COBIT v4.

1 Planejando,

10
AULA
organizando, adquirindo e im-
plementando
Meta da aula
Explicar as reas de processo do domnio de
planejamento e organizao e do domnio
de aquisio e implementao do
COBIT v4.1 e os seus respectivos
objetivos de controle.
objetivos

Ao final desta aula, voc dever ser capaz de:

1 reconhecer e explicar os objetivos de controle do

domnio Planejar e organizar do COBIT ;
2 reconhecer e explicar os objetivos de controle do

domnio Adquirir e implementar do COBIT .

Pr-requisitos
So pr-requisitos para esta aula ter atingido os obje-
tivos das primeiras aulas que tratam do Planejamento
Estratgico e da Governana em TI. Alm disso, pri-
mordial ter entendido plenamente os conceitos descri-

tos nas duas aula anteriores de introduo ao COBIT .
Governana em Tecnologia da Informao | COBIT v4.1 Planejando, organizando, adquirindo e
implementando

INTRODUO

Dissemos nas ltimas aulas que o COBIT possui contedo
que pode ser acessado e utilizado no dia a dia pelos gesto-
res de TI. Nessa aula vamos comear a estudar esse con-
tedo, que est distribudo ao longo das reas de processo
e dos objetivos de controle. Bom estudo!

Voc sabe quantos so os processos de TI que devem ser abordados em uma

empresa para que todas as suas reas sejam cobertas? Veja bem... Estamos
falando de todas as reas da TI! Voc deve imaginar que tentar abordar, em
um nico documento, tudo que todas as empresas em todos os setores e em
todos os pases do mundo fazem com relao Tecnologia da Informao
um objetivo um tanto quanto megalomanaco. No bem por a...
Talvez o objetivo realmente fosse inatingvel se tivssemos a preocupao de
descrever exatamente como cada processo precisa ser implementado. Porm,
quando a ideia listar as caractersticas principais dos processos na forma de
objetivos de controle, j no estamos falando de algo to absurdo assim. Muito
pelo contrrio! E isso que o COBIT faz ao longo de seus quatro domnios de
processos. Dois desses domnios sero estudados nesta aula.
O objetivo desta e da prxima aula listar e explicar as reas de processo e seus
objetivos de controle. Ressaltamos que o COBIT foi escrito em um formato
cuja estrutura se repete em todas as reas de controle, para facilitar a consulta
e o entendimento das informaes. Nestas duas aulas iremos seguir o mesmo
princpio. Apesar da repetio do formato, o contedo obviamente diferente
em cada processo. Assim, voc precisa ter como meta sintetizar a ideia princi-
pal de cada rea de processo a partir das informaes apresentadas, ou seja,
responder pergunta: para que serve o processo dessa rea mesmo?
Nesta aula iremos estudar os domnios Planejar e organizar (PO) e Adquirir e
implementar (AI). Ao todo, eles renem 17 processos, sendo dez mais ligados
ao planejamento e definio de diretrizes dos servios (PO) e sete que visam

246 Governana: Gesto, Auditoria e Tecnologia da Informao

 10
aquisio, construo ou desenvolvimento do servio seguidos da operacio-
nalizao no ambiente produtivo da empresa (AI).

AULA
Porm, precisamos antes relembrar a relao existente entre as metas de
negcio, metas de TI, metas de processo e de atividades, conforme vimos na
Aula 9. Caso voc tenha dvidas, revise esse assunto naquela aula. Voc deve
entender que o COBIT possui, para cada rea de processo, uma figura seme-
lhante Figura 10.1. Nela voc poder encontrar, alm das metas de processo
e de seus indicadores, as metas e indicadores de TI e as metas e indicadores
das atividades.

Meta de TI Meta de Processo Meta de Atividade

Assegurar que Detectar e solu- Entender requisi-

os servios de TI cionar acesso no tos de segurana,
podem resistir a autorizado aos vulnerabilidade e
ataques recursos de TI ameaas

medida por meio de ... medida por meio de ... medida por meio de ...

Nmero de Nmero de inci- Frequncia de

incidentes de TI dentes devidos a reviso dos even-
com impacto no acessos no tos a serem
negcio autorizados monitorados

Figura 10.1: Relao entre metas de TI, de processo e de atividades.

Nesta e na prxima aula ns daremos pelo menos um exemplo de meta de pro-

cesso e um indicador para medir o alcance da meta mencionada. Porm tenha
sempre em mente que os exemplos de metas de processo no so os nicos
possveis e que, alm disso, ainda poderiam ser dados exemplos de metas de TI
e de metas de atividades, conforme o relacionamento indicado na (Figura 10.1).
Observe ainda que isso vale tambm para os respectivos indicadores.
O.K., agora sim vamos em frente!

CEC I E R J E X T E N S O E M G O V E R N A N A 247
Governana em Tecnologia da Informao | COBIT v4.1 Planejando, organizando, adquirindo e
implementando

PLANEJAR E ORGANIZAR (PO PLAN AND ORGANISE)

Segundo o COBIT,
controle o conjunto
de polticas, proce- Os processos do domnio de planejamento e organizao
dimentos, prticas e
(PO Plan and organise) cobrem as diretrizes, estratgias e tticas
estruturas organizacio-
nais desenvolvidas para da empresa, alm de lidar com questes sobre como a TI pode
dar garantia razovel
de que os objetivos de contribuir melhor para atingir as metas de negcio. A realizao
negcio sero atingidos
e de que os eventos
da viso estratgica precisa ser planejada, comunicada e gerenciada
indesejveis sero pre- sob diferentes perspectivas.
venidos ou detectados
e corrigidos. Um obje- Os processos desse domnio
tivo de controle define
o resultado desejado lidam diretamente com questes
ou o propsito a ser como determinao e comunicao
atingido atravs do con-
trole. O COBIT v4.1 das estratgias e diretrizes da TI;
descreve 210 objetivos
de controle na forma de definio da arquitetura da infor-
requisitos de alto nvel
mao e das direes tecnolgicas;
a serem considerados
pelos gestores para que gerenciamento de recursos humanos;
haja controle efetivo
de cada processo de TI. gerenciamento de projetos de TI
Eles aparecem sempre
na segunda seo de
e gerenciamento da qualidade em
Figura 10.2: Planejamento de TI.
cada rea de processo, geral, entre outros.
na forma de declaraes
de aes genricas sobre
as prticas mnimas
para assegurar que o
processo est sob con-
trole. Assim, como j
dissemos, no COBIT
v4.1, PO, AI, DS e ME
indicam os domnios; OPERAES
PO1, PO2, ..., AI1, ..., e PROJETOS. O conceito de
ME3, ME4, indicam projetos e operaes muito forte no
os processos (ou reas mbito das boas prticas de gerenciamento de
de processo); e PO1.1, projetos, sobretudo no Guia PMBOK. Costuma-se
PO1.2, PO1.3, ..., dizer que tudo que acontece na empresa acontece na
PO10.14, AI1.1, ..., forma de projetos ou na forma de operaes. Projetos
ME1.1, ..., ME4.7 indi- ttm incio, meio e fim bem definidos e geram um produto
cam os objetivos de con- ou servio cujas caractersticas so singulares. J as opera-
o
trole. Ressaltamos que es no tm necessariamente um fim e geram resultados
os objetivos de controle que no so necessariamente exclusivos, ou seja, existem
so descritos generica- para gerar o mesmo resultado continuamente.
mente e no na forma
Voc se lembra de quais so as cinco
de indicadores de meta
ou de desempenho em reas foco da Governana? Relem-
uma seo especfica da brando: alinhamento estra-
rea de processo (Con- tgico, entrega
trol Objectives).
Os indicadores do pro-
cesso aparecem logo
abaixo, na seo de
diretrizes para o geren-
ciamento (Management
Guidelines).

