9

AULA
Introduo ao COBIT v4.1 Parte 2
Meta da aula
Explicar os conceitos iniciais

sobre o COBIT .
objetivos

Ao final desta aula, voc dever ser capaz de:

1 identificar, listar e explicar os principais conceitos

sobre o COBIT tais como: gesto por objetivos,
metas e reas foco de governana;

2 listar os nveis de maturidade do COBIT e explicar
por que eles so importantes.

Pr-requisitos
So pr-requisitos para esta aula: ter atingido os obje-
tivos das primeiras aulas que tratam do planejamento
estratgico, da Governana em TI e das duas verses
da ITIL, a saber, a verso 2 e a verso 3. Alm disso,
primordial ter entendido plenamente os conceitos des-

critos na aula de introduo ao COBIT .
 Governana em Tecnologia da Informao | Introduo ao COBIT V4.1 Parte 2

INTRODUO

Na ltima aula ns comeamos a estudar o COBIT.

Foram explicados vrios conceitos, mas, antes de
entrarmos no estudo das reas de processo e dos obje-
tivos de controle propriamente ditos, existem outros
conceitos importantes a serem estudados. Estudaremos
esses conceitos nessa aula.

A esta altura voc j conhece muita coisa sobre a filosofia do COBIT , sobre
a sua evoluo e sobre alguns de seus principais conceitos. Nesta aula vamos
explicar outros conceitos importantes relacionados integrao de tudo que

foi visto e aplicao do COBIT e de seus objetivos de controle na prtica.

VISO INTEGRADA DO COBIT

O modelo do
Requisitos de Negcio COBIT pode ser apli-
e e e e
a d ad ade dad ad dad cado de vrias maneiras
ia ci al idi il i i d ili
c c cin enci egr nib form fiab diferentes dentro de uma
Efi Efi nfid Int ispo on on empresa. Porm, qual-
D C C
Co quer que seja a aborda-
Infraestrutura
Pessoas

gem escolhida, o mais

Informao

Domnios importante que todos

Aplicaes

os envolvidos em um
Processos de TI

projeto de implantao
de processos visando
Processos
Governana em TI
tenham entendimento
TI
d e muito claro sobre os con-
Atividades rs os
ceitos que estamos abor-
cu
Re dando.
Figura 9.1: Cubo do COBIT.

222 Governana: Gesto, Auditoria e Tecnologia da Informao


Uma forma que o COBIT encontrou para permitir a melhor

9
visualizao de seus conceitos foi o agrupamento de vrias informaes

AULA
em uma figura no formato de cubo. Essa figura famosa como o cubo

da Governana do COBIT . Voc o conhece?
Voc deve se lembrar das quatro entidades principais do ciclo

bsico do COBIT : requisitos de negcio, recursos de TI, processos de
TI e a prpria informao. Perceba que esta ltima aparece tanto na face

superior do cubo, na forma dos sete critrios definidos pelo COBIT ,
quanto na face lateral, como um dos tipos de recursos de TI.

Observe os seguintes fatos: em primeiro lugar, no COBIT os
recursos de TI so agrupados em aplicaes, informao, infraestrutu-
ra e pessoas. Essa ideia representada pela face lateral da Figura 9.1.
Em segundo lugar, os processos de TI so agrupados em quatro domnios
(Planejar e organizar, Adquirir e implementar, Entregar e dar suporte,
Monitorar e avaliar) e so efetivados na prtica na forma de atividades
ordenadas. Essa ideia representada na face frontal do cubo. E, por ltimo,
os requisitos de negcio so definidos a partir das informaes que devem
atender aos critrios de eficcia, eficincia, confidencialidade, integridade,
disponibilidade, conformidade regulatria e confiabilidade. Isso repre-
sentado na face superior do nosso cubo da Governana em TI.
Alm de tudo isso, observando as arestas, podemos novamente nos

lembrar dos princpios do ciclo bsico do COBIT , onde os requisitos
de negcio vo direcionar investimentos em recursos de TI; os recursos
de TI iro, por sua vez, ser utilizados pelos diversos processos de TI; os
processos de TI entregaro informaes que devero atender aos crit-
rios de informao; e, finalmente, a informao ser utilizada para gerar
os requisitos de negcio. E o ciclo se repetir indefinidamente, sempre
visando melhoria contnua.
Mas onde est a ideia de integrao neste cubo? O mais impor-
tante que o cubo traz uma informao visual de vrios dos principais

conceitos do COBIT e uma maneira rpida de ter uma viso global

de sua filosofia. Depois, vale lembrar que o COBIT tambm herdou
do COSO essa caracterstica de representar vrias informaes em uma
mesma imagem. O COSO tambm tem o seu cubo da Governana,
embora, neste caso, o foco dele no seja a Tecnologia da Informao.

CEC I E R J E X T E N S O E M G O V E R N A N A 223
Governana em Tecnologia da Informao | Introduo ao COBIT V4.1 Parte 2

Em 1992, o COSO publicou seu modelo de controles internos inte-

grados (COSO Report: Internal Control An Integrated Framework).
Este modelo abordava 26 princpios do controle interno, entre eles,
Integridade e valores ticos; Importncia do corpo de diretores;
Tecnologia da Informao etc. O modelo do COSO tambm possua
um cubo onde os 26 princpios eram associados a cinco componen-
tes: Monitoramento, Informao e Comunicao, Atividades de
controle, Avaliao de risco e Ambiente de controle (face frontal).
Alm disso, os objetivos do controle interno esto divididos em
Operacionais, Relatrio financeiro e Conformidade regulatria
(face superior), e os controles devem ser implementados em todas
as reas de negcio, Unidades organizacionais e Atividades da
empresa (face lateral). Voc pode obter mais informaes sobre
o COSO no site http://www.coso.org/. Esse site foi acessado em 1
de novembro de 2009.

