Governança em Tecnologia Da Informação PDF

Governança em Tecnologia da Informação - Capa 7mm.
pdf 1 11/06/2015 15:44:40
1ª edição
Governança em Tecnologia da Informação
C
CM
MY
CY
CMY
K
GOVERNANÇA EM
TECNOLOGIA DA
INFORMAÇÃO
autor
REGINALDO GOTARDO
1ª edição
SESES
rio de janeiro 2015
Conselho editorial regiane burger; roberto paes; gladis linhares; karen fernanda
bortoloti; helcimara affonso de souza
Autor do original reginaldo aparecido gotardo
Projeto editorial roberto paes
Coordenação de produção gladis linhares
Coordenação de produção EaD karen fernanda bortoloti
Projeto gráfico paulo vitor bastos
Diagramação bfs media
Revisão linguística amanda carla duarte aguiar
Imagem de capa artur marciniec | dreamstime.com
Todos os direitos reservados. Nenhuma parte desta obra pode ser reproduzida ou transmitida
por quaisquer meios (eletrônico ou mecânico, incluindo fotocópia e gravação) ou arquivada em
qualquer sistema ou banco de dados sem permissão escrita da Editora. Copyright seses, 2015.
Dados Internacionais de Catalogação na Publicação (cip)
G683g Gotardo, Reginaldo

Governança em tecnologia da informação / Reginaldo Gotardo.
Rio de Janeiro : SESES, 2015.
144 p. : il.
ISBN 978-85-5548-027-0
1. Governança de TI. 2. Governança corporativa. 3. Tomada de decisão.

4. Gestão de TI. I. SESES. II. Estácio.
CDD 658.004
Diretoria de Ensino — Fábrica de Conhecimento

Rua do Bispo, 83, bloco F, Campus João Uchôa
Rio Comprido — Rio de Janeiro — rj — cep 20261-063
Sumário
Prefácio 7
1. Introdução à Governança Corporativa 9

Objetivos 10
1.1 Introdução à Governança Corporativa 11
1.2 A Organização Empresarial 14
1.3 Breve Histórico da Governança 16
1.4 Princípios, Conceitos e Responsabilidades 16
1.5 Lei Sarbanes-Oxley (SOX) 19
1.6 Modelos de Governança Corporativa 20
1.7 Alinhamento de TI à Governança Corporativa 21
1.8 Responsabilidades da Governança de TI 23
1.9 Ciclo da Governança de TI 25
1.10 Balanced Scorecard 26
Atividades 30
Reflexão 31
Referências bibliográficas 32
2. Processo de Decisão na
Governança de Tecnologia da Informação 33
Objetivos 34
2.1 Tomada de Decisão na Governança de TI 35
2.2 Capacidades e Processos sobre Direitos Decisórios 38
2.3 Framework de Governança de TI 44
2.4 Controles para Governança de TI 49
2.5 Controle no Desenvolvimento de Sistemas 51
2.6 Controle de Operações 51
2.7 Segurança 52
2.8 Auditando Sistemas de Informação 53
Atividades 53
Reflexão 54
3. Introdução ao COBIT 5 57
Objetivos 58
3.1 Histórico e Apresentação 59
3.2 Governança Empresarial de TI 62
3.3 Princípios do COBIT 5 64
3.3.1 Princípio 1 – Atender às Necessidades das Partes Interessadas 67
3.3.2 Princípio 2 – Cobrir a Organização de Ponta a Ponta 75
3.3.3 Princípio 3 – Aplicar um Framework Único e Integrado 76
3.4 Princípio 4 – Permitir uma Abordagem Holística 77
3.5 Princípio 5 – Distinguir a Governança da Gestão 78
3.6 Modelo de Referência e Domínios de Processo no COBIT 5 85
3.6.1 Avaliar, Dirigir e Monitorar (EDM) 86
3.6.2 Alinhar, Planejar e Organizar (APO) 87
3.6.3 Construir, Adquirir e Implementar (BAI) 89
3.6.4 Entregar, Serviço e Suporte (DSS) 90
3.6.5 Monitorar, Avaliar e Analisar (MEA) 91
3.7 Implementação 91
3.8 Aceitação do Modelo 93
Atividades 93
Reflexão 95
4. Val IT, CMMI e ISO 27001 e 27002 97
Objetivos 98
4.1 Val IT 99
4.2 O Conceito de Valor 102
4.3 COBIT 5 e Val IT 102
4.4 CMMI 104
4.5 CMMI - Abordagem de Implementação por Estágios 106
4.6 CMMI - Abordagem de Implementação Contínua 108
4.7 Áreas dos Processos CMMI 110
4.8 ISO 27001 e 27002 112
Atividades 115
Reflexão 116
5. Seis Sigma e as Ferramentas de Qualidade 117
Objetivos 118
5.1 Breve História 119
5.2 Mas o que significa “sigma”? 120
5.3 O Six Sigma 120
5.4 Six Sigma – Papéis e Responsabilidades 123
5.5 DMAIC 124
5.6 DFSS 127
5.7 DMAVD 128
5.8 As 7 Ferramentas da Qualidade 129
5.8.1 Fluxograma 129
5.8.2 Diagramas de Dispersão 131
5.8.3 Folhas de Verificação 131
5.8.4 Gráficos de Pareto 133
5.8.5 Diagrama de Causa e Efeito 133
5.8.6 Histograma 134
5.8.7 Cartas de Controle 135
Atividades 139
Reflexão 140
Gabarito 141
Prefácio
Prezados(as) alunos(as),
Na disciplina de Governança em Tecnologia da Informação você aprenderá

sobre os principais conceitos de Governança Corporativa, sobre a Governança
em Tecnologia da Informação e sobre os modelos que podem ser usados para
aplicação da mesma nas empresas.
Na disciplina, nós começamos estudando a origem da Governança Corpora-
tiva, os conceitos envolvidos na sua definição e implantação. Depois estudamos
a Governança de Tecnologia de Informação, sua aplicação nas empresas e os
desafios envolvidos na tomada de decisão que envolve tecnologia.
Na sequência falaremos de um framework, o COBIT, para alinhamento
entre os objetivos de negócio e a tecnologia da informação. Falaremos tam-
bém sobre frameworks para tecnologia propriamente e sobre processos de
melhoria.
Temos uma grande jornada pela frente.
Aproveite o que preparamos, pesquise e estude outras fontes indicadas para
se aperfeiçoar no tema.
Bons estudos!
7
1
Introdução à
Governança
Corporativa
O termo Governança Corporativa é dominante em negócios atualmente, pois,
nas últimas décadas tivemos uma série de casos envolvendo escândalos corpo-
rativos. A possibilidade de instabilidades financeiras nas empresas por falhas
de gestão minou perspectivas de vários investidores, e isso causou muita des-
confiança nos diversos setores de negócio.
Basicamente, a preocupação é “Como as empresas podem proteger seus
stakeholders?”.
Os investimentos em Governança Corporativa refletem no valor da empre-
sa. Possuir uma boa Governança (altos padrões de como fazê-la) pode fazer com
que investidores aceitem pagar mais caro pelas ações da empresa. Isso ocorre,
pois trata-se de: relação confiança. A melhor governança gera melhor confiança
no mercado e gera melhor economia para empresa.
Perceba que não estamos falando na produção e venda de produtos ou ser-
viços, mas sim na capacidade de manter os processos funcionando adequada-
mente e entregando valor aos stakeholders.
OBJETIVOS
Neste capítulo, os objetivos principais são:
• Aprender o que é Governança Corporativa;

• Saber por que a Governança Corporativa está sendo cada vez mais utilizada nas empresas;
• Conhecer a Lei Sabarnes-Oxley (SOX) e seus impactos na área de TI;
• Identificar os mecanismos da boa Governança Corporativa;
• Relacionar a governança de TI com a Governança Corporativa.
• Saber a importância do alinhamento entre estratégia corporativa e TI.
• Conhecer a técnica do Balanced Scorecard (BSC).
• Saber o que é Governança de TI.
• Identificar as responsabilidades da Governança de TI.
• Relacionar a Governança de TI com modelos e ferramentas utilizadas.
10 • capítulo 1
1.1 Introdução à Governança Corporativa
O uso do termo “governance” surgiu a partir de reflexões do Banco Mundial
sobre as gestões públicas mundiais. Em 1992, foi apresentado um documento
sobre o tema intitulado: Governance and Development. Já no prefácio do do-
cumento, encontramos a noções fundamentais desse tema, escrito, na época,
pelo Presidente Lewis T. Preston, do Banco Mundial, em abril de 1992, onde
lemos:
A boa governança é um complemento essencial para a saúde das políticas econômi-

cas. A gestão eficiente e responsável pelo setor público, um quadro político previsível
e transparente são fundamentais para a eficiência dos mercados e governos, e, conse-
quentemente, para o desenvolvimento econômico.
A definição de governança foi apresentada no documento em linhas ge-

rais como: o uso da autoridade, controle, administração e o exercício do poder
tendo em vista questões sociais e econômicas, visando seu legitimo desenvol-
vimento. A partir dessa vertente, a capacidade governativa não seria avaliada
apenas pelos resultados das políticas governamentais, mas pela forma como
o governo exerce o poder, essa visão mais abrangente envolvem as dimensões
sociais do fazer político.
Ultimamente, é comum o uso do termo governança nas áreas administrati-
va, constituindo o planejamento estratégico da Empresa, o uso do termo acon-
tece, principalmente, pelo seu amplo conceito. Segundo definição apresentada
pelo Guia do Instituto Brasileiro de Governança Corporativa (IBGC, página 19):
Governança é o sistema pelo qual as organizações são dirigidas, monitoradas e incenti-

vadas, envolvendo o relacionamento entre Conselho, equipe executiva e demais órgãos
de controle. As boas práticas de governança convertem princípios em recomendações
objetivas, alinhando interesses com a finalidade de preservar a reputação da organiza-
ção e de otimizar seu valor social, facilitando seu acesso a recursos e contribuindo para
sua longevidade.
capítulo 1 • 11
A Governança Corporativa define um conjunto de ações, normas, costumes,
gestão e filosofia, que regulam a direção e gestão de uma empresa e sua relação
com os diversos atores que a constitui: chamados de stakeholders.
O termo stakeholders é formado pelas palavras inglesas: Stake que significa
interesse, participação, risco, e Holder que significa aquele possui. Sendo as-
sim, podemos definir como “aquele que possui participação” ou melhor “parte
interessada”.
Um dos princípios da Governança é promover a equidade, igualdade e jus-
tiça entre os membros, porém em empresas de capital aberto, os acionistas
(shareholders), o conselho, e os executivos, são os stakeholders mais influentes.
São também stakeholders os colaboradores, clientes, bancos, fornecedores,
governo, a comunidade onde a empresa atua e a relação com o meio ambiente.
Internal External Stakeholders

Stakeholders
Suppliers
Society
Employees
Government
Manager Company
Creditors
Owners
Shareholders
Customers
Figura 1.1 – Stakeholders da Empresa. Fonte: http://upload.wikimedia.org/wikipedia/com-

mons/4/4c/Stakeholder_(en).png
Stakeholders Internos:
• Empregados:
• Gerentes:
• Proprietários:
12 • capítulo 1
Stakeholders Externos:
• Fornecedores
• Sociedade
• Governo
• Credores
• Acionistas
• Consumidores
De maneira geral, os sistemas informartizados de governança corporativa

e, claro, os princípios de governança devidamente aplicados, podem ajudar a
evitar fracassos como abusos de poder (diretorias sobre acionistas, acionistas
majoritários sobre minoritários), erros estratégicos (concentração de poder e
decisões concentrados num executivo apenas) e fraudes (uso de informações
privilegiadas em benefício próprio).
O que nós veremos ao longo deste material são conceitos de Governança,
modelos, frameworks, que visam alinhar a Tecnologia de Informação à Gestão
Empresarial.
Boas práticas de Governança Corporativa podem trazer benefícios qualita-
tivos e quantitativos às organizações. Desde melhores decisões até redução de
custos e impactos financeiros.
Stakeholder refere-se às diversas partes interessadas em projetos, na administração

ou na governança das empresas. De maneira geral, refere-se aos envolvidos em pro-
cessos (é duradouro, há recorrência) ou projetos (esforços temporários).
A relação com “as partes interessadas” faz parte de uma boa governança e
tem que estar definido nos planejamentos estratégicos e táticos da corporação.
Os stakeholders influenciam interna e externamente na empresa, podendo ofe-
recer benefícios ou dificuldades para as corporações. Um exemplo de benefício
são as parcerias empresariais, e um exemplo de dificuldade são as ações gover-
namentais como excesso de burocracia, corrupção e impostos abusivos.
capítulo 1 • 13
1.2 A Organização Empresarial
A globalização da economia baseada no capitalismo acirrou a concorrência en-
tre as empresas e trouxe mercados cada vez mais dinâmicos ou turbulentos.
Diariamente (ou em questão de segundos) as decisões impactam empresas e
pessoas ao redor do mundo todo.
Há a crescente necessidade de agir com rapidez perante este cenário. No
entanto, as empresas, em geral grandes e médias, preconizam modelos de or-
ganizações pautados em estruturas de trabalhos e funções, ou seja, modelos
baseados nos estudos de Frederick Taylor e Henri Fayol.
O desempenho da empresa fica relacionado ao desempenho de suas unida-
des funcionais. De forma geral toda empresa precisará produzir algo, usando
um conjunto de ferramentas, processos e pessoas. Esta produção pode resultar
em produtos ou serviços (1). A empresa também precisará inserir o produto ou
serviço no mercado e atrair clientes, além de possuir um controle no pós venda
para melhoria de seus produtos/serviços (2). A empresa precisará da estimativa
de custos e preços, prestação de contas e previsão de resultados (3). E, por fim,
a empresa precisa de pessoas. Precisa treiná-las, adequá-las ao ambiente de tra-
balho, definir habilidades e tarefas (4).
Produção
Produtos
Vendas Finanças e
ou
e MKT Contabilidade
Serviços
Recursos
Humanos
Figura 1.2 – Áreas funcionais de uma empresa. Fonte: Elaborado pelo autor.
14 • capítulo 1
Assim, como visto na figura, uma empresa precisa de grupos de tarefas para
funcionar. As proximidades das competências nestas tarefas geram as unida-
des funcionais (às vezes chamadas de silos funcionais).
Uma organização pode ser vista como um conjunto de pessoas com um
objetivo em comum. Normalmente essas pessoas se organizam de forma hie-
rárquica e essa organização hierárquica gera o que já comentamos: unidades
funcionais baseadas nas características em comum do trabalho a ser realizado.
Níveis Hierárquicos ou Stakeholders

de Responsabilidade
Nível Gerentes
Estratégico Seniores
Nível Gerentes
Gerencial Médios
Trabalhadores do
Nível de
Conhecimento
Conhecimento
de Dados
Nível Gerentes
Operacional Operacionais
Áreas ou Vendas e Recursos

Fabricação Finanças Contabilidade
Departamentos Marketing Humanos
Figura 1.3 – Áreas funcionais de uma empresa. Fonte: Adaptado de (LAUDON e LAUDON,
2007).
A gestão das áreas funcionais é baseada em hierarquia de níveis gerenciais.

Como pode ser visto na figura anterior, existem vários níveis gerenciais que
permeiam a estrutura funcional da empresa. Os gerentes operacionais atuam
diretamente ligados aos processos que produzem o conhecimento diário da
empresa, que atendem clientes, que entregam valor aos clientes externos da or-
ganização. Os demais níveis gerenciais atuam de forma tática e estratégica para
o bom funcionamento da empresa, alinhando os interesses da organização à
operacionalização dos resultados.
capítulo 1 • 15
1.3 Breve Histórico da Governança
Quando o Banco Mundial redigiu o documento sobre Governança e Desenvolvi-
mento, o cenário mundial vivia uma crise crescente de desconfiança, tanto nos
setores públicos quanto privado.
Entre os anos de 1990 e 2002, as crises na Ásia, o enfraquecimento econô-
mico da Europa e escândalos em empresas americanas, culminaram na tenta-
tiva de que as relações comerciais e governamentais fossem pautadas por ações
mais assertivas e honestas.
A Governança Corporativa surgiu nesse cenário, e veio para atender tam-
bém aos anseios sociais e ambientais, e não apenas aos ganhos financeiros. Na
gestão privada, durante a Era Industrial, o planejamento estratégico era estabe-
lecido, principalmente, por grandes investidores e acionistas (shareholders), as
negociações e articulações aconteciam com portas fechadas.
As questões sociais e ambientais não apareciam como parte do planejamen-
to estratégicos das empresas.
Outro fator que alavancou o conceito de governança foi a globalização. Com
a era da Informação foi apresentado ao mundo situações e condições de gover-
nabilidade desumanas, ditatoriais e de alto impacto ambiental, a propagação
das informações resultaram em demonstrações de repudio por todo o mundo.
Sendo essas situações inaceitáveis e comprovadamente insustentáveis, ace-
nava-se para a necessidade de as empresas criarem relações socioambientais
mais justas.
1.4 Princípios, Conceitos e Responsabilidades

Os preceitos da governança apontam para equidade e transparência com to-
dos os stakeholders, criando o conceito de organização sustentável, que visa o
equilíbrio social, a participação, a distribuição dos lucros, e o desenvolvimento
de todos os envolvidos, isto é, num processo onde todos devam participar e ga-
nhar. Esse novo modelo propõe além do retorno financeiro, retorno e desen-
volvimento socioambiental.
Os princípios que norteiam a governança tanto pública, tanto públi-
ca como corporativa, são: Transparência, Equidade, Prestação de contas,
Responsabilidade, Participação, Decisões orientadas por consenso, Efetividade
e eficiência.
16 • capítulo 1
• O princípio de transparência propõe que a informação deva ocorrer es-
pontaneamente e que sobrepondo ao conceito de “obrigação de informar” que
deva haver na corporação um “desejo de informar.” Mais do que informar o que
é imposto contratual e legalmente, é necessário que haja transparência nas re-
lações e que todas as informações da empresa estejam disponíveis aos interes-
sados. A atuação transparente desenvolve um clima de mútua confiança entre
todos os envolvidos. Melhorando tanto as relações internas como externas.
CONEXÃO
No Brasil, podemos ver ações como “A Transparência Brasil” que é uma organização inde-
pendente e autônoma, fundada em 2000 por um grupo de indivíduos e organizações não-
governamentais comprometidos com o combate à corrupção.
Disponível em: http://www.transparencia.org.br/
Segundo o dicionário Houaiss, Equidade nos termos do Direito significa: “O respeito pelo
direito de cada pessoa, adequando a norma ao caso concreto, pelo que se considera justo. É
a apreciação e julgamento justo em virtude do senso de justiça imparcial, visando a igualdade
no julgamento.” Dicionário Houaiss.
Disponível em http://houaiss.uol.com.br/busca.jhtm.
• Sobre o Princípio da Equidade: A palavra equidade tem origem no latim

aequitas que significa igualdade, simetria, retidão, imparcialidade, conformi-
dade. Quando pensamos em equidade, devemos ter em mente os critérios de
igualdade e justiça. Esse conceito revela equivalência entre os stakeholders, su-
gerindo imparcialidade ao reconhecer o direito de cada um.
• No Princípio da Prestação de Contas (Accountability) os agentes de gover-
nança – associados, conselheiros, executivos, conselheiros fiscais e auditores –
devem prestar contas de sua atuação, assumindo integralmente as consequên-
cias de seus atos e omissões.
• Sobre a Responsabilidade a governança deve atender as questões de sus-
tentabilidade, com ações no âmbito social e ambiental que resultarão em sus-
tentabilidade e longevidade à organização, atendendo igualmente as expectati-
vas dos stakeholders.
capítulo 1 • 17
• O Princípio da Participação visa oferecer aos stakeholders, liberdade de
expressão, de questionamentos, acesso a informações, possibilitando a parti-
cipação direto ou indireta.
• Nas Decisões Orientadas por Consenso deve-se considerar o consenso
nas relações sociais, as decisões devem ser tomadas de forma participativa, cla-
ra e explicita, considerando os diferentes pontos de vistas. Assegurando a to-
dos os membros que façam parte das decisões da corporação. Projetando ações
que visam resultados a médio e longo prazo, para atingir o desenvolvimento
sustentável.
• Na Efetividade e Eficiência há a busca em garantir processos que produ-
zam bons resultados fazendo o melhor uso possível dos recursos disponíveis.
Garantindo a sustentabilidade.
Como vemos, os princípios da governança estão pautados no comparti-
lhamento e transparência de informações, na responsabilidade fiscal, social
e ambiental. As empresas que aderem à Governança Corporativa têm ganhos
de imagem e reputação, considerados ativos intangíveis, esses ganhos têm de-
monstrado o quanto pode-se criar valor através de boas ações mercadológicas.
A governança tem como seus principais ativos:
• Ativos Humanos: pessoas, treinamentos, planos de carreira;

• Ativos Financeiros: dinheiro, investimentos, fluxo de caixa, etc;
• Ativos Físicos: prédios, fábricas, equipamentos, manutenção, etc;
• Ativos de Propriedade Intelectual: know-how de produtos, serviços, pro-
cesso com patentes ou registros;
• Ativos de relacionamento: interno à empresa, relacionamento com clien-
tes, reputação, fornecedores, governo;
• Tecnologia da Informação: dados, informações, sistemas de informação,
dados dos processos, etc.
Estes ativos devem ser protegidos e controlados pela governança através de

estruturas gerenciais, processos, comitês, conselhos e auditores.
A conformidade da gestão pode ser verificada com auditorias externas con-
tratadas pela empresa ou por órgãos regulatórios como a ANATEL (telecomuni-
cações no Brasil), ANEEL (energia elétrica), Banco Central do Brasil (financei-
ro), dentre outros. Alguns destes órgãos regulatórios causam forte impacto na
área de TI, e isso deverá ser tratado no modelo de governança de TI e alinhado
estrategicamente ao negócio.
18 • capítulo 1
1.5 Lei Sarbanes-Oxley (SOX)
O Sabarnes-Oxley Act (SARBANE e OXLEY, 2002) foi motivado pelos escândalos
financeiros em companhias abertas nos Estados Unidos que determinaram a
perda de confiança de investidores no mercado de capital americano. A bolsa
de valores nos Estados Unidos é um dos principais meios de investimento das
famílias norte-americanas. Assim, era importante manter a credibilidade das
empresas e do funcionamento dos sistemas.
A Lei foi sancionada pelo presidente dos Estados Unidos, George W. Bush
em julho de 2002, e afetou a divulgação financeira de empresas que têm ações
negociadas em bolsas dos Estados Unidos.
A lei visa regular tanto empresas norte-americanas com ações nas bolsas
americanas quanto empresas estrangeiras com ações nas bolsas americanas.
Pela lei, CEO e o CFO das empresas estão sujeitos a sanções pecuniárias de
US$ 1.000.000 a US$ 5.000.000 e/ou 10 a 20 anos de reclusão, caso não atendam
aos requisitos da Securities and Exchange Commission (SEC).
Para a TI, os requisitos do SOX que a afetam estão nas seções 302 e 404 da
lei. A seção 302 especifica, dentre outros itens, que:
• O CEO e CFO devem revisar os relatórios financeiros

• O CEO e CFO declaram ter conhecimento dos resultados e atestam que os
relatórios financeiros não contêm declaração falsa ou omissão de dados;
• O CEO e CFO são responsáveis por manter e estabelecer controles e proce-
dimentos sobre a emissão de relatórios financeiros e controles internos sobre
eles.
• As deficiências dos sistemas de controle interno que possam afetar a ha-
bilidade da empresa em registrar, processar, sumarizar, e comunicar informa-
ções financeiras devem ser comunicadas.
• Qualquer fraude que envolva a gerência ou outros funcionários que te-
nham um papel significante nos registros do controle interno sobre relatório
financeiro deve ser comunicada.
A seção 404 especifica que:
• A administração tem a responsabilidade de estabelecer e manter uma

estrutura adequada de controles e procedimentos para emissão de relatórios
financeiros.
capítulo 1 • 19
• A administração deve avaliar a efetividade do sistema de controle interno
para emissão de relatórios financeiros.
• A administração deve realizar uma auditoria independente, para atestar e
divulgar a avaliação feita pela administração sobre os controles e procedimen-
tos internos para emissão de relatórios financeiros.
Para atender aos requisitos do SOX as informações financeiras devem aten-

der a alguns princípios:
• O conteúdo da informação deve ser apropriado.