248 Governana: Gesto, Auditoria e Tecnologia da Informao

 10
PO1 Definir um plano estratgico de TI (Define a strategic
IT plan)

AULA
Voc deve ter em mente que esse processo visa a responder a
perguntas como: o que a TI quer, no curto, mdio e longo prazo est de
acordo com o que a empresa quer? Quantos projetos do portflio da
TI esto diretamente relacionados a um objetivo estratgico da organi-
zao?
Esse processo tem como objetivo principal a criao de um plano
diretor de TI que permita gerenciar os recursos de TI de acordo com as
prioridades da empresa. O PDTI deve deixar claro quais so as estratgias
da TI e como elas se refletem no seu portflio, alm de ser detalhado o
suficiente para orientar a construo de planos tticos. Esse processo deve
comunicar e documentar, por meio do plano, limitaes, capacidades,
ameaas, oportunidades, riscos identificados e necessidades da TI.
Os objetivos de controle desse processo so:

PO1.1 Gerenciamento de valor da TI.

PO1.2 Alinhamento entre a TI e o negcio.
PO1.3 Avaliao de capacidade e desempenho.
PO1.4 Planejamento estratgico da TI.
PO1.5 Planejamento ttico da TI.
PO1.6 Gerenciamento do portflio da TI.

Observe que, no nvel otimizado, esse processo garante a existncia

de um plano estratgico de TI vivo na organizao; o plano revisado
periodicamente de forma integrada ao plano estratgico da empresa;
todas as metas do PDTI foram obtidas a partir das metas de negcio; as
informaes sobre riscos estratgicos so continuamente revisadas etc.
"Um exemplo de meta desse processo : "Definir como os requi-
sitos de negcio so mapeados em servios oferecidos pela TI". Um
indicador de desempenho dessa meta obtido atravs da medio do
percentual de servios fornecidos pela TI que podem ser diretamente
mapeados no plano estratgico da organizao".
Com relao s reas foco da Governana, esse processo essencial
para que haja alinhamento estratgico.

CEC I E R J E X T E N S O E M G O V E R N A N A 249
Governana em Tecnologia da Informao | COBIT v4.1 Planejando, organizando, adquirindo e
implementando

PO2 Definir a arquitetura da informao (Define the

DATA MINING, ou mine-
rao de dados, uma information architecture)
tcnica relacionada
seleo da informao, Esse processo responde a questes como: existem sistemas
haja vista que a quan-
tidade de dados dispo- automatizados efetivos que do suporte a BI (Business Inteligence),
nveis aumenta a cada
dia em uma proporo data mining ou data warehouse? Como os dados que circulam pela
absurda. As tcnicas organizao so armazenados, protegidos, compartilhados, analisa-
e ferramentas de data
mining visam a separar dos e descartados? Existem dados duplicados?
dados teis de dados
inteis para a descober- Esse processo visa a otimizar o uso
ta de informaes. J
da informao atravs da definio de
o data warehouse, ou
armazm de dados, , um dicionrio corporativo com regras de
de forma bem resumida,
um banco de dados cus- sintaxe e definio de um esquema para a
tomizado para aumentar
a capacidade de suma-
classificao da informao e de seus nveis
rizar grandes volumes de segurana. Um dos objetivos finais desse
de dados. A principal
ferramenta utilizada processo assegurar que as informaes
para trabalhar com data
warehouse o OLAP so geradas a partir da anlise de dados
(Online Analytical confiveis.
Processing). Figura 10.3: Inteligncia
O OLAP foi desenvolvi- Na prtica, esse processo ir lidar de negcio.
do para utilizar esque-
mas especiais de arma- com questes como a construo e a manu-
zenamento de dados,
teno de uma base de dados para BI (Business Intelligence), DATA
permitindo menor
tempo de processamento MINING e data warehouse. Os seus objetivos de controle so:
na gerao de informa-
o. O data mining e o
data warehouse so con- PO2.1 Definio do modelo de arquitetura da informao.
ceitos que fazem parte
PO2.2 Criao do dicionrio de dados.
da BI, que bem mais
abrangente. A BI (Busi- PO2.3 Definio do esquema para classificao dos dados.
ness Intelligence) ou
inteligncia de negcio PO2.4 Gerenciamento da integridade.
est relacionada a cole-
ta, seleo, organizao, O mximo de desempenho desse processo atingido quando
armazenamento, anli-
se, compartilhamento, o pessoal de TI possui as competncias e habilidades necessrias para
monitoramento, con-
trole, descarte e tudo o desenvolver e manter uma arquitetura da informao que reflita as
mais referente ao geren-
necessidades do negcio.
ciamento da informao
e do conhecimento, com Um exemplo de meta para esse processo pode ser: garantir o
o objetivo de dar supor-
te gesto mais inteli- efetivo gerenciamento da informao na empresa. Essa meta pode ser
gente do negcio.
medida pela quantidade de dados e informaes na empresa para os
quais possvel determinar origem, responsvel, utilidade ou valor
para o negcio.
Com relao s reas foco da Governana, esse processo
prioritrio para o alinhamento estratgico e para o gerenciamento
de recursos.

250 Governana: Gesto, Auditoria e Tecnologia da Informao

 10
PO3 Determinar direo tecnolgica (Determine techno-
logical direction)

AULA
Que fabricante escolher? Que tipo de hardware, software, pla-
taforma, sistema operacional, marca ou fabricante adotar? Que novos
padres tecnolgicos e regulamentaes podem afetar o negcio?
Na prtica, esse processo ir lidar com esse tipo de questes.
A empresa precisa definir expectativas claras e realistas sobre o que
a tecnologia pode oferecer em termos de produtos e servios. Uma boa
prtica comunicar essas expectativas atravs de um plano que contenha
informaes sobre a arquitetura de sistemas, planejamento de aquisies,
padres em uso etc. Os principais objetivos de controle so:

PO3.1 Planejamento da direo tecnolgica.

PO3.2 Planejamento da infraestrutura tecnolgica.
PO3.3 Monitoramento das tendncias.
PO3.4 Acompanhamento de padres tecnolgicos.
PO3.5 Atuao do comit de arquitetura da TI.

Esse processo atinge o nvel mximo de maturidade quando: a

empresa consegue se adequar rapidamente s tecnologias emergentes;
a direo tecnolgica dada por padres da indstria mundialmente
aceitos e no por tecnologias proprietrias; o impacto de mudanas
tecnolgicas analisado com a participao dos responsveis pelo neg-
cio; existe um processo formal de aprovao de mudanas de diretrizes
tecnolgicas; a empresa possui um plano de infraestrutura tecnolgica
que reflete as necessidades de negcio e que pode ser modificado para
refletir mudanas de cenrio etc.
Uma meta para esse processo : desenvolver e implementar um
plano de infraestrutura tecnolgica. O sucesso dessa meta pode ser medi-
do pelo nmero de plataformas tecnolgicas em uso na organizao que
esto em acordo com o plano implementado.
Esse processo essencial para a Governana principalmente por
causa do gerenciamento de recursos.