A expresso geren-
ciamento por
objetivos (MBO
ES R
E
IO CEIRO MIDADLATR
IA
Management by
OP ERA
AT AN FOR REG
U
Objectives) foi popu- REL FIN CON
larizada por Peter

ATIVIDADE 2
Drucker na dcada
de 1960. A essncia MONITORAMENTO
ATIVIDADE 1
dessa expresso est
no fato de que o
UNIDADE A

controle e a audito-
INFORMAO E COMUNICAO
UNIDADE B

ria devem se basear

nos objetivos finais
de cada ao, e no
em procedimentos
operacionais. Todos ATIVIDADES de CONTROLE
os envolvidos nos
processos da empre-
sa precisam estar
cientes de como cada
AVALIAO de RISCO
atividade contribui
para o alcance de
metas. Foi a partir AMBIENTE de CONTROLE
dessa filosofia que
surgiu a ideia de
que os objetivos Figura 9.2: Cubo do COSO.
devem ser especfi-
cos, mensurveis,
possveis, relevantes
e com prazo bem
determinado. Esses
Controle e gesto por objetivos
parmetros deram
origem ao acrnimo
SMART (Specific, Uma outra ideia central no contexto da Governana (e necessria
Measurable, Achie-
vable, Relevant and para que voc entenda bem todos os conceitos) a do gerenciamento por
Time bound). objetivos em ingls, MBO (Management by Objectives).

224 Governana: Gesto, Auditoria e Tecnologia da Informao

 Segundo o COBIT, controles so um conjunto de polticas, pr-

9
OPERAES e
ticas e estruturas organizacionais desenvolvidas para dar uma garantia

AULA
PROJETOS

razovel de que os objetivos de negcio sero atingidos e de que os even- O conceito de pro-
jetos e operaes
tos indesejveis sero prevenidos ou corrigidos. Desse modo, quando muito forte no mbi-
dizemos que o COBIT um conjunto de objetivos de controle para a TI, to das boas prticas
de gerenciamento de
estamos dizendo que ele auxilia a empresa a controlar as atividades de TI projetos, sobretudo
no Guia PMBOK.
com foco em algo maior, que so as metas de negcio a serem alcanadas Costuma-se dizer
que tudo que acon-
por meio dos processos. Embora voc possa pensar que isso seja bvio,
tece na empresa
esta tem sido a principal dificuldade da maioria das empresas no que acontece na forma
de projetos ou na
diz respeito efetivao do alinhamento estratgico da TI. Na verdade, forma de operaes.
Projetos tm incio,
a ideia at simples, mas a execuo dela no to simples. meio e fim bem defi-
Voc j consegue perceber diferenas entre a ITIL e o COBIT? nidos e geram um
produto ou servio
Uma das vrias diferenas que podemos encontrar no COBIT controles cujas caractersticas
so singulares. J
para processos que a ITIL nem mesmo cita ou, quando faz isso, no as operaes no
faz com o mesmo nvel de profundidade e relevncia. Como exemplo tm necessariamen-
te um fim e geram
podemos citar processos como Definir um plano estratgico de TI (PO1), resultados que no
so necessariamente
Determinar a direo tecnolgica (PO2), Gerenciar os recursos humanos exclusivos, ou seja,
existem para gerar
de TI (PO7), Gerenciar projetos de TI (PO10), Gerenciar o ambiente
o mesmo resultado
fsico (DS12), Assegurar a conformidade com requisitos externos (ME3) continuamente.

e (ME4).
Note que so processos mais ligados direo da TI e ao seu ali-
nhamento com o negcio. Esta uma outra diferena: a ITIL no tem
preocupaes relativas gesto executiva da TI e ao seu gerenciamento
estratgico, muito embora ela contribua bastante para isso.
Voc deve ter sempre em mente que, mesmo quando um proces-
so aparece tanto no COBIT quanto na ITIL, isso acontece de forma
muito diferente. O contedo do COBIT voltado para o controle,
gerenciamento e medio de cada processo. Seu foco est na tomada
de deciso estratgica e alinhamento da TI com as metas de negcio. J
o contedo da ITIL mais voltado para a construo e execuo do
processo em si, isto , l encontramos informaes sobre quais so as
principais entradas do processo, quais so as suas principais atividades
e quais so as suas principais sadas. A ITIL, por exemplo, define cla-
ramente alguns indicadores de desempenho do processo, mas no trata
dos indicadores de meta do processo. No fique ansioso, pois voc ter
ainda nesta aula mais uma oportunidade de entender essas diferenas
no item em que abordaremos a aplicao do COBIT.

CEC I E R J E X T E N S O E M G O V E R N A N A 225
Governana em Tecnologia da Informao | Introduo ao COBIT V4.1 Parte 2

Meta de Negcio Meta de TI Meta de Processo Meta de Atividade

Manter a reputao Assegurar que Detectar e Entender requisitos

da empresa e os servios de TI solucionar acesso de segurana,
liderana no podem resistir a no autorizado aos vulnerabilidade e
mercado ataques recursos de TI ameaas

Medida por meio de... Medida por meio de... Medida por meio de... Medida por meio de...

Nmero de Nmero de Nmero de Frequncia de

incidentes que se incidentes de TI incidentes devido a reviso dos eventos
tornaram pblicos com impacto no acesso no a serem
negcio autorizados monitorados

Figura 9.3: Relao entre metas de negcio e metas de TI.