• A informação deve estar disponível de acordo com a necessidade
• A informação deve representar a última atualização, ou seja ser atual.
• Os dados e informações devem estar corretos.
• A informação é acessível aos usuários interessados autorizados
• Deve haver um sistema de controle interno sobre relatórios financeiros
para garantir a veracidade dos itens anteriores.
As informações financeiras e os resultados da empresa são oriundos de pro-

cessos de negócio. Há, neste caso, a geração de fatos contábeis e financeiros na
empresa. Assim, os sistemas transacionais (geradores de informações na em-
presa e que estão no nível operacional – consulte a figura da seção 2) devem ser
considerados quando se tratar da SOX.
1.6 Modelos de Governança Corporativa

De acordo com o Instituto Brasileiro de Governança Corporativa (IBGC) cada
país institui melhores práticas de governança corporativa com base em seus
modelos econômicos, corporativos, regulatórios e seu ambiente social. O pró-
prio IBGC afirma que torna-se impossível descrever de forma detalhada todos
os modelos de governança vigentes no mundo.
Mas, é possível observar os tipos de modelos de governança através da análi-
se do que o mercado pratica. Há, segundo o IBGC, duas grandes categorias que
compreendem os modelos adotados pelo mundo:
20 • capítulo 1
• Outsider System: trata-se de um sistema de Governança anglo-saxão (Estados Uni-
dos e Reino Unido) onde há muitos acionados (pulverização) e, normalmente, fora do
comando diários das operações das empresas. Há também foco grande na maximiza-
ção do retorno para acionistas. A propriedade fica dispersa, até por conta da natureza
dos acionistas.
• Insider System: trata-se de um sistema de Governança da Europa Continental e
Japão onde há grandes acionistas relacionados ao comando das operações diárias das
empresas ou pessoas indicadas por estes acionistas. A estrutura de propriedade é mais
concentrada e há a presença de grandes grupos empresariais.
O modelo de governança corporativa no Brasil se aproxima mais do Insider

System com propriedades mais concentradas e forte presença de empresas fa-
miliares ou empresas controladas pelo Estado.
Algumas exigências legais e regulatórias devem ser cumpridas para a obten-
ção de uma boa governança corporativa. Isto deve ser feito pela criação de um
conjunto de mecanismos externos e internos eficientes que assegurem o com-
portamento dos executivos alinhado aos interesses dos acionistas.
Como mecanismos internos podem ser considerados o conselho de admi-
nistração, a concentração acionária e a atuação de investidores institucionais.
Os mecanismos externos pode ser a proteção legal aos investidores, o grau de
competição do mercado, a fiscalização de agentes do mercado, e a própria es-
trutura de capital.
O conselho de administração deve exercer seu papel com a elaboração de
estratégias para a empresa e deve eleger (e destituir) o executivo principal, fis-
calizar e avaliar o desempenho da gestão e executar auditorias de forma inde-
pendente, refletindo, assim, as boas práticas da governança corporativa e tem
como objetivo os princípios vistos na seção 4.
1.7 Alinhamento de TI à Governança

Corporativa
O fato ds organizações estarem enfrentando um mercado cada vez mais com-

petitivo e globalizado, faz com que necessitem de informações sob demanda
capítulo 1 • 21
e personalizadas, para ajudar na sua gestão de forma mais inteligente. No en-
tanto, para que isto se torne uma realidade é necessário que o planejamento
estratégico da área de Tecnologia da Informação esteja alinhado ao planeja-
mento estratégico do negócio de forma coerente. A área de TI deve trabalhar
com seus esforços voltados para as ações que possam agregar valor ao negócio
da empresa, sendo flexível para acomodar as frequentes mudanças, antecipar
informações, simular cenários e avaliar tendências.
O alinhamento da área de TI com a área de negócio é o ingrediente principal
para a criação da governança de TI sob a guarda da governança corporativa.
A Governança Corporativa nos apresenta a sua importância para a organi-
zação e para os investidores nas empresas e mostra que, em conjunto com o
planejamento estratégico de TI alinhado ao negócio, influencia diretamente a
estruturação da governança de TI.
Várias práticas de governança em outras áreas, como a governança finan-
ceira, podem oferecer guias gerais na construção de uma governança de TI. Por
exemplo, o Chief Financial Officer (CFO – Diretor Financeiro) delega autorida-
de e especifica quem pode assinar os cheques, os valores limites para cada fun-
ção na empresa, quem pode realizar pagamentos, quais os valores, tudo isto
para estabelecer uma governança financeira. Ele também administra o fluxo de
caixa da empresa e avalia riscos. Este formato de delegação e controle, com dis-
tribuição de tarefas e responsabilidades pode e deve ser utilizado para modelos
de governança de TI.
A governança de TI pode ser definida como (WEILL e ROSS, 2006):
“A especificação dos direitos decisórios e do framework de responsabilida-
des para estimular comportamentos desejáveis na utilização de TI”.
Assim, a governança de TI determina os tomadores de decisão, como,
por exemplo, quem decidirá sobre o investimento em TI e qual o valor do
investimento.
A governança de TI também deve abordar as seguintes questões (WEILL e
ROSS, 2006):
• Quais decisões devem ser tomadas para garantir a gestão e o uso eficazes
de TI?
• Quem deve tomar essas decisões?
• Como essas decisões serão tomadas e monitoradas?
22 • capítulo 1
O IT Governance Institute (ITGI) descreve a governança como:
“Responsabilidade dos executivos e da alta direção que consiste na lide-
rança, em aspectos estruturais organizacionais, em processos que garantam
que a TI da organização fornece suporte e aprimore objetivos e estratégias da
empresa.”
Assim, outras questões devem ser debatidas e respondidas como:
Como a empresa consegue implementar controles na área de TI de forma
que TI entregue as informações que a empresa precisa?
Como a empresa gerencia os riscos e garante a segurança dos recursos de TI
dos quais é tão dependente?
Como a empresa assegura que a área de TI atinja seus objetivos e atenda ao
negócio?
O ITGI é um Instituto criado em 1998 para melhoria e controle de padrões internacio-

nais sobre tecnologia da informação nas empresas.
Por sua vez, a governança de TI deverá ser vista como parte da governança
corporativa de forma que agregue valor ao negócio e vise:
• Manter a TI ainhada ao negócio;

• Implementar medidas para a continuidade do negócio em caso de falhas
ou interrupções;
• Incluir marcos regulatórios externos como o SOX, que já citamos.
A ISO 38500:2009, fundamentada nos princípios de Responsabilidade,

Estratégia, Aquisições, Desempenho, Conformidade e Comportamento
Humano, é a norma da International Organization for Standardization (ISO –
www.iso.org) voltada à Governança Corporativa para Tecnologia da Informação.
1.8 Responsabilidades da Governança de TI

Os pilares (ou princípios) da Governança Cooporativa são: transparência, equi-
dade, prestação de contas e responsabilidade corporativa. A transparência re-
laciona-se com a comunicação interna e externa de forma espontânea, direta e
capítulo 1 • 23
franca. A equidade reporta-se ao tratamento justo e igualitário entre os stake-
holders. A prestação de contas (Accountability) remete a informação clara so-
bre todos os atos praticados pelos executivos; e a responsabilidade corporativa
zela pela sustentabilidade da companhia e sua perpetuação.
A Governança de TI tem como objetivo principal armazenar, processar e
disponibilizar informações com qualidade e segurança, atendendo a tríade
Confidencialidade, Integridade e Disponibilidade (CID).
Com os princípios revistos, a implantação da governança deve estar arti-
culada com a gestão estratégica e com os papeis e responsabilidades de cada
entidade bem definidas. A definição de papeis, elenca o responsável (CEO) ou
responsáveis (CIO e ou CFO) pelas tomadas de decisões, e a definição dos me-
canismos que serão articulados.
Uma das responsabilidades da Governança de TI é avaliar os valores dos
stakeholders para o consenso, direcionando ações de valor para o negócio. Veja
na imagem abaixo:
Stakeholder Responsabilidade da Governança de TI

Direciona valor
Estratégia Direciona
Recursos:
• Desempenho Utilizam
Processos
Confirmam • Informação Medem
ou mudam • Capacidade
Reportam
Melhoram
Resultados
• Desempenho
• Resultado
• Riscos
Figura 1.4 – Responsabilidades da Governança de TI. Fonte: Material Estácio WebAula.
Utilizando as estratégias descritas acima, há um direcionamento na utiliza-

ção dos processos com os resultados mensurados e analisados, é possível ade-
quar ou confirmar o uso das estratégias disponíveis para o fluxo dos processos.
24 • capítulo 1
1.9 Ciclo da Governança de TI
O “Ciclo da Governança de TI”, é composto por 4 etapas:
1. Alinhamento estratégico e Compliance

2. Decisão
3. Estrutura e Processos
4. Medição de desempenho da TI
Veja como o Ciclo é representado na imagem abaixo (FERNANDES e ABREU,

2008):
Ciclo da Governança de TI
1 2 3 4
Alinhamento Decisão, compromisso, Estrutura, processos Medição do

estratégico e priorização e alocação operações e gestão desempenho
compliance de recursos
Figura 1.5 – Ciclo da Governança e TI. Fonte: Material Estácio WebAula.
1. Alinhamento Estratégico e Compliance trata de que o planejamento estra-

tégico da TI estejam alinhadas as estratégicas da organização considerando seus
produtos e segmento de atuação, cumprindo as normas legais e regulamentares,
as politicas e diretrizes estabelecidas evitando qualquer desvio ou inconformidade.
2. Decisão, Compromisso, priorização e alocação de recursos trata das
responsabilidades pelas decisões envolvendo a TI, respondendo por quem, o
que, como e onde as decisões serão tomadas, e diz respeito a investimentos,
necessidades de aplicações, arquitetura de TI, serviços de infra-estrutura, etc.
Estrutura, Processos, Operações e Gestão trata da estrutura organizacional e
funcional de TI. São alinhadas as operações de sistemas, infra-estrutura, supor-
te técnico, segurança da informação, trata dos processos de gestão e operação
dos produtos e serviços de TI.
3. Medição do Desempenho trata da seleção, coleta, e geração dos indica-
dores de resultados dos processos, produtos e serviços de TI e do seu impacto
sobre as estratégias e objetivos do negócio.
capítulo 1 • 25
1.10 Balanced Scorecard
O Balanced Scorecard (BSC) é um método usado pelas organizações para a im-
plantação das estratégias estabelecidas. Usando o BSC é possível desenhar um
mapa estratégico para interpretar a missão e visão da organização e criar mé-
tricas de desempenho a partir desse alinhamento estratégico. O BSC tem sua
métrica alinhada a quatro requisitos, relacionando-as, dessa forma, qualquer
medida escolhida deve estar articulada a uma cadeia de relações de causa e
efeito proporcionando melhoria no desempenho financeiro.
Financeiro
Para ter sucesso
financeiramente, como
nós devemos aparecer
para os nossos
investidores?
Cliente Processos Internos

Para alcançar nossa Visão Para satisfazer os
visão, como devemos e clientes, em quais
ser vistos Estratégia processos devemos
pelos clientes nos sobressair?
Aprendizado e
Crescimento
Para alcançar nossa
visão, como sustentar a
habilidade de mudar
e progredir?
Figura 1.6 – Perspectivas do BSC. Fonte: Material Estácio WebAula
O objetivo no BSC é alcançado pelas seguintes ações e respostas às questões:
• Integração da Visão: onde queremos chegar? Com a estratégia definida o que fazer
para alcança-la?
• Articular com o setor Financeiro: como ter e mostrar ter sucesso financeiro?
• E com os clientes: Como devemos ser vistos pelo cliente?
• Integração da Visão: onde queremos chegar? Com a estratégia definida o que fazer
para alcança-la?
26 • capítulo 1
• Articular com o setor Financeiro: como ter e mostrar ter sucesso financeiro?
• E com os clientes: Como devemos ser vistos pelo cliente?
• Revendo os processos internos: Quais processo/ações são mais atraentes aos
clientes?
• Usando o Aprendizado e crescimento: usar as experiências para mudar e progredir.
• Esclarecer e traduzir a visão e a estratégia, esse método também contribui para a
construção de consensos entre os gestores e sobre a visão e estratégia da organização.
Atender as demandas dos quatro requisitos possibilita o ajuste continuo da

estratégia. A busca constante por resposta, permite levantar mensuras simul-
taneamente financeiras e não financeiras, inerentes ao sistema de informação
tangível a todos os níveis da organização. Alinha os indicadores externos e os
indicadores internos, compreendendo investimentos, processos, inovação,
aprendizagem e crescimento; alinha os resultados do esforço passado e os in-
dicadores dos desempenhos futuros; alinha indicadores quantificáveis e indi-
cadores subjetivo de desempenho.
Na perspectiva Financeira o que normalmente se vê é a estratégia de cres-
cimento, rentabilidade e risco do negócio. Os objetivos financeiros servem de
foco para as perspectivas seguintes do BSC. Na perspectiva do Cliente, busca-
se alinhamento de resultados, proporcionando satisfação, fidelidade, capta-
ção e lucratividade. Já na terceira perspectiva vem os Processos Internos, onde
ocorre uma análise dos processos mais críticos, levando em consideração as
duas primeiras perspectivas. A última perspectiva, denominada Aprendizado
e Crescimento, oferece sustentação, suporte à mudança, e inovação e o cres-
cimento organizacional para as três primeiras perspectivas alcançarem seus
objetivos.
Abaixo, segue um conjunto com alguns indicadores de desempenho rela-
cionados à abordagem do FPNQ (Fundação Programa Nacional de Qualidade)
e do BSC (Balanced Scorecard) baseados em (OLIVEIRA, 2007):
capítulo 1 • 27
Perspectivas do Mercado e dos Clientes:
• Participação no Mercado: Qual a representatividade (%) das vendas da empresa

no mercado.
• Fidelidade: Percentual de clientes regulares.
• Conquista de Novos Clientes: Número de clientes novos por segmento e quanti-
dade de vendas a estes clientes.
• Insatisfação: Quantidade (%) de clientes que apontaram itens que influenciaram
negativamente em suas decisões de compra.
• Satisfação: Percentual de clientes declarados satisfeitos.
• Informação: Intensidade com que o mercado potencial recebe informações positivas
da empresa.
• Imagem: Percentual de pessoas com visão positiva da empresa.
• Conhecimento: Lembrança da marca (ou produtos). Percentual.
• Valor Relativo do Produto ou Serviço: Outros valores associados aos produtos/
serviços como pontualidade, qualidade, atendimento, etc.
• Manifestações dos Clientes: Reclamações e devoluções registradas e procedentes.
• Relacionamento: Prazo médio para solução dos problemas com os clientes.
Perspectivas Financeiras:
• Valor Econômico Agregado: Valor dos bens produzidos depois de deduzido o custo
dos insumos (EVA – Economic Value Added).
• Rentabilidade sobre Patrimônio Líquido: Lucro líquido dividido pelo Patrimônio
líquido. Ou seja, é um indicador de atratividade, pois indica qual o retorno sobre o pa-
trimônio investido.
• Liquidez Corrente: Mede a capacidade da empresa de saldar seus compromissos
imediatos. Ativo circulante dividido pelo passivo circulante.
• Crescimento de Receita: Receita no período atual dividida pela receita no período
anterior
28 • capítulo 1
• Margem Bruta: Total das vendas menos o custo de produtos e serviços vendidos
dividido pelo total das vendas. Equilibrio entre receita e despesa.
• Geração de Caixa: Saldo médio de caixa dividido pelo Total das vendas. Equilíbrio
entre contas a receber e a pagar.
• Vendas: Capacidade de fazer previsões e concretizá-las. Médias das vendas reais
(últimos 12 meses) dividido pela Média das Vendas Previstas (mesmo período).
Perspectivas dos Processos
• Conformidade do Produto em relação ao Padrão: Especificação determinada

pelo cliente ou empresa, norma ou legislação.
• Conformidade do serviço em relação ao padrão: Entrega de serviços no prazo
previsto (%).
• Produtividade: Custo real do processo dividido pelo custo ideal.
• Eficiência Operacional: % utilizado da capacidade de produção da empresa.
• Conformidade do Processo Crítico: Número de não conformidades que são críti-
cas para o negócio.
• Desperdício: % de materiais perdidos no processo.

• Qualidade do Planejamento: % realizado da programação de produção.
• Flexibilidade: Prazo médio entre pedido e entrega.
• Análise do Processo de Inovação: Tempo do ciclo do projeto e custos em pesquisa
e desenvolvimento.
• Análise do Processo de Operações: Tempo do ciclo do pedido do cliente, percentu-
al de não-conformidades no processo, custo do processo e percentual de produtividade.
• Análise do Serviço de Pós-Venda: Prazo médio para solução de problemas (recla-
mações) e custo desta assistência.
capítulo 1 • 29
Perspectivas de Aprendizado, Inovação e Crescimento
• Tempo para recuperar investimentos: Meses necessários para retorno.

• Receita de novos produtos: % de receita obtida com novos produtos ou serviços.
• Conformidade do Processo: Número de não-conformidades ou alterações.
• Conformidade do Projeto: Idem anterior, mas por projeto.
• Geração de Idéias: % de idéias de produtos ou serviços em relação as pessoas
envolvidas nisso.
• Aceitação de Novos Produtos ou Serviços: % de novos produtos/serviços vendi-
dos em relação a venda prevista.
ATIVIDADES
Com base no conteúdo apresentado neste capítulo e com base na figura abaixo, responda
as seguintes questões:
Mapa estratégico da empresa XPTO
Perspectiva Mapa da estratégia Objetivos Indicadores Metas Ações

- Crescimento - Crescimento
Lucros do negócio; - Lucro operacional do negócio; - Crescimento do negócio;
Financeira Receitas - Participação no - Market share - Participação no - Participação no mercado
mercado mercado
- Percentual de - 80% retenção
Qualidade
retenção cliente clientes - ano
de serviço - Retenção do
- Percentual de - 10% crescimento - Mudar agência de propaganda
Cliente cliente;
crescimento vendas vendas - ano - Aumentar número de campanhas
Excelência - Clientes novos
- Quantidade de - 10% clientes
no serviço
clientes novos novos - ano
- Melhorar o - Quantidade de - Máximo de 5% do
Processos Competências - Implantar novo software de atendimento
atendimento ao reclamações do número de clientes
internos pessoais - Rever processo de atendimento
cliente; clientes ativos (ano)
- Identificar
- Aumento de 15% - Oferecer bolsas de estudo
Aprendizagem Capacitação necessidades de - Produtividade
na produtividade - Oferecer treinamentos in company
e Crescimento das pessoas treinamento; individual
individual - ano - Incentivar participação em congressos
- Treinar equipe;
Figura 1.7 – Mapa Estratégico da Empresa XPTO. Fonte: Material Estácio WebAula.
01. Estabeleça a relação entre a Estratégia de Geração Receitas e Lucros e os indicadores

apresentados.
02. Disserte como as metas possuem relação com os objetivos na figura.
30 • capítulo 1
REFLEXÃO
Como vimos neste capítulo, a Governança Corporativa é um conceito e reúne práticas para
melhor atender os interesses das partes interessadas da empresa. Vimos também que a
Tecnologia da Informação está intrinsicamente relacionada a isso. Neste contexto, faça uma
reflexão sobre a seguinte questão: Como a Governança Corporativa e Governança de TI
podem auxiliar na Gestão Empresarial e na tomada de decisões melhores?
LEITURA
Para complementar seu aprendizado sobre Governança Corporativa e Governança de TI,
visite esses sites:
• COSO: http://www.coso.org
• IBGC: http://www.ibgc.org.br
• Basileia II: http://www.bis.org/publ/bcbsca.htm
• http://www.bacen.gov.br/?BASILEIA2
• SOX: http://www.sec.gov/about/laws.shtml
• http://www.sec.gov/about/laws/soa2002.pdf (texto original)
• ITGI (governança de TI): http://www.itgi.org
• ISACA: http://www.isaca.org
Também sugiro a leitura de livros como:
• Balanced Scorecard: KAPLAN, Robert S.; NORTON, David P. "Mapas Estratégicos: conver-
tendo ativos intangíveis em resultados tangíveis". Rio de Janeiro. Editora campus, 4ª edição,
2004.
E sugiro a visita ao site abaixo com informação histórica sobre Governança e uma linha
do tempo:
• www.ibgc.org.br/inter.php?id=18887
capítulo 1 • 31
REFERÊNCIAS BIBLIOGRÁFICAS
LAUDON, K. C.; LAUDON, J. P. Sistemas de informação gerenciais. 7. ed. São Paulo: Pearson
Prentice Hall, 2007.
SARBANES, P.; OXLEY M. G. Sarbanes-Oxley Act of 2002. House of Representatives 107th
Congress, 2nd session, Report 107-601. July 24th, 2002.
WEILL P.; ROSS W. J. Governança de Tecnologia da Informação. Makron Books, São Paulo, 2006.
IBGC, INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA. Guia das Melhores Práticas
de Governança para Fundações e Institutos Empresariais. Acesso em 01/02/2015. Disponível
em: http://www.institutocamargocorrea.org.br/Documents/guia_governanca.pdf
FERNANDES A. A.; ABREU V. F. Implantando a Governança de TI: da estratégia à gestão dos
processos e serviços. Brasport, 2008.
MARANHÃO, M. e MACIEIRA, M. E. B. O processo nosso de cada dia: modelagem de processos de
trabalho. Rio de Janeiro - RJ: Qualitymark. 2004.
OLIVEIRA, D. D. P. R. D. Administração de Processos: conceitos, metodologia, práticas. São Paulo -
SP: Atlas. 2007.
32 • capítulo 1
2
Processo de
Decisão na
Governança de
Tecnologia da
Informação
A tomada de decisão deve ser assertiva e em tempo hábil. A Governança de TI
está principalmente envolvida com a tomada de decisão. Pesquisas apontam
que empresas que possuem modelos eficazes de Governança de TI e com re-
sultados melhores do que seus concorrentes executam de forma consistente as
melhores decisões sobre a TI.
As empresas sempre estão diante do desafio de acertar na decisão tomada.
Um líder poderia decidir uma ação de formal informal, como dizem “bater o
martelo”. Mas em uma organização essa questão é bem mais complexa, envol-
vem riscos e incertezas.
Um arranjo organizacional eficiente conta com o parecer de vários colabora-
dores que contribuem com a análise da decisão, apresentando seu ponto de vista
e as projeções de impacto nas áreas que atuam. É necessário a presença de lideres
hábeis, aberto as criticas e sugestões, e empáticos para entender a dimensão que
cada membro traz de sua vivência dentro da empresa. A tomada de decisão pode
também ter a ajuda de pesquisas realizadas entre os membros internos e externos
da organização. É importante que haja um escopo, um mapeamento de ações com
levantamento de questões que devem ser respondidas prospectando ambiente
interno, externo, relações entre os stakeholders e impactos presentes e futuros.
Nesse aspecto, algumas questões são levantadas como você pode ver nos
seus objetivos sobre aprendizagem.
OBJETIVOS
Neste capítulo, você irá tomar conhecimento sobre:
1. As principais decisões que devem ser tomadas na Governança de TI.

2. O conjunto de mecanismos de Governança de TI adotados pelas empresas.
3. Quais os principais arquétipos de Governança de TI utilizados por diferentes tipos de
decisão.
4. Quais os requisitos importantes para a implementação da Governança de TI.
5. Quais componentes são necessários para executar a gestão do ciclo de vida opera-
cional da Governança de TI.
6. Os mecanismos de controles de uma forma geral.
7. A importância de controle no ambiente operacional de TI, comércio eletrônico, na
Internet e no desenvolvimento de sistemas.
34 • capítulo 2
2.1 Tomada de Decisão na Governança de TI
A governança de TI aborda um conjunto de práticas que destinam o gerencia-
mento, o controle e a qualidade dos processos com foco em aumento de valor
para o negócio. Além das abordagens de controle de risco, as ações estratégicas
envolvem toda a gestão da organização. Viabilizando ações de melhoria, bus-
cando a eficiência e eficácia, integrando a tecnologia e o fluxo de informações
ao objetivo de negócio da organização.
Para que a Governança de TI atue em toda a extensão da empresa, é preciso
estabelecer os mecanismos de processo de decisão e o alinhamento estratégico
com o negócio. A seguir, quais capacidades devam estar disponíveis:
• Estruturas formais de integração: definição dos executivos e as áreas de atuação,

institucionalizar os comitês e conselhos.
• Processos formais de integração: Alinhar e documentar os procedimentos de to-
mada de decisão estratégica de TI.
• Integração: Envolve o momento de tomada de decisões da TI. E acontece de várias
maneiras como: integrando a área administrativa e a TI em relação ao compartilha-
mento do cronograma e orçamento. De maneira sequencial: as decisões de negócio
endereçam as tomadas de decisão de TI; De maneira reciproca, quando as decisões de
negocio e TI articulam-se mutuamente, e integralmente quando as decisões de negócio
e TI caminham num mesmo processo.
A norma NBR ISO/IEC 38500 (2009), trata da Governança Corporativa de

Tecnologia da Informação e oferece princípios para orientar os dirigentes das
organizações (incluindo proprietários, membros do conselho de administra-
ção, diretores, parceiros, executivos seniores ou similares) sobre o uso eficaz,
eficiente e aceitável da Tecnologia de Informação (TI) dentro de suas organi-
zações.
Essa norma em especial, enfatiza a importância das relações humanas
para o desenvolvimento integral das Governanças. Também auxilia a alta
administração das organizações no entendimento e cumprimento das obri-
gações legais, regulamentares e éticas com relação ao uso da Tecnologia da
Informação.
capítulo 2 • 35
A norma fundamenta-se em seis princípios que oferecem as diretrizes
para a implantação e manutenção de Governança de TI, veja a seguir:
1. Responsabilidade: Todos os participantes da organização devem ter
clareza sobre suas responsabilidades na procura e fornecimento de informa-
ções na TI. A ética e a distribuição de responsabilidades devem estar claras.
2. Estratégia: Diz respeito a como será realizada a abordagem na busca
por mudanças de comportamentos da equipe que beneficiarão a organização.
As mudanças de comportamento têm que trazer motivação ao grupo e estar
integrada ao cotidiano da organização.
3. Aquisição: Definidas as responsabilidades e adotadas as estratégias,
o 3º item, a Aquisição, busca identificar o que será necessário adquirir para
dar andamento às estratégias em busca do comportamento almejado, pode
ser através de workshops, treinamentos, vivencias, consultorias, etc. A análise
e medição dos processos são importantes, pois indicam os objetivos alcança-
dos, ou não.
4. Desempenho: Deve ser medido e monitorado, com metas e métricas
bem definidas, para que a gestão possa avaliar os resultados obtidos e se ne-
cessário, realize ações corretivas necessárias.
5. Conformidade: a adoção de comportamento ético é imprescindível
para o sucesso da Governança. É fundamental atuar de forma irrepreensível em
relação aos aspectos legais, estatutários, contratuais, regulatórios que envol-
vem a organização, alinhando esses preceitos a adoção de uma postura trans-
parente e adequada para com o mercado, a sociedade e a sustentabilidade.
6. Comportamento Humano: a busca pela melhora nas relações e no
comportamento é enfatizado nesse 6º principio, ficam evidentes a importân-
cia do capital humano e da integração dos grupos para o pleno desenvolvimen-
to da Governança.
Veja que todos os princípios que compõe a ISO/IEC 38500:2008 priorizam a

mudança comportamental daqueles que representam a organização, a TI e por
conseqüência a própria organização.
36 • capítulo 2
Como pode ser visto na figura abaixo, a norma apresentada sugere que a
Governança de TI seja pautada na implementação de planos e políticas que ali-
nhem a TI aos objetivos do negócio e ficando em monitoramento do desempe-
nho para avaliação da conformidade das ações com o que foi planejado e pro-
postas que avaliem constantemente as ações implementadas.
Pressões Governança Necessidades

do negócio corporativa de TI do negócio
Avaliar
Dirigir Monitorar
Propostas
Políticas
Planos
Conformidade
Desempenho
Processos do Negócio
Projetos TI Operações TI
Figura 2.1 – A Governança de TI e a relação com as ações da Empresa. Fonte: Material

Estácio WebAula.
Sobre os princípios da boa governança de TI, a empresa precisa abordar al-

gumas questões para obtê-la (WEILL e ROSS, 2006):
• Quais decisões devem ser tomadas para garantir a gestão e o uso eficazes
da TI?
• Quem deve tomar essas decisões?
• Como essas decisões serão tomadas e monitoradas?
capítulo 2 • 37
2.2 Capacidades e Processos sobre Direitos
Decisórios
Cada decisão deve considerar Investimentos em TI, Princípios da TI, Arquitetura,