CEC I E R J E X T E N S O E M G O V E R N A N A 251
Governana em Tecnologia da Informao | COBIT v4.1 Planejando, organizando, adquirindo e
implementando

PO4 Definir processos de TI, sua organizao e seus rela-

cionamentos (Define the IT processes, organisation and
relationships)

Existem funes, processos ou unidades organizacionais que no

esto sendo contempladas pelo PDTI e que deveriam estar? Existem ati-
vidades tpicas da rea de TI que no so contempladas na empresa?
Um provedor de TI definido: pelo seu pessoal (staff); por suas
habilidades e capacidades; por suas funes, papis e responsabilidades;
por definies de alada, autoridade, coordenao, superviso, gerncia
e direo; por seus procedimentos, processos, polticas e planos; por seus
sistemas de gerenciamento da qualidade e do risco etc. Esse processo
deve produzir essas definies e estabelecer critrios de relacionamento
na rea. Os objetivos de controle so:

PO4.1 Criar o modelo de processo de TI.

PO4.2 Atuao do comit de estratgia de TI.
PO4.3 Atuao do comit de controle de TI.
PO4.4 Alocao das funes de TI na organizao.
PO4.5 Definio da estrutura organizacional da TI.
PO4.6 Definio de papis e responsabilidades.
PO4.7 Responsabilidade pela garantia da qualidade.
PO4.8 Responsabilidade pela gesto do risco e segurana.
PO4.9 Propriedade dos dados e sistemas.
PO4.10 Superviso.
PO4.11 Segregao de tarefas.
PO4.12 Gerenciamento do pessoal de TI.
PO4.13 Gerenciamento de pessoas-chave.
PO4.14 Definio de polticas e procedimentos de contratao.
PO4.15 Gerenciamento dos relacionamentos.

O processo desta rea atinge o nvel mximo de amadurecimento

quando: a estrutura do provedor de TI flexvel; as boas prticas da
indstria so utilizadas em todos os aspectos; a tecnologia extensiva-
mente utilizada para dar suporte quando a estrutura de TI complexa
e geograficamente distribuda etc.

252 Governana: Gesto, Auditoria e Tecnologia da Informao

 10
Uma meta para esse processo : "Definir claramente os papis,
responsabilidades e donos dos processos de TI, assim como os rela-

AULA
cionamentos com as partes interessadas". Uma das formas de medir
o alcance desta meta determinar o percentual de clientes, usurios e
patrocinadores satisfeitos com a efetividade e presteza com que a TI
atende s solicitaes de servio (do ingls responsiveness).
Esse processo prioritrio para o gerenciamento de riscos e para
o gerenciamento de recursos da Governana.

PO5 Gerenciar o investimento em TI (Manage the IT

investment)

Algumas questes importantes para voc considerar nesta rea

so: como mensurar o ROI da TI? Quanto a TI gera de retorno em ter-
mos de resultados de negcio? Como medir o custo unitrio por servio
prestado pela TI? Qual melhor forma de agregao de custos? Como
os investimentos em TI so balanceados no que diz respeito a custo,
benefcio e priorizao dentro do oramento?

Custo de Custo de
Hardware Software

Arquitetura de Outros
dados custos

TCO
Suporte e Treinamento de
manuteno usurios

Tempo de Riscos de
implantao tecnologia

Figura 10.4: Custo total de propriedade.

CEC I E R J E X T E N S O E M G O V E R N A N A 253
Governana em Tecnologia da Informao | COBIT v4.1 Planejando, organizando, adquirindo e
implementando

Enfim, esse processo exige envolvimento dos responsveis pelo

negcio e dos responsveis pela TI e visa a fornecer transparncia e res-
ponsabilidade sobre o TCO (Total Cost of Ownership) de TI e a realizao
do ROI (Return of Investment) almejado. So objetivos de controle:

PO5.1 Criao de um modelo de gerenciamento financeiro.

PO5.2 Priorizao dentro do oramento de TI.
PO5.3 Oramentao do portflio de TI.
PO5.4 Gerenciamento de custos.
O5.5 Gerenciamento de benefcios.

Note que esse processo est totalmente amadurecido quando:

tcnicas formais de anlise de custo e benefcio, seleo de projetos e ora-
mentao so utilizadas; o processo de gerenciamento de investimentos
continuamente melhorado com base em lies aprendidas em investi-
mentos anteriores; as decises de investimento levam em considerao
as tendncias do mercado; a anlise de custo-benefcio feita levando
em considerao o ciclo de vida do produto ou servio etc.
"Uma meta muito bvia desse processo : Otimizar os custos de
TI e maximizar os seus benefcios". Uma forma de medir o alcance dessa
meta determinar o percentual de investimentos em projetos, operaes e
processos de TI que entregaram os resultados inicialmente definidos".
Com relao Governana, esse processo essencial para que haja
entrega de valor, ou seja, para que os resultados almejados de fato acon-
team e para que isso ocorra dentro do custo inicialmente esperado.

O TCO (Total Cost of Ownership) ou custo total de propriedade uma estima-

tiva que procura considerar os custos totais (diretos e indiretos) relacionados
propriedade de um ativo. O TCO envolve no somente as questes relacio-
nadas aquisio, mas manuteno e at mesmo desativao ou o descarte
do ativo. Envolve tambm os custos de treinamento de usurios e operadores,
custos de falha ou paradas para manuteno, riscos de incidentes ou acidentes
(e possveis consequncias), custos de armazenamento fsico, teste, garantia de
qualidade, atualizao etc. um parmetro importante para que a empresa
decida sobre a aquisio de um ou outro ativo. Por exemplo, vale mais pena
utilizar um computador pessoal com sistema baseado em Linux ou com sistema
Windows na sua empresa? Fcil! As licenas de uso do Linux so gratuitas e
as do Windows so pagas. O.K., mas preciso considerar o TCO de ambos os
sistemas, isto , os custos de treinamento no uso do sistema, a integrao com
os sistemas servidores da empresa, o suporte do fabricante, as questes de segu-
rana da informao etc. Muitas empresas, aps refletirem sobre esta situao,
ainda preferem utilizar sistemas operacionais proprietrios.

254 Governana: Gesto, Auditoria e Tecnologia da Informao

 10
PO6 Comunicar objetivos e direo do gerenciamento (Com-
municate management aims and direction)

AULA
Voc deve entender que esse processo est diretamente ligado a
questes como: quantas pessoas na empresa conhecem e entendem as pol-
ticas adotadas pela TI? At que ponto o insucesso em atingir as metas de
TI tem prejudicado a empresa em atingir as suas prprias metas? Quantas
interrupes no negcio foram causadas por interrupes na TI?
Observe que todos na empresa devem estar cientes da misso, dos
objetivos dos servios, polticas e procedimentos da TI. Essa comuni-
cao dar o suporte necessrio para que a TI atinja os seus objetivos,
assegurando que haver conscincia e entendimento dos riscos, objetivos
e diretrizes de negcio. Seus objetivos de controle so:

PO6.1 Poltica de TI e ambiente de controle.

PO6.2 Riscos de TI e modelo de controle.
PO6.3 Gerenciamento das polticas de TI.
PO6.4 Execuo de procedimentos, polticas e padres.
PO6.5 Comunicao dos objetivos e diretrizes de TI.

Esse processo atinge seu estgio mximo de otimizao quando:

o controle est alinhado com a estratgia de negcio; a viso da empresa
periodicamente revista, atualizada e reforada; a tecnologia utilizada
para otimizar a comunicao atravs de ferramentas automatizadas
etc.
"Uma meta a ser alcanada por esse processo : Desenvolver um
conjunto compreensvel de polticas de TI e comunic-lo efetivamente
na organizao". O alcance dessa meta pode ser medido atravs da
determinao do percentual de clientes, usurios, patrocinadores etc.,
que conhecem e entendem as polticas da TI".
Esse processo est diretamente relacionado ao alinhamento estra-
tgico e ao gerenciamento do risco da Governana em TI.