A relao entre metas de negcio, metas de TI, metas de processo

e metas de atividade simples. As metas de negcio so geradas confor-
me os requisitos de negcio, que por sua vez so motivados por fatores
internos ou externos organizao (presses de mercado, necessidade
de inovao tecnolgica, novos produtos substitutos, conformidade
regulatria etc). So as metas de negcio que do origem s metas de TI
(lembre-se de que a partir do plano estratgico da empresa que o PDTI
desenvolvido). A partir disso, a empresa constri e implementa processos
que daro origem s suas prprias metas. Os processos so compostos
por atividades, e estas, por sua vez, possuem metas de atividade.
Voc se lembra de quando perguntamos se voc reconheceria uma
meta se a visse? Pois bem, a Figura 9.2 contm um exemplo completo
de uma meta de negcio (estratgica) detalhada at o seu nvel de meta
de atividade (operacional), assim como as mtricas que iro determinar
o grau de alcance das metas.

226 Governana: Gesto, Auditoria e Tecnologia da Informao

 9
AULA
Peter Druker nasceu na ustria em 1909. Atuou principalmen-
te nas reas da economia e administrao, tendo se tornado
conhecido mundialmente como pai da gesto moderna.
Em seus livros, discutiu questes como a globalizao, a lide-
rana e a motivao das pessoas nas empresas. Vrios deles,
escritos h muitos anos, permanecem atuais at hoje e ainda
so frequentemente citados como bibliografia de referncia.
Druker atuou por mais de sete dcadas, e suas ideias e filosofias
influenciaram enormemente a gesto moderna. Ele escreveu
dezenas de livros e publicou centenas (ou milhares) de artigos.
Dois de seus ltimos livros so The Daily Drucker: 366 Days of
Insight and Motivation for Getting the Right Things Done (2004)
e The Effective Executive in Action (2005). Figura: P. Druker

Atividade 1
Um exemplo de rea de processo do COBIT Identificar solues automatizadas 1
(AI1 Identify automated solutions), cujo objetivo assegurar que a necessidade
por novas aplicaes seja analisada antes da sua aquisio, para que os requisitos de
negcio possam ser satisfeitos de forma eficiente e eficaz. Crie uma meta de TI para
essa rea de processo e diga como seus resultados seriam mensurados.

Resposta
A resposta pode variar. Do prprio texto do COBIT, extramos uma das metas que
ele cita para esta rea. Meta: definir como os requisitos funcionais para aplicaes
so transformados pela empresa em solues automatizadas efetivas e eficientes.
Mtrica: nmero de projetos onde os benefcios pretendidos no foram obtidos
devido a premissas incorretas sobre os requisitos.

CEC I E R J E X T E N S O E M G O V E R N A N A 227
Governana em Tecnologia da Informao | Introduo ao COBIT V4.1 Parte 2

Objetivos de controle

Voc pode ler este texto e tentar ainda imaginar o que existe de
concreto no COBIT para auxiliar a controlar a TI. Voc pode perguntar
algo como: Como so esses controles, afinal? O COBIT possui uma
descrio de vrios objetivos de controle relacionados a cada uma das 34
rea de processo. Ao todo so 210, como dissemos na aula passada.
Vejamos um exemplo disso. Considere a rea de processo Definir

O termo BASELINE
um plano estratgico da TI (ou plano diretor de TI). Essa rea de processo
muito utilizado a primeira do domnio de planejamento e organizao (PO), e por isso
no mundo das boas
prticas. Sua tradu- identificada por PO1 (vamos estudar todas as 34 reas de processo nas
o ao p da letra
seria linha de base. prximas duas aulas sobre o COBIT).
Uma baseline um Para essa rea de processo o COBIT descreve seis objetivos de con-
retrato do estado
atual de um sistema, trole. Ou seja, daqueles 210 objetivos de controle que mencionamos, seis
de um processo ou
de qualquer coisa pertencem ao processo Definir um plano estratgico da TI. So eles:
cujas caractersticas
possam ser mode- PO1.1 - Gerenciamento de valor da TI
ladas e parametri-
zadas. A baseline O objetivo do PO1.1 (IT value management) garantir que o
contm as infor-
portflio da TI contm operaes e projetos que tenham motivao
maes necessrias
sobre o estado atual concreta no negcio. Tudo que a TI faz (ou seja, o seu portflio)
para comparaes
futuras. Podemos deve possuir razo diretamente extrada do plano estratgico da
dizer, por exemplo,
que um cronograma
empresa e retorno esperado bem definido para o investimento.
de planejamento
contm a baseline PO1.2 - Alinhamento entre TI e negcio
de tempo do proje-
O objetivo do PO1.2 (Business-IT alignment) estabelecer um
to. Durante a exe-
cuo do projeto, relacionamento bidirecional e um envolvimento recproco no
essa baseline ser
comparada com a qual a empresa se preocupe com as estratgias da TI e vice-versa.
realidade para que
possam ser tomadas
As necessidades imperativas da TI e as necessidades imperativas
medidas preventi- da empresa precisam ser mediadas, de forma
vas ou corretivas.
Outro exemplo so que sempre se chegue a um consenso em que
as informaes de
configurao de um
o principal beneficiado seja o negcio.
sistema. Podemos
extrair uma base- PO1.3 - Avaliao da capacidade e desem-
line dos valores de
cada parmetro de
penho
configurao do O objetivo do PO1.3 (Assessment of cur-
sistema antes de
uma mudana, para rent capability and performance) avaliar
que, em caso de
problema, o sistema tanto a capacidade quanto o desempenho
possa pelo menos da entrega de solues e servios pela TI, a fim
ser reconfigurado
conforme seu estado de estabelecer linhas de base (BASELINES) para
anterior mudana.
comparao com os requisitos futuros, ou seja,