Necessidades de Aplicações de Negócios e Estratégias de Infraestrutura de TI:
• Investimentos em TI: Escolhendo quais iniciativas financiar e quanto gastar. Weill e

Ross (2006) apresentam três dilemas enfrentados nas decisões sobre investimentos
em TI: quanto gastar, em que gastar e como conciliar as necessidades de diferentes
grupos de interesse. Nenhum framework ou análise substitui uma direção estratégica
clara. Uma vez entendidos os objetivos de negócio, investimentos em TI costumam
gerar retornos significativos.
• Princípios da TI: Uma vez definidos, os princípios de TI tornam-se parte do vocabu-
lário da empresa e podem ser discutidos, apoiados, aprimorados ou recusados. Assim,
para saber se a TI e a administração estão em acordo é só analisar a integração entre
os setores e a fluidez das atividades. A TI é uma boa ferramenta para exercitar a or-
ganização das tarefas e educar os executivos sobre as estratégias tecnológicas e as
decisões de investimento em tecnologia. Os princípios trazidos pela TI estabelecem
uma cultura empresarial voltada para as politicas, normas e diretrizes. Algumas ações
estimuladas pela TI são habilitar o negócio, assegurar a integridade das informações,
criar uma visão comum entre os clientes, administrar a TI como investimento. Os prin-
cípios de TI devem refletir um comportamento adequado tanto para os profissionais
quanto para os usuários de TI. Os princípios de TI devem esclarecer pelo menos três
expectativas para a TI na empresa (WEILL e ROSS, 2006):
– Qual é o modelo operacional desejado na empresa?
– Como a TI dará suporte ao modelo desejado?
– Como a TI será financiada?
Veja que as duas primeiras questões são para esclarecer o formato que a empresa
deve desenvolver produtos e serviços, antecipando ações futuras. Já a terceira questão
busca estabelecer as regras direcionadas aos investimentos em TI.
• Arquitetura: Para que a arquitetura de TI seja eficiente e responda as demandas do
projeto, é necessário:
– A definição dos requisitos de intergração e padronização dos processos na em-
presa.
38 • capítulo 2
– Adotar a organização lógica dos dados, aplicações de infraestrutura, definida a
partir de um conjunto de politícas, relacionamentos e opções técnicas adotadas para
obter padronização e integração do negócio almejado.
– As decisões sobre a arquitetura de TI são fundamentais tanto para a gestão
quanto para a boa utilização de Tecnologia da Informação.
– A integração e a padronização moldam a capacidade de TI.
• Necessidades de aplicações de negócios: Mesmo que todas as decisões de TI
envolvam o valor de negócio da Tecnologia da Informação, são as necessidades de
aplicações desse negócio que geram valor diretamente. Para articular essas neces-
sidades é preciso uma boa dose de criatividade aliada à disciplina. Enquanto que a
criatividade busca inovação, a disciplina sustenta que a inovação pretendida, não irá
contrariar os princípios da arquitetura adotados pela empresa.
• Estratégias de infraestrutura de TI: A base do planejamento de TI esta em de-
terminar os serviços compartilhados e os serviços de suporte. Tanto a parte técnica
quanto à humana devem estar disponíveis para que os serviços sejam compartilhados e
confiáveis. Investimentos excessivos ou errados aparecem como desperdício humanos
e não humanos, causando atrasos e imcompatibilidades entre sistemas. Já a empresa
com investimento reduzido, abaixo do que seria necessário, trabalha com implanta-
ções apressadas a fim de atender prazos, por exemplo automação local sem integração
com o restante da empresa, e compartilhamento restrito de recursos. Esses exemplos
ajudam a ilustrar a responsabilidade que o gestor de TI tem em mãos, pois a falta de
requisitos e recursos comprometem todo o trabalho e principalmente a imagem da
equipe de TI, mesmo que essa equipe tenha se esforçado para atender o que lhes foi
pedido, não souberam impor seu conhecimento e análise para argumentar sobre as
melhores decisões. Em contrapartida a organização que entende e é convencida das
reais necessidades de investimento em infraestrutura, terá seu investimento retornado
em forma de valor, imagem e agilidade.
capítulo 2 • 39
A tabela a seguir resume os pontos vistos.
PRINCIPAIS DECISÕES SOBRE A GOVERNANÇA DE TI
Decisões sobre os princípios de TI

Declarações de alto nível sobre como a TI é utilizada no negócio
Decisões sobre a Decisões sobre a Decisões sobre os

arquitetura de TI infraestrutura de TI investimentos e a
prioridade da TI
Organização lógica de Servições de TI coorde-
dados, aplicações e in- nados de maneira cen- Decisões sobre quanto
fraestruturas, definidas a tralizada e compartilha- e onde investir em TI, in-
partir de um conjunto de dos, que promove a base cluindo a aprovação de
políticas, relacionamen- para a capacidade de TI projetos e as técnicas de
tos e opções técnicas da empresa. justificativas.
adotadas para obter a
padronização e a integra-
ção técnica e de negócio Necessidades de
desejadas. aplicações de negócio
Especificação da neces-
sidade de negócio de
aplicações de TI, adqui-
ridas no mercado ou de-
senvolvida internamente.
Tabela 2.1 – Decisões sobre a Governança de TI. Fonte: Material Estácio WebAula.
40 • capítulo 2
O uso de arquétipos identifica o tipo de cada função envolvida na tomada
de decisões de TI:
• Monarquia de Negócios: Altos executivos de negócio tomam as decisões de TI que

afetarão toda a empresa.
• Monarquia de TI: A decisão é tomada pelos especilistas de TI.
• Feudalismo: As decisões são tomadas pelas unidades de negócio da empresa de
forma independente.
• Federalismo: Há uma combinação das unidades de negócio com uma central corpo-
rativa podendo ou não haver envolvimento do pessoal de TI.
• Duopólio de TI: A decisão envolve dois grupos, sendo um deles os especialistas
de TI e outro grupo pode ser formado por líderes da unidade de negócio ou gerentes
executivos.
• Anarquia: A tomada de decisão é individual ou feita de forma isolada por pequenos
grupos com base em necessidades locais.
Assim, através de uma matriz de relacionamento entre as decisões e os ar-

quétipos é possível enumerar quem deve tomar a decisão de TI em diferentes
situações. No entanto, há o constante desafio das empresas em identificar
quem será o responsável por cada tipo de decisão de governança. Essa matriz
recebe o nome de Matriz de Arranjos de Governança (WEILL e ROSS, 2006).
No artigo intitulado “Governança de Tecnologia da Informação: um estudo
do processo decisório em organizações públicas e privadas” foi desenvolvida
uma pesquisa com 44 gestores da área de TI da cidade de Natal. Eram gestores
de organizações públicas e privadas.
Pelo quadro é possível observar que as decisões envolvem o Arquétipo Mo-
narquia de TI tanto em instituições públicas quanto privadas, exceto quando o
tema é investimento em TI. Abaixo, há o desenho da Matriz de Arranjos obtida
após este survey.
Ou seja, de acordo com a opinião dos próprios pesquisadores:
“Os resultados sugerem que os gestores de TI são os principais atores do
processo decisório tanto nas organizações públicas quanto privadas, sobretu-
do para as decisões-chave que envolvem os princípios, arquitetura e estratégias
de infraestrutura de TI.”
capítulo 2 • 41
42 •
MATRIZ DE ARRANJOS DE GOVERNANÇA – QUAIS ARQUÉTIPOS DE GOVERNANÇA
SÃO USADOS POR DIFERENTES TIPOS DE DECISÃO?
capítulo 2
Estratégia de Necessidades
Decisão Investimentos
Princípios de TI Arquitetura de TI Infraestrutura de aplicação de
Arquétipo em TI
de TI negócio
Monarquia de negócio
Monarquia de TI
Feudalismo
Federalismo
Duopólio
Não se sabe
Tabela 2.2 – Matriz de Arranjos de Governança em TI. Fonte: Material Estácio WebAula.
Veja a tabela a seguir e analise você também.
Necessidades
Estratégias de Investimentos
Decisão Princípios de TI Arquitetura de TI de aplicações
infraestrutura em TI
Arquétipo de negócio
Público Privado Público Privado Público Privado Público Privado Público Privado
Monarquia de Negócio 0,0% 12,0% 0,0% 6,0% 5,6% 12,0% 5,6% 20,0% 11,1% 32,0%
Monarquia de TI 50,0% 40,0% 72,2% 60,0% 61,1% 68,0% 44,4% 32,0% 33,3% 16,0%
Feudalismo 5,6% 8,0% 5,6% 8,0% 0,0% 4,0% 0,0% 12,0% 0,0% 4,0%
Federalismo 5,6% 8,0% 0,0% 0,0% 5,6% 0,0% 5,6% 0,0% 0,0% 4,0%
Duopólio 27,8% 32,0% 5,6% 12,0% 11,1% 12,0% 33,3% 28,0% 38,9% 28,0%
Anarquia 11,1% 8,0% 16,7% 4,0% 16,7% 4,0% 11,1% 8,0% 16,7% 16,0%
Padrões de decisão comuns em todas as empresas pesquisadas segundo Weill e Ross (2006)
Padrão observado na pesquisa
capítulo 2
Tabela 2.3 – Matriz de Arranjos de Governança em TI numa pesquisa com gestores em Natal. Fonte: http://www.scielo.br/img/revistas/rap/
• 43
v47n2/a08qua03.jpg
2.3 Framework de Governança de TI
A todo o momento a alta gerência das empresas precisa avaliar o valor dos in-
vestimentos em TI e há muitas dúvidas sobre o ROI (retorno sobre investimen-
to) gerado. Muitos sistemas implementados não geram retorno compatível,
ou não aprimoram os processos, gerando apenas aumento de despesas anuais
sem justificativas. Muitas vezes, ocorrem até interrupções nas operações por
sistemas mal implementados. O que vemos com frequência no mercado, atual-
mente, é a terceirização da área de TI adotando modelos de Cloud Computing
como:
• HaaS: Hardware as a Service (Hardware como Serviço) é uma forma de disponibili-

zar recursos de hardware para que emrpesas possam contratá-los via locação, sem se
preocupar em tê-los disponíveis localmente.
• SaaS: Software as a Service (Software como Serviço) é quando o cliente não precisa
se preocupar com instalação de softwares, configurações de rede, servidores, licenças
de programas. O fornecedor do serviço cobra uma taxa de uso para disponibilizar o ser-
viço e dar o suporte necessário. O software pode funcionar 100% pela Internet ou ter
alguma instalação local. Exemplos disto são Webmails como Gmail, Ymail ou pacotes
como o Office 365.
• PaaS: Platform as a Service (Plataforma como Serviço) é um ambiente de compu-
tação em camadas e soluções como serviço. É parecido com o SaaS, mas ao invés
de software entregue pela Internet oferece um ambiente para criação, hospedagem
e controle de software. Possui uma série de recursos para escalabilidade, segurança
integrada e integração com outros serviços Web. Exemplos são o Google AppEngine e
o Force.com da SalesForce.
• IaaS: Infrastructure as a Service (Infraestrutura como Serviço) é uma forma de entregar
toda infraestrutura de servidores, armazenamento, serviços de backup, e outros, numa
combinação entre nuvens públicas e privadas. Possui alta escalabilidade e ferramentas
com monitoramento avançado. Exemplos são o EC2 da Amazon e o Azure da Microsoft.
No entanto, muitas vezes, a grande questão da empresa são mecanismos de

governança mal concebidos ou mal gerenciados e não necessariamente ques-
tões isoladas de Tecnologia da Informação.
44 • capítulo 2
Como pode ser visto na figura, um framework de governança deve buscar
a harmonização entre a estratégia e a organização da empresa, os arranjos de
Governança de TI e as metas de desempenho de negócio.
A estratégia e a organização da empresa definem comportamentos espe-
rados que motivam a governança. As empresas criam arranjos de governança
para cada um de seus ativos, habilitando e influenciando a estratégia. Os arran-
jos de governança atribuem direitos decisórios para as decisões de cada ativo.
O desempenho das ações é medido por métricas obtidas nos sistemas e geren-
ciamento de TI e alinhados às decisões de governança.
Estratégia e Governança de Metas de

Organização Relacionamentos Desempenho
da Empresa do Negócio
Governança de
Ativos Físicos
Governança de PI
Organização de TI Propriedade Intelectual Métricas e
e comportamentos responsabilidades
desejáveis Governança de RH de TI
Governança Financeira
Arranjos de
Governança TI
Mecanismos de Decisões
Governança de TI de TI
Figura 2.2 – Framework de Governança em TI. Fonte: Material Estácio WebAula
A implementação da Governança de TI é pautada em três aspectos:
• Abordagens de Comunicação: visa disseminar os princípios e políticas de governança

de TI, além dos resultados dos processos decisórios. É feita por comunicados e canais
internos diversos.
• Estruturas de Tomada de Decisão: compreende as unidades e papéis organizacionais
que visam a tomada de decisão de TI como os comitês, as equipes executivas e os
gerentes de relacionamento entre negócio e TI.
• Processos de Alinhamento: refletem a organização das atividades da empresa e sua
execução cotidiana. Devem estar consistentes com as políticas de TI, respeitar acordos
de níveis de serviço (definem as entregas), métricas, e consumo de recurso.
capítulo 2 • 45
De acordo com (FERNANDES e ABREU, 2008) o planejamento do Programa
de Governança de TI deve adotar conceitos de Gestão de Projetos e Programas
contendo:
• Escopo do Programa com a lista de processos a serem implementados;

• Sequência de implantação dos processos, considerando precedência dos
processos;
• Cronograma para implantação dos processos;
• Plano de recursos estimado para o Programa;
• Serviços a serem adquiridos;
• Orçamento estimado para os projetos e o Programa;
• Benefícios esperados;
• O formato de gerenciamento do Programa;
• Riscos;
• A estratégia para gerenciamento de mudança;
• Modelo de comunicação.
A implementação do Programa de Governança de TI necessita do emprego

de uma série de técnicas baseadas nos modelos considerados como os melho-
res do mercado.
Para inicio das atividades é comum a escolha pelo COBIT (Control
Objectives for Information and Related Technology), como referência global
para os processos de TI, após a identificação dos processos através do COBIT,
deve-se escolher modelos específicos para cada processo e adaptá-los as neces-
sidades da empresa. Segue a tabela que apresenta as principais ferramentas
utilizadas na Governança de TI.
Já falamos sobre algumas dessas ferramentas. A Tecnologia da Informação
passa agora a fazer parte de um modelo mais amplo de gestão e governança.
Diversos são os modelos e frameworks existentes no mercado para as diversas
funções da TI.
46 • capítulo 2
CONTEXTUALIZAÇÃO ISO 38500
controle valor
COBIT Governança Val IT
SOX de TI Risk IT
Plan. e Estrat.
Contratações
Arquitetura
Aplicações
Segurança
Qualidade
ITIL
Serviços
Projetos
ISO 20000 TOGAF
BS 15000
ISO 9000
CMMI Gestãode TI
Six Sigma
MPS.BR
ISO 17799 PMBOK eSCM-CL
ISO 15504 COBIT
ISO 27000 PRINCE2 eSCM-SP
BSC-TI
Figura 2.3 – Os diversos Modelos e Frameworks para Governança e Gestão de TI nas Em-
presas. Fonte: Material Estácio WebAula
COBIT, SOX atuam com mecanismos de controle, enquanto VAL IT e Risk

IT visam avaliação de valor. O alinhamento da Governança de TI à Gestão de TI
vem pelo controle dos diversos aspectos da empresa, desde os serviços ofere-
cidos, até a arquitetura empresarial. Podemos citar alguns dos modelos e fra-
meworks existentes:
• COBIT (Control Objectives for Information and related Technology):

Governança e Controle;
• VAL IT: Investimentos em TI;
• ITIL e ISO 20000: Serviço;
• CMMI e MPS BR: Engenharia de Software;
• ISO 27000 a ISO 27008: Segurança da Informação;
• BSC (Balanced Scorecard): Planejamento e desempenho da empresa;
• PMBOK (Project Management Body of Knowledge): Projeto;
• Six Sigma: Qualidade de processo;
• eSCM-CL (The eSourcing Capability Model for Client): práticas de estraté-
gia e gerenciamento de outsourcing de serviços de TI que o cliente utiliza;
• eSCM-SP (The eSourcing Capability Model for Service Providers): práticas
que o provedor de serviços de TI utiliza em outsourcing;
capítulo 2 • 47
• TOGAF (The Open Group Architecture Framework): framework de arqui-
tetura de negócio, aplicações e tecnologia;
• NBR ISO/IEC 38500: Governança Corporativa de Tecnologia da
Informação
• BPM (Business Process Management): Gerenciamento de Processos de
Negócio;
• SAS 70 (Statement on Auditing Standards No. 70 Service Organizations):
Regras de auditoria para empresas de serviços.
TOGAF é um framework de arquitetura corporativa. Sugiro que leia mais sobre ele:
http://www.opengroup.org/togaf/
A Implementação da Governança de TI nas empresas é um processo de lon-

go prazo e visa atender diversos requisitos, como (FERNANDES e ABREU, 2008):
• Liderança para Mudança;

• Instituição de um Programa de Governança de TI;
• Envolvimento dos executivos da organização;
• Abordagem de Gestão de Mudança Cultural;
• Entendimento dos estágios de maturidade em que a organização de TI está;
• Equipe qualificada;
• Modelo de Governança de TI;
• Verificação da satisfação aos objetivos pretendidos pela Governança de TI;
• Atacar vulnerabilidades principais;
• Implementar marketing interno para a TI.
A recomendação para o fortalecimento das ações estratégicas em TI é que as

equipes sejam permanentes, com funções bem distribuídas, em organizações
de grande porte, normalmente, há uma área especifica para a Governança de
TI, como um departamento ou Gerência. Já nas empresas de menor porte a Go-
vernança de TI tem suas atividades exercidas por uma equipe temporária, que
se forma sob demanda, atuando em diferentes frentes, como medindo os bene-
fícios alcançados, e em outro momento verificando as melhorias em processos.
48 • capítulo 2
O apoio da alta gestão da organização é fundamental para o sucesso da Go-
vernança de TI. O desafio é conduzir as mudanças necessárias, fazendo enten-
der que é preciso alterar a estrutura e a forma da atuação da TI. É importante
que a empresa perceba a Governança de TI como um benefício e não uma buro-
cracia. Não se consegue alcançar o sucesso na Governança de TI sem o amparo
da alta gestão da empresa e sem a participação do corpo funcional.
CONEXÃO
Veja, por exemplo, os Mecanismos de Governança de TI do Tribunal de Contas da União
(TCU) – acesso em 05/02/2015:
http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/governanca_ti/meca-
nismos_governanca_ti
2.4 Controles para Governança de TI

Vamos analisar como funciona um sistema que serve como modelo para ex-
plicar o funcionamento de um controle de forma geral. Existe um padrão que
é ajustado para o valor desejado como, por exemplo, um ar condicionado, a
temperatura solicitada é de um ambiente em 22°, aciona-se 22°, um sensor
fica verificando a temperatura real do ambiente. A temperatura desejada e a
temperatura real são comparadas através de um dispositivo de comparação e,
caso haja diferença significativa além da tolerável, o dispositivo de comparação
envia um sinal para que alguma ação seja tomada. Este ciclo se repete até que
alguma ação seja tomada de forma que o padrão e o sensor possam apresentar
uma diferença insignificante para o dispositivo de comparação.
Este conceito pode ser utilizado para a compreensão da lógica envolvida no
funcionamento dos controles dentro de uma empresa. Sendo assim, nas em-
presas os administradores estabelecem padrões e vão acompanhando as varia-
ções que ocorrem no dia-a-dia da organização, usualmente, através de indica-
dores. Quando algum desses indicadores sai do padrão, a administração toma
providências para que a organização volte para o controle.
capítulo 2 • 49
Na empresa os controles acontecem em todos os níveis da organização. A
figura a seguir, apresenta algumas ferramentas de controle administrativo bas-
tante usado:
Administração superior - Estrutura

organizacional
- Comitês de estrutura
- Gratificações
- Orçamento - Supervisão
Gerência intermediária - Hierarquia - Comitês
administrativa examinadores
- Procedimentos - Auditorias
- Supervisão - Hierarquia administrativa
Gerência inferior
Figura 2.4 – Controle na Organização. Fonte: Material Estácio WebAula.
O Controle é realizado através dos cargos de supervisores, gerentes e admi-

nistradores. Observe que na base da pirâmide aparece a gerência inferior com
diversos procedimentos para indicar como as operações serão realizadas.
As auditorias regulares estão presentes como forma importante de controle.
E a hirerquia administrativa estão bem definida.
Na 2ª camada da pirâmide, observe que os gerentes intermediários utilizam
o orçamento como forma de controle. A gerência analisa os relatórios demons-
trativos de orçamento, analisam o desempenho em relação às metas e em fun-
ção dos resultados e controlam os gastos, exercem ainda supervisão sobre seus
subordinados e sempre que necessitam utilizam dessa hierarquia para obter
informações que não lhe estão acessíveis diretamente. Muitas vezes, os geren-
tes intermediários formam comitês organizadores para manter maior controle
sobre a gestão.
Como podemos ver, na camada mais alta da figura há Administração Su-
perior que pode usar a estrutura da empresa para delegar as responsabilida-
des aos seus subordinados. Os subordinados delegam responsabilidades aos
outros até envolver todos os níveis gerenciais. Esta forma de distribuição em
pirâmide permite a distribuição de responsabilidades com cobrança direta a
alguns poucos colaboradores.
50 • capítulo 2
2.5 Controle no Desenvolvimento de
Sistemas
Em poucos anos assistimos uma evolução nos sistemas de controle, os siste-

mas de informação automatizados contribuíram significativamente para o au-
mento de controle. Principalmente, se considerarmos os dispositivos que tro-
cam as informações em tempo real. Ainda é possível integrar vários sistemas
através do conceito de Serviços (Web Services)
Todas as facilidades criam possibilidades, mas também novos desafios, no-
vos problemas de controle surgem, principalmente quando se trata de sistemas
maiores.
Os grandes sistemas dificilmente terão um responsável capaz de atuar de
forma integral em todos os quesitos como sistemas e controles. Para esses
grandes sistemas será preciso que se tenham novos controles como, por exem-
plo, a segregação de uso através da criação de perfis.
2.6 Controle de Operações

Você se lembra do BUG do milênio?
Aproximando-se do ano 2000 houve muitas especulações, não se sabia
como os computadores iriam se comportar a partir de 01/01/2000. O fato é
que na época haviam muitos sistemas antigos que, para economizar espaço
(o custo de armazenamento de informação era caro), memorizavam apenas
as duas posições finais do ano. Como exemplo, o ano de 1999 era lido apenas
com os dois últimos dígitos 99. A lógica era bastante simples e toda vez que
chegava o final do ano se adicionava 1 ao ano corrente para se obter o ano se-
guinte. Ou seja, para passar de 98 para 99 bastava adicionar 1 ao ano corrente.
Tudo bem, até que chegasse o ano 2000. Se nada fosse feito nos programas,
ao se somar 1 a 99 iria obter 00. E, na sequência da lógica antiga, ao se conca-
tenar com 19 o ano passaria a ser 1900. Ou seja, passaria de 1999 para 1900.
Imagine todos os desdobramentos que poderiam ocorrer por erro de con-
ta se nada fosse feito. Como se comportariam os aviões e as torres de con-
trole? E o que dizer dos sinais de trânsito? Como ficariam os rendimentos
financeiros? E as bombas de abastecimento de combustível? Felizmente o
capítulo 2 • 51
mundo se mobilizou e com muito trabalho resolveram a tempo o que seria o
o bug do milênio.
Atualmente, as preocupações de controle, passam por políticas antivírus,
monitoramento para evitar a invasão da rede e a segmentação de acesso são
apenas alguns exemplos. Outra ajuda, foi a Lei SOX que também colaborou
com as empresas para controlar melhor os seus processos.
Será que o BUG do Milênio vai atacar novamente? (Acesso em 05/02/2015)

http://pt.wikipedia.org/wiki/Problema_do_ano_2000
http://www.tecmundo.com.br/historia/8795-2038-o-bug-do-milenio-atacara-no-
vamente.htm
2.7 Segurança
As trocas de informações entre pessoas e empresas crescem a cada dia. Empre-
sas de todos os segmentos e portes utilizam como canal de comunicação, seu
portal, seu Website, buscando novos negócios. Através desses novos canais as
empresas passaram a trocar informações com outras empresas ou com pessoas
físicas, muitas vezes confidenciais e de interesse de terceiros. Logo, programas
maliciosos invadiram na mesma rapidez e se ocupam em monitorar uma rede
e interceptar informações para serem utilizadas posteriormente e permitir o
domínio dessa rede, ou usufruir de dados confidenciais como contas bancárias
e cartões de crédito.
Novas tecnologias, novos programas maliciosos, novas técnicas de contro-
le! Para dar conta do recado foi aperfeiçoado novas técnicas de proteção, me-
lhoraram o uso da criptografia e surgiram novos mercados especializados em
Segurança da Informação.
Os novos desafios exigiram novas especializações das empresas de Seguran-
ça da Informação já existentes. Programas de antivírus, programas de moni-
toração de ambiente, roteadores e firewalls são utilizados para proteger perí-
metros pré-estabelecidos, onde se configuram regras para permitir apenas os
acessos autorizados e o controle sobre o uso de programas. Além disso, existe
um serviço prestado pelas empresas especializadas que gera um relatório de
52 • capítulo 2
vulnerabilidades envolvendo a rede, os servidores e as estações de trabalho,
permitindo que a empresa analisada possa tratar esses pontos vulneráveis e fi-
car cada vez mais protegida.
2.8 Auditando Sistemas de Informação

