAMERON, B. FOREWORD. IN: BLOEM, J.; VAN DOORN, M.; MITTAL, P. Making IT
governance work in a Sarbanes-Oxley world. New Jersey:John Wiley & Sons,2006.

GAMA, F. A. E MARTINELLO, M., Governana de Tecnologia da Informao: Um


estudo em empresas brasileiras, 4o Simpsio FUCAPE de produo cientfica, Brasil,
2006.

GRAEML, A. R. Sistemas de informao: O alinhamento da estratgia de TI com a


estratgia corporativa. 2.ed. So Paulo: Atlas, 2003.

GULDENTOPS, E., COBIT 3rd Edition Usage Survey: Growing acceptance of COBIT.
Information Systems Control Journal. Vol. 6. pp. 25-26. 2002.

IDG Brasil. 100 Maiores Empresas de TI e Telecom. Revista ComputerWorld, [S. l.],
Anurio 2006.

ITGI - IT Governance Institute. Executive Summary. ISACF, Information Systems Audit


and Control Foundation. CobiT, 3rd ed. [S. l.: s. n.], July, 2000a.

IT Governance Institute. Manual COBIT 4.1. ITGI, Illinois, 2007. 212 p.

KAPLAN, R.; NORTON, D. P. A estratgia em ao: balanced scorecard. Rio de Janeiro:


Campus, 1997.
60

MAGALHES. Ivan Luizio; PINHEIRO, Walfrido Brito. Gerenciamento de servios de TI


na Prtica. So Paulo: Novatec, 2007.

OGC. IT Infrastructure Library Planning to Implement Servie Management. OGC,


London, 2002.

OLIVEIRA. Vinicios Gonchoroski de. Aplicabilidade do ITIL. UNIJUI, Rio Grande do Sul,
2011.

OLTISIK, J. IT Governance: is it the answear?. Disponvel em:


http://www.zdnet.com.au/insight/toolkit/itmanagement/preocess/0,39023888,20271444,00.html,
Publicado em: 22/01/2003. Acesso em 13.Jul.2013.

QUEIROZ, L. G. de. Efetividade de sistemas de medio de desempenho organizacional:


proposio e teste de critrios de efetividade. Dissertao (Mestrado em Administrao de
Empresas). Centro Universitrio Positivo, [s. d.], 2006.

ROCHELEAU, B & WU, L. 'Public versus private information systems: Do they differ in
important ways? A review and empirical test', American Review of Public Administration,
2002, vol. 32, no. 4, pp. 379-397.

SARBANES-OXLEY. Public company accounting reform and investor protection act of


2002, United States Federal Law. Washington: Government Printing Office, 2002.

TCU. Tribunal de Contas da Unio. Levantamento de Governana de TI de 2010/Relator


Ministro Aroldo Cedraz. Braslia, 2010.

WEILL; ROSS. IT Governance: how top performers manage IT decision rights for
superior results. Boston: Harvard Business School Press, 2004.