228 Governana: Gesto, Auditoria e Tecnologia da Informao

 o foco conhecer e documentar o que se tem hoje, a fim de que

9
no futuro seja possvel determinar se houve evoluo e, se houve,

AULA
em que grau ela aconteceu.
PO1.4 - IT Plano estratgico da TI
O objetivo do PO1.4 (IT strategic plan) criar o plano em si,
ou seja, aquele documento que define como as metas da TI con-
tribuiro para alcanar os objetivos estratgicos da empresa, a
que custo e com qual nvel de risco. O plano estratgico da TI
deve cobrir previso de oramento, fontes de financiamento,
estratgia de fornecimento, estratgia de aquisio e questes
legais e regulatrias. O plano estratgico precisa ser suficiente-
mente detalhado apenas para que seja possvel tomar decises
tticas. Precisa ser revisado periodicamente ou a cada mudana Um PROJETO tudo o
que tem incio, meio
no plano estratgico da organizao. e fim bem definidos
em que a empresa
PO1.5 - Planos tticos da TI investe esforo e
recursos para gerar
O objetivo do PO1.5 (Tactical plans) criar um conjunto de pla- um resultado ou
produto exclusivo.
nos tticos derivados do PDTI. Os planos tticos devem conter as Um PROGRAMA um
mesmas informaes do plano estratgico de TI, mas em um nvel conjunto de proje-
tos inter-relaciona-
maior de detalhamento, j visando sua operacionalizao. dos. Por exemplo,
um programa para
PO1.6 - Gerenciamento de portflio de TI levar o homem
a Marte envolve
O objetivo do PO1.6 (Portfolio management) gerenciar ati- vrios projetos
inter-relacionados,
vamente o portflio da TI identificando, definindo, avaliando, desde a construo
da plataforma de
priorizando, selecionando, iniciando, gerenciando e controlando
lanamento at o
PROGRAMAS, PROJETOS e OPERAES da TI. Isso inclui clarificar os obje- tipo de mistura
gasosa que ser
tivos, assegurar que os programas, projetos e operaes levaro respirada pelos
marcionautas.
aos objetivos almejados, determinar o esforo necessrio para Um PORTFLIO um
atingir os objetivos, definir responsabilidades para a prestao de conjunto de pro-
jetos, programas
contas sobre o desempenho, gerenciar os riscos, alocar recursos e operaes no
necessariamente
nos projetos e operaes selecionados etc. inter-relacionados,
ou seja, o portflio
da TI, expresso
Assim, o processo que a empresa construir para definir o plano muito usada no
COBIT, envolve
estratgico da TI dever possuir indicadores que permitam controlar os
no s as operaes
seis objetivos de controle mencionados e mensurar se eles esto sendo de TI (os proces-
sos), mas tambm
atendidos ou no. E como definir esses indicadores? Ora, o COBIT mais os projetos de TI e
tudo mais que for
uma vez ajuda nessa tarefa, pois ele descreve os principais indicadores da alada da TI na
empresa.

CEC I E R J E X T E N S O E M G O V E R N A N A 229
Governana em Tecnologia da Informao | Introduo ao COBIT V4.1 Parte 2

de desempenho e indicadores de meta para os controles citados. No

magnfico? Nas prximas aulas estudaremos os principais controles e
indicadores de cada processo.
Observe que somente sobre a rea de processo PO1 (Definio do
plano estratgico da TI) exemplificada acima, o COBIT fornece uma
lista com seis objetivos de controle, assim como sua definio. Na verda-
de, veremos ainda nesta aula que o COBIT vai muito alm disso por
exemplo, auxiliando a empresa a determinar o nvel de maturidade que
atingiu na rea de processo e fornecendo os seus principais indicadores
e mtricas.

Voc pode obter uma cpia em formato .pdf de vrios documentos sobre
o COBIT, inclusive a sua verso 4.1, no endereo:
http://www.isaca.org/Template.cfm?Section=COBIT6&Template=/Tagge-
dPage/TaggedPageDisplay.cfm&TPLID=55&ContentID=7981.
necessrio o cadastro no site e alguns contedos so pagos. Esse site foi
acessado em 30 de dezembro de 2009.

reas foco da Governana em TI

Um dos conceitos-chave do COBIT o conceito de reas foco

de Governana. Segundo esse modelo, como j dissemos, estas reas so
cinco. Os objetivos e metas estaro direta ou indiretamente relacionados
a uma dessas reas. O que so essas reas? Ora, vamos explic-las logo
a seguir.

Alinhamento estratgico

Assegura o elo entre o negcio e os planos de TI e alinha as

operaes de TI s operaes da empresa. H preocupao em
definir, manter e validar as proposies de valor sobre os servios
prestados pela TI e contrast-las com o retorno esperado pelo
negcio.

230 Governana: Gesto, Auditoria e Tecnologia da Informao

 Entrega de valor

9
AULA
Executa as aes que concretizam o valor esperado pelos servios
ao longo do seu ciclo de vida e assegura que a TI entrega os bene-
fcios prometidos, comprovando o valor esperado.

to En
en o
m c de tre
n ha tgi Va ga
i
Al stra lo
r
E
Domnios
os o
Mo erfom

Governana t
de

de iamen
nito

de TI
P

Risc
ram nce

enc
ent
a

Ger
o

Gerenciamento
de Recurso

Figura 9.6: reas foco da Governana.

Gerenciamento de riscos

Requer que os executivos tenham conscincia do nvel de risco

que esto dispostos a aceitar, que sejam transparentes sobre os
riscos significativos para o negcio e que tenham definio clara
de responsabilidades com relao ao gerenciamento de risco.

Medio de desempenho

Monitora a implementao da estratgia, o encerramento de pro-

jetos, o uso de recursos, o desempenho de processos e a entrega
de servios, a fim de determinar qual o desempenho que est
sendo atingido pelos processos de TI. O desempenho medido
com foco no alcance de metas.

CEC I E R J E X T E N S O E M G O V E R N A N A 231
Governana em Tecnologia da Informao | Introduo ao COBIT V4.1 Parte 2

Gerenciamento de recursos

Assegura a otimizao e o gerenciamento adequado do investi-

mento em recursos crticos de TI, ou seja, aplicaes, informaes,
infraestrutura e pessoas.