As empresas preocupam-se em saber se as informações que afetam as transa-
ções financeiras estão sob controle. É comum, seja por necessidade leiga, ou
iniciativa própria que haja realização de auditorias nas empresas. O auditor
analisa os processos, faz entrevistas, analisa banco de dados e apresenta um
parecer sobre sua avaliação.
É de praxe o auditor verificar se as informações estão corretas e disponíveis
corretamente, se as informações estão protegidas contra fraudes; se existe au-
ditoria para verificar os acessos de uma determinada transação; se o acesso às
informações está segregado por perfis; se as instalações e os equipamentos es-
tão protegidos; e, se existe um plano para situações emergenciais que permita
a continuidade do negócio. Empresas maiores costumam ter áreas de auditoria
para manter os sistemas sempre sob controle.
CONEXÃO
Leia mais sobre auditoria nos sistemas de informação – acesso em 05/02/2015:
http://pt.wikipedia.org/wiki/Auditoria_de_sistemas
http://www.profissionaisti.com.br/2012/04/auditoria-de-sistemas-de-informacao-co-
nheca-mais-sobre-o-assunto/
ATIVIDADES
Para complementar o seu conhecimento, responda as seguintes questões objetivas:
01. Quando os Altos Executivos tomam as decisões de TI que afetam toda a empresa nós
temos um(a):
a) Monarquia de Negócios c) Feudalismo e) Duopólio de TI
b) Monarquia de TI d) Federalismo
capítulo 2 • 53
02. Quando uma empresa cobra apenas uma Taxa de Uso e suporte por seus softwares nós
temos um:
a) IaaS
b) HaaS
c) SaaS
d) PaaS
REFLEXÃO
A tomada de decisão é fator importante na Governança de Tecnologia da Informação. Para
nos guiar nessa difícil tarefa existem conceitos e modelos que vimos neste capítulo. Seja nos
sistemas que atuam em operações do dia a dia da empresa, no desenvolvimento de novos
sistemas, na gestão da segurança e ativos da empresa, sempre teremos decisões complexas
a serem tomadas.
LEITURA
Como sugestão de leitura separei alguns modelos e frameworks para vocês:
• VAL IT: Investimentos em TI
• ISO 27000 a ISO 27008: Segurança da Informação
–– http://pt.wikipedia.org/wiki/ISO_/_IEC_27000 (Acesso em 05/02/2015)
–– http://www.itgovernance.co.uk/shop/p-730-iso27008-isoiec-27008-guide-
lines-for-auditors-on-information-security-controls.aspx#.VQA-Z_zF9WI (Acesso em
05/02/2015)
• TOGAF (The Open Group Architecture Framework): framework de arquitetura de negócio,
aplicações e tecnologia
–– http://pt.wikipedia.org/wiki/TOGAF (Acesso em 05/02/2015)
–– https://www.ibm.com/developerworks/community/blogs/tlcbr/entry/togaf?lan-
g=en (Acesso em 05/02/2015)
• BPM (Business Process Management): Gerenciamento de Processos de Negócio
–– http://pt.wikipedia.org/wiki/Gerenciamento_de_processos_de_neg%C3%B3cio
(Acesso em 05/02/2015)
54 • capítulo 2
IBGC, INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA. Guia das Melhores Práticas
de Governança para Fundações e Institutos Empresariais. Acesso em 01/02/2015. Disponível
em: http://www.institutocamargocorrea.org.br/Documents/guia_governanca.pdf
capítulo 2 • 55
56 • capítulo 2
3
Introdução ao
COBIT 5
Neste capítulo, você aprenderá sobre o framework COBIT 5 e sobre como ele
pode ser usado para a Governança Empresarial de TI. Também conhecerá um
pouco sobre as mudanças envolvidas neste framework e o relacionamento com
a empresa, outros modelos e frameworks do mercado.
OBJETIVOS
Ao final deste capítulo você será capaz de:
• Conhecer um resumo da história do modelo COBIT 5;

• Entender os conceitos gerais do novo framework para Governança Empresarial;
• Conhecer os preceitos do modelo de gestão e governança do COBIT 5;
• Entender os 5 princípios do COBIT 5;
• Conhecer seu modelo de Referência, seus Domínios e um Resumo de seus processos;
• Conhecer as fases para a implementação do framework.
58 • capítulo 3
3.1 Histórico e Apresentação
O COBIT é um acrônimo para Control Objectives for Information and Related
Technology. Em português Objetivos de Controle para Informação e Tecnolo-
gia Relacionada (tecnologia que provê informação que o negócio precisa). No
COBIT 5 o termo COBIT passa a ser visto como marca e não mais acrônimo.
Este modelo (ou framework) foi desenvolvido pela ISACA que é uma insti-
tuição sem fins lucrativos que desenvolve pesquisas, modelos e certificações
para os profissionais de Auditoria de TI, Segurança, Governança, dentre outros.
O COBIT tem como principais características:
• Orientação a processos da TI: são 34 processos de TI no COBIT 4.1 e no CO-

BIT 5 são 37 processos. Muitos processos são relacionados ao ITIL, CMMI, PMBOK,
ISO 27001, dentre outros modelos do mercado.
• Baseado em Controles: disponibiliza vários recursos para auditoria.
• Fornece Indicadores: permite acompanhar os processos e visualizar os resultados.
• Focado no Negócio: o COBIT parte da premissa de que a TI deve oferecer valor ao
negócio e que deve se orientar pelo negócio.
É importante citar que o COBIT visa uma perfeita integração e cascateamen-

to entre Processos da Empresa, Metas de TI e Metas de Negócio. Servindo para
identificar o que a TI precisa melhorar para atender as metas da Organização.
O COBIT não substitui ITIL, CMMI ou PMBOK, mas sim é utilizado em con-
junto, como norteador estratégico do uso da TI e de como direcioná-la para
atender os requisitos de negócio.
COBIT também é um guia, um instrumento para diagnóstico e auditoria,
mas não é usado para certificação, ou seja, uma empresa não será certificada
COBIT. Há, contudo, as certificações para profissionais que falaremos mais
adiante.
O documento de referência contém os detalhes do COBIT, como você pode
ver na figura do índice a seguir.
capítulo 3 • 59
ÍNDICE
Agradecimentos........................................................................................................................................................................ 3
Índice.................................................................................................................................................................................................. 9
Lista de Figuras...................................................................................................................................................................... 11
COBIT 5: Um Modelo Corporativo para a Governança e Gestão de TI da Organização..... 13
Sumário Executivo................................................................................................................................................................ 15
Capítulo 1 – Visão Geral do COBIT 5................................................................................................................. 17
Visão Geral desta Publicação................................................................................................................................... 18
Capítulo 2: 1o Princípio: Atenderás às Nessecidades das Partes Interessadas............... 19
Introdução.................................................................................................................................................................................. 19
Cascata dos Objetivos do COBIT 5....................................................................................................................... 19
1o Passo: Os Direcionadores das Partes Interessadas em Objetivos
Corporativos.............................................................................................................................................................................. 19
1o Passo: Desdobramento das Necesidades das Partes Interessadas em Objetivos
Corporativos.............................................................................................................................................................................. 19
3o Passo: Cascata dos Objetivos Corporativos em Objetivos de TI............................................ 20
4o Passo: Cascata dos Objetivos de TI em Metas do Habilitador................................................ 20
Usando a Cascata de Objetivos do COBIT 5................................................................................................. 22
Usando a Cascata de Objetivos do COBIT 5 com Atenção.............................................................. 22
Usando a Cascata de Objetivos do COBIT 5 na Prática...................................................................... 22
Perguntas sobre Governança e Gestão de TI............................................................................................... 23
Figura 3.1 – Parte do índice do documento de referência do COBIT 5. Fonte: (ISACA, 2012).
CONEXÃO
O download do modelo é gratuito e pode ser feito pelo site em:
• http://www.isaca.org/COBIT/Pages/COBIT-5-portuguese.aspx
Você pode baixar informando seus dados (não-membro).
60 • capítulo 3
O COBIT é mundialmente adotado e utilizado. No Brasil, é utilizado pelo governo, por
exemplo o Tribunal de Contas da União tem auditado as unidades de TI do Governo
com base nos processos do COBIT. Bancos também são grandes usuários devido à
grande complexidade de seus processos.
• Veja um exemplo em: http://www.telesintese.com.br/tcu-recomenda-aos-correios-
melhoria-no-sistema-de-gestao/ Acesso em 01/01/2015
O framework provido pelo COBIT visa ajudar as organizações na entrega de va-

lor por meio da boa governança e gestão da TI. Uma característica muito impor-
tante é a implementação de processos auditáveis que são dedicados a governança
e ao gerenciamento de TI e o uso de métricas mensuráveis de desempenho.
O COBIT é utilizado por diversos profissionais como gerente de processos,
gerentes de TI, auditores e profissionais ligados a processos de negócio.
Antes da existência do COBIT, antes de 1996, as empresas chamadas BIG
FOUR (Pricewaterhouse Coopers, Deloitte Touch Tohmatsu, KPMG e Ernst
Young), as quatro maiores empresas contábeis do mundo especializadas em
auditoria e consultoria, tinham sua própria metodologia para auditar as em-
presas. O COBIT 1 teve foco em servir como instrumento para auditoria de TI.
A primeira versão do COBIT data de 1996 e tratava de uma lista de verifi-
cação sobre auditoria em TI. Por isso, COBIT está fortemente ligado a contro-
le, pois tem origem em checklist para auditoria. A segunda versão, em 1998,
atualizou os itens de controle e ampliou a atuação do COBIT. Em 2000, com
escândalos de Wall Street e empresas que forjavam dados, sobretudo contábeis
e fiscais, escondendo informações de seus acionistas, foi criada a Lei Sarbanes
& Oxley (SOX) e o COBIT incorporou princípios de gestão dessa lei. Neste ano, a
versão 3 do COBIT trouxe os conceitos de Governança Corporativa.
Já na quarta versão, em 2005, o COBIT 4 passou a ganhar a forma que possue
hoje, no COBIT 5. O COBIT passou a ter foco em Governança de TI e não apenas
em auditoria, que marcou a origem do COBIT. A ideia geral a partir do COBIT 4
era o uso do controle pelas medições de indicadores de TI.
capítulo 3 • 61
Em 2007 o COBIT recebeu uma atualização, com alguns refinamentos, e,
por isto, sua versão foi chamada de COBIT 4.1.
Em 2011 surgiu a versão COBIT 5 que é a base da nossa discussão sobre o mo-
delo. Durante as discussões, faremos algumas referências à versão COBIT 4.1.
Na figura a seguir vemos o resumo da evolução do COBIT.
Governance of Enterprise IT
Governança de TI
Evolução do escopo
Val IT 2.0
Gerenciamento (2008)
Controle
Risk IT
(2009)
Auditoria
COBIT 1 COBIT 2 COBIT 3 COBIT 4.0/4.1 COBIT 5
1996 1998 2000 2005/7 2012
Figura 3.2 – Versões COBIT.
O COBIT 5 também integra o conteúdo existente entre outros frameworks e

publicações da ISACA como VAL IT e Risk IT, além do Business Model for Infor-
mation Security (BMIS), IT Assurance Framework (ITAF), Taking Governance
Foward (TGF) e Board Briefing on IT Governance. Ou seja, além de evoluir do
COBIT 4.1 para o COBIT 5 o modelo se integra a perspectiva de Governança
Empresarial de TI de forma mais completa.
3.2 Governança Empresarial de TI

O COBIT é focado em Negócios, como já citamos, formado por um conjunto
de princípios norteadores. Como podemos ver na figura o COBIT concentra-se
em requisitos de negócio que direcionam os investimentos a serem feitos em
recursos de TI. Os recursos de TI são usados pelas diversas áreas da empresa
através dos processos de TI.
62 • capítulo 3
Que Requisitos de Direcionam
responde a Negócio investimentos em
Informação Para
CobiT
Organizacional Entregar
Para Processos de TI Que são

Entregar usados por
Figura 3.3 – COBIT e o foco em Negócios. Fonte: Conteúdo Online Estácio
Esses processos suportam os processos de negócio, ou seja, os processos

que envolvem tecnologia da informação suprem necessidades dos processos
de trabalho da empresa. Os processos de negócio geram valor informacional,
ou seja, geram ativos de conhecimento, também chamados de capital intelec-
tual. Este capital está inserido no negócio, responderá e gerará novos requisitos
de negócio, com novas necessidades de investimento e demandas de TI.
Com o COBIT 5 a Governança de TI ganhou uma modificação e nova deno-
minação: Governança Empresarial de TI
A Governança Empresarial de TI (Enterprise Governance of IT) é o principal
norteador do COBIT 5 e é o termo que a ISACA lançou com seu framework. A
Governança Empresarial de TI incorpora outros termos:
• Business Governance of IT: analisa e observa a TI como elemento incorporado aos

objetivos de negócio.
• Functional Governance of IT: analisa a TI como departamento dentro da estrutura
organizacional e seus aspectos de eficiência e eficácia.
• Corporate Governance: analisa a conformidade da empresa com requisitos e leis. TI
manuseia informações de negócio e, por isto, terá requisitos que se referem a Gover-
nança Corporativa.
capítulo 3 • 63
Enterprise Governance of IT
Corporate Governance
(corporate, legal and
regulatory compliance)
Entity Governance Asset Governance
Business Governance of IT
All assets including:
All lines of business,
IT services, applications,
functions, etc., including:
infrastructure, facilities,
IT function
resources, etc.
Functional Governance of IT
Figura 3.4 – Governança Empresarial da TI. Fonte: http://www.isaca.org/Journal/Past-Issues/2009/

Volume-1/Pages/In-Summary-The-Taking-Governance-Forward-Mapping-Initiative1.aspx
3.3 Princípios do COBIT 5

Na visão do COBIT 5 os princípios fornecem a informação que a empresa preci-
sa para atingir seus objetivos de negócio. Para isso, são necessários investimen-
tos, gerenciamento e controle de recursos de TI utilizados pelos processos da
empresa para prover serviços que vão disponibilizar as informações necessá-
rias para a organização.
O COBIT 5 trouxe uma família de produtos que contém um modelo para Go-
vernança e Gestão de TI da organização. Está família de produtos traz publica-
ções para profissionais de áreas distintas, como pode ser visto na figura a seguir.
COBIT® 5
Guias de Habilitadores do COBIT® 5

COBIT® 5 COBIT® 5 Outros Guias
Processos Habilitadores Informações Habilitadoras de Habilitadores
Guias Profissionais de Orientação do COBIT® 5

COBIT® 5 COBIT® 5
COBIT® 5 Para Garantia COBIT® 5 Outros
Para Segurança Para Risco Guias Profissionais
Implementação da Informação (Assurance)
Ambiente Colaborativo online do COBIT® 5
Figura 3.5 – Família de Produtos do COBIT 5. Fonte: (ISACA, 2012).
64 • capítulo 3
Os guias profissionais ajudam em áreas distintas da empresa e facilitam a
distribuição dos conteúdos entre as pessoas interessadas. Por exemplo, a pu-
blicação geral COBIT 5 Habilitador Processos possui um detalhamento prático
de como lidar com ativos de informação. No guia COBIT 5 Implementação, há
fases para implementação de um programa de governança. No guia COBIT 5
Assurance há uma guia para validação e auditoria de processos.
O Guia Geral de Habilitadores pode ser baixado no site para ISACA para
membros e não membros (via preenchimento de cadastros). Os demais podem
ser baixados pelos membros. Para se tornar membro é preciso para a manuten-
ção de uma taxa anual em torno de 100 dólares (o valor pode variar do momento
da escrita deste material até quando você pesquisar no site, ok?).
O modelo do COBIT 5 se baseia em cinco princípios básicos com ampla
orientação sobre os habilitadores de Governança e Gestão de TI na organiza-
ção. Habilitadores são fatores que, individualmente e coletivamente, influen-
ciam o funcionamento da governança e do gerenciamento sobre a TI.
Os princípios do COBIT 5 estão apresentados na figura a seguir e os descre-
veremos na sequência do texto.
1. Atender às
necessidades
das partes
interessadas
5. Distinguir a 2. Cobrir a
governança empresa de
da gestão ponta a ponta
Princípios do
COBIT 5
4. Permitir uma 3. Aplicar um

abordagem Framework
holística único e integrado
Figura 3.6 – Princípios do COBIT 5. Fonte: (ISACA, 2012).
capítulo 3 • 65
No COBIT 5 Habilitadores, são fatores que influenciam o funcionamento de algo. Exis-
tem 7 categorias de habilitadores no COBIT 5, definidos à frente na figura 3.14.
O COBIT 5 nos fornece um modelo para que as organizações atinjam seus

objetivos de Governança e Gestão de TI, através da criação de valor por meio da
TI e da manutenção do equilíbrio de benefícios nos recursos. Na visão do CO-
BIT 5 a TI pode ser governada e gerida de forma holística, sempre abrangendo
o negócio de ponta a ponta e em todas as áreas e funções da TI. Cabe ressaltar
que o modelo pode ser aplicado a empresas de todos os portes, sejam comer-
ciais, sem fins lucrativos, ou empresas públicas. Os princípios são detalhados
a seguir:
10. Atender às Necessidades das Partes Interessadas: criar e gerenciar va-
lor para os Stakeholders é algo que já discutimos aqui. As empresas devem exis-
tir para isso e para busca entre os benefícios que vai oferecer e a otimização no
uso dos recursos e nos riscos desta utilização e oferta de valor.
11. Cobrir a Organização de Ponta a Ponta: o COBIT 5 não se concentra
apenas na função de TI, mas nas tecnologias relacionadas como ativos.
12. Aplicar um Framework Único e Integrado: o COBIT 5 se alinha a outros
padrões e modelos, pois existem várias normas e modelos relacionadas à TI.
13. Permtir uma Abordagem Holística: na visão holística busca-se a inter-
ligação entre os diversos componentes e os resultados destas interligações. O
melhor exemplo ilustrativo da visão holística que eu me lembro é a questão da
água. Se você analisar a molécula da água ela é formada por dois átomos de hi-
drogênio e um átomo de oxigênio, ou seja, H2O. Se estudarmos o hidrogênio e
o oxigênio veremos que são combustíveis (ao menos no formato gasoso, não?).
Pois bem, quando juntos, na proporção 2 para 1, formando a molécula de água,
esta propriedade de combustão muda (ou desaparece?). A grande questão é que
a união das partes pode trazer à tona outras propriedades não observadas ou
não existentes. Na visão holística é precioso observar as interligações das áreas
de TI na empresa e nas áreas de negócio.
14. Distinguir a Governança da Gestão: a Governança visa garantir os inte-
resses das partes interessadas (Stakeholders), avaliando os objetivos corporati-
vos que foram acordados, priorizando metas, tomando decisões e monitorando
66 • capítulo 3
o desempenho e conformidade desses objetivos. A Gestão precisa cuidar do
planejamento, do projeto, da execução e do monitoramento das atividades de
acordo com o que foi definido pela governança para atingir os objetivos estraté-
gicos. Assim, em muitas organizações a Governança fica a cargo do conselho de
administração sob a liderança do presidente. Já a Gestão é feita pela diretoria
executiva liderada pelo Chief Executive Officer (CEO), ou diretor executivo.
3.3.1 Princípio 1 – Atender às Necessidades das Partes

Interessadas
As organizações existem para criar valor aos Stakeholders (partes interessadas).

Stakeholders podem ter interesses diferentes. Proprietários querem que a em-
presa gere lucro e clientes querem o atendimento a uma necessidade.
A criação de valor envolve geração de benefícios com riscos otimizados e
custo adequado. Por exemplo, uma empresa de TV por assinatura gera valor
aos seus clientes fornecendo meios de acesso (hardware e software) aos seus
conteúdos licenciados e transmitidos. Órgãos públicos também devem ofere-
cer valor à comunidade, por exemplo, entregando saneamento à população.
Necessidades
das Partes
Interessadas
Direcionam
Objetivo da Governança: Criação de Valor
Realização Otimização Otimização

de de de
Benefícios Riscos Recursos
Figura 3.7 – Criação de Valor no COBIT 5. Fonte: (ISACA, 2012).
capítulo 3 • 67
Imagine agora que você seja usuário de um serviço de emissão de passa-
gens por celular. Sem dúvidas é um benefício, evita filas, perda de tempo do
cliente. Mas, o valor só será obtido se houver risco controlado e custo adequa-
do. Imagine que este serviço seja muito vulnerável a falhas e você poderia ter
suas compras canceladas. Ou seja, você perderia viagens marcadas. Por outro
lado, imagine também que a empresa cobre de você uma taxa bem alta para
usar o recurso de emissão de passagens por celular para compensar os custos
operacionais. Assim, se o custo for alto para o cliente, o interesse irá baixar. Se
o risco for alto, o mesmo ocorre. Há a necessidade de balanceamento destes
itens.
Em relação à TI, está instrinsecamente relacionado ao exemplo anterior.
Ou seja, a emissão de passagens, o controle e o pagamento necessitam de in-
fraestrutura e serviços de TI. E, o alinhamento adequado entre TI e requisitos
de negócio pode ajudar na otimização do risco e no uso de recursos.
Nas necessidades das partes interessadas são transformadas em ações es-
tratégicas. O COBIT 5 tem mecanismos para tradução dessas necessidades em
objetivos corporativos, objetivos de TI e objetivos habilitadores. Isto é chama-
do no COBIT de COBIT 5 Goals Cascade (Cascata dos Objetivos).
Como pode ser visto na figura a seguir, os direcionadores dos Stakeholders
influenciam suas necessidades: mudanças de estratégia, mudanças de tecno-
logias, mudanças de regulamentos, etc.
As necessidades dos Stakeholders são desdobradas em objetivos corporati-
vos usando o Balanced Scorecard (BSC) como apoio.
Os objetivos corporativos são desdobrados em objetivos de TI com o BSC
de TI.
68 • capítulo 3
Direcionadores das partes interessadas
(ambiente, evolução tecnológica etc.)
Influência
Necessidades das partes interessadas

Realização de Otimização Otimização
benefícios do risco dos recursos
Desdobra em Apêndice D
Objetivos corporativos Figura 5
Desdobra em Apêndice B
Objetivos de TI Figura 6
Desdobra em Apêndice C
Objetivos de habilitador
Figura 3.8 – Cascata de Objetivos no COBIT 5. Fonte: (ISACA, 2012).
Por fim, os objetivos de TI são desdobrados em objetivos habilitadores. Ha-

bilitadores são os elementos tangíveis e intangíveis usados na governança e no
gerenciamento.
Este cascateamento do COBIT nos permite organizar e entender como a TI
pode atender as metas da organização.
O COBIT lista 17 objetivos empresariais genéricos, comuns às empresas e
que possuem informações como a dimensão BSC sob a qual o objetivo corpo-
rativo se enquadra e a relação entre os três principais objetivos da governança:
realização de benefícios, otimização do risco e otimização dos recursos.
Na tabela, “P” representa uma relação primária e “S” relação secundária, ou
seja, uma relação mais fraca.
capítulo 3 • 69
70 •
DIMENSÃO
OBJETIVO CORPORATIVO RELAÇÃO COM OBJETIVOS DA GOVERNANÇA
DSC
capítulo 3
de de de
Benefícios Risco Recursos
1. Valor dos investimentos da organização percebidos pelas partes

F P S
interessadas.
2. Portfólio de produtos e serviços competitivos. P S

Financeira
3. Gestão de risco do negócio (salvaguarda de ativos) P
4. Conformidades com as leis e regulamentos externos P S S
5. Transparência financeira P S
6. Cultura de serviço orientada ao cliente P
7. Continuidade e disponibilidade de serviço do negócio. P S
Cliente 8. Respostas rápidas para um ambiente de negócios em mudança P P P
9. Tomada de decisão estratégica com base na informação P P
10. Otimização dos custos de prestação de serviços. P P

DIMENSÃO
OBJETIVO CORPORATIVO RELAÇÃO COM OBJETIVOS DA GOVERNANÇA
DSC
11. Otimização da funcionalidade do processo de negócio. P P
12. Otimização dos custos do processo de negócio. P P S
Interna 13. Gestão de programas de mudanças de negócios. P P
14. Produtividade operacional e da equipe. P
15. Conformidade com as políticas internas; S P P
16. Pessoas qualificadas e motivadas. P

Treinamen-
to
e Cresci- 17. Cultura de inovação de produtos e negócios
mento
capítulo 3
• 71
Estes objetivos empresariais genéricos já estavam presentes no COBIT 4.1.
Na tabela a seguir estão os 17 objetivos de TI. Não há uma relação direta (um
para um) entre os objetivos das duas tabelas. Mas, os objetivos de TI também
se encaixam num BSC para enumerar o que a TI pode fazer, em termos de ob-
jetivos genéricos.
DIMENSÃO OBJETIVO DA INFORMAÇÃO E TECNOLOGIA

BSC DE TI RELACIONADA
01 Alinhamento da estratégia de negócios e de TI
Conformidade de TI e suporte para conformidade do ne-

02
gócio com as leis e regulamentos externos
Compromisso da gerência executiva com a tomada de

03
decisões de TI
Financeira
04 Gestão de risco organizacional de TI
Benefícios obtidos pelo investimento de TI e portfólio de

05
serviços
06 Transparência dos custos, benefícios e riscos de TI
Prestação de serviços de TI em consonância com os re-

07
quisitos de negócio
Cliente
Uso adequado de aplicativos, informações e soluções

08
tecnológicas
72 • capítulo 3
DIMENSÃO OBJETIVO DA INFORMAÇÃO E TECNOLOGIA
BSC DE TI RELACIONADA
09 Agilidade de TI
Segurança de informações, infraestrutura de processa-

10
mento e aplicativos
11 Otimização de ativos, recursos e capacidades de TI
Capacidade e apoio aos processos de negócios através

12
Interna da integração de aplicativos e tecnologias
Entrega de programas: fornecendo benefícios, dentro do

13
prazo, orçamento e atendendo requisitos
Disponibilidade de informações úteis e confiáveis para a

14
tomada de decisão
15 Conformidade de TI com as políticas internas
16 Equipes de TI e de negócios motivadas e qualificadas

Treinamento
e Crescimento Conhecimento, expertise e iniciativas para inovação dos
17
negócios
Figura 3.2 – Objetivos de TI do COBIT 5. Fonte: (ISACA, 2012)
Como já mencionado, não há mapeamento direto entre as metas. Há no do-

cumento do Framework (página 52) uma tabela de mapeamento, como vista a
seguir. Esta tabela define como os objetivos corporativos de TI são mapeados
entre si. Com esta tabela é possível identificar o que a TI precisa fazer para aten-
der objetivos corporativos.
capítulo 3 • 73
Objetivo Corporativo
Valor dos investimentos em negócios para as partes interesadas
Respostas rápidas para um ambiente de negócios em mudança

Tomadas de decisão estratégica baseada na informação
Otimização da funcionalidade do processo de negócio

Continuidade e disponibilidade do serviço de negócio
Gestão de risco organizacional (salvagarda de ativos)
Conformidade com as leis e regulamentos externos.
Programa para gestão de mudanças no negócio