PO7 Gerenciar recursos humanos de TI (Manage IT human

resources)

Provavelmente as questes abordadas neste processo so bvias

para voc! Por exemplo: h a necessidade de contratao de pessoal ou
de treinamento das equipes existentes? As perspectivas para os profissio-

CEC I E R J E X T E N S O E M G O V E R N A N A 255
Governana em Tecnologia da Informao | COBIT v4.1 Planejando, organizando, adquirindo e
implementando

nais que trabalham na rea de TI da empresa so motivadoras? Quantas

pessoas na organizao esto satisfeitas com o conhecimento e com as
habilidades do pessoal de TI?
Esse processo visa adoo de prticas de recrutamento, trei-
namento, avaliao de desempenho, promoo e encerramento das
atividades dos profissionais do provedor de TI. Esse um processo
crtico, uma vez que as pessoas so um ativo importante em qualquer
organizao e a Governana em TI depende muito da capacidade e da
motivao das pessoas.

PO7.1 Recrutamento e reteno de pessoal.

PO7.2 Gerenciamento de competncias pessoais.
PO7.3 Alocao de pessoal.
PO7.4 Treinamento de pessoal.
PO7.5 Gerenciamento da dependncia de indivduos.
PO7.6 Autorizao de pessoal.
PO7.7 Avaliao de desempenho.
PO7.8 Mudana de cargo ou encerramento de atividades.

Perceba que esse processo considerado amadurecido quando:

existe um plano formal de gerenciamento de recursos humanos; o
gerenciamento de recursos humanos integrado ao planejamento tec-
nolgico, assegurando tima utilizao dos recursos humanos; existem
procedimentos compatveis com as normas mundiais da categoria para
compensao, reviso de desempenho, transferncia de conhecimento,
treinamento e aconselhamento etc.
A principal meta desse processo : desenvolver prticas profissionais
de gerenciamento de recursos humanos. O seu alcance pode ser medido
atravs do percentual de profissionais que possuem o perfil determinado
(competncias e habilidades) para cumprir as estratgias da TI.
Quanto Governana em TI, esse processo essencial tanto para
o alinhamento estratgico quanto para o gerenciamento de recursos.

256 Governana: Gesto, Auditoria e Tecnologia da Informao

 10
PO8 Gerenciar qualidade (Manage quality)

AULA
Que questes voc acha que so impor-
tantes aqui? Ora, alguns exemplos so: como a
melhoria contnua pode ser implementada pela
TI? Que norma ou padro de qualidade pode
ser utilizado? O que os usurios entendem por
qualidade no servio prestado pela TI?
Um sistema de gerenciamento da qua-
lidade deve ser desenvolvido e mantido para
garantia e controle da qualidade atravs de
procedimentos bem claros de definio e aten- Figura 10.5: Qualidade e melhoria.

dimento de requisitos. A melhoria continua

ser obtida atravs do monitoramento contnuo, anlise de variaes,
comunicao de resultados e entendimento das expectativas, necessidades
e desejos das partes interessadas. Seus objetivos de controle so:

PO8.1 Sistema de gerenciamento da qualidade.

PO8.2 Prticas padro de qualidade em TI.
PO8.3 Padres de desenvolvimento e aquisies em TI.
PO8.4 Foco no cliente.
PO8.5 Melhoria contnua.
PO8.6 Reviso, monitoramento e medidas da qualidade.

O nvel mximo de desempenho desse processo obtido quando: o

sistema de gerenciamento da qualidade integrado a todas as atividades
de TI; o gerenciamento da qualidade obtido de forma flexvel e adap-
tvel a mudanas no ambiente de prestao dos servios; a avaliao do
nvel de satisfao um processo contnuo e gera anlise de causa-raiz
e aes corretivas ou preventivas de melhoria etc.
"Uma meta a ser atingida por esse processo : Determinar um
padro de qualidade e uma cultura de melhoria contnua nos processos
de TI". O alcance dessa meta pode ser medido, por exemplo, pelo per-
centual de projetos ou de processos revisados pelos responsveis pelo
gerenciamento da qualidade visando melhoria".
O gerenciamento da qualidade essencial para o alinhamento
estratgico da Governana em TI.

CEC I E R J E X T E N S O E M G O V E R N A N A 257
Governana em Tecnologia da Informao | COBIT v4.1 Planejando, organizando, adquirindo e
implementando

PO9 Avaliar e gerenciar riscos da TI (Assess and manage

IT risks)

Pense em algumas perguntas que poderiam ser feitas aqui... Algu-

mas questes bvias seriam: o que pode impedir que a TI atinja as suas
metas? Se a TI atingir as suas metas, o que pode impedir que, mesmo
assim, a empresa no atinja as metas de negcio? Como os objetivos
da TI so cobertos pelo gerenciamento do risco na empresa? Existem
respostas de contingncia?
Esse processo visa a documentar os riscos comuns que afetam a
TI e definir um nvel de risco aceitvel pelos donos do negcio, assim
como as aes de resposta ao risco. Os resultados desse processo devem
ser entendidos pelos interessados e, sempre que possvel, precisam ser
expressos em termos financeiros. Seus objetivos de controle so:

PO9.1 Gerenciamento de riscos em TI.

PO9.2 Definio do contexto do risco.
PO9.3 Identificao de eventos.
PO9.4 Avaliao do risco.
PO9.5 Respostas ao risco.
PO9.6 Manuteno e monitoramento do plano de ao.

O mximo de amadurecimento aqui acontece quando: a identifi-

cao, anlise e comunicao dos riscos feita de forma eficiente e eficaz
na empresa; o gerenciamento do risco uma atividade desempenhada
de forma interdepartamental, e no somente na TI; o gerenciamento do
risco integrado a todas as atividades de TI; o processo detecta decises
de investimento em TI que so tomadas sem levar em considerao os
riscos envolvidos; os riscos residuais e riscos secundrios so determi-
nados e gerenciados etc.
"Uma meta a ser alcanada pelo PO9 : Estabelecer um plano de
ao para os riscos da TI". O seu alcance pode ser medido atravs do
nmero de incidentes causados por riscos no identificados previamente
pelo processo".
Quanto s reas foco da Governana, esse processo prima-
riamente importante para o alinhamento estratgico e, obviamente,
essencial para o gerenciamento de risco.

258 Governana: Gesto, Auditoria e Tecnologia da Informao

 10
PO10 Gerenciar projetos (Manage projects)

AULA
Algumas questes-chave que voc deve perguntar aqui so: quan-
tos projetos foram iniciados sem passar por um processo de anlise e
seleo? Quantos projetos terminaram sem estourar o oramento ou o
prazo? Quantos projetos foram cancelados porque no conseguiram NVEL 5
Otimizado
atingir os seus objetivos?
Esse processo visa definio de uma metodologia de gerencia-
mento de projetos de TI. Essa metodologia deve dar suporte ao gerente
desde a seleo e priorizao dos projetos at o seu encerramento,
passando pela elaborao de um plano de gerenciamento de projeto e
a sua correta aplicao no controle o monitoramento. So objetivos de
controle desta rea:

PO10.1 Gerenciamento de programas.