Atividade 2
Qual a relao entre reas foco da Governana, reas de processo e objetivos de 1
controle do COBIT?

Resposta
No COBIT, cada rea de processo (ou processo) possui objetivos de controle
bem determinados. Ao todo so 34 processos e 210 objetivos de controle.
Os processos (juntamente com todos os seus objetivos de controle) esto rela-
cionados s reas de Governana porque, atingindo os objetivos de controle do
processo, a empresa estar contribuindo mais para algumas reas de Governana.
Obviamente, atingindo todos os 210 objetivos de controle, todas as cinco reas
sero beneficiadas. O COBIT indica com P (primary) quando um processo mais
importante para uma rea de Governana e com S (secondary) quando ele menos
importante. Esse mapeamento (P ou S) feito a partir de todos os 34 processos
para as cinco reas de Governana.

A MATRIZ RACI

J dissemos que o COBIT herdou do COSO os princpios da

Governana (responsabilidade, prestao de contas e transparncia).
Desse modo, uma preocupao importante em todas as reas de processo
a definio dos papis e de responsabilidades.
No COBIT isso feito de forma simples e efetiva. Essas defini-
es so feitas nas matrizes denominadas matriz RACI. So 34 matrizes,
como no exemplo a seguir, em que so definidos os principais papis e
responsabilidades para cada processo.

232 Governana: Gesto, Auditoria e Tecnologia da Informao

 O termo RACI um acrnimo em ingls para as palavras com

9
significados de: pessoa responsvel pela execuo (Responsible); pessoa

AULA
que tem o dever de prestar contas sobre os resultados (Accountable);
pessoa que deve ser consultada (Consulted) e pessoa que deve ser infor-
mada (Informed).

Gerente de Projeto
Augusto Ribeiro

Valter Meireles
Desenvolvedor
Hlio de Souza

Arthur Gomes
Ferreira Neto

Consultor
Consultor

Testador
Atividade
Descrio do sistema A R I I I
Diagrama de caso de uso I A R R I
Diagrama de atividades I A R R I
Desenho das telas I A R R C
Descritivo das telas I A R R I
Diagrama de sequncia I A R R I
Diagrama de classes I A R R I
Definies das tabelas A R C I I
Diagrama de relacionamento ... ... ... ... ...
Mdulo movimentao ... ... ... ... ...
Mdulo base ... ... ... ... ...
Requisitos de implantao ... ... ... ... ...
Testes ... ... ... ... ...
Homologao ... ... ... ... ...
Treinamento ... ... ... ... ...
Figura 9.7: Matriz RACI para um projeto de software.

Na Figura 9.7 temos um exemplo de uma matriz RACI para um

projeto de desenvolvimento de software. As matrizes desse tipo podem
ser utilizadas em vrias ocasies em que se quer melhorar a definio
de responsabilidade e a comunicao. Elas so muito usadas na rea de
gerenciamento de servios de TI e Governana para definir quem res-
ponsvel pelo qu. Vale ressaltar que a matriz RACI uma ferramenta
utilizada tambm em outras reas, como no gerenciamento de projetos,
pelo mesmo motivo, ou seja, determinar quem far o que no projeto.

CEC I E R J E X T E N S O E M G O V E R N A N A 233
Governana em Tecnologia da Informao | Introduo ao COBIT V4.1 Parte 2

COMPONENTES DA REA DE PROCESSO

Bem, alm dos conceitos bsicos do COBIT, que so apresen-

tados logo nos captulos introdutrios, algumas informaes so apre-
sentadas para cada rea de processo. Antes de entrar no prximo item,
vamos apenas explicar como as reas de processo so apresentadas no
COBIT, tudo para garantir que voc absorva melhor os conceitos que
esto por vir.
Ento vejamos. A primeira informao apresentada para cada rea
de processo a prpria descrio sumarizada do processo que pertence
quela rea. Alm disso, feito o mapeamento do processo com rela-
o aos critrios de informao, com relao aos recursos de TI e com
relao s reas de Governana. Em outras palavras, o COBIT diz se o
processo direta ou indiretamente importante para um ou mais critrios
da informao. Do mesmo modo, indica se o processo depende direta
ou indiretamente de um ou mais tipos de recursos de TI. E, finalmente,
indica se o processo direta ou indiretamente relevante para algumas
das reas de Governana, sempre utilizando P (primary) ou S (secondary)
em todos os casos. Voc se lembra dos sete critrios da informao, dos
quatro tipos de recursos crticos de TI e das cinco reas foco da Gover-
nana? Caso contrrio, revise esse assunto.
Alm disso, o COBIT ainda descreve os objetivos de controle
do processo da rea em estudo, tal qual exemplificamos acima para o
processo PO1 (Plano estratgico da TI) e seus objetivos de controle (do
PO1.1 ao PO1.6). Ou seja, todas as 34 reas de processo tm seus obje-
tivos de controle explicados. Tambm so listadas as principais entradas,
as principais sadas, uma matriz RACI, as metas (de negcio, de TI, de
processo e de atividade) e as mtricas do processo.
E no final da descrio da rea de processo, o modelo de maturi-
dade para o processo descrito. Note que, de todas essas informaes,
apenas a expresso modelo de maturidade deve ser uma informao nova
para voc. E esse exatamente o objetivo do prximo tpico.

234 Governana: Gesto, Auditoria e Tecnologia da Informao

APLICAO DO COBIT

9
AULA
NVEL 5
Otimizado

NVEL 4
Gerencivel e
Mensurvel

NVEL 3
Processos
Definidos

NVEL 2
Repetitivo
Intuitivo

NVEL 1
Inicial/
Por demanda

NVEL 0
Inexistente

Figura 9.8: Nveis de maturidade.