Otimização dos custos do processo de negócio
Otimização dos custos da prestação de serviço
Portfólio de produtos e serviços competitivos
Cultura de inovação de produtos e negócios

Conformidade com as políticasinternas
Cultura de serviço orientada ao cliente
Produtividade operacional e da equipe
Pessoas qualificadas e motivadas

Transparência financeira
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17
Objetivo de TI Financeira Cliente Interna A&C
Alinhamento da estratégia de TI e de
01 P P S P S P P S P S P S S
negócios
Conformidade de TI e apoio para a
02 conformidade do negócio com as leis e S P P
Financeira
regulamentos externos
Compromisso da gerência executiva
03 P S S S S S P S S
com a tomada de decisões de TI
04 Gestão do risco organizacional de TI P S P S P S S S
Benefícios obtidos pelo investimento de
05 P P S S S S P S S
TI e portfólio de serviços
06 Transparência dos custos e riscos de TI S S P S P P
Figura 3.3 – Mapeamento dos Objetivos Corporativos do COBIT 5 em Objetivos de TI (trata-

se de um recorte, a tabela completa está na página 50 do framework). Fonte: (ISACA, 2012).
Vejamos um exemplo, imagine que empresa quer aumentar sua participa-

ção no mercado. Para isto, foi decidido que o objetivo corporativo a ser atingido
é o número 2: “Portifólio de Produtos e Serviços Competitivos”. Feito isto, quais
seriam as metas de TI relacionadas a este objetivo corporativo? Bastaria olhar
na tabela e ver que são os objetivos:
• [P] 1 – Alinhamento da estratégia de TI e de negócios
• [P] 3 – Compromisso da gerência executiva com a tomada de decisões de TI
• [P] 5 – Benefícios obtidos pelo investimento de TI e porftólio de serviços
• [S] 6 - Transparência dos custos, benefícios e riscos de TI
• [P] 7 - Prestação de serviços de TI em consonância com os requisitos de
negócio
74 • capítulo 3
• [S] 8 - Uso adequado de aplicativos, informações e soluções Tecnológicas
• [S] 9 - Agilidade de TI
• [P] 11 - Otimização de ativos, recursos e capacidades de TI
• [S] 12 - Capacitação e apoio dos processos de negócio através da integra-
ção de aplicativos e tecnologia nos processos de negócio
• [P] 13 - Entregas de programas fornecendo benefícios, dentro do prazo,
orçamento, e atendendo requisitos e padrões de qualidade
• [S] 14 - Disponibilidade de informações úteis e confiáveis para a tomada
de decisão
• [S] 16 - Equipes de TI e de negócios motivadas e qualificadas
• [S] 17 - Conhecimento, expertise e iniciativas para a inovação dos negócios
Perceba que alguns dos objetivos são “Primários” enquanto outros sáo “Se-
cundários”. Isso será considerado na implementação das ações da TI.
3.3.2 Princípio 2 – Cobrir a Organização de Ponta a Ponta
O COBIT 5 integra a Governança Empresarial de TI dentro da Governança Em-

presarial. Uma organização pode ter Governança Financeira, Corporativa, Em-
presarial. A Governança de TI precisa se comunicar com essas outras estruturas
da Empresa.
Na documentação do COBIT cada um dos 37 processos possui uma matriz
RACI com os papéis envolvidos em cada processo.
Objetivo da Governança: criação de valor

de de dos
benefícios riscos recursos
Habilitadores Escopo
da governança da governança
Funções, atividades e relacionamentos
Figura 3.9 – Governança e Gestão de TI no COBIT 5. Fonte: (ISACA, 2012)
capítulo 3 • 75
Como visto na figura anterior, a abordagem da Governança de Ponta a Ponta
do COBIT 5 apresenta os Habilitadores de Governança que são recursos orga-
nizacionais usados como práticas, princípios e estruturas, o escopo da Gover-
nança que representa as áreas envolvidas da empresa e as funções, atividades e
relações que definem envolvidos, suas responsabilidades e interação nos pro-
cessos.
Os Proprietários e Partes Interessadas delegam poderes e geram necessida-
des para os responsáveis pela Governança, o Conselho de Administração. Este
Conselho define direções para o Corpo Diretivo que instrui e alinha o pessoal
de Operações e Execução.
O pessoal de Operações e Execução reporta ao Corpo Diretivo informações
de monitoramento para que seja verificado se os objetivos de Governança es-
tão sendo alcançados.
Por sua vez, o Corpo Diretivo reporta ao Conselho de Administração que
tem como função prestar contas aos Proprietários e Stakeholders.
Essa abordagem é usada tanto na Governança Empresarial, quanto na Go-
vernança de TI. O COBIT 5 mapeia todos os papéis envolvidos no sistema de
governança e não só papéis relacionados à TI.
Funções, Atividades e Relacionamentos
Proprietários Delegam Define Orientação Instrui e Alinha

Conselho de Corpo Operações e
e Partes
Administração Diretivo Execução
Interessadas Responsabiliza Monitora Reportam
Figura 3.10 – Governança e Gestão de TI no COBIT 5. Fonte: (ISACA, 2012)
3.3.3 Princípio 3 – Aplicar um Framework Único e Integrado
Dentro do COBIT 5 vamos encontrar nos processos de TI práticas referindo-se

ao VAL IT e ao RISK IT, outros frameworks da ISACA.
O COBIT 5 também se alinha com as normas e frameworks mais relevantes
usadas por empresas no mundo todo como ISO 9.000, TOGAF, CMMI, PMBOK,
dentre outros.
Assim, o COBIT 5 pode ser usado como um framework integrador. Esta é
uma das principais diferenças em relação ao COBIT 4.1.
76 • capítulo 3
3.4 Princípio 4 – Permitir uma Abordagem
Holística
O COBIT 5 tem habilitadores divididos em 7 categorias, como visto na figura a

seguir.
3. Estruturas 4. Cultura, Ética

2. Processos
Organizacionais e Comportamento
1. Princípios, Políticas e Frameworks
6. Serviços, 7. Pessoas,
5. informação Infraestrutura Habilidades e
e Aplicativos Competências
Recursos
Figura 3.11 – Habilitadores Corporativos no COBIT 5. Fonte: (ISACA, 2012)
1. Princípios, Políticas e Frameworks: guias e direcionamentos para esta-

belecimento de arquiteturas, para lidar com as informações, a orientação das
estruturas organizacionais.
2. Processos: Processos de TI usados para gerenciar as atividades de TI
que geram saídas e resultados visando ao atendimento de objetivos de TI e, por
conseguinte, objetivos empresariais.
3. Estruturas Organizacionais: comitês, estruturas de governança, ou
seja, entidades que auxiliam a tomada de decisão.
4. Cultura, Ética e Comportamento: aquilo que as pessoas fazem, seus há-
bitos, influenciam a gestão e a governança e será preciso adaptar alguns desses
hábitos.
capítulo 3 • 77
5. Informação: TI entrega informação (de clientes, financeiras) para o
negócio.
6. Serviços, Infraestruturas e Aplicativos: TI oferece para gerenciamento
de informação.
7. Pessoas, Habilidades e Competências: pessoas que realizarão as ativi-
dades precisarão ter algumas características para conseguir realizá-las.
3.5 Princípio 5 – Distinguir a Governança da

Gestão
O COBIT 5 divide os processos de governança e gestão de TI em duas principais

áreas: Governança e Gestão, como vemos na figura a seguir.
Necessidades do Negócio
Governança
Avaliar
Dirigir Feedback da Gestão Monitorar
Gestão
Planejar Construir Entregar Monitorar

(APO) (BAI) (DSS) (MEA)
Figura 3.12 – Divisão no COBIT 5. Fonte: (ISACA, 2012)
De acordo com o Framework do COBIT 5 a Governança assegura que os

objetivos de negócio da empresa sejam alcançados de acordo com as necessi-
dades das partes interessadas. O Gerenciamento planeja, constrói, entrega e
monitora atividades alinhadas com a direção estabelecida com a equipe de go-
vernança e sob a liderança do Chief Executive Officer (CEO).
78 • capítulo 3
Com isto, no COBIT 5 os processos abrangem toda a gama de negócios e
atividades relacionadas à Governança e Gestão de TI das empresas, visando o
modelo de processo para toda a organização.
No COBIT 4 havia a perspectiva do Cubo onde existiam 4 recursos de TI.

Agora, como vimos, o COBIT 5 tratam-nos como Habilitadores e são sete.
Requisitos de Negócios
e
ad de e
a lid e da de ad
a d e
c i a n c i
a d i b i l i
m ida i lid
e ri d r b
vid ên id on nfo onfi
a
eti Efici Conf Integ Disp Co
Ef C
Pessoas
Infraestrutura
Domínios
Informações
Aplicativos
Processos de TI
Processos
e TI
Atividades o sd
c urs
Re
Figura 3.13 – Domínios da Governança de TI. Fonte: http://www.joww.net/blog/wp-content/

uploads/2010/10/CuboCobit.png
Os habilitadores, ora Recursos de TI no COBIT 4.1, ao lado direito do Cubo,

continham os seguintes recursos de TI:
• Aplicativos
• Informações
capítulo 3 • 79
• Infraestrutura
• Pessoas
Alguns princípios, políticas e frameworks eram mencionados no COBIT 4.1,

em alguns processos. A estrutura organizacional estava implícita através dos
papéis na matriz RACI (Responsible, Accountable, Consulted, Informed – Res-
ponsável, Cobrado, Consultado, Informado).
• Domínios
• Processos
• Atividades
Requisitos de Negócio:
• Efetividade
• Eficiência
• Confidencialidade
• Integridade
• Disponibilidade
• Conformidade
• Confiabilidade
CONEXÃO
O COBIT 4.1, apesar de agora substituído pelo COBIT 5 é de interessante leitura:
http://www.isaca.org/Knowledge-Center/cobit/Documents/cobit41-portuguese.pdf
No COBIT 4.1 as atividades de TI eram definidas por um modelo de pro-

cessos genéricos, conforme figura abaixo, com os quatro seguintes domínios:
Planejar e Organizar; Adquirir e Implementar; Entregar e Suportar; e, Monito-
rar e Avaliar. Utilizando o ciclo tradicional de melhoria contínua (PDCA), esses
domínios são distribuídos nos 34 processos mostrados na figura e mapeiam os
agrupamentos usuais existentes em uma organização de TI.
80 • capítulo 3
Objetivos de Negócio
Objetivos de Governança
Critérios de
Informação
Eficácia
ME • Eficiência PO
• Confidencialidade
Monitorar e • Integridade Planejar e
Avaliar • Disponibilidade Organizar
• Conformidade
• Confiabilidade
Recursos
de TI
• Aplicativos
• Informações
• Infraestrutura
• Pessoas
DS AI
Entregar e Adquirir e
Suportar Implementar
Figura 3.14 – Modelo do COBIT 4.1. Fonte: Material Online Estácio
Já o COBIT 5 traz uma organização diferente. A primeira mudança é na

quantidade de processos e domínios. Na versão 4.1 eram 4 domínios e 34 pro-
cessos. Na versão 5 agora são 5 domínios e 37 processos. Agora há os processos
de Governança onde há um domínio Evaluate, Direct and Monitor (EDM – Ava-
liar, Dirigir e Acompanhar) que possui 5 processos. Os demais domínios do CO-
BIT 4.1 sofreram algumas mudanças e se distribuem da forma a seguir:
capítulo 3 • 81
COBIT 4.1 COBIT 5
Align, Plan and Organize (Alinhar, Plane-

Plan and Organize (Planejar e Organizar)
jar e Organizar)
– 10 processos
– 13 processos
Acquire and Implement (Adquirir e Build, Acquire and Implement

Implementar) (Construir, Adquirir e Implementar)
– 7 processos – 10 processos
Deliver and Support (Entregar e Deliver, Service and Support (Entregar,

Suportar) Servir e Suportar)
Monitor and Evaluate (Monitorar e Monitor, Evaluate and Assess (Monito-

Avaliar) rar, Avaliar e Analisar
Evaluate, Direct and Monitor (Avaliar,

– Dirigir e Acompanhar)
– 5 processos
Total = 34 processos Total = 37 processos
82 • capítulo 3
A Maturidade do processo no COBIT 4.1 foi alterada para avaliação da ca-
pacidade (Capability Assessment) e esta foi baseada na ISO/IEC 15504 de En-
genharia de Software, contendo uma escala de 0 a 5 e com significados dife-
rentes do COBIT 4.1. Um dos maiores desafios da organização é o de conseguir
entender o quanto de aprofundamento deve ser adotado pelos mecanismos de
controle e medição de desempenho. É importante saber o que deve ser medido,
como e onde obter os dados, como analisar os resultados e qual o caminho a ser
percorrido mantendo a relação de custo versus benefício.
Na figura a seguir podemos ver o resumo do modelo de capacidade do
COBIT 5.
Atributos Genéricos de Capacidade de Processo

PA 2.2
Atributos de PA 3.2
PA 2.1 Gestão PA 3.1 PA 4.1 PA 4.2 PA 5.1 PA 5.2
execução Imple-
Gestão dos Definição Gestão Controle Inovação Otimização
(PA) 1.1 mentação
da produtos do do do do do
execução do do
execução de processo processo processo processo processo
processo processo
trabalho
Processo Processo Processo Processo Processo Processo

Inexistente Executado Gerenciado Estabelecido Previsível Otimizado
0 1 2 3 4 5
Modelo de avaliação de
Processo COBIT 5 - indicadores
Modelo de Avaliação de Processos do COBIT 5
de desempenho - Indicadores de Capacidade
Resultado do Processo
Práticas Produtos de
Básicas Produtos Práticas Recursos
(práticas de do trabalho trabalho
(entradas Genéricas Genéricos
governança genéricos
/ gestão) / saídas)
Figura 3.15 – Modelo de Capacidade de Processo do COBIT 5. Fonte: (ISACA 2012)
A abordagem do COBIT 4.1 para essas questões era feita através de Modelos
de maturidade, Metas e medições de desempenho e Objetivos de atividades.
No COBIT 5 essa abordagem é feita pela Capacidade de Processo. Vejamos na
comparação a seguir.
capítulo 3 • 83
CAPACIDADE DE PROCESSO NO
COBIT 4.1 – NÍVEL DO MODELO COBIT 5, BASEADA NA ISO/IEC
DE MATURIDADE 15504
0 – Não existente: falta qualquer Nível 0 – Processo Incompleto: processo
processo reconhecível. não implementado ou não alcança seu
propósito.
1 – Inicial / Ad hoc: a organização reco- Nível 1 – Processo realizado: processo

nhece que há questões a serem tratadas, alcança seu objetivo.
mas não há processos padronizados.
Existem algumas abordagens aplicadas
caso a caso e de forma desorganizada.
2 – Repetível, porém intuitivo: processos Nível 2 – Processo Gerenciado: o nível

caminham para procedimentos similares, 1 é agora implementado de forma que
com repetição. Não há ainda treinamen- possa ser planejado, monitorado e ajus-
tos ou comunicações formais. Há muita tado com produtos estabelecidos em
confiança na responsabilidade individual, seus resultados.
podendo ocasionar erros.
3 – Definido: procedimentos são padro- Nível 3 – Processo Estabelecido: o nível

nizados e documentados. Os processos 2 agora tem um processo definido alcan-
devem ser seguidos e mesmo não sendo çando resultados de processo.
sofisticados representam a formalização
das práticas existentes.
4 – Gerenciado e Mensurável: há moni- Nível 4 – Processo Previsível: o nível 3

toria da gerência e medições de confor- opera nos limites de qualidade estabe-
midade. Processos são revisados para lecidos.
melhorias e há alguma automação de
tarefas.
5 – Otimizado: processos são refinados Nível 5 – Processo em Otimização: o ní-

a níveis de boas práticas, a TI é usada de vel 4 agora é melhorado continuamente.
forma integrada e automatiza fluxos de
trabalho, fornece ferramentas para me-
lhoria de qualidade.

84 • capítulo 3
3.6 Modelo de Referência e Domínios de
Processo no COBIT 5
Como podemos ver são 5 domínios de processo. Na parte em cinza há os pro-

cessos relacionados à Governança: Avaliar, Dirigir e Monitorar (EDM). E na
parte azul há mais 4 domínios relacionados ao Gerenciamento de TI: Alinhar,
Planejar e Organizar (APO), Construir, Adquirir e Implementar (BAI), Entregar,
Serviço e Suporte (DSS), Monitorar, Avaliar e Analisar (MEA).
Os quatro domínios de Gerenciamento de TI são muito parecidos com os
processos e domínios do COBIT 4.1. Já no COBIT 5 há os processos de Gover-
nança ao todo são 37 processos, ao invés dos 34 anteriores.
Processos de Governança Corporativa de TI

Avaliar, Dirigir e Monitorar
EDM01 Garantir
EDM05 Garantir
a definição e EDM02 Garantir EDM03 Garantir EDM04 Garantir
transparência para
Manutenção do a realização a otimização a otimização
as partes
modelo de de benefícios do risco dos recursos
interessadas
governança
Alinhar, Planejar e Organizar Monitorar,

Avaliar e
APO01 Gerenciar APO02 Gerenciar APO06 Gerenciar
a estrutura de
APO02 Gerenciar
arquitetura
APO04 Gerenciar APO05 Gerenciar o
orçamento e
APO07 Gerenciar Analisar
a estratégia inovação portfólio recursos humanos
gestão de TI da organização custos
MEA01 Monitorar,
avaliar e analisar
APO09 Gerenciar desempenho e
APO08 Gerenciar contratos de APO10 Gerenciar APO11 Gerenciar APO11 Gerenciar APO13 Gerenciar conformidade
relacionamentos prestação de fornecedores qualidade riscos segurança
serviços
Construir, Adquirir e Implementar

BAI03 Gerenciar BAI05 Gerenciar BAI07 Gerenciar
identificação e capacidade de BAI06 Gerenciar aceitação e
programas e definição disponibilidade e
desenvolvimento mudança mudanças transição MEA02 Monitorar,
projetos de requisitos capacidade
de soluções organizacional da mudança avaliar e analisar
o sistema de
controle interno
conhecimento ativos configuração
Entregar, Atender e Dar Suporte

MEA03 Monitorar,
DSS02 Gerenciar DSS06 Gerenciar avaliar e analisar
DSS05 Gerenciar
DSS01 Gerenciar solicitações e DSS03 Gerenciar DSS04 Gerenciar os controles do conformidade com
serviços de
operações incidentes problemas continuidade processo requisitos externos
segurança
de serviços de negócio
Processos de gerenciamento de TI corporativa
Figura 3.16 – Modelo de Referência de Processo do COBIT 5. Fonte: (ISACA 2012)
Na figura a seguir nós podemos ver alguns dos frameworks mapeados e

como os domínios de processos relacionam-se a eles.
capítulo 3 • 85
Avaliar, Dirigir e Monitorar
ISO/IEC 38500
Alinhar, Planejar e Organizar ISO/IEC

31000
TOGAF
ISO/IEC
PRINCE2/PMBOK 27000
CMMI
Construir, Adquirir e Implementar
ITIL V3 2011 and ISO/IEC 20000 Monitorar,

Avaliar
Entregar, Serviço e Suporte e Analizar
Figura 3.17 – Cobertura de Outros Padrões e Modelos pelo COBIT 5. Fonte: (ISACA 2012)
A seguir vamos resumir as características dos principais processos nos do-

mínios com base no conteúdo do material ISACA. Para mais detalhes consulte
o framework e a publicação COBIT 5 Enabling Process.
3.6.1 Avaliar, Dirigir e Monitorar (EDM)
• EDM01 – Garantir a Definição e Manutenção do Modelo de Governança: visa anali-

sar os requisitos para Governança de TI da organização e colocar em prática os princí-
pios e processos, esclarecendo as responsabilidades e autoridades para alcance das
missões, das metas e dos objetivos da organização.
• EDM02 – Garantir a Realização de Benefícios: visa otimizar e entregar o valor ao
negócio pelos serviços de TI, pelos ativos e pelos próprios processos de negócio.
• EDM03 – Garantir a Otimização do Risco: visa assegurar o gerenciamento do risco, o
entendimento do risco empresarial e a análise da tolerância do mesmo.
86 • capítulo 3
• EDM04 – Garantir a Otimização dos Recursos: visa assegurar que as capacidades
adequadas e suficientes relacionadas à TI (pessoas, processos e tecnologia) estão
disponíveis para apoiar os objetivos da organização de forma eficaz a um custo ótimo.
• EDM05 – Garantir a Transparência para as Partes Interessadas: visa assegurar que
a medição e relatórios de desempenho e conformidade da TI corporativa sejam trans-
parentes para os stakeholders aprovarem as metas, métricas e as ações corretivas
necessárias.
Fonte: COBIT 5, Enabling Process
3.6.2 Alinhar, Planejar e Organizar (APO)
• APO01 – Gerenciar a Estrutura de Gestão de TI: visa esclarecer e manter

a missão e visão da Governança de TI da organização; implementar e man-
ter mecanismos e autoridades para gerenciar a informação e o uso da TI na
organização.
• APO02 – Gerenciar a Estratégia: visa fornecer uma visão holística do ne-
gócio e ambiente de TI atual, a direção futura, e as iniciativas necessárias para
migrar para o ambiente futuro desejado.
• APO03 – Gerenciar a Arquitetura de Governança: visa estabelecer uma ar-
quitetura comum que consiste em processos de negócios, informações, dados,
aplicação e tecnologia para realizar de forma eficaz e eficiente as estratégias de
negócio e de TI por meio da criação de modelos e práticas-chave que descrevem
a arquitetura de linha de base.
• APO04 – Gerenciar a Inovação: visa manter uma consciência de TI e ten-
dências de serviços relacionados, identifica oportunidades de inovação e pla-
neja como se beneficiar da inovação em relação às necessidades do negócio; in-
fluenciar o planejamento estratégico e as decisões de arquitetura corporativa.
• APO05 – Gerenciar Portfólio: visa executar o conjunto de orientações estra-
tégicas para os investimentos alinhados com a visão de arquitetura corporativa e
as características desejadas do investimento e considerar as restrições de recur-
sos e de orçamento; avaliar, priorizar programas e serviços, gerenciar demanda
dentro das restrições de recursos e de orçamento, com base no seu alinhamen-
to com os objetivos estratégicos e risco; mover programas selecionados para o
capítulo 3 • 87
portfólio de serviços para execução; monitorar o desempenho de todo o portfó-
lio de serviços e programas, propondo os ajustes necessários em resposta ao
programa e desempenho do serviço ou mudança de prioridades da organização.
• APO06 – Gerenciar Orçamento e Custos: visa administrar as atividades fi-
nanceiras relacionadas a TI tantos nas funções de negócios e de TI, abrangendo
orçamento, gestão de custos e benefícios e priorização dos gastos com o uso de
práticas formais de orçamento e de um sistema justo e equitativo de alocação
de custos para a organização.
• APO07 – Gerenciar Recursos Humanos: visa fornecer uma abordagem es-
truturada para garantir a estruturação ideal, colocação, direitos de decisão e as
habilidades dos recursos humanos, incluindo a comunicação de papéis e res-
ponsabilidades definidas, planos de aprendizagem e de crescimento, e as ex-
pectativas de desempenho, com o apoio de pessoas competentes e motivadas.
• APO08 – Gerenciar Relacionamentos: visa gerenciar o relacionamento en-
tre o negócio e TI de uma maneira formal e transparente, que garanta foco na
realização de um objetivo comum.
• APO09 – Gerenciar Contratos de Prestação de Serviços: visa alinhar servi-
ços de TI e níveis de serviço com as necessidades e expectativas da organização,
incluindo identificação, especificação, projeto, publicação, acordo, e acompa-
nhamento de serviços de TI, níveis de serviço e indicadores de desempenho.
• APO10 – Gerenciar Fornecedores: visa gerenciar serviços relacionados a
TI prestados por todos os tipos de fornecedores para atender às necessidades
organizacionais, incluindo a seleção de fornecedores, gestão de relacionamen-
tos, gestão de contratos e revisão e monitoramento de desempenho de fornece-
dores para a efetividade e conformidade.
• APO11 – Gerenciar Qualidade: visa definir e comunicar os requisitos de
qualidade em todos os processos, os procedimentos e os resultados das organi-
zações, incluindo controles, monitoramento contínuo, e o uso de práticas com-
provadas e padrões na melhoria contínua e esforços de eficiência.
• APO12 – Gerenciar Riscos: visa identificar continuamente, avaliar e redu-
zir os riscos relacionados a TI dentro dos níveis de tolerância estabelecidos pela
diretoria executiva da organização.
• APO13 – Gerenciar Segurança: visa definir, operar e monitorar um sistema
para a gestão de segurança da informação.
88 • capítulo 3
3.6.3 Construir, Adquirir e Implementar (BAI)
• BAI01 – Gerenciar Programas e Projetos: visa gerenciar todos os progra-