PO10.2 Gerenciamento de projetos.
PO10.3 Metodologia de gerenciamento de projeto.
PO10.4 Comunicao com as partes interessadas.
PO10.5 Definio do escopo.
PO10.6 Iniciao do projeto.
PO10.7 Planejamento integrado do projeto.
PO10.8 Gerenciamento de recursos do projeto.
PO10.9 Gerenciamento do risco do projeto.
PO10.10 Planejamento da qualidade do projeto.
PO10.11 Controle de mudanas no projeto.
PO10.12 Planejamento de mtodos de garantia do projeto.
PO10.13 Controle e monitoramento do desempenho.
PO10.14 Encerramento do projeto.

Esse processo atinge o nvel mximo de maturidade

quando: existe uma metodologia de gerenciamento de projetos
de TI envolvendo todo o seu ciclo de vida, que faz parte da
cultura da empresa; h iniciativas contnuas para identificar
e institucionalizar as melhores prticas de gerenciamento de
projetos; existe uma entidade organizacional responsvel por
projetos e programas de TI etc.

Figura 10.6: Escritrios de projetos.

CEC I E R J E X T E N S O E M G O V E R N A N A 259
Governana em Tecnologia da Informao | COBIT v4.1 Planejando, organizando, adquirindo e
implementando

Uma meta desse processo : "Estabelecer mecanismos eficientes

e eficazes de controle de escopo, tempo e custo dos projetos". Essa
meta pode ser medida atravs do percentual de projetos que terminam
no prazo e dentro do oramento tendo cumprido todos os requisitos
inicialmente estabelecidos.
Esse processo mais um que primrio no que diz respeito a
alcanar o alinhamento estratgico, ou seja, sem atingir os seus objetivos
dificilmente a empresa conseguir alinhar a TI e o negcio.

O COBIT utiliza em seu texto a expresso escritrio de projetos, ou PMO (Project Management Office), den-
tro do PO10. O escritrio de projetos uma estrutura dentro da empresa cujas funes variam muito em cada
caso, dependendo do nvel de maturidade que a empresa possui com relao ao gerenciamento de projetos.
Um PMO pode exercer funes que vo do simples apoio aos gerentes de projeto, auxiliando-os em suas ativi-
dades, at o gerenciamento de todo o portflio da organizao, exercendo atividades estratgicas diretamente
ligadas direo do negcio. Os tipos de PMO tambm variam muito. Alguns possuem estrutura menor e so
compostos por duas ou trs pessoas; outros possuem estrutura maior, com dezenas de funcionrios. Alguns
nascem dentro de um departamento e tratam dos projetos de uma nica rea; outros lidam com projetos de
vrios departamentos. O PO10, quando cita o escritrio de projetos, est se referindo a um PMO de TI, que
exemplo muito comum no mercado atual em todo o mundo.

Atividade 1
Com relao s reas foco da Governana, quais processos so prioritrios ao 1
mesmo tempo para o alinhamento estratgico e para o gerenciamento de riscos?
Explique.
Alguma rea foco da Governana em TI no foi citada? Explique.

260 Governana: Gesto, Auditoria e Tecnologia da Informao

 10
AULA
Resposta
Somente o PO6 e o PO9 esto relacionados como prioritrios para ambos
os casos. As concluses so diversas. O objetivo aqui iniciar um raciocnio
integrado sobre o COBIT. Uma concluso, por exemplo, notar que o PO6
(que trata da comunicao de objetivos, metas e diretrizes) primordial para o
alinhamento estratgico. Como sabemos, a realidade do mercado outra. Muitos
at possuem uma definio de misso, viso etc., mas poucos a comunicam
efetivamente pela organizao. O alinhamento entre a TI e o negcio, segundo
o COBIT, depende totalmente disso.
Com relao segunda questo, a medio de desempenho no foi citada.
Isso porque esse no o foco dos processos do domnio PO. Mesmo assim, vale
ressaltar que a medio de desempenho aparece, sim, vrias vezes como uma
rea de Governana em TI secundria para alguns dos processos do domnio de
planejamento e organizao (s listamos o mapeamento das reas da Governana
que so primrias para o processo). Os controles do COBIT so estrategicamen-
te interligados, de forma que raro um processo possuir objetivos com reflexos
somente em uma rea. Na verdade, isso s acontece com um processo: o processo
DS13 (Gerenciar operaes), que veremos na prxima aula.

ADQUIRIR E IMPLEMENTAR (AI AQUIRE AND IMPLEMENT)

Os processos do domnio de aquisio e

implementao (AI Aquire and implement) lidam
com as atividades que visam realizao das estra-
tgias de TI construdas atravs dos processos do
domnio PO, ou seja, as solues de TI precisam
ser identificadas; os recursos necessrios preci-
sam ser adquiridos externamente ou construdos
internamente; os servios desejados precisam ser
colocados em produo etc.
Figura 10.7: Integrao entre processos.

CEC I E R J E X T E N S O E M G O V E R N A N A 261
Governana em Tecnologia da Informao | COBIT v4.1 Planejando, organizando, adquirindo e
implementando

AI1 Identificar solues automatizadas (Identify automated

solutions)

Voc sabe como a empresa analisar a viabilidade de atender s

expectativas, aos desejos e at mesmo s necessidades dos usurios?
Como os requisitos de negcio sero considerados pelos usurios durante
a especificao das aplicaes e servios? Bem, esse processo deve lidar
com esse tipo de dvida.
A necessidade de novas aplicaes precisa ser analisada sob
diversos aspectos, tais como: desejos e expectativas dos interessados,
existncia de solues alternativas, reviso da tecnologia envolvida, an-
lise de custo-benefcio, anlise de viabilidade e deciso final de fazer
ou comprar. De uma forma ou de outra, tanto a aquisio externa
quanto a construo interna da soluo devem atender aos princpios
da eficincia operacional e, principalmente, da eficcia estratgica.
Os objetivos de controle aqui so:

AI1.1 Definio dos requisitos tcnicos e funcionais.

AI1.2 Relatrios de anlise de risco.
AI1.3 Estudo de viabilidade e definio de alternativas.
AI1.4 Deciso e aprovao de requisitos e de viabilidade.

Observe que o nvel mximo desse processo atingido quando:

a metodologia para aquisio ou implementao flexvel e atende a
projetos de todos os portes; as oportunidades de utilizao de tecnologias
estratgicas so identificadas e aproveitadas; a empresa a identifica e atua
em situaes em que aplicaes so aprovadas sem a devida anlise de
viabilidade e custo-benefcio etc.
Um exemplo de meta desse processo pode ser: "Identificar solues
que atendam aos requisitos dos usurios e tomar decises de fazer ou
comprar. Essa meta possui vrios indicadores, tais como o percentual
de interessados (usurios, clientes, patrocinadores etc.) satisfeitos com
os estudos de viabilidade realizados pela TI.
Com relao s reas foco da Governana, esse processo est
diretamente ligado entrega de valor e ao alinhamento estratgico.

262 Governana: Gesto, Auditoria e Tecnologia da Informao

 10
AI2 Adquirir e manter softwares aplicativos (Acquire and
maintain application software)

AULA
Tenha em mente que esse processo garante que a empresa no
ficar sem resposta para questes como: o que garante que uma soluo
foi construda conforme as especificaes? Como as aplicaes sero
auditadas? Como garantir a qualidade no processo de desenvolvimento
de software? Como gerenciar solicitaes de usurios por novos servios?
Aqui o termo "aquisio" usado de forma abrangente, ou seja, refere-
se tanto aquisio externa (comprar de terceiros), quanto aquisio
interna (desenvolver com meios prprios).
Aplicaes cujas viabilidades foram aprovadas precisam se concre-
tizar. Esse processo deve cobrir o desenho das aplicaes e as atualizaes
visando implementao de novas funcionalidades. Os seus objetivos
de controle so:

AI2.1 Desenho de alto nvel.