Apesar de j termos apresentado muitos conceitos, ainda resta um

ltimo a ser estudado antes de entrarmos na anlise das reas de processo,
o que acontecer em nossa prxima aula. Vamos a ele ento.

Nveis de maturidade

A TI da sua empresa madura? Voc conhece ou j ouviu falar do

conceito de nveis de maturidade? Os nveis de maturidade representam,
obviamente, a maturidade que a empresa atingiu em uma rea de proces-
so. Assim, como o COBIT lida com 34 reas de processo, voc j deve
imaginar que haver 34 modelos de maturidade. E isso mesmo.
Na verdade, o modelo um s, baseado no CMM (Capability
Maturity Model) j conhecido dos profissionais da rea de desenvolvi-
mento de software desde a dcada de 1980. Desse modelo o COBIT
aproveitou os nveis de maturidade, que so cinco (seis, se considerarmos
o nvel 0):

CEC I E R J E X T E N S O E M G O V E R N A N A 235
Governana em Tecnologia da Informao | Introduo ao COBIT V4.1 Parte 2

Nvel 0 - Inexistente
Este nvel caracterizado pela ausncia completa do processo e
at mesmo da conscincia de que deveria haver um processo para
a rea. A empresa nem mesmo reconhece que existe algo com que
se preocupar.

Nvel 1 Inicial
Neste nvel j existe a conscincia da necessidade de construir e
implementar o processo. Porm, no h padronizao e documen-
tao. Em vez disso, h iniciativas que tendem a ser aplicadas de
forma reativa e individual, caso a caso, conforme as necessidades
que apaream.

Nvel 2 Repetitivo
Neste estgio o processo foi suficientemente documentado para
que possa ser repetido, ou seja, pessoas diferentes executam o
mesmo processo e podem obter o mesmo resultado. Porm, ainda
h alto grau de confiana de que o conhecimento algo pessoal
que dificilmente pode ser explicitado. Portanto, h uma alta pro-
babilidade de que aconteam erros, e por isso a empresa ainda
no se beneficia da previsibilidade do processo.

Nvel 3 Definido
Neste estgio os procedimentos esto documentados, padroni-
zados e so comunicados por meio de treinamentos. Seguir o
processo mandatrio. A empresa j se beneficia de resultados
previsveis do processo (ou cujas variaes permanecem dentro
de limites esperados). Porm ainda podem ser notados desvios em
que o processo abandonado, principalmente em momentos de
crise ou de grande presso.

Nvel 4 Gerenciado e mensurvel

Aqui so tomadas medidas por meio de procedimentos formais.
Os processos esto sob constante melhoria e fornecem boas
prticas dentro da empresa. Automao e ferramentas ainda so
usadas de maneira limitada ou fragmentada.

236 Governana: Gesto, Auditoria e Tecnologia da Informao

 Nvel 5 Otimizado

9
Aqui os processos atingiram o nirvana. Eles foram refinados

AULA
com base em resultados de anlise de desempenho e modelos de
maturidade padro de mercado. O portflio da TI gerenciado
em um ambiente onde o fluxo de trabalho acontece de forma
automtica. A TI eficaz e eficiente e fornece ferramentas para
que outros departamentos tambm o sejam.

Isso quer dizer que para cada processo definido e implantado

pela empresa dever ser dado um grau de maturidade, de acordo com o
atendimento ou no de alguns requisitos.

O CMM (Capability Maturity Model) foi criado pelo SEI (Software Engineering Institute) da
Universidade de Carnegie Mellon (http://www.cmu.edu) na dcada de 1980. Inicialmente seu
objetivo era definir um modelo de determinao de capacidades de processos e maturidade de
organizaes no desenvolvimento de software; por isso, ele se chamava CMM-SW. A primeira
verso do CMM-SW foi publicada em 1989, com o nome de Managing the Software Process
(Gerenciando o processo de software). Esse modelo tornou-se to popular que no ano 2000
foram lanadas novas verses do CMM, agora no mais voltadas para a rea de software, mas
para produtos, servios e aquisies. Essas verses se chamam CMM-I (CMM - Integration). Voc
pode obter mais informaes em http://www.sei.cmu.edu/cmmi. Acesso em 01 de novembro
de 2009.

Voc poderia se perguntar: " possvel a empresa ter nvel alto

de maturidade em uma rea de processo e nvel baixo em outra?" Sim,
claro que sim. Tambm pode pensar: "Ento possvel a empresa, por
exemplo, estar no nvel 5 (Otimizado) em 33 reas de processo e, em
apenas uma delas, estar no nvel 2..." No, claro que no. Obviamente
a empresa no amadurece de uma vez s todos os seus processos, por
isso so esperadas algumas diferenas de maturidade entre as reas.
Por outro lado, muito difcil elevar tanto os nveis de maturidade em
vrias reas deixando outras em um nvel muito baixo. Isso porque os
problemas de uma rea normalmente afetam as outras, impedindo seu
amadurecimento.
importante ressaltar que os nveis de maturidade do COBIT
so descritos com base em informaes de mercado, ou seja, quando

CEC I E R J E X T E N S O E M G O V E R N A N A 237
Governana em Tecnologia da Informao | Introduo ao COBIT V4.1 Parte 2

uma empresa determina que o seu nvel de maturidade em um processo

1, 2, 3, 4 ou 5 ela ter certeza de que essa informao tem um peso
mundial. Isto , o COBIT um meio para a empresa determinar as
suas capacidades com relao aos processos de TI e se comparar com
outras empresas do mundo inteiro, pois um padro globalmente
aceito e reconhecido.