mas e projetos do portfólio de investimentos em alinhamento com a estratégia
da organização e de forma coordenada; iniciar, planejar, controlar e executar
programas e projetos, e finalizar com uma revisão pós-implementação.
• BAI02 – Gerenciar Definição de Requisitos: visa identificar soluções e ana-
lisar os requisitos antes da aquisição ou criação para assegurar que eles estão em
conformidade com os requisitos estratégicos corporativos que cobrem os proces-
sos de negócio, aplicações, informações/dados, infra-estrutura e serviços; coorde-
nar com as partes interessadas afetadas a revisão de opções viáveis, incluindo cus-
tos e benefícios, análise de risco e aprovação de requisitos e soluções propostas.
• BAI03 – Gerenciar Identificação e Desenvolvimento de Soluções: visa es-
tabelecer e manter soluções identificadas em conformidade com os requisitos
da organização abrangendo design, desenvolvimento, aquisição/terceirização
e parcerias com fornecedores/vendedores; gerenciar configuração, teste de pre-
paração, testes, requisitos de gestão e manutenção dos processos de negócio,
aplicações, informações/dados, infraestrutura e serviços.
• BAI04 – Gerenciar Disponibilidade e Capacidade: visa equilibrar as ne-
cessidades atuais e futuras de disponibilidade, desempenho e capacidade de
prestação de serviços de baixo custo; incluir a avaliação de capacidades atuais,
a previsão das necessidades futuras com base em requisitos de negócios, ana-
lisar impactos nos negócios e avaliação de risco para planejar e implementar
ações para atender as necessidades identificadas.
• BAI05 – Gerenciar Capacidade de Mudança Organizacional: maximizar a
probabilidade de implementar com sucesso a mudança organizacional susten-
tável em toda a organização de forma rápida e com risco reduzido, cobrindo o
ciclo de vida completo da mudança e todas as partes interessadas e afetadas no
negócio e TI.
• BAI06 – Gerenciar Mudanças: visa gerenciar todas as mudanças de uma
maneira controlada, incluindo mudanças de padrão e de manutenção de emer-
gência relacionadas com os processos de negócio, aplicações e infraestrutura,
incluindo os padrões de mudança e procedimentos, avaliação de impacto, prio-
rização e autorização, mudanças emergenciais, acompanhamento, elaboração
de relatórios, encerramento e documentação.
capítulo 3 • 89
• BAI07 – Gerenciar Aceitação e Transição da Mudança: visa aceitar e pro-
duzir formalmente novas soluções operacionais, incluindo planejamento de
implementação do sistema, e conversão de dados, testes de aceitação, comuni-
cação, preparação de liberação, promoção para produção de processos de ne-
gócios e serviços de TI novos ou alterados, suporte de produção e uma revisão
pós-implementação.
• BAI08 – Gerenciar Conhecimento: visa manter a disponibilidade de conhe-
cimento relevante, atual, validado e confiável para suportar todas as atividades
do processo e facilitar a tomada de decisão; também visa um plano para a identi-
ficação, coleta, organização, manutenção, utilização e retirada de conhecimento.
• BAI09 – Gerenciar Ativos: visa gerenciar os ativos de TI através de seu ciclo
de vida para assegurar que seu uso agregue valor a um custo ideal.
• BAI10 – Gerenciar Configuração: visa definir e manter as descrições e as
relações entre os principais recursos e as capacidades necessárias para prestar
serviços de TI, incluindo a coleta de informações, de configuração, o estabele-
cimento de linhas de base, verificação e auditoria de informações de configura-
ção e atualizar o repositório de configuração.
3.6.4 Entregar, Serviço e Suporte (DSS)
• DSS01 – Gerenciar Operações: visa coordenar e executar as atividades e

procedimentos operacionais necessários para entregar serviços de TI internos
e terceirizados, incluindo a execução de procedimentos operacionais, padrões
pré-definidos e as atividades exigidas.
• DSS02 – Gerenciar Solicitações e Incidentes de Serviços: visa fornecer uma
resposta rápida e eficaz às solicitações dos usuários e resolução de todos os tipos
de incidentes; restaurar o serviço normal; reportar e atender às solicitações dos
usuários e registro, investigar, diagnosticar, escalar e solucionar incidentes.
• DSS03 – Gerenciar Problemas: visa identificar e classificar os problemas
e suas causas raízes e fornece solução para prevenir incidentes recorrentes.
Fornece recomendações de melhorias.
• DSS04 – Gerenciar Continuidade: visa estabelecer e manter um pla-
no para permitir ao negócio e a TI responder a incidentes e interrupções, a
fim de continuar a operação de processos críticos de negócios e serviços de TI
90 • capítulo 3
necessários, mantém a disponibilidade de informações em um nível aceitável
para a organização.
• DSS05 – Gerenciar Serviços de Segurança: visa proteger informações da
organização para manter o nível de risco aceitável para a segurança da informa-
ção da organização, de acordo com a política de segurança. Estabelece e man-
tém as funções de segurança da informação e privilégios de acesso e realiza o
monitoramento de segurança.
• DSS06 – Gerenciar Controles do Processo de Negócio: visa definir e man-
ter controles de processo de negócio apropriados para assegurar que as infor-
mações relacionadas e processadas satisfaçam todos os requisitos de controle
de informações relevantes.
3.6.5 Monitorar, Avaliar e Analisar (MEA)
• MEA01 – Monitorar, Avaliar e Analisar Desempenho e Conformidade: visa

coletar, validar e avaliar os objetivos e métricas do processo de negócios e de TI;
monitorar se os processos estão realizando conforme metas e métricas de de-
sempenho e conformidade acordadas e fornece informação que é sistemática
e oportuna.
• MEA02 – Monitorar, Avaliar e Analisar o Sistema de Controle Interno: visa
monitorar e avaliar continuamente o ambiente de controle, incluindo auto-ava-
liações e análises de avaliações independentes.
• MEA03 – Monitorar, Avaliar e Analisar Conformidade com Requisitos
Externos: visa avaliar se processos de TI e processos de negócios suportados pela
TI estão em conformidade com as leis, regulamentos e exigências contratuais.
3.7 Implementação
No capítulo 7 do framework há informações sobre a implementação do CO-
BIT 5. Há, por exemplo, a indicação de reconhecimento de pontos de dor ou
eventos de gatilho para serem usados como disparadores de mudança na orga-
nização.
capítulo 3 • 91
Alguns exemplos de pontos de dor seriam: fracassos em projetos de TI, fa-
lha no cumprimento de regulamentação, custos elevados de TI para resolver o
negócio, dentre outros.
Ou seja, quando a organização começa a ter problemas com a TI, pontos de
dor, ela passa a se interessar com a governança de TI e isto pode ser usado como
disparadores, argumentos para realização de melhorias.
O Ciclo de vida de implementação do COBIT é uma forma das empresas
usarem o COBIT 5 para lidar com os desafios encontrados ao longo da imple-
mentação da Governança de TI. Como podemos ver na figura a seguir há ques-
tões externas, motivadores (drivers) para nos orientar. Para cada questão há 3
níveis de ações em componentes. No ciclo de vida do COBIT 5 há a divisão em
3 componentes:
• Gestão do Programa (Anel Externo)
• Capacitação da Mudança (Anel Intermediário)
• Ciclo de Vida de Melhoria Contínua (Anel Interno)
Reconhecer a
Monitorar
necessidade
e analisar
de agir
Operar e Avaliar o
Medir estado
atual
Definir o
Implementar
estado
melhorias
alvo
Construir
melhorias
Figura 3.18 – As Sete Fases do Ciclo de Vida da Implementação do COBIT 5. Fonte: (ISACA
2012)
92 • capítulo 3
Os detalhes da implementação estão em outras documentações não gratui-
tas fornecidas pela ISACA.
3.8 Aceitação do Modelo

O COBIT é baseado nas boas práticas que o mercado de TI possui e adequa-
se aos princípios de Governança de TI visados e aceitos. Com isto, sua proposta
influencia diferentes usuários:
• Alta direção: foco na obtenção de valor dos investimentos de TI e no balanceamento

de riscos com os investimentos;
• Executivos de Negócios: foco na entrega da informação usando recursos econô-
micos e produtivos;
• Executivos de TI: foco na promoção dos serviços de TI que o negócio precisa para
suportar as estratégias definidas na empresa;
• Auditores: foco na promoção de recomendações sobre controles internos para os
executivos.
ATIVIDADES
Com base no conteúdo apresentado neste capítulo, responda as seguintes questões objetivas:
01. Relacione as versões do COBIT com sua principal característica:

A – COBIT 1 I – Governança de TI
B – COBIT 2 II – Auditoria
C – COBIT 3 III – Gerenciamento de TI
D – COBIT 4 IV – Controle
E – COBIT 5 V – Governança Empresarial de TI
a) A-II, B-IV, C-III, D-V, E-IV

b) A-III, B-II, C-IV, D-I, E-V
c) A-II, B-I, C-III, D-IV, E-V
d) A-I, B-II, C-III, D-IV, E-V
e) A-II, B-IV, C-III, D-I, E-V
capítulo 3 • 93
02. Quais são os prováveis públicos para uso do COBIT?
I – Gerentes de Processos de TI
II – Gestores de TI
III – Executivos de Negócio
IV – Auditores de TI
a) I e IV
b) I e III
c) III e IV
d) II, III, e IV
e) I, II, III e IV
03. O COBIT provê um framework (modelo) de referência para a:

a) Governança de TI e gerenciamento de TI
b) Apenas Governança de TI
c) Apenas Gerenciamento de TI
04. Responda Verdadeiro ou Falso nas Questões a seguir:

a) O COBIT é de uso exclusivo do pessoal da TI?
[ ] Verdadeiro [ ] Falso
b) COBIT 5 é um acrônimo para Control Objectives for Information and Related Technology.
c) O COBIT 5 também visa cobrir uma organização de ponta a ponta, definindo responsa-
bilidades de estruturas fora da TI, mas relacionadas aos processos de TI.
d) O COBIT 5 é um framework totalmente novo em relação ao COBIT 4.1.
e) O COBIT 5 possui 4 habilitadores.
f) O COBIT 5 não se alinha a outras práticas de mercado e outros padrões e modelos, pois
possui as suas próprias.
94 • capítulo 3
REFLEXÃO
Nesse capítulo, nós vimos os conceitos iniciais de um Framework amplo para Governança
de TI, o COBIT 5. Mesmo com todos os nossos estudos e discussões é possível observar
que o COBIT 5 e a Governança possuem muitos detalhes a serem estudados, analisados
e implementados. Quero que você pense nas diversas pessoas envolvidas num modelo de
Governança de TI e tente imaginar como ficaria o dia a dia dessas pessoas antes, durante e
depois da implantação de um modelo de Governança como o COBIT 5.
LEITURA
Para esse capítulo eu recomendo uma ampla leitura da publicação gratuita do Fra-
mework disponível em: http://www.isaca.org/COBIT/Pages/COBIT-5-Portuguese.aspx
(basta preencher o formulário e é possível fazer o download desta parte do framework sem
custo – acesso em 01/02/2015)
E também do material da ISACA que compara as versões 4.1 e 5 disponível em:
http://www.isaca.org/COBIT/Documents/Compare-with-4.1.pdf
ISACA. COBIT 5 – Modelo Corporativo para Governança e Gestão de TI da Organização, 2012.
Disponível para acesso pessoal em www.isaca.org.
FERNANDES, A. A.; ABREU, V. F. Governança de TI: da Estratégia à Gestão dos Processos e
Serviços. Rio de Janeiro: Editora Brasport, 2008.
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO/IEC 38500 – Corporate
governance of information technology. ISO, 2008, 22p.
COBIT 5: A Business Framework for the Governance and Management of Enterprise IT. USA,
2012
ISACA. COBIT 5: Enabling Process. USA, 2012.
capítulo 3 • 95
96 • capítulo 3
4
Val IT, CMMI e ISO
27001 e 27002
Vimos conceitos sobre a Governança de Tecnologia de Informação nas empre-
sas, o alinhamento destes conceitos com o negócio e um framework, o COBIT.
Mas, existem outros frameworks e modelos no mercado, por exemplo, para o
processo de desenvolvimento de software que permite as empresas acompa-
nharem o aumento da competitividade do mercado com processos bem defi-
nidos e alinhados.
Um destes exemplos é o CMMI (Capability Maturity Model Integration) que
versa sobre modelos de maturidade/capacidade dos processos da empresa. Ve-
remos um pouco mais dele nesta unidade.
Já a ISO 27001, por exemplo, é um padrão para a Gestão de Segurança da
Informação e para a criação dos SGSI (Sistemas de Gerenciamento de Seguran-
ça da Informação). Segurança da Informação é outro aspecto relacionado aos
diversos processos de TI que devem dar suporte ao negócio.
Também falaremos sobre o conceito de valor atrelado à TI e ao negócio e
como o Val IT o especifica.
OBJETIVOS
Ao final deste capítulo você será capaz de:
1. Conhecer o histórico e os objetivos do Val IT;

2. Aprender a relacionar o COBIT com o Val IT;
3. Aprender o conceito de valor;
4. Conhecer a dinâmica de funcionamento do Val IT;
5. Conhecer o histórico do CMMI;
6. Conhecer os objetivos do modelo CMMI;
7. Conhecer o conceito de constelação;
8. Conhecer os dois tipos de representação do CMMI;
9. Aprender a diferença entre níveis de capacidade e níveis de maturidade;
10. Conhecer as áreas de processo e os componentes de cada área;
11. Conhecer sobre a ISO 27001 e 27002
98 • capítulo 4
4.1 Val IT
O Val IT visa auxiliar os executivos em duas das quatro decisões fundamentais
de TI:
• Estamos fazendo as coisas certas? (a questão estratégica)

• Estamos conseguindo benefícios? (a questão de valor).
• O COBIT, por outro lado, ajuda os executivos a responder as questões:
• Estamos fazendo de forma certa? (a questão da arquitetura)
• Estamos conseguindo fazê-las bem? (a questão da entrega).
Are we
Are we
doing the
getting the
right
benefits?
things?
Estamos
Estamos
fazendo as
conseguindo
coisas
benefícios?
certas?
Estamos Estamos
fazendo de conseguindo
forma fazê-las
certa? bem?
Are we Are we
doing getting
the right them done
way? well?
Figura 4.1 – Val IT e COBIT Relacionamento Sinérgico. Fonte: Material Estácio WebAula
O modelo acima ocorreu até a versão 4.1 do COBIT, como veremos. O COBIT
5 incorporou as práticas do Val IT.
Face às exigências de ambientes de TI cada vez mais complexos, novas de-
mandas de hardware e software e a rápida obsolescência destes, o IT Governan-
ce Institute (ITGI) iniciou o chamado Value of Information Technology (Val IT)
para criar uma estrutura que auxilie gestores na avaliação, seleção, gestão e
mensuração dos retornos sobre investimento (ROI) em Tecnologia da Informa-
ção. Na maior parte das vezes os executivos de negócio não conseguem visuali-
zar esse retorno facilmente.
capítulo 4 • 99
A primeira versão do Val IT foi publicada em 2006 e a versão Val IT 2.0 em 2008.
O Val IT foi desenhado para se complementar ao Modelo do COBIT e forne-
cer um ciclo completo de Governança de TI integrando os processos do COBIT
à visão do portfólio de investimentos do Val IT que fornece princípios, proces-
sos e práticas de apoio para compreensão das atividades relacionadas aos in-
vestimentos em TI.
O Relacionamento entre Val IT e COBIT pode ser visto da seguinte forma:
Questão Estratégica:
• O investimento está alinhado com nossa visão;

• Está consistente com nossos princípios de negócio;
• Está contribuindo para nossos objetivos estratégicos;
• Está oferecendo valor, num custo razoável e em nível aceitável de risco.
Questão de Valor:
• Temos um entendimento claro e compartilhado dos benefícios esperados;

• Temos elucidadas as responsabilidades pela realização dos benefícios;
• Temos métricas relevantes;
• Temos um processo efetivo de realização de benefícios.
Questão de Arquitetura:
• O investimento está alinhado com nossa arquitetura;

• Está alinhado com outras iniciativas;
• Está consistente com nossos princípios de arquitetura.
Questão Estratégica:
• Temos processos de gerenciamento efetivos de entrega e mudanças;

• Temos recursos de negócio e técnicos disponíveis para entregar;
• Temos as capacidades requeridas.
100 • capítulo 4
FOCO NA FOCO NO PROCESSO FOCO NO PORTFÓLIO
GOVERNANÇA
– Concentração do programa e iniciação – Gerência do portfólio de

Governança – Realização de Benefícios investimento
Val IT
de TI na empresa – Investimento contínuo na gestão de – Fornecimento de uma visão geral
valor de todos os processos de desempenho do portfólio
– Gerência do portfólio de projetos

e apoio ao programa de TI
nvestimento
– Entrega de soluções de TI
Governança – Gerência dos serviços de TI,
COBIT Implantação de TI
de TI ativos e outros recursos
Entrega de serviço de TI
– Fornecimento de informações
sobre o desempenho dos serviços
de TI, ativos e outros recursos
Tabela 4.1 – Val IT e COBIT 4.1. Fonte: Material Estácio WebAula.
capítulo 4
• 101
Val IT avalia o resultado final para que empresas possam medir, monitorar e oti-
lhores práticas do mercado e contribuir para o processo de criação de valor. O
O COBIT 4.1 visa entregar serviços de TI de alta qualidade, utilizando as me-
mizar o valor, financeiro e não financeiro, dos investimentos habilitados por TI.
4.2 O Conceito de Valor
Definir valor é complexo, específico ao contexto e dinâmico (ITGI, 2008). O re-
sultado que se espera ao fazermos um investimento em TI é, em geral, finan-
ceiro. Mas pode ser uma combinação entre aspectos financeiros e aspectos
não financeiros. Por exemplo, ter um servidor mais ágil e melhorar o tempo
de resposta num processo de suporte podendo deixar o cliente mais satisfeito.
Há um resultado financeiro indireto (satisfação do cliente). Mas, para alguns
clientes isto não fará sentido algum (aqueles que não precisarem de suporte).
Portanto, o conceito de valor relaciona-se ao atendimento de expectivativas
dos stakeholders e os recursos que serão necessários para isso.
A gestão de valor precisa otimizar o valor da conciliação das diferenças de
interesses entre os diferentes stakeholders e permitir que a empresa:
• Defina e comunique claramente a sua visão do que constitui valor e para quem;
• Selecione e execute investimentos;
• Gerencie seus ativos e otimize valor com a utilização de recursos de forma
econômica e nível de risco aceitável.
4.3 COBIT 5 e Val IT

Val IT e Risk IT são frameworks criados pela ISACA para gerenciamento de
entrega de valor e mitigação de riscos, respectivamente.
Eles possuiam suas próprias especificações e processos. No COBIT 5 a ISA-
CA fez a incorporação destes frameworks, visando tornar-se mais completa e
integradora.
102 • capítulo 4
CONEXÃO
Estude e compreenda mais sobre o Risk IT. Acesse o conteúdo oficial da ISACA em (Acesso
em 28/01/2015):
http://www.isaca.org/knowledge-center/risk-it-it-risk-management/pages/default.aspx
Orientação
Novos
ISACA Outros
Materiais
(COBIT, Padrões e
de Orientação
Val IT, Risk IT, Frameworks
da ISACA
BMIS, ...)
Base de Conhecimento
do COBIT 5
Habilitadores
• Orientação e conteúdo atuais do COBIT 5
• Estrutura para conteúdos futuros
Filtro de Conteúdo para

a Base de Conhecimento
Família de produtos COBIT 5
COBIT 5
Guias de Habilitadores do COBIT
Guias profissionais do COBIT 5
Ambiente Colaborativo
On-line do COBIT 5
Figura 4.2 – Val IT e COBIT 5. Fonte: (ISACA 2012)
capítulo 4 • 103
Como vimos no capítulo 3, um dos princípios do COBIT 5, o 3º Princípio,
trata sobre a aplicação de um modelo único integrado. Assim, o COBIT 5 ali-
nha-se com outros padrões recentes para ser usado como principal modelo in-
tegrador. Ele integra o conhecimento de outros modelos como Val IT, Risk IT,
BMIS e ITAF.
4.4 CMMI
A história do CMMI tem seu início numa encomenda feita pelo DoD (Departa-
mento de Defesa norte-americano) à Carnegie Mellon University (CMU), atra-
vés do Software Engineering Institute (SEI). Esta encomenda era para a criação
de um modelo de qualidade para o processo de engenharia de software. Em
1991 foi criado o Capability Maturity Model for Software (SW-CMM) (CMU/SEI,
2010; FERNANDES e ABREU, 2008).
O CMMI pode ser definido como um modelo para melhoria de processo que fornece
às empresas os elementos para obtenção de processos eficazes e melhoria de desem-
penho.
O CMMI combinava três modelos: o Capability Maturity Model for Softwa-

re (SW-CMM), o Systems Engineering Capability Model (SECM) e o Integrated
Product Development Capability Maturity Model (IPD-CMM).
Atualmente, a versão 1.3, publicada em 2010, inclui melhorias significativas
e refinamentos nos níveis de maturidade para aproximação de outros modelos.
A versão 1.3 do CMMI apresenta as abordagens de implementação por Está-
gios ou Contínua. Ambas estão num mesmo documento e reunidas em escopos
chamados Constelação.
“Uma constelação é um conjunto de componentes CMMI utilizados para
construir modelos, materiais de treinamento e documentos de avaliação rela-
cionados a uma área de interesse.” (CMU/SEI 2010).
104 • capítulo 4
Atualmente, existem três constelações:
• CMMI para Desenvolvedores (CMMI-DEV): contém diretrizes para monitorar, mensu-

ar e gerenciar processos de desenvolvimento;
• CMMI para Serviços (CMMI-SVC): diretrizes para entrega de serviços dentro e fora
das empresas;
• CMMI para Aquisições (CMMI-ACQ): diretrizes para suporte às decisões relaciona-
das à aquisição de produtos e serviços.
O CMMI oferece duas opções para abordar a avaliação e melhoria dos pro-
cessos:
• Representação contínua – A organização escolhe uma determinada área de pro-

cesso (ou grupo de áreas de processo) e trabalha na melhoria desses processos;
• Representação por estágios – Utiliza conjuntos predefinidos de áreas de processo
para estabelecer um caminho de melhoria para uma organização.
O progresso da melhoria de um processo é verificado pelos níveis de capa-

cidade e níveis de maturidade. Os níveis de capacidade aplicam-se a áreas de
processo individuais e servem para melhorar de forma incremental processos
de uma determinada área. Existem seis níveis (0 a 5) de capacidade. Os níveis
de maturidade são aplicados a áreas de processos e auxiliam na previsão dos
resultados em projetos futuros. Existem cinco níveis de maturidade (1 a 5).
CONEXÃO
Estude mais sobre os detalhes do CMMI em (Acesso em 28/01/2015):
http://cmmiinstitute.com/
http://www.sei.cmu.edu/process/index.cfm
capítulo 4 • 105
4.5 CMMI - Abordagem de Implementação
por Estágios
De forma geral, as organizações começam com processos caóticos e sem orga-

nização, num ambiente sem estabilidade e vão caminhando, progredindo dis-
ciplinarmente até adquirirem padrões de repetição de processos e conseguir
chegar num nível onde há melhoria contínua dos mesmos.
Otimizado
Organizações com
Melhoria Contínua
Gerenciado
Organizações
Previsíveis
Definido
Organizações
Padronizadas
Repetível
Organizações
Disciplinadas
Inicial
Organizações
Caóticas
Figura 4.3 – Implementação por Estágios. Fonte: Material Estácio WebAula.
Na abordagem de Implementação por Estágios o nível de maturidade é

como um degrau de evolução na melhoria do processo organizacional da em-
presa e atende as áreas como um todo.
Níveis de maturidade
Áreas de processo
Metas Específicas Metas Genéricas
Práticas Práticas
Específicas Genéricas
Figura 4.4 – Implementação por Estágios. Fonte: Material Estácio WebAula.
106 • capítulo 4
As características dos níveis de maturidade são:
• Nível 5 – Otimizado: No nível de maturidade 5, uma organização melhora conti-

nuamente os seus processos com base num entendimento quantitativo das causas
comuns de variações inerentes ao processo.
• Nível 4 – Gerenciado Quantitativamente: No nível de maturidade 4, a organização
e os projetos estabelecem objetivos quantitativos para qualidade e para desempenho de
processo, utilizando-os como critérios na gestão de processos. Objetivos quantitativos
baseiam-se nas necessidades dos clientes, dos usuários finais, da organização e dos res-
ponsáveis pela implementação de processos. A qualidade e o desempenho de processo
são entendidos em termos estatísticos e gerenciados ao longo da vida dos processos.
• Nível 3 – Definido: No nível de maturidade 3, os processos são bem caracterizados
e entendidos, e são descritos em padrões, procedimentos, ferramentas e métodos. O
conjunto de processos-padrão da organização, que é a base para o nível de maturi-
dade 3, é estabelecido e melhorado ao longo do tempo. Estes processos-padrão são
utilizados para estabelecer uniformidade no contexto da organização. Os projetos es-
tabelecem seus processos definidos ao adaptar o conjunto de processos-padrão da
organização de acordo com as diretrizes para adaptação.
• Nível 2 – Gerenciado: No nível de maturidade 2, os projetos da organização têm
a garantia de que os processos são planejados e executados de acordo com uma po-
lítica; os projetos empregam pessoas experientes que possuem recursos adequados
para produzir saídas controladas; envolvem partes interessadas relevantes; são monito-
rados, controlados e revisados; e são avaliados para verificar sua aderência em relação
à descrição de processo. A disciplina de processo refletida pelo nível de maturidade
2 contribui para que as práticas existentes sejam mantidas durante períodos críticos.
Quando essas práticas estão em vigor, os projetos são executados e gerenciados de
acordo com seus planos documentados.
• Nível 1 – Inicial: No nível de maturidade 1, geralmente os processos são ad hoc e
caóticos. Esse tipo de organização não fornece um ambiente estável para apoiar os
processos. O sucesso depende da competência e do heroísmo das pessoas e não do
uso dos processos comprovados. Apesar deste caos, organizações no nível de maturi-
dade 1 frequentemente produzem produtos e serviços que funcionam. Entretanto, com
frequência, eles extrapolam seus orçamentos e não cumprem seus prazos.
http://www.sei.cmu.edu/library/assets/whitepapers/
cmmi-dev_1-2_portuguese.pdf
capítulo 4 • 107
4.6 CMMI - Abordagem de Implementação
Contínua
Nessa abordagem, o CMMI permite que cada uma das áreas de processos sejam
implementadas de forma evolutiva e independente.
Áreas de processo Níveis de maturidade
Metas Específicas Metas Genéricas
Práticas Práticas
Específicas Genéricas
Figura 4.5 – Abordagem de Implementação Contínua. Fonte: Material Estácio WebAula.
As características dos níveis de capacidade são:
• Nível 0 – Incompleto: Um “processo incompleto” é um processo que não é executa-

do ou é executado parcialmente. Uma ou mais metas específicas da área de processo
não são satisfeitas e não existem metas genéricas para este nível, já que não há razão
para institucionalizar um processo executado parcialmente. Nível 1 – Executado: Um
processo de nível de capacidade 1 é caracterizado como um “processo executado”. É
um processo que satisfaz às metas específicas da área de processo, apoiando e viabi-
lizando o trabalho necessário para produzir os produtos de trabalho.
• Nível 2 – Gerenciado: Um processo de nível de capacidade 2 é caracterizado como
um “processo gerenciado”. É um processo executado (nível de capacidade 1) que dis-
põe de infraestrutura adequada para apoiar o processo; é planejado e executado de
acordo com uma política; emprega pessoas experientes que possuem recursos ade-
quados para produzir saídas controladas; envolve partes interessadas relevantes; é mo-
nitorado, controlado e revisado; e sua aderência em relação à descrição de processo
é avaliada. A disciplina de processo refletida pelo nível de capacidade 2 contribui para
assegurar que as práticas existentes sejam mantidas durante períodos críticos.
108 • capítulo 4
• Nível 3 – Definido: Um processo de nível de capacidade 3 é caracterizado como
um “processo definido”. É um processo gerenciado (nível de capacidade 2), adaptado
a partir do conjunto de processos-padrão da organização de acordo com as diretrizes
para adaptação da organização, e contribui com produtos de trabalho, medidas e outras
informações de melhoria de processo para os ativos de processo da organização.
A versão CMMI 1.3 trouxe algumas alterações nos níveis de capacidade que
antes eram 6 (CMMI 1.2) e agora são 4. Veja a comparação dos modelos de ca-
pacidade e maturidade no CMMI 1.3.
CONTINUOUS STAGED
LEVEL REPRESENTATION REPRESENTATION
CAPABILITY LEVELS
LEVEL 0 Incomplete
LEVEL 1 Conformed Initial
LEVEL 2 Managed Managed
LEVEL 3 Defined Defined
Quantitatively
LEVEL 4 Managed
LEVEL 5 Optimizing
Tabela 4.3 – Níveis de Capacidade x Maturidade. Fonte: Especificação CMMI 1.3 - http://
www.sei.cmu.edu/reports/10tr033.pdf página 23.
capítulo 4 • 109
4.7 Áreas dos Processos CMMI
De acordo com a estrutura de inter-relacionamento funcional na visão de me-
lhoria corporativa de processos o CMMI sugere que as suas 22 áreas de processos
sejam agrupadas em quatro categorias: Gestão do Processos, Gestão de Projeto,
Engenharia e Suporte:
• Gestão de Processos: Contêm atividades transversais aos projetos, relacionadas