AI2.2 Desenho detalhado.
AI2.3 Controle e auditoria de aplicaes.
AI2.4 Disponibilidade e segurana das aplicaes.
AI2.5 Configurao e implementao do software adquirido.
AI2.6 Atualizaes maiores de sistemas em produo.
AI2.7 Desenvolvimento de software aplicativo.
AI2.8 Garantia de qualidade de software.
AI2.9 Gerenciamento de requisitos de aplicaes.
AI2.10 Manuteno de software aplicativo.

Veja que o nvel mximo de desempenho almejado por esse pro-

cesso atingido quando: toda a aquisio e a manuteno de software
acontecem de acordo com o processo; quando a metodologia de aqui-
sio e manuteno possibilita desenvolvimento e entrega respondendo
rapidamente s necessidades do negcio etc.
"Uma meta desse processo : Adquirir e manter aplicaes que
atendam os requisitos de negcio a um custo vivel". O alcance dessa meta
pode ser medido atravs do percentual de projetos de desenvolvimento que
terminam no prazo e dentro do oramento e pela quantidade de esforo
necessrio para manter as aplicaes em uso na organizao".

CEC I E R J E X T E N S O E M G O V E R N A N A 263
Governana em Tecnologia da Informao | COBIT v4.1 Planejando, organizando, adquirindo e
implementando

Com relao s reas foco da Governana em TI, esse processo

prioritrio para a entrega de valor e para o alinhamento estratgico.

AI3 Adquirir e manter infraestrutura tecnolgica (Acquire

and maintain technology infrastructure)

Quantos processos crticos de negcio so suportados por pla-

taformas obsoletas? Existe um plano de atualizao da infraestrutura
tecnolgica? Quanto da infraestrutura tecnolgica est operando em
plataformas que no esto de acordo com as diretrizes tecnolgicas da
organizao?
As empresas tambm precisam possuir um processo para adquirir
e atualizar a sua infraestrutura tecnolgica. Isso requer procedimentos
alinhados com as estratgias e direes tecnolgicas, alm da existncia de
ambientes dedicados de teste e desenvolvimento. Esse processo garante que
a infraestrutura tenha capacidade para suportar as aplicaes de negcio.

AI3.1 Plano de aquisio de infraestrutura tecnolgica.

AI3.2 Proteo e disponibilidade da infraestrutura.
AI3.3 Manuteno da infraestrutura.
AI3.4 Viabilidade do ambiente de testes.

Esse processo atinge o mximo de maturidade quando a orga-

nizao conhece as novas plataformas, tecnologias e ferramentas de
mercado; o TCO reduzido atravs da racionalizao e padronizao
dos componentes da infraestrutura; o processo auxilia na identificao
de meios para otimizar o desempenho atravs da terceirizao etc.
Uma meta desse processo : "Fornecer plataforma apropriada para
suportar as aplicaes de negcio." O seu alcance pode ser medido pelo
nmero de componentes da infraestrutura que no esto de acordo com
a arquitetura e com os padres tecnolgicos definidos pela empresa.
Esse processo crtico para o gerenciamento de recursos dentro
das reas de Governana em TI.

AI4 Habilitar operao e uso (Enable operation and use)

Como as informaes sobre as aplicaes sero compartilhadas

entre os profissionais da rea de TI? Como os usurios sero treinados

264 Governana: Gesto, Auditoria e Tecnologia da Informao

 10
para utilizar adequadamente a infraestrutura e os sistemas? Qual o
percentual de aplicaes para as quais h treinamento inclusive para a

AULA
equipe de suporte?
Esse processo lida principalmente com conhecimento e informao
sobre os sistemas. Ele requer a elaborao de documentao para as
equipes, manuais para usurios e treinamento a fim de assegurar o uso
adequado da infraestrutura. Os objetivos de controle so:

AI4.1 Planejamento das solues operacionais.

AI4.2 Transferncia de conhecimento para a empresa.
AI4.3 Transferncia de conhecimento para os usurios finais.
AI4.4 Transferncia de conhecimento para o provedor de TI.

Note que o nvel otimizado desse proces-

so atingido quando: a documentao cons-
tantemente atualizada; quando ela mantida
eletronicamente, possibilitando rpido acesso e
enriquecimento atravs de contribuies; as atu-
alizao refletem as mudanas organizacionais
ou operacionais; os programas de treinamento
e capacitao so integrados s necessidades da
empresa e s necessidades da TI etc.
Um exemplo de meta do AI4 pode ser:
"Transferir e compartilhar o conhecimento
necessrio para o uso correto dos sistemas e
Figura 10.8: Adquirir e implementar.
aplicaes". Ela pode ser mensurada, por exem-
plo, por meio do nmero de incidentes causados pela falta de documen-
tao sobre os procedimentos ou pela falta de treinamento da equipe.
Esse processo um dos que so diretamente responsveis pela
entrega de valor da Governana em TI.

AI5 Comprar recursos de TI (Procure IT resources)

Os recursos de TI incluem pessoas, hardware, software e servios;

todos precisam ser comprados de alguma maneira. Pois bem. Que
maneira seria essa? Quais so os melhores fornecedores de determinado
equipamento ou servio? Como mensurar a qualidade de um fornecedor?
Como e onde posso contratar mo de obra terceirizada?

CEC I E R J E X T E N S O E M G O V E R N A N A 265
Governana em Tecnologia da Informao | COBIT v4.1 Planejando, organizando, adquirindo e
implementando

necessrio que existam procedimentos de aquisio, de seleo

de fornecedores, de construo de arranjos contratuais, e da compra
em si. O objetivo que a organizao disponha de todos os recursos
de que precisa quando eles forem necessrios. Os objetivos de controle
desse processo so:

AI5.1 Controle de aquisies.

AI5.2 Gerenciamento de contratos.
AI5.3 Seleo de fornecedores.
AI5.4 Aquisio de recursos de TI.

Note que o nvel timo atingido quando: a empresa refora a

necessidade de seguir as polticas e os procedimentos de aquisio da
TI; so tomadas medidas sobre os contratos e sobre o gerenciamento de
aquisies que so relevantes para decises futuras de aquisio; existe
bom relacionamento com parceiros e fornecedores e a qualidade desse
relacionamento medida periodicamente e de forma estratgica; a TI
comunica a importncia estratgica de haver processos adequados de
aquisio e gerenciamento de contratos etc.
Uma meta importante desse processo : "Reduzir o risco nas
aquisies da TI." Ela pode ser medida atravs do percentual de aqui-
sies realizado de acordo com as polticas e procedimentos formais de
aquisio da organizao.
A principal contribuio desse processo para a Governana em
TI com relao ao gerenciamento de recursos.

AI6 Gerenciar mudanas (Manage changes)

Como priorizar as mudanas necessrias no ambiente operacional?

Como lidar com as solicitaes de alteraes emergenciais na infraestru-
tura ou em sistemas de produo? Como minimizar o risco do impacto
de mudanas mal realizadas?
Enfim, todas as mudanas (mesmo as emergenciais) dentro do
ambiente de produo precisam ser gerenciadas de acordo com pro-
cedimentos formais. Mesmo mudanas em procedimentos, processos,
parmetros de configurao de servios ou sistemas devem ser registrados
e autorizados antes de sua implementao. Isso assegura a mitigao de
riscos inerentes a mudanas que possam causar impacto na estabilidade
do ambiente de produo. Seguem os objetivos de controle:

266 Governana: Gesto, Auditoria e Tecnologia da Informao

 10
AI6.1 Definio de padres e procedimentos de mudanas.
AI6.2 Avaliao de impacto, priorizao e autorizao.

AULA
AI6.3 Mudanas emergenciais.
AI6.4 Relatrio e acompanhamento de mudanas.
AI6.5 Encerramento e documentao de mudanas.