APLICAO DO COBIT

E como o COBIT aplicado na prtica? Voc saberia respon-

der? simples. Pelo COBIT possvel saber em que nvel de maturi-
dade a empresa se encontra em cada uma das reas de processo.
Imagine que uma consultoria tenha avaliado uma empresa e
determinado, com base no que est escrito no prprio texto do COBIT,
que seu nvel de maturidade na rea PO1 (Definir o plano estratgico
da TI) 2. Do mesmo modo, que seu nvel de maturidade na rea PO2
(Definir a arquitetura da informao) 3, e que o nvel de maturidade
na rea PO3 (Determinar a direo tecnolgica) 2. E assim por diante,
at os processos do domnio de monitoramento e avaliao (ME). Por
exemplo, ela disse que a empresa nvel 3 na rea ME3 (Assegurar a
conformidade com requisitos externos) e nvel 2 na rea ME4 (For-
necer a Governana de TI). Enfim, um grau de maturidade de 1 a 5
para cada uma das 34 reas de processo.
Como a empresa de consultoria chegou at essas informaes?
Voc acha que o COBIT tambm ajudou? Sim, claro que ajudou. Para
cada rea o COBIT descreve o cenrio corporativo que caracteriza
os nveis, desde o inexistente (tambm chamado de catico) at o
otimizado. Ele faz isso 34 vezes, descrevendo todos os seis nveis, no
de maneira genrica, como fizemos no item acima, mas de maneira
especfica para a rea em questo.
Bem, e depois, o que vem? Depois que a empresa sabe qual o
seu nvel de maturidade, ela precisar decidir aonde ela quer chegar, ou
seja, que nvel de maturidade ela almeja em cada rea. Perceba que, j
nesse momento, importantssimo que os requisitos de negcio estejam
claros, pois todo o investimento em recursos para aumentar o nvel de
maturidade dos processos precisar estar ligado a alguma necessidade
organizacional. De forma mais simples, a partir desse ponto que

238 Governana: Gesto, Auditoria e Tecnologia da Informao

comea o alinhamento estratgico da TI. A empresa pode simplesmente

9
aceitar os nveis de maturidade que ela determinou, mesmo que baixos,

AULA
se, por alguma razo, ela concluir que eles so suficientes para sustentar
o negcio hoje e no futuro prximo.
E se a empresa tomar a deciso de amadurecer? Uma vez que a
empresa tenha tomado essa deciso para uma ou mais reas, ela precisar
definir quais caminhos seguir. Nesse momento recomendada a utilizao
de outros modelos de boas prticas e at mesmo normas ou padres.
Juntamente com os controles do COBIT, a empresa pode encontrar
informaes adicionais necessrias nesses outros modelos. Lembre-se de
que o COBIT contm muitas informaes sobre o que fazer e sobre por
que fazer, mas no contm tantas informaes sobre o como fazer.
Assim, exemplificando, se o grau no domnio PO10 (Gerenciar
projetos de TI) foi 2 (Repetitivo) e a empresa deseja elevar esse grau
de maturidade para 3 (Definido), ela poder utilizar o Guia PMBOK
juntamente com o COBIT para melhorar o processo dessa rea.
Do mesmo modo, a empresa pode ter chegado mesma concluso
(de que precisa amadurecer) com relao ao gerenciamento de problemas
(DS10 do COBIT). Nesse caso, ela pode utilizar a ITIL em conjunto
com o COBIT, pois sabemos que ela possui uma descrio do proces-
so de gerenciamento de problemas muito bem detalhado. O COBIT
necessrio porque a ITIL no indica as metas de negcio que esse
processo ajuda a alcanar nem quais seriam as mtricas ideais para o
controle dessas metas. Tambm no diz nada com relao ao que seria
um processo de gerenciamento de problemas com nvel de maturidade
inicial, repetitivo, definido, gerenciado ou otimizado.

Atividade 3
Uma empresa decidiu melhorar todos os seus processos de TI. Qual o primeiro passo
2
a ser tomado e como os nveis de maturidade das reas de processo do COBIT so
usados nesse momento?

CEC I E R J E X T E N S O E M G O V E R N A N A 239
Governana em Tecnologia da Informao | Introduo ao COBIT V4.1 Parte 2

Resposta
Trata-se de um desejo de mudana (mudana para melhor, obviamente).
O planejamento de qualquer mudana sempre possui trs etapas (macro). Definir
onde se est, definir aonde se quer chegar e definir como se chegar ao destino
pretendido. Assim, a primeira etapa definir em que nvel esto os processos atuais
da empresa, pois somente com essa informao a empresa poder tomar decises
e seguir adiante. Os nveis de maturidade do COBIT auxiliam tanto na determinao
do nvel de maturidade atual quanto, em um momento posterior, na determinao
do que deve ser feito para atingir nveis de maturidade mais elevados (aonde se
quer chegar). A etapa "como chegar l" tambm pode se beneficiar do COBIT, mas
neste caso, dependendo do processo que se quer amadurecer, tambm indicada
a utilizao de outras formas do conhecimento, normas, padres etc.

CONCLUSO

Agora voc deve se lembrar de que na aula passada ns estudamos

definies importantes sobre o COBIT, como recursos de TI, critrios
da informao, indicadores de desempenho e de metas, domnios, reas
de processo e objetivos de controle. Nesta aula ns terminamos a fase
de apresentao de conceitos, com definies importantes como a das
reas de Governana, matriz RACI e os nveis de maturidade.
Voc deve conseguir explicar todos esses conceitos isoladamente
e, por outro lado, deve entender como eles se integram do ponto de vista
da aplicao do COBIT como guia para a implementao de processos
de TI visando Governana.

INFORMAES SOBRE O FRUM

Vamos discutir os assuntos desta aula no frum desta semana?

Ttulo: COBIT versus Governana em TI: Quo importante ele ?
Objetivo: Se voc ainda tem dvidas sobre como concretizar a Gover-
nana de TI na sua empresa, saiba que voc no deve estar sozinho.
Esse tipo de sentimento muito comum e praticamente todas as
organizaes encontram dificuldades na hora de colocar em prtica a
teoria apresentada no COBIT. Os comentrios so sempre parecidos:
a teoria relativamente simples, mas a prtica nem tanto. Pois bem,
neste frum vamos trocar ideias e discutir a prtica da Governana
nas empresas!