à definição, ao planejamento, à implantação, à implementação, ao monitoramento, ao
controle, à avaliação, à medição e à melhoria de processo. Contém as áreas:
– Foco nos Processos da Organização (OPF): Planejar, implementar e implantar
melhorias nos processos organizacionais com base na compreensão dos pontos fortes
e dos pontos fracos dos processos e dos ativos de processo da organização.
– Definição dos Processos da Organização (OPD): Manter um conjunto de políti-
cas, descrições de Processos, critérios, diretrizes, métricas e outras documentações
num formato de biblioteca de componentes reutilizáveis.
– Treinamento na Organização (OT): Identificar as necessidades estratégicas de
treinamento da organização, assim como as necessidades táticas que são comuns aos
projetos e grupos de suporte.
– Desempenho dos Processos da Organização (OPP): Estabelecer objetivos
quantitativos para qualidade e para desempenho de processo a partir dos objetivos
estratégicos da organização. A organização fornece aos projetos e grupos de suporte:
medidas comuns, baselines de desempenho de processo e modelos de desempenho
de processos.
– Gestão do Desempenho Organizacional: Gerenciar o desempenho da organiza-
ção para alcance dos objetivos de negócio definidos.
• Gestão de Projeto: Tratam das atividades de gestão relacionadas a planejamento,
monitoramento e controle de projeto. Contém as áreas:
– Planejamento de Projeto (PP): Elaborar o plano de projeto, o envolvimento apro-
priado das partes interessadas, a obtenção de comprometimento com o plano e sua
manutenção.
– Monitoramento e Controle de Projeto (PMC): Monitorar e implementar ações cor-
retivas. As ações corretivas são implementadas (incluindo replanejamento) conforme
apropriado, quando o status do projeto desvia significativamente dos valores esperados.
110 • capítulo 4
– Gestão de Contrato com Fornecedores (SAM): Tratar das necessidades de aqui-
sição de partes do trabalho que são produzidas por fornecedores. As fontes de produtos
utilizadas para satisfazer aos requisitos de projetos são identificadas proativamente. O
fornecedor é selecionado, e é estabelecido um contrato para que se possa gerenciá-lo.
– Gestão Integrada de Projeto (IPM): Estabelecer e manter o processo definido
para o projeto que é adaptado a partir do conjunto de processos-padrão da organização.
– Gestão de Riscos (RSKM): Implementar uma abordagem proativa e em regime
contínuo para a gestão de riscos por meio de atividades que incluem identificação de
parâmetros para riscos, avaliação de riscos e mitigação de riscos.
– Gestão Quantitativa de Projeto (QPM): Aplicar técnicas quantitativas e estatísti-
cas para gerenciar o desempenho de processo e a qualidade de produto. Os objetivos
para qualidade e desempenho de processo para o projeto são baseados nos objetivos
estabelecidos pela organização.
– Gestão de Requisitos (REQM): Gerenciar requisitos técnicos e não técnicos num
projeto, checando inconsistências e tratando os impactos de mudança.
• Engenharia: tratam de atividades de desenvolvimento e manutenção das diversas
disciplinas de Engenharia.
– Desenvolvimento de Requisitos (RD): Identificar as necessidades do cliente e
traduzir essas necessidades em requisitos de produto.
– Solução Técnica (TS): Desenvolver pacotes de dados técnicos para componentes
de produto que serão utilizados pela área de processo Integração de Produto ou pela
área de processo Gestão de Contrato com Fornecedores. Soluções alternativas são
examinadas a fim de escolher o melhor projeto com base em critérios previamente
estabelecidos.
– Integração de Produto (PI): Utilizar as práticas específicas associadas à geração
da melhor sequência de integração possível, envolvendo a integração de componentes
de produto e a entrega do produto ao cliente.
– Validação (VAL): Validar produtos, de forma incremental, relacionados às neces-
sidades do cliente. A validação tanto pode ser realizada no ambiente real de operação
quanto no ambiente operacional simulado.
capítulo 4 • 111
• Suporte: visa auxiliar nos demais processos qualificando os processos com ativida-
des ao longo dos projetos de desenvolvimento ou manutenção de produtos. Contém
as seguintes áreas:
– Gestão da Configuração (CM): Controlar e manter a integridade dos produtos
de trabalho.
– Garantia da Qualidade do Processo e do Produto (PPQA): Fornecer visibilidade
sobre andamento dos processos e produtos.
– Medição e Análise (MA): Manter e desenvolver formas de medição para atender
necessidades de informações gerenciais.
– Análise de Decisões e Resolução (DAR): Usar processo de avaliação formal para
tomar decisões.
– Análise e Resolução de Causas (CAR): Identificar causas e corrigir defeitos além
de ações de prevenção de novas ocorrências.
4.8 ISO 27001 e 27002

A gestão Segurança da Informação e a Gestão da Tecnologia da Informação
compreendem áreas complexas, com normas exigentes para tratar de aspectos
específicos. Adotar um Sistema de Gestão de Segurança da Informação (SGSI)
e de Gestão da Tecnologia da Informação fazem parte da gestão estratégica da
Governança Corporativa. A implementação do SGSI e do GTI devem ser guia-
das pelas suas necessidades e objetivos, requisitos de segurança e estrutura da
organização.
A ISO 27001 e 27002 oferece normas com reconhecimento e certificação
internacional para o desenvolvimento da SGSI e da GTI. A Governança trata
em linha gerais da direção, controle e monitoramento, e pode ser implantada
em vários eixos, como:
• Governança Corporativa
• Governança de Tecnologia da Informação
• Governança de Segurança da Informação
• Governança de Projetos
112 • capítulo 4
• Governança de Indicadores
Vamos trabalhar com os conceitos listados anteriormente, consideran-
do que a Governança de Segurança da Informação e a Governança da Tecno-
logia da Informação, são eixos fundamentais para a gestão da Governança
Corporativa.
Bem, mas como a ISO pode colaborar com a Tecnologia da Informação e a
Segurança da Informação?
Criado em 1947, ISO é sigla para International Organization for
Standardization – Organização Internacional para Normalização. Em língua
francesa: "L'Organisation Internationale de Normalisation". Com sede em Ge-
nebra na Suíça, é uma entidade não governamental que congrega a padroniza-
ção/normalização de 170 países.
Tem como objetivo promover o desenvolvimento da normalização e ativi-
dades relacionadas com a intenção de facilitar o intercâmbio internacional de
bens e serviços.
Os membros da ISO são os representantes das entidades oficiais de nor-
malização nos respectivos países como, por exemplo, ANSI (American National
Standards Institute), BSI (British Standards Institute), DIN (Deutsches Institut
für Norman).
“No Brasil, sua representante é ABNT, Associação Brasileira de Normas e Técnicas.

Fundada em 1940, a ABNT é uma entidade privada, sem fins lucrativos, é o órgão res-
ponsável pela normalização técnica no país, fornecendo a base necessária ao desen-
volvimento tecnológico brasileiro. É membro fundador da ISO (International Organiza-
tion for Standardization), da COPANT (Comissão Panamericana de Normas Técnicas)
e da AMN (Associação MERCOSUL de Normalização).”
Fontes: (Acesso em 05/02/2015)
http://pt.wikipedia.org/wiki/Associa%C3%A7%C3%A3o_Brasileira_de_Nor-
mas_T%C3%A9cnicas
http://www.absev.org.br/a-absev-ingressa-como-associada-mantenedora-da-abnt/
No Brasil, quando uma empresa segue as normas e padrões indicados pela

ISO/ABNT a empresa convoca uma auditoria e recebe a certificação ISO. As cer-
tificações ISO.
capítulo 4 • 113
Sobre as certificações ISO, selecionamos algumas das normas mais utilizadas:
• ISO 9000 Gestão de Qualidade: em ambientes de produção;

• ISO 14000 - ISO 14064 Normas de Gestão do Ambiente: em ambientes de
produção;
• ISO/IEC 17799 Tecnologia da Informação: código de conduta para a
Gestão da Segurança da Informação;
• ISO/IEC 12207 Tecnologia da Informação: define processo de desenvolvi-
mento de software;
• ISO 26000 Responsabilidade Social;
• ISO 50001 Gestão de Energia;
• ISO 31000 Gestão de Risco;
• ISO 22000 Gestão de Segurança Alimentar;
• ISO 27001 Gestão da Segurança da Informação;
• ISO 27002 Gestão da Tecnologia da Informação.
A ISO 27002 (anteriormente chamado ISO 17799) trata-se de um código de

práticas para a Segurança da Informação. Nesses códigos estão detalhados
centenas de controles específicos que aplicados protegem informações e ati-
vos relacionados.
Já a ISO 27001 trata-se de um padrão de especificações para Sistema de Ges-
tão de Segurança da Informação, SGSI, em inglês ISMS - Information Security
Management System. Foi publicado em 2005 pela Organização Internacional
de Normalização.
Suas especificações fornecem estrutura para auditorias e certificação na
área Segurança da Informação.
A versão mais atual da ISO 27001 foi instituída em 2013. Aplicadas as nor-
mas e solicitado o selo de certificação pelo ABNT (no Brasil) fica certificado que
a empresa segue todas as exigências legais e padrões internacionais. Seu uso
reduz custos e riscos gerados por problemas na Segurança da Informação, pois
além de analisar a estrutura da segurança, também incorpora em seus pré-re-
quisitos a preocupação com os riscos do negócio.
Ambas as normas destinam-se a todas as organizações, sejam elas comer-
ciais, ou de serviços e auxilia na responsabilidade da Segurança da Informação.
As ISO 27001 e ISO 27002 oferecem requisitos diferentes, mas ambas se
complementam, a primeira cuida dos sistemas e recursos e a segunda dos con-
troles de proteção.
114 • capítulo 4
A Informação é um ativo estratégico essencial para as organizações e neces-
sita de proteção adequada. Esta proteção precisa ser tanto física quanto técnica
e organizacional. Lidar com a Segurança da Informação implica em manter as
informações confidenciais, íntegras e disponíveis (Confidentiality, Integrity,
Avaliability):
• Confidencialidade: assegurar que a informação não seja divulgada (disclosed) a

indivíduos ou grupos não autorizados;
• Integridade: manter a informação, garantindo que essa não seja modificada por
agentes desautorizados. Se houver autorização, os agentes devem apenas alterá-la de
forma apropriada.
• Disponibilidade: assegurar que a informação esteja sempre disponível (available) de
forma ágil a todos os agentes autorizados.
ATIVIDADES
Considerando o conteúdo apresentando neste capítulo, utilize as seguintes questões para
avaliar o seu conhecimento:
01. Qual dos modelos abaixo apresenta o conceito de valor sobre o investimento em TI?
a) COBIT 4.1
b) ISO 27001
c) Val IT
d) Risk IT
02. Qual dos modelos refere-se à implementação de um Sistema de Gestão de Segurança

da Informação?
a) COBIT 4.1
b) ISO 27001
c) ISO 27002
d) Val IT
e) Risk IT
capítulo 4 • 115
REFLEXÃO
A Tecnologia da Informação tem diferentes processos em diferentes áreas. São diversos
os modelos conhecidos para auxiliar a boa gestão e gerenciamento desses, nessa unidade
apresentamos alguns entre os mais relevantes. Fica a dica para que você se aprofunde em
outros modelos citados no material, aplicando o mais adequado nas situações necessárias.
LEITURA
Como leituras sugiro que consulte as referências, sobretudo o site da ISACA (www.isaca.
org), pois lá há ampla documentação dos Modelos COBIT 5, Val IT e Risk IT, além de muitos
artigos interessantes.
Sobre a ISO, neste link há um FAQ com perguntas mais frequentes sobre ISO 27001
(Acesso em 28/01/2015):
http://www.vanzolini.org.br/areas/certificacao/auditores/pdf/PROCED/p.com.34.pdf
SEI. CMU/SEI-2010-TR-032 – CMMI for Acquisition, version 1.3, Novembro de 2010 (2010a).
SEI. CMU/SEI-2010-TR-032 – CMMI for Development, version 1.3, Novembro de 2010 (2010b).
SEI. CMU/SEI-2010-TR-032 – CMMI for Services, version 1.3, Novembro de 2010 (2010c).
Appraisal Method for Process Improvement (SCAMPI) V1.2 -www.sei.cmu.edu/reports/06hb002.pdf
CMMI Version 1.3 DEV / ACQ / SVC - www.sei.cmu.edu/cmmi
ISACA. COBIT 5 - Modelo Corporativo para Governança e Gestão de TI da Organização, 2012.
Disponível para acesso pessoal em www.isaca.org.
FERNANDES, A. A.; ABREU, V. F. Governança de TI: da Estratégia à Gestão dos Processos e
Serviços. Rio de Janeiro: Editora Brasport, 2008.
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO/IEC 38500 – Corporate
governance of information technology. ISO, 2008, 22p.
COBIT 5: A Business Framework for the Governance and Management of Enterprise IT. USA, 2012
ISACA. COBIT 5: Enabling Process. USA, 2012.
ITGI. Enterprise Value: Governance of IT Investments – The Val IT Framework 2.0 Extract, 2008.
Disponível em: http://www.isaca.org/Knowledge-Center/Val-IT-IT-Value-Delivery-/Documents/Val-IT-
Framework-2.0-Extract-Jul-2008.pdf acesso em 05/02/2015.
116 • capítulo 4
5
Seis Sigma e as
Ferramentas de
Qualidade
Neste capítulo, veremos como o Six Sigma pode ajudar na melhoria de proces-
sos. Um dos aspectos fundamentais da Governança é justamente melhorar
continuamente os processos existentes. Veremos também algumas ferramen-
tas a serem utilizadas no Controle de Qualidade.
OBJETIVOS
Neste capítulo os objetivos da sua aprendizagem são:
• Conhecer o histórico e objetivos do Six Sigma;

• Aprender a lógica de funcionamento do Six Sigma;
• Saber quais são as ferramentas e técnicas utilizadas no Six Sigma;
• Saber quais são os papéis e responsabilidades envolvidos no Six Sigma;
• Saber qual é a colaboração da tecnologia da informação no Six Sigma;
• Conhecer a aplicabilidade e alguns benefícios do modelo;
118 • capítulo 5
5.1 Breve História
As empresas, atualmente, concorrem com mercados do mundo todo. Com tan-
tos concorrentes e a crescente rapidez nos processos e na comunicação, essas
estão obrigadas a manterem os processos internos cada vez mais eficazes e efi-
cientes. A gestão da qualidade tem ganhado destaque no cenário mundial, e a
busca por melhorias tem garantido o bom desempenho e a sobrevivência de
muitas empresas.
Em meados de 1987, funcionários da Motorola buscando diminuir o núme-
ro de fabricação de peças defeituosas, desenvolveram uma metodologia com
padrões matemáticos para controle de qualidade nas peças. No ano seguinte,
1988, a empresa recebe o Prêmio Malcolm Baldrige de Qualidade, a implan-
tação do programa chamado Six Sigma alavancou o crescimento da Motorola.
A divulgação dos ganhos obtidos pela Motorola chamou a atenção de di-
versas empresas. Assim, várias empresas passaram a usar o Six Sigma, como:
Texas Instruments (em 1988), IBM (em 1990), ABB - Asea Brown Boveri (em
1993), Allied Signal e Kodak (em 1994) e a General Electric (em 1996).
Com a aplicação do Six Sigma, a General Electric (GE) ganhou notoriedade
após a adoção do programa. A empresa alcançou notável crescimento na mar-
gem do lucro operacional. Três anos após a implantação, foi registrado uma
economia de mais de US$ 1,5 bilhões, obtendo destaque entre as corporações
de sucesso dos Estados Unidos.
O sucesso alcançado por essa metodologia fez com que em 1991, a Motorola
construísse uma indústria ao redor do Six Sigma, e introduzisse treinamentos
para a formação de especialista em Six Sigma, chamados de Black Belts. Em
1992, a metodologia foi difundida para outras empresas. Em 2002 a Motorola
voltou a ganhar o prêmio de qualidade MBNQA, Malcolm Baldrige National
Quality Award, provando a eficácia do programa definitivamente, expandindo
sua atuação nas indústrias e áreas funcionais. Estabelecendo-se como uma me-
todologia orientada para obtenção de resultados. Hoje, milhares de empresas
utilizam o Six Sigma para otimizar os processos e consequentemente, aumentar
os lucros. O Seis Sigma chegou ao Brasil em torno de 1997. O Grupo Brasmotor,
adotou o programa em suas atividades e em 1999, apresentou ganhos em torno
de de R$ 20 milhões (WERKEMA, 2002a).
capítulo 5 • 119
5.2 Mas o que significa “sigma”?
A letra sigma Σ vem do alfabeto grego sendo sua 18ª letra ou caractere e cor-
responde ao nosso S.
É utilizada pela estatística para medir o desvio-padrão de uma população.

Em qualidade, o sigma é uma medida de variabilidade usada para indicar quan-
to dos dados insere-se nos requisitos do cliente. Quanto maior o sigma do pro-
cesso, melhores os produtos ou serviços ou menor o número de defeitos.
Na Matemática a letra Σ (sigma maiúscula) é utilizada como símbolo de um somatório

(somas definidas em alguma sequência, como uma progressão aritmética), ou de vari-
áveis estatísticas. Assim como a letra minúscula de sigma σ representa Desvio Padrão.
Portanto, os seis sigmas, usam variáveis estatísticas para controlar o desvio

de padrão.
5.3 O Six Sigma

O Six Sigma proporciona aperfeiçoamento dos processos através da diligência
dos métodos aplicados e controlados. Para Pande, Neuman e Cavanagh (2001),
Seis Sigma é:
“[...] um sistema abrangente e flexível para alcançar, sustentar e maximizar o sucesso

empresarial. Six Sigma é singularmente impulsionado por uma estreita compreensão
das necessidades dos clientes, pelo uso disciplinado dos fatos, dados e análise estatísti-
ca e pela atenção diligente à gestão, melhoria e reinvenção dos processos do negócio."
O Six Sigma também pode ser visto como uma metodologia estruturada que
incrementa a qualidade por meio do aperfeiçoamento continuo dos processos
120 • capítulo 5
de produção de bem ou serviço, da otimização das operações, da eliminação
sistemática dos defeitos, falhas e erros, levando em consideração todos os as-
pectos importantes do negócio que possam diferenciar a empresa junto aos
seus clientes.
Smith & Adams (2000) consideram que “alcançar o Six Sigma significa redu-
zir a zero (praticamente) defeitos, erros e falhas de desempenho dos processos”.
De certa forma, o objetivo prático é introduzir uma sistematização de redução
de falhas e defeitos e diminuir a variabilidade dos processos. Isto é feito com
a melhor organização da informação e dos processos e pode ser aplicado nos
diversos setores econômicos, não apenas se restringindo às cadeias produtivas.
Vemos que os autores citados enfatizam que a metodologia oferece a busca
de padrão e a redução perto de zero de erros, falhas ou defeitos. Segundo con-
siderações de Fernandes & Abreu (2008) a melhoria de desempenho do negócio
através da melhoria de processos, tendo como meta um processo que apresente
3,4 defeitos por milhão de oportunidades (DPMO) ou Six Sigma, que equivale a
um rendimento de 99,9997% de resultados dos processos isentos de defeitos”.
Observando a escala Sigma, vamos pensar na aplicação da metodologia
numa fabrica que produz peças para automóveis, vemos que com a aplicação
de um sigma a qualidade aumenta 31%, mas os erros por milhão ainda são altos
690.000 defeitos. Pense no impacto que causam esses números de perdas de
peças numa fábrica.
Acompanhando a evolução dos sigmas, encontramos na adoção dos seis
sigmas 3 ou 4 peças deituosas por milhão, o que corresponde a um padrão de
qualidade de 99,9997%.
O valor do sigma indica a variabilidade do processo, significando que, quan-
to maior o número de sigmas, a partir da média da distribuição (µ), torna-se
menos provável que um processo produza defeitos.
A tabela a seguir mostra o que significa o Six Sigma, em termos de qualidade
e defeitos por milhão de oportunidades.
capítulo 5 • 121
DEFEITOS POR
ESCALA MILHÃO DE
QUALIDADE
SIGMA OPORTUNIDADES
(DPMO)
6s 99,9997% 3,4 Classe mundial
5s 99,9767% 233
4s 99,379% 6210
Média da
indústria
3s 93,32% 66807
2s 69,1% 308537
Não
1s 31% 690000
competitiva
Tabela 5.1 – Qualidade e defeitos Sigm. Fonte: Material Estácio WebAula.
A metodologia Six Sigma como falamos inicialmente pode ser aplicada para
melhoria de produtos e serviços em empresas de portes pequenos, médio ou
grande.
Usando como referencial o quadro com os resultados obtidos a partir da im-
plantação dos Sigmas, vamos pensar numa empresa de serviços, com contato
direto com o cliente, usando os Seis Sigmas, a reprovação no atendimento
atingiria os mesmos números, 3 ou 4 perdas de clientes por milhão atendi-
dos. Contando com a satisfação de 99,9997% dos clientes.
122 • capítulo 5
CONEXÃO
Atualmente, muito tem se falado sobre o termo Lean Six Sigma. O Lean Six Sigma é uma
integração entre Lean Manufacturing e Six Sigma. O Lean Manufacturing é a busca pela
eliminação de desperdício enquanto o Six Sigma, como vemos, aumenta rendimento e a
lucratividade pela melhoria de qualidade de processos e produtos. Veja mais em (Acesso em
02/02/2015):
http://www.villanovau.com/resources/six-sigma/six-sigma-vs-lean-six-sigma/#.
VQLOLfzF9WI
O Six Sigma difere dos programas de qualidade convencionais porque pro-

põem através de dados estatísticos ações que solucionam problemas de forma
organizada e sistemática, chegando a alcançar quase zero de erros ou falhas. Os
programas de qualidade convencionais trabalhavam em torno da filosofia da
qualidade, propondo treinamentos, a subjetividade dessas ações não resultava
em dados tangíveis.
Como vimos na tabela acima. Esses resultados são mensurados, contabi-
lizados e previstos. Os resultados da aplicação da metodologia são tangiveis,
representados pelo retorno financeiro.
A Governança de TI, segundo (WEILL e ROSS, 2006), implica em conceder
poderes a todos os funcionários da empresa. Os processos de alinhamento per-
mitem que as decisões estratégicas orientem a ações cotidianas. Os processos
de alinhamento proporcionam que experiências do dia a dia com a TI entregue
feedback ao processo estratégico. Os mecanismos de tomada de decisões con-
centram-se em trabalhar estratégias de negócios.
5.4 Six Sigma – Papéis e Responsabilidades

O Six Sigma funciona sob o conhecimento técnico da metdologia alia-
do à operacionalização do trabalho feito pelas pessoas. Para a aplicação da
Metodologia do Six Sigma é preciso definir papéis e responsabilidades:
capítulo 5 • 123
• Executivo Líder: representado pela alta gerência. Tem como responsabilidades a
implantação do Six Sigm, o compromisso com o sucesso da implantação da estratégia
de melhoria do processo e a condução das iniciativas. Além disto, incentiva e supervi-
siona tais iniciativas e verifica os benefícios financeiros alcançados. Também seleciona
os executivos para desempenhar o papel de campeões;
• Campeões: tem como responsabilidades a liderança dos executivos-chave, organi-
zar e conduzir o começo, o desdobramento e a implementação do Six Sigma na orga-
nização. Campeões devem dominar o Six Sigma de forma prática e teórica e facilitar as
mudanças necessárias. Serão os responsáveis por definir as pessoas que disseminarão
o Six Sigma na empresa.
• Master Black Belt: responsáveis pela conscientização e implantação do Six
Sigma na empresa, além de ajudar com as mudanças na organização e ajudar os cam-
peões nos projetos de melhoria. Devem dedicar 100% de seu tempo ao Six Sigma e
estarem preparados para solução de problemas estatísticos, além de treinar e instruir
Black Belts e Green Belts.
• Black Belts: trabalham sob ordens do Master Black Belt e devem possuir algumas
habilidades como bom relacionamento interpessoal e comunicação, devem buscar al-
cançar resultados e possuir influência no setor em que atuam, além de saber trabalhar
em equipe. Black Belts devem possuir conhecimento técnico avançado na área de atu-
ação, pois aplicarão as ferramentas e conhecimentos em projetos específicos. Normal-
mente, recebem treinamento amplo em técnicas estatísticas e treinam os Green Belts.
• Green Belts: estão na chefia intermediária da organização. Os Green Belts executa-
rão as tarefas do Six Sigma em seu cotidiano e auxiliarão os Black Belts na coleta de
dados e experimentos.
5.5 DMAIC
O ciclo DMAIC é a metodologia adotada na solução de problemas. A sigla
representa:
• D – Define (definir), • I – Improve (melhorar),