O nvel otimizado desse processo obtido quando: as trilhas

de auditoria permitem detectar erros causados por mudanas mal
executadas; o retrabalho devido a mudanas mnimo; as operaes
de retrocesso, quando necessrias, acontecem com o mnimo impacto;
o gerenciamento de mudanas na TI integrado ao gerenciamento de
mudanas de negcio para assegurar aumento de produtividade e criao
de oportunidade para a organizao etc.
Uma das metas do AI6 : "Avaliar o impacto das mudanas na
infraestrutura e nas aplicaes de TI." O seu alcance pode ser medido
atravs da quantidade de mudanas que resultaram em retrocesso e pela
reduo do esforo necessrio para implementar as mudanas.
Esse processo essencial para a entrega de valor na Governana
em TI.

AI7 Instalar e acreditar solues e mudanas (Install and

accredit solutions and changes)

Qual a melhor forma de colocar uma nova soluo em produo,

afinal? Bem, para no fugir regra, bvio esta altura que, em primei-
ro lugar, vem a construo dos processos que atendam aos objetivos de
controle de todas as reas citadas. Depois ficar fcil...
Esse processo ir lidar especificamente com a operacionalizao
do servio (aps a sua identificao, anlise de viabilidade, construo
ou aquisio etc.). Tal operacionalizao requer testes em um ambiente
dedicado e com dados relevantes, definio de instrues de migrao,
planejamento de entrega, incio da produo, alm de revises ps-
implantao. Isso assegura que os sistemas operacionais esto alinhados
com as expectativas. Ento, estes so os objetivos de controle descritos
no COBIT para esta rea:

AI7.1 Treinamento.
AI7.2 Planejamento de testes.
AI7.3 Planejamento de implementao.

CEC I E R J E X T E N S O E M G O V E R N A N A 267
Governana em Tecnologia da Informao | COBIT v4.1 Planejando, organizando, adquirindo e
implementando

AI7.4 Ambiente de testes.

AI7.5 Converso de dados e sistemas.
AI7.6 Testes de mudanas.
AI7.7 Testes de aceitao final.
AI7.8 Incio da produo.
AI7.9 Reviso ps-implantao.

Observe que esse processo atin-

gir o nvel otimizado (nvel mximo
de maturidade segundo o COBIT )
quando: no existem incidentes ou
acidentes aps a operacionalizao de
sistemas; as revises ps-implementao
so padronizadas e as mudanas neces-
srias so mnimas; a empresa utiliza
Figura 10.9: Gerenciar mudanas.
as lies aprendidas para assegurar a
melhoria contnua do processo; testes
de carga (novos sistemas) e testes de regresso (sistemas modificados)
so aplicados consistentemente etc.
Uma meta desse processo : "Verificar e confirmar que aplicaes
e sistemas esto plenamente de acordo com os propsitos da organiza-
o". Um dos indicadores de desempenho dessa meta a quantidade de
retrabalho causado por testes inadequados de aceitao das solues.
Esse processo primrio para a entrega de valor da Governana
em TI.

Atividade 2
Qual a diferena entre os processos do domnio AI (Adquirir e implementar) e os 2
processos do domnio PO (Planejar e organizar)?

268 Governana: Gesto, Auditoria e Tecnologia da Informao

 10
AULA
Resposta
Os processos do domnio AI possuem foco mais voltado para a operacionali-
zao dos servios. Isso notado quando observamos que os sete processos
deste domnio refletem preocupaes de analisar a viabilidade, adquirir e manter
softwares aplicativos e infraestrutura, documentar e compartilhar informaes
de uso e manuteno, efetivar a compra dos recursos necessrios, gerenciar as
mudanas, testar o servio e torn-lo operacional, ou seja, de forma muito simpli-
ficada, podemos dizer que se trata das etapas do ciclo que vo da solicitao pelo
usurio ou cliente at a sua operacionalizao. E para que servem os processos
do domnio PO? Ora, tudo que acontece em outros processos acontece segundo
as sadas dos processos de planejamento e organizao, ou seja, segundo as
diretrizes, metas, planos e metodologias gerados quando aqueles processos so
conduzidos pela empresa.

CONCLUSO

Os processos vistos nesta aula se encaixam nos dois primeiros

domnios citados do COBIT. Voc se lembra de como o relacio-
namento entre o ciclo PDCA e os domnios PO e AI? O domnio PO
possui processos cujas atividades tm mais a ver com o P (Plan) do
PDCA. O domnio AI, por sua vez, est mais relacionado ao D (Do)
do ciclo PDCA. importante que, a partir disso, voc entenda que o
amadurecimento dos processos de aquisio e implementao depende
do amadurecimento dos processos de planejamento e organizao.
Alm disso, outro fato importante que o alinhamento estratgi-
co, que apenas uma das cinco reas foco da Governana, depende de
vrios processos. Por outro lado, um processo pode ser importante para
mais de uma rea foco da Governana em TI.
Tudo isso, de certa forma, responde questo sobre por que
difcil evoluir uma rea deixando outra em segundo plano. Embora
tenhamos dito que os processos do COBIT foram construdos de forma
integrada, na verdade, na prtica, os processos esto de fato integrados.
O COBIT apenas reflete a realidade daquelas empresas onde as coisas
funcionam direito.

CEC I E R J E X T E N S O E M G O V E R N A N A 269
Governana em Tecnologia da Informao | COBIT v4.1 Planejando, organizando, adquirindo e
implementando

Finalmente, ressaltamos que, alm de ter atingido as metas defi-

nidas pela empresa para cada objetivo de controle, comum ao nvel
mximo de maturidade de todos os processos: seguir efetivamente a
filosofia da melhoria contnua; gerar documentao e registros necessrios
dentro da prpria metodologia do processo; e, obviamente, garantir que
as metas de TI so obtidas de acordo com as metas de negcio.

INFORMAES SOBRE O FRUM

Vamos discutir os assuntos desta aula no frum desta semana?
Ttulo: O COBIT como um "guarda-chuva" para a Governana em TI.
Objetivo: muito comum encontrarmos no mercado empresas que iniciaram seus
projetos de melhoria no gerenciamento de servios de TI pela ITIL, pela ISO 27000
etc. Algumas delas nem tiveram conhecimento do que o COBIT e para que ele
serve. Voc deve se lembrar de que o COBIT deve ser um guarda-chuva para a
Governana em TI e, por isso, deve ser abordado antes de qualquer outro modelo
ou norma. Voc concorda com isso? Por qu?

Atividade online
O COBIT no possui uma descrio detalhada sobre como implementar o 1 2
processo (entradas, atividades, procedimentos, regras, sadas etc.). Pelo menos
no esta a sua principal preocupao, haja vista que ele um documento estratgico e,
portanto, menos detalhado. Nesta aula vimos os processos dos domnios PO e AI. O objetivo
desta atividade pesquisar como os processos da ITIL v3 so mapeados no COBIT, ou
seja, que processo da ITIL v3 tem a ver com qual rea do COBIT (e vice-versa).

RESUMO

Os dez processos do domnio Planejar e organizar (PO) cobrem questes

como: determinao e comunicao das estratgias e diretrizes da TI;
definio da arquitetura da informao e das direes tecnolgicas;
gerenciamento de recursos humanos; gerenciamento de projetos de TI;
gerenciamento da qualidade geral etc.