240 Governana: Gesto, Auditoria e Tecnologia da Informao

 9
AULA
Atividade online
C
Como as empresas tm implementado a Governana em TI? V sala de 1 2
aula virtual e resolva a atividade proposta pelo tutor. O objetivo da atividade
, por meio de pesquisa e consulta bibliografia, estudar alguns casos reais de projetos
de Governana.

RESUMO

O controle por objetivos do COBIT uma ideia que comeou a ser

desenvolvida em meados dos anos 1950 e 1960 por Peter Druker na sua
abordagem MBO (Management by Objectives).
O COBIT possui um conjunto de 210 objetivos de controle divididos em 34
reas de processo.
As 34 reas de processo do COBIT so agrupadas em quatro domnios, que
representam um ciclo semelhante ao ciclo PDCA.
As reas foco da Governana em TI so cinco: Alinhamento estratgico,
Entrega de valor, Gerenciamento de riscos, Medio de desempenho e
Gerenciamento de recursos.
Cada rea de processo contm uma matriz RACI que define pessoas
responsveis pela execuo (responsible), pessoas que tm o dever de prestar
contas sobre resultados (accountable), pessoas que devem ser consultadas
(consulted) e pessoas que devem ser informadas (informed).
O COBIT utiliza um esquema de nveis de maturidade baseado no modelo
CMM (Capability Maturity Model), conhecido por profissionais da rea de
desenvolvimento de software.
Os nveis de maturidade das reas de processo do COBIT so: inexistente
(nvel 0), inicial (nvel 1), repetitivo (nvel 2), definido (nvel 3), gerenciado
(nvel 4) e otimizado (nvel 5).

CEC I E R J E X T E N S O E M G O V E R N A N A 241
Governana em Tecnologia da Informao | Introduo ao COBIT V4.1 Parte 2

Informaes sobre a prxima aula

Na prxima aula comearemos a estudar as reas de processo

com seus objetivos de controle. Especificamente nessa aula
iremos tratar do domnio de planejamento e organizao
(PO Plan and organise), em que estudaremos dez processos,
e do domnio de aquisio e implementao (AI Acquire and
implement), em que estudaremos sete processos.

Ns nos veremos na prxima aula! At breve.

Atividades Finais
1) O COBIT v4.1 ajuda a empresa no atendimento a requisitos regulatrios:

a) Fornecendo objetivos de controle impostos pelos rgos regulatrios.

b) Demonstrando controles adequados sobre as atividades de TI.
c) Definindo objetivos de controle que satisfaam a maior parte dos regulamentos
e leis de TI conhecidos.
d) Definindo prticas de controle precisas para atender maior parte dos regula-
mentos e leis de TI conhecidos.

2) Os modelos de maturidade do COBIT v4.1 fornecem uma maneira de identificar:

a) Mtricas e um mtodo para acompanhar metas.

b) Objetivos de melhoria e um mtodo para acompanhar o progresso.
c) Controles e um mtodo para acompanhar prticas de controle.
d) Critrios de informao e um mtodo para acompanhar controles.

3) Qual item contm uma ideia coerente com a misso do COBIT v4.1?

a) Fornecer servios de consultoria global em Governana em TI.

b) Produzir normas e padres mundiais para a TI.
c) Certificar empresas e profissionais na rea de Governana em TI.
d) Criar objetivos de controle internacionalmente reconhecidos.

242 Governana: Gesto, Auditoria e Tecnologia da Informao

 9
4) Qual das seguintes frases melhor descreve a ideia de entrega de valor?

AULA
a) Entregar o servio com oramento abaixo do previsto.
b) Entregar mais do que foi acordado, com custo e risco baixos.
c) Usar sistemas terceirizados para reduzir custos.
d) Entregar o que foi acordado com custo aceitvel e risco gerenciado.

5) (Analista Judicirio do TRT-15 FCC/2009) As diretrizes gerenciais do COBIT para

indicar onde um processo se encontra e onde se deseja chegar estabelecem o uso da
ferramenta denominada

a) Modelo de maturidade.
b) Fatores crticos de sucesso.
c) Objetivos de controle detalhados.
d) Indicadores-chaves de desempenho.
e) Indicadores-chaves de metas.

6) Analise a afirmao: O alinhamento estratgico uma rea foco da Governana em

TI que visa a garantir que haver uma capacidade tima da TI para que ela atenda s
estratgias e tticas da empresa.

Respostas
1) Alternativa c. O COBIT compatvel com regulamentos e leis mundiais que afetam
a rea de TI em todo o mundo, tais como a Lei Sarbanes-Oxley, por exemplo. Ele define
objetivos de controle e no prticas de controle.

2) Alternativa b. A empresa pode definir onde ela est e aonde quer chegar com relao ao
processo (objetivo de melhoria) e, aps (ou durante) a execuo de aes de melhoria o modelo
pode ser usado para mensurar em que nvel a empresa se encontra (aonde j chegou).

3) Alternativa d. Decorre diretamente da prpria misso do COBIT.

4) Alternativa d. Entregar mais do que foi acordado no visto como uma boa prtica,
pois envolve recursos da empresa (que poderiam ser alocados em outros servios) sem o
devido retorno. O custo deve ser aceitvel e no necessariamente baixo. O risco precisa ser
gerenciado e no necessariamente baixo.

5) Alternativa a. O enunciado trs a definio de modelo de maturidade.

6) Afirmao falsa. A rea de Governana em questo o Gerenciamento de recursos.

CEC I E R J E X T E N S O E M G O V E R N A N A 243