270 Governana: Gesto, Auditoria e Tecnologia da Informao

 10
AULA
Os sete processos do domnio Adquirir e implementar (AI) lidam diretamente
com questes como: identificao das solues de TI; aquisio externa
ou construo interna dos recursos necessrios; colocao dos servios
desejados em produo etc.

O COBIT mapeia os 34 processos de cada rea de processo com relao s

cinco reas foco da Governana. Alguns processos so mais importantes
para o alinhamento estratgico, outros so mais importantes para o
gerenciamento de riscos, j outros para o gerenciamento de recursos e
assim por diante.

Todo processo possui objetivos de controle a serem perseguidos com

o intuito de promover o seu amadurecimento. O nvel mximo de
amadurecimento de cada processo acontece quando todos os objetivos
de controle so atingidos e quando o processo flexvel para se adaptar
s mudanas no cenrio do negcio.

O fato de um processo atingir o nvel mximo de amadurecimento segundo

o COBIT (que o nvel otimizado) no significa que o processo no
possa mais melhorar. Pelo contrrio, a principal caracterstica desse nvel
a busca incessante pela melhoria contnua utilizando as boas prticas
consagradas do mercado.

Informaes sobre a prxima aula

Na prxima aula estudaremos os dois ltimos domnios do

COBIT: o domnio de entrega e suporte (DS Deliver and
support), em que estudaremos 13 processos, e o domnio de
monitoramento e avaliao (ME Monitor and evaluate), em
que estudaremos quatro processos.

No fique parado! Utilize o que voc aprendeu e at a prxima

aula!

CEC I E R J E X T E N S O E M G O V E R N A N A 271
Governana em Tecnologia da Informao | COBIT v4.1 Planejando, organizando, adquirindo e
implementando

Atividades Finais
1) O relacionamento entre o PO3 (Determinar direo tecnolgica) e o AI3 (Adquirir e
manter infraestrutura tecnolgica) est no fato de que:

a. Os objetivos de controle do AI3 seguem as definies do PO3.

b. Os objetivos de controle do PO3 seguem as definies do AI3.
c. Ambos abordam o acompanhamento de tendncias tecnolgicas.
d. Ambos abordam questes sobre manuteno da infraestrutura.

2) Com relao ao PO5 (Gerenciar o investimento em TI) e ao AI5 (Comprar recursos

de TI) INCORRETO afirmar que:

a. O AI5 lida com o gerenciamento de contratos de fornecedores.

b. O PO5 lida com questes de oramento, custo e benefcio.
c. O processo PO5 responsvel por planejar as aquisies.
d. O processo AI5 responsvel por efetivar as aquisies.

3) Com relao ao PO10 (Gerenciar projetos) e ao AI6 (Gerenciar mudanas) podemos

afirmar que:

a. O AI6 lida somente com mudanas em sistemas aplicativos.

b. O AI6 no aborda mudanas no ambiente operacional.
c. O PO10 no aborda projetos de desenvolvimento de software.
d. O PO10 diz respeito criao de metodologia.

4) Um coordenador de TI afirma que, para atender s metas definidas pelos indicadores

da rea de processo Gerenciamento da qualidade (PO8) do COBIT, necessrio e sufi-
ciente implementar o processo Gerenciamento do nvel de servio do livro Desenho do
servio da ITIL v3. Julgue e explique esta afirmao.

5) (Analista do MPE-SE FCC/2009) Uma das reas de processo do domnio PO ( Plane-

jamento e Organizao ), no modelo COBIT,

a. Ensure Systems Security.

b. Obtain Independent Assurance.
c. Assist and Advise Customers.
d. Assess Risks.
e. Manage Changes.

6) Costumamos dizer que o COBIT mais abrangente que outros modelos e conjuntos
de boas prticas. Com relao ITIL, cite um exemplo de rea (do domnio PO ou AI) que
descreve um processo no contemplado pela ITIL.

7) (Analista Judicirio do STJ CESPE/2008) Quanto ao modelo COBIT, julgue os seguintes itens.
a. No domnio adquirir e implementar (acquire and implement), h o processo adquirir
e manter infraestrutura de tecnologia (acquire and maintain technology infrastructure),
que tem como objetivos: desenvolver e executar um plano de garantia de qualidade de
software; desenvolver e manter uma estratgia e um plano para a manuteno dos softwares
aplicativos.

272 Governana: Gesto, Auditoria e Tecnologia da Informao

 10
b. Considere que, no que diz respeito ao processo avaliar e gerenciar riscos de TI (assess

AULA
and manage IT risks), uma organizao apresente as seguintes caractersticas: existe
uma abordagem para avaliar riscos; para cada projeto, implementar a avaliao de riscos
depende de deciso do gerente do projeto; a gerncia de riscos aplicada apenas aos
principais projetos ou em resposta a problemas. Nessa situao, o nvel de maturidade
da referida organizao, em relao a tal processo, gerenciado e mensurvel (managed
and measurable).

Resposta
1) Alternativa a. As aquisies resultantes dos processos do domnio AI seguem o
planejamento resultante dos processos do domnio PO. Somente o PO3 acompanha
tendncias de tecnologias e padres e somente o AI3 lida com questes de manuteno
da infraestrutura.

2) Alternativa c. errado afirmar que o PO5 planeja as aquisies. Na verdade, ele apro-
va oramentos, analisa a relao custo-benefcio de aquisies e prioriza investimentos.
Porm, as compras necessrias (quando aprovadas dentro do oramento), so conduzidas
pelo AI5. Conduzir as compras significa planejar (definir quando ser comprado, quem
ser o fornecedor etc.), executar (fechar a compra, receber o equipamento ou servio
etc.), controlar (acionar a garantia etc.) e encerrar (entregar para a implementao e
operacionalizao).

3) Alternativa d. A empresa precisa ter metodologia para gerenciar projetos. O processo

PO10 possui objetivos de controle direcionados para esse fim, ou seja, a criao de uma
metodologia de gerenciamento de projetos de TI na organizao.

4) A afirmao est errada. O objetivo do PO8 definir indicadores para a adoo (ou
no) de sistemas, filosofias e mtodos da qualidade dentro do mbito da TI, tais como
a ISO 9000 e Seis Sigma etc. O processo Gerenciamento do nvel de servio da ITIL lida
com o estabelecimento de acordos entre as partes envolvidas para a determinao e
atendimento de requisitos, desejos e expectativas com relao aos servios. Obviamente,
como tudo no COBIT, uma coisa acaba ajudando a outra.

5) Alternativa a. Ressalte-se que os nomes das reas esto em ingls (prtica comum) e
que o correto seria Assess and manage IT risks.

6) A resposta pode variar. Um exemplo marcante o do PO7, que lida com o gerenciamento
de recursos humanos no que diz respeito contratao, reteno, motivao, treinamento
e avaliao de pessoas. A ITIL no d muita ateno a essa questo, embora o assunto
seja citado superficialmente nos textos que abordam a central de servios.

7.a) Falso. O processo mencionado lida com questes da infraestrutura. o processo Adquirir
e manter softwares aplicativos (Acquire and maintain application software), do mesmo
domnio, que lida com as questes citadas.

7.b) Falso. No nvel gerenciado e mensurado (nvel quatro) no existe cabimento em avaliar
riscos dependendo da deciso do gerente (de forma subjetiva) e muito menos em aplicar o
processo apenas aos principais projetos (falta de escalabilidade do processo) ou em resposta
a problemas (reativo ao invs de proativo).

CEC I E R J E X T E N S O E M G O V E R N A N A 273