• M – Measure (medir), • C – Control (controlar).
• A – Analyse (analisar),
124 • capítulo 5
Com a utilização dessa sequência de ações é possível melhorar produtos,
serviços e processos. Há semelhanças entre o DMAIC e o PDCA, alguns auto-
res consideram que ambos oferecem métodos similares. Sendo assim, o méto-
do PDCA também trabalha com melhorias, criado na década de 30 por Walter
A. Shewart, foi popularizado somente nos anos de 1950, por William Edward
Deming. A metodologia ganhou reconhecimento mundial por ter sido aplica-
da no Japão após a devastação da segunda guerra mundial, sendo considerado
junto com o Programa de Qualidade 5S, relevantes motriz para o desenvolvi-
mento estratégico das empresas japonesas.
A sigla PDCA refere-se a:
• P – Plan (Planejar)
• D – Do (Executar)
• C – Check (Checar, verificar)
• A – Act (Atuar, agir)
Essa metodologia trabalha em ciclo contínuo e auxilia tanto na implantação

de novos projetos como na solução de problemas. No DMAIC, Pande, Neuman
e Cavanagh (2001) indicam estratégias na filosofia Seis Sigma:
• Estratégia de melhoria do processo: que visa aplicar soluções que eliminem as cau-
sas-raiz dos problemas que afetam o desempenho de uma empresa, mantendo a es-
trutura básica do processo.
• Estratégia de projeto/reprojeto: visa trocar parte ou todo o processo por outro refor-
mulado.
A metodologia DMAIC (Define, Mesure, Analyse, Improve, Control) é

uma interpretação do Seis Sigma baseada no ISO 9000 e no TQM (Teoria da
Qualidade Total). Sua implantação está alicerçada nas análises estatísticas
como ferramenta central, que integra outras várias ferramentas de controle de
qualidade seguindo as cinco fases bem determinadas.
capítulo 5 • 125
Define
(definir)
Control Measure
(Controlar) (medir)
Improve Analyse
(Melhorar) (Analisar)
Tabela 5.1 – Cinco fases DMAIC. Fonte: Material Estácio WebAula.
• Definição: são definidos processos cujos desempenhos podem comprometer con-

sideravelmente a conquista das metas estratégicas e que perturbam as expectativas
do consumidor. Devem ser identificadas qual o produto, quem é o cliente, e quais suas
expectativas.
• Medição: Escolhidos os processos que devam ser melhorados, analisa-se a capa-
cidade dos processos atuais que serão melhorados, e suas condições de atender os
produtos e processos de acordo com as exigências definidas. Acontece a execução do
mapa de processo e a elaboração da matriz de causa e efeito. No término dessa etapa,
percebe-se as fases críticas do processo e são elencados uma seleção de variáveis do
processo que serão melhor analisadas. Essa fase define quais pontos críticos devem
ser atacados primeiro.
• Análise: Chegando a essa etapa já se tem definida o que e quais processos devem
ter prioridade. Agora, são mapeados as causas raízes de defeitos e seus impactos.
• Melhoria: Após, a identificação, medição e análise é hora de executar a melhoria,
são desenvolvidas soluções para alterar o processo defeituoso e reduzir significativa-
mente os níveis desses defeitos.
126 • capítulo 5
• Controle: Essa etapa mantém a melhoria aplicada, pois é através do controle esta-
tístico do processo com medições e monitoramento que mantem-se a performance do
desempenho alcançado.
• Considera-se que a melhoria contínua se dá pela aplicação do DMAIC para outros
projetos ligados aos mesmo processos, e não ficar revisando projetos já concluídos.
Outras ferramentas do Six Sigma como o Design for Six Sigma e o DMADV viabilizam
sucessivos aperfeiçoamentos até que todas as correções e intervenções sejam apli-
cadas.
5.6 DFSS
Enquanto que o ciclo DMAIC é a metodologia adotada na solução de problemas.
A metodologia DFSS (Design for Six Sigma) trata da qualidade no projeto de no-
vos produtos, sendo aplicável em processos produtivos ou de serviços e que ao
estarem prontos atinjam o nível de excelência dos Seis Sigmas. O Design para
seis Sigma também serve para a aplicação em processos que apresentam baixo
nível de desempenho, e que a aplicação do DMAIC não seja possível pelo com-
prometimento do processo, sendo assim é necessário um novo design. O DFSS
serve para projetar um novo produto ou serviço, ou reprojetar os já existentes.
O diferencial do DFSS é que a metodologia traz valor ao produto ou serviço
através da inovação e da satisfação das necessidades reais dos clientes. Além de
também melhorar a qualidade e reduzir custo de produção ou serviço. Como o
Design for Six Sigma atua em novos projetos o programa é visto como um facili-
tador no controle de qualidade.
capítulo 5 • 127
5.7 DMAVD
A metodologia DMADV (Definição, Medição, Análise, Projeto e Verificação)
também apresenta cinco fases bem determinadas:
Verify design
Identify functions. Generate and
Define the project performance.
select concepts.
Implement design.
D M A D V
Define Measure Analyze Design Verify
Develop, test/optimise
Determine customer
design components and
requirements and wishes.
complete design.
Figura 5.2 – Metodologia DMADV. Fonte: http://cerasis.com/wp-content/uploads/2013/10/

what-is-lean-six-sigma-dmadv.png.
• Na “Definição” identifica-se o que será projetado e os objetivos almeja-

dos. A utilização de um quadro de projeto auxilia na execução do projeto man-
tendo o foco da equipe nas diretrizes estratégicas.
• Na "Medição" analisa-se as expectativas e necessidades dos clientes rela-
tivas ao novo produto ou serviço, mapeando-as e definindo assim, os atributos
que são críticos para a qualidade (CTQ – Controle Total de Qualidade) do proje-
to. Dessa forma, tem-se mapeados os requisitos gerais que a equipe desenvol-
verá, nas próximas etapas.
• Na "Análise" usa-se a Matriz de Pugh para a definição do melhor conceito
de design entre os disponíveis.
• No "Design" é realizado o design de alto nível, detalhando cada fase.
Fazem parte dessa etapa a descrição detalhada do conceito do produto ou servi-
ço, mapas de processos e a execução das instalações com equipamentos e ma-
teriais ou suprimentos necessários.
• A "Verificação" serve para testar e validar o projeto. Nessa etapa, a equipe
irá acompanhar o desempenho dos CTQs (Controle Total de Qualidade) do pro-
duto ou serviço através das cartas de controle.
128 • capítulo 5
O CTQ, Controle de Qualidade Total, busca atender as necessidades de con-
sumo do mercado, definindo a finalidade de uso, o preço de venda, e a oferta do
produto e serviços no mercado.
CONEXÃO
Faça uma leitura com mais detalhes e comparações nas metodologias do Six Sigma:
http://www.camilomarcelino.com/sixsigma.htm
5.8 As 7 Ferramentas da Qualidade

Tratam-se de sete ferramentas básicas de qualidade para auxílio na resolução
de problemas e melhoria de processos. Promovendo a identificação de proble-
mas e obtenção da melhoria contínua nos processos.
1. Fluxograma
2. Diagrama de Dispersão
3. Folhas de Verificação
4. Gráficos de Pareto
5. Diagrama de Causa e Efeito
6. Histograma
7. Cartas de Controle
5.8.1 Fluxograma
Utilizado para representar a execução das atividades num processo, trata-se

de uma das técnicas mais antigas e mais utilizadas para documentação. É um
um diagrama, uma representação esquemática de um processo, feito através
de gráficos que ilustram a transição de informações entre os elementos que os
compõem.
capítulo 5 • 129
Podemos dizer também que trata-se da documentação dos passos necessá-
rios para a execução de um processo.
Por exemplo, a figura a seguir ilustra um fluxograma para representar as
atividades realizadas na empresa ao longo da compra de um produto por um
cliente.
Processo Compra de Produto pelo Cliente

Cliente
Fazer Pedido Pedido Recebido

Comercial
Depto.
Dados do Cadastrar
Cliente Cliente
Financeiro
Depto.
Dados Faturar
Financeiro Pedido
Estoque
Registrar a baixa
no estoque
Logística
Enviar para
Fim
o Cliente
Tabela 5.3 – Exemplo de um Fluxgorama. Fluxograma são uteis para documentação, análise
e primeiros passos para melhoria de processos de negócio e tecnologia da informação, pois
permitem uma visão de como as atividades estão sendo executadas.
130 • capítulo 5
5.8.2 Diagramas de Dispersão
Diagramas de Dispersão ou Gráficos de Dispersão, ou ainda Correlação, são usa-

dos para comprovar relação entre causas e efeitos através de análise quantitativa.
Diagrama de Dispersão - Custo Real x Estimado

7.500
7.000
6.500
6.000
5.500
5.000
4.500
4.000
3.500
3.000
3.000 3.500 4.000 4.500 5.000 5.500 6.000 6.500 7.000 7.500
Custo Aparente Real
Coef. Correlação = 0,94 Primeira Bissetriz
Figura 5.4 – Exemplo de Diagrama de Dispersão . Fonte: http://3.bp.blogspot.com/--VdwZf-

4jZbo/T_sGS8iMUKI/AAAAAAAAA4k/ardzWYe7xTE/s1600/imagem2.jpg
O gráfico permite identificar a correlação entre duas variáveis. Isso pode estar
relacionado a um fator de causa e efeito e será usado na resolução de problemas.
5.8.3 Folhas de Verificação
São formulários para coleta e registro de dados a serem verificados e defini-

dos previamente. Visa facilitar a coleta de dados no processo de investigação
de causas e efeitos. Além de ter como função dispor os dados de forma mais
organizada.
capítulo 5 • 131
COMPONENTE: CONJUNTO ABC SEÇÃO: LINHA DE MONTAGEM
132 •
PROCESSO DE TRABALHO: MONTAGEM DATA DA PRODUÇÃO: 30/03/05
QUANTIDADE PRODUZIDA: 1.000 PEÇAS INSPETOR:
Tipo de Frequ do % %
Tabulação Class
defeito item individual acumulada
capítulo 5
Alinhamento ///// ///// // 12 6° 06%
Solda ///// ///// ///// ///// / 21 5° 10%
Parafuso
///// ///// ///// ... ///// /// 68 1° 34%
solto
Junção ///// ///// ///// 15 5° 07%
lugli.com.br/wp-content/uploads/2008/02/pareto1.png
Sujeira ///// ///// ///// ... ///// / 41 2° 20%
Riscos ///// ///// ///// ... ///// //// ///// ///// 29 3° 14%
Trinca ///// ///// 10 7° 05%
Rebarba ///// / 06 8° 03%
Bolha / 01 9° 01%
Totais 202 – 100%
Tabela 5.2 – Exemplo de Folha de Verificação para Defeitos em Peças. Fonte: http://www.
5.8.4 Gráficos de Pareto
Gráficos de Pareto, propostos por Vilfredo Pareto, um economista e sociólogo

italiano, estabelecem o princípio ou Regra 80-20. Os gráficos visam a análise dos
problemas e identificação das causas essenciais, pois, de acordo com pesquisas:
• 80% das causas triviais são responsáveis por cerca de 20% dos resultados
mais importantes
• 20% de causas essenciais são responsávies por 80% dos resultados mais
importantes
Causas/Ações Efeitos/Resultados
20%
80%
triviais
80%
20%
triviais
Figura 5.6 - Princípio de Pareto. Fonte: (MARANHÃO e MACIEIRA, p. 171,2004).
5.8.5 Diagrama de Causa e Efeito
O Diagrama de Causa e Efeito foi criado por Kaoru Ishikawa na década de 1940.
Também é chamado de Diagrama Ishikawa ou Espinha de Peixe. No diagrama,
estabelece-se uma região de causas e uma região de efeitos. O trabalho de aná-
lise consiste em conectar uns aos outros e tentar identificar a origem, ou as ori-
gens do problema (efeito) em si.
capítulo 5 • 133
Atitude do Espera
garçom
Longa espera para
Rude fechamento de conta
Computador
Confusa fora do ar
Apressado Muitas
mesas Garçom inexperiente
Espera desconfortável por mesa
Assentos na
Mau atendimento Treinamento área de espera
nas mesas inadequado
Efeito
Tapetes sujos
Comida servida fria
Treinamento Sala de jantar fria
da faxineira
Garçons incertos sobre Programa inadequado
quando a comida esta pronta de limpeza
inadequado Janelas abertas
Sistema de notificação
do garçom inadequado
Comida Ambiente
Tabela 5.7 – Exemplo de Diagrama de Causa e Efeito para atendimento de Reclamações de

clientes num restaurante. Fonte: www.ogerente.com.br/qual/dt/qualidade-dt-diagrama_cau-
sa_efeito.htm
Veja que as causas do exemplo foram organizadas em subsistemas lógicos

(módulos) específicos para cada atividade do restaurante. Cada módulo possui
as suas causas, como mostra a figura. O nível de detalhe depende da abrangên-
cia do problema.
5.8.6 Histograma
O Histograma é uma ferramenta para a visualização gráfica da distribuição de

freqüências ou probabilidades dos resultados da execução (no caso de freqüên-
cia) de um processo e análise de comportamento deste processo (usado em
Cartas de Controle).
Por exemplo, na figura a seguir é mostrada a distribuição do Índice de Massa
Corporal de um grupo de pessoas que foi monitorado.
134 • capítulo 5
Indivíduo
“fora da curva”
16 18 20 22 24 26 28 30 32 34 34 36 40
x = 25
Magreza “Normalidade” Obesidade
LIE LSE
Legenda: LIE = Limite Inferior Especificado
LSE = Limite Superior Especificado
Figura 5.8 – Exemplo de Histograma . Fonte: (MARANHÃO e MACIEIRA, 2004) página 176
5.8.7 Cartas de Controle
As cartas de controle são construídas baseadas em históricos do processo e

possibilitam a supervisão do sistema. Através de amostragens registradas ao
longo do processo podemos aferir resultados, com um conjunto de dados em
mãos calculam-se as estatísticas (média, amplitude, variância) que devem es-
tar de acordo com os limites definidos nas cartas ou gráficos. São usadas para
mostrar as tendências observadas de um processo num período de tempo. Elas
funcionam como informações de tendência com acréscimo de limites de con-
trole. Os limites de controle são calculados aplicando-se fórmulas aos dados do
processo.
De maneira bem resumida, as cartas de controle referem-se a um conjunto de histogra-

mas calculados sobre dados observados ao longo de um tempo.
capítulo 5 • 135
po
o tem
h ad
Lin
10 h - Histograma das 9h
Eixo da característica medida
Figura 5.9 – Compreensão das Cartas de Controle. Fonte: (MARANHÃO e MACIEIRA, p.

178, 2004).
O histograma, como vimos, reflete uma análise dos dados coletados.

Imagine que estes dados são informações de um processo produtivo. Logo, de
maneira estática, olhando para um histograma podemos ver o comportamento
do processo e verificar se obedece a uma curva normal.
Processos são dinâmicos, ou seja, seus resultados têm variações (mesmo
que pequenas) ao longo do tempo.
Ao verificar o histograma com dados do processo (indicadores) a partir
de amostras de resultados é possível verificar se o processo encontra-se “Sob
Controle” ou “Fora de Controle”:
• Processo sob controle: causas especiais foram eliminadas e o processo permanece

estável ao longo do tempo, ou seja, a média e a variabilidade permanecem estáveis ao
longo do tempo.
• Processo fora de controle: existe variação da média e da dispersão e isto ocorre
devido à presença de causas especiais no processo.
136 • capítulo 5
Controle do Processo
17h
16h
15h
po
em
doT
ha
Lin
b) Sob controle
(causas especiais eliminadas)
10h
9h a) Fora de Controle
(presença de causas especiais)
8h
Eixo dos Tamanhos das Peças
Figura 5.10 – Controle do Processo. Fonte: (MARANHÃO e MACIEIRA, p. 183, 2004).
Os processos de negócio são influenciados por dois tipos de causas ou fa-

tores: as causas especiais e as causas comuns (ou determináveis). As causas es-
peciais são fatores que não podem ser explicados facilmente e, normalmente,
são imprevisíveis. São fatores que não fazem parte do sistema. Muitas vezes a
presença de uma única causa entre as especiais provocará uma variação muito
grande no processo, tornando-a facilmente detectável. Por exemplo, matéria-
-prima (insumo) ruim pode resultar num produto final de péssima qualidade
(muitos itens não-conformes às normas estabelecidas).
Já as causas comuns são variações que fazem parte do sistema. São causas
também chamadas de aleatórias. Este tipo de causa está sempre presente e di-
ficilmente desaparecem. No entanto, são causas facilmente detectáveis e que
podem estar sob controle na execução do processo.
As cartas de controle, usadas para verificar se um processo encontra-se sob
controle estatístico são formadas por 3 linhas básicas:
• LM = Linha Média – valor provável ou esperado do processo

• LSC = Limite Superior de Controle – maiores resultados esperados do
processo
• LIC = Limite Inferior de Controle – menores resultados esperados do
processo
capítulo 5 • 137
Podemos adicionar também 2 outras linhas que são o Limite Superior de
Especificação (LSE) e Limite Inferior de Especificação (LIE). São valores impos-
tos pela especificação do produto ou serviço e não medidos no processo. São
usados para verificar se o processo está dentro da norma exigida.
LSE
LSC
Média
Medições (Y)
LIC
LIE
Tempo (X)
Figura 5.11 – Limites para Verificação do Processo
Um processo estará sob controle se todos os pontos medidos estiverem den-

tro dos limites estabelecidos e se a disposição dos pontos for aleatória.
Um processo não estará sob controle se houver periodicidade em intervalos
regulares de tempo, ou se houver tendências para cima ou para baixo, ou ainda
se houver mudanças no desempenho do processo.
Veja um exemplo de uma medição para um processo de produção de pistões
automotivos. A medição leva em consideração o diâmetro das amostras. Veja
que o processo está dentro dos limites estabelecidos.
74.0180
Medida do Diâmetro – X
LSC = 74.0135 Limite Superior de Controle = LSC

74.0135
74.0090
74.0045
74.0000 LM
73.9955
73.9910
LIC = 73.9865 Limite Inferior de Controle = LIC
73.9865
73.9820
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
Número da Amostra
Carta de controle para o diâmetro de um pistão automotivo
Figura 5.12 – Processo sob Controle. Fonte: (MARANHÃO e MACIEIRA, p. 185, 2004)
138 • capítulo 5
Como já comentamos, as cartas de controle apresentam de maneira dinâ-
mica o comportamento do processo (ao longo do tempo, ou seja, a cada amos-
tragem) e podemos, de maneira resumida, usá-las para:
• Reduzir a variabilidade de um processo
• Monitorar seu desempenho ao longo do tempo (amostragens)
• Permitir a correção do processo
• Detectar tendências e pontos fora de controle.
ATIVIDADES
Nestas atividades separei algumas leituras e questões para vocês:
Faça essas leituras (Acesso em 01/02/2015):
http://www.producao.ufrgs.br/arquivos/disciplinas/388_apostilacep_2012.pdf
http://redsang.ial.sp.gov.br/site/docs_leis/pd/pd11.pdf
A) E responda:
01. Qual o objetivo das Cartas de Controle?
02. O que são causas comuns? E causas especiais?
03. O que é um processo estável? E um processo instável?
04. Como você definiria LC, LSC e LIC?
B) Sobre o Six Sigma:
01. Qual a diferença entre DMAIC, DMAVD e DFSS?
02. Apresente de forma concisa os papéis e responsabilidades no Six Sigma.
C) Faça o tutorial abaixo para criar histogramas no Excel:

http://support.microsoft.com/kb/214269/pt-br
capítulo 5 • 139
REFLEXÃO
A melhoria de processos é pilar fundamental da Governança. Práticas especiais são encon-
tradas no Six Sigma. Como reflexão, sugiro que pense e investigue como as empresas tem
adotado esses processos no Brasil tanto na gestão de empresas públicas quanto privadas.
Comente sobre o desempenho de uma empresa brasileira que adotou o Six Sigma em
relação a suas concorrentes.
LEITURA
Para complementar os conhecimentos apresentados sugiro a leitura do texto: “Aplicação do
programa Seis Sigma no Brasil: resultados de um levantamento tipo survey exploratório-des-
critivo e perspectivas para pesquisas futuras” disponível em:
http://www.scielo.br/pdf/gp/v14n2/01.pdf com acesso em 01/02/2015.
Trata-se de um trabalho sobre resultados de um estudo de campo para levantar práticas
relativas à adoção do programa Six Sigma em empresas que o adotaram.
PANDE, P.; NEUMAN, R.; CAVANAGH, R. Estratégia Seis Sigma: como a GE, a Motorola e outras
grandes empresas estão aguçando seu desempenho. Tradução: Cristina Bazán Tecnologia e
Lingüística. Rio de Janeiro: Qualitymark, 2001.
MARANHÃO, M.; MACIEIRA, M. E. B. O processo nosso de cada dia: modelagem de processos de
trabalho. Rio de Janeiro - RJ: Qualitymark, 2004.
SMITH, B.; ADAMS, E. LeanSigma: advanced quality. Proc. 54th Annual Quality Congress of the
American Society for Quality, Indianapolis, Indiana, maio, 2000.
WERKEMA, M. C. C. (2002). Criando a cultura Six Sigma. Série Six Sigma Volume 1. Rio de Janeiro:
Qualitymark, 2002.
140 • capítulo 5
GABARITO
Capítulo 1
01. Os indicadores apresentados são Market Share e Lucro Operacional. Lucro é o retorno
positivo sobre um investimento, no caso, a empresa. O Lucro Operacional é lucro sobre o fun-
cionamento da empresa. O Market Share é a participação da empresa no mercado em que
atua. Assim, no quadro, foram estabelecidas metas de aumento do lucro ao ano (em 15%)
e aumento de 10% na participação de mercado. Isto, com ações como abertura de novos
pontos de venda, opções de crédito.
02. As metas estão diretamente relacionadas aos objetivos, pois constituem as formas de
alcança-los, através da estratégia. Por exemplo, melhorar o atendimento ao cliente foi tradu-
zido em metas de máximo de 5% de reclamações por clientes atendidos.
Capítulo 2
01. a
02. c
Capítulo 3
01. e
02. e
03. a
04.
a) falso
b) falso
c) verdadeiro
d) falso
e) falso
f) falso
capítulo 5 • 141
Capítulo 4
01. c
02. b
Capítulo 5
a)
01. É uma técnica estatística aplicada à produção para reduzir de forma sistemática a varia-
bilidade nas características da qualidade e contribuir para melhorar a qualidade do resultado
de um processo.
02. Causas Comuns são fontes de variação atuando de forma aleatória no processo. São
tratadas como varialibidade inerente ao processo, um padrão natural decorrente do próprio
processo em si. Causas Especiais não seguem padrão aleatórios e não são pequenas cau-
sas, consistindo em falhas de operação.
03. Processo Estável apresenta apenas Causas Comuns pois a variabilidade é a mesma ao
longo do tempo; Processo Instável apresenta Causas Especiais.
04. Limites Superiores e Inferiores de Controle (LSC e LIC) são limitações impostas pelo
padrão de qualidade exigido. O processo deverá atender tais limites. Limite de Controle (LC
ou LM) é o limite da média do processo.
b)
01. O DFSS é o design, a metodologia para ser aplicada em processos produtivos ou execu-
ção de serviços. DMAVD é o ciclo para criação de um novo design de produto ou processo e
o DMAIC é usado para processos de negócio existente.
02. Executivo Líder implanta o Six Sigma, Campeões lideram os Master BB, Master Black
Belts conscientizam a implantação ajudam campeões, Black Belts buscam os resultados,
Green Belts executam tarefas cotidianas do Six Sigma.
142 • capítulo 5
ANOTAÇÕES
capítulo 5 • 143
ANOTAÇÕES
144 • capítulo 5

Governança em Tecnologia Da Informação PDF

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Governança em Tecnologia Da Informação PDF

Enviado por

Direitos autorais:

Formatos disponíveis

Governança em Tecnologia da Informação - Capa 7mm.

pdf 1 11/06/2015 15:44:40

Autor do original reginaldo aparecido gotardo

Projeto editorial roberto paes

Coordenação de produção gladis linhares

Coordenação de produção EaD karen fernanda bortoloti

Projeto gráfico paulo vitor bastos

Diagramação bfs media

Revisão linguística amanda carla duarte aguiar

Imagem de capa artur marciniec | dreamstime.com

Dados Internacionais de Catalogação na Publicação (cip)

G683g Gotardo, Reginaldo

1. Governança de TI. 2. Governança corporativa. 3. Tomada de decisão.

Diretoria de Ensino — Fábrica de Conhecimento

1. Introdução à Governança Corporativa 9

4. Val IT, CMMI e ISO 27001 e 27002 97

5. Seis Sigma e as Ferramentas de Qualidade 117

Na disciplina de Governança em Tecnologia da Informação você aprenderá

• Aprender o que é Governança Corporativa;

A boa governança é um complemento essencial para a saúde das políticas econômi-

A definição de governança foi apresentada no documento em linhas ge-

Governança é o sistema pelo qual as organizações são dirigidas, monitoradas e incenti-

Internal External Stakeholders

Figura 1.1 – Stakeholders da Empresa. Fonte: http://upload.wikimedia.org/wikipedia/com-

De maneira geral, os sistemas informartizados de governança corporativa

Stakeholder refere-se às diversas partes interessadas em projetos, na administração

Níveis Hierárquicos ou Stakeholders

Áreas ou Vendas e Recursos

A gestão das áreas funcionais é baseada em hierarquia de níveis gerenciais.

1.4 Princípios, Conceitos e Responsabilidades

Disponível em: http://www.transparencia.org.br/

• Sobre o Princípio da Equidade: A palavra equidade tem origem no latim

• Ativos Humanos: pessoas, treinamentos, planos de carreira;

Estes ativos devem ser protegidos e controlados pela governança através de

• O CEO e CFO devem revisar os relatórios financeiros

A seção 404 especifica que:

• A administração tem a responsabilidade de estabelecer e manter uma

Para atender aos requisitos do SOX as informações financeiras devem aten-

• O conteúdo da informação deve ser apropriado.

As informações financeiras e os resultados da empresa são oriundos de pro-

1.6 Modelos de Governança Corporativa

O modelo de governança corporativa no Brasil se aproxima mais do Insider

1.7 Alinhamento de TI à Governança

O fato ds organizações estarem enfrentando um mercado cada vez mais com-

O ITGI é um Instituto criado em 1998 para melhoria e controle de padrões internacio-

• Manter a TI ainhada ao negócio;

A ISO 38500:2009, fundamentada nos princípios de Responsabilidade,

1.8 Responsabilidades da Governança de TI

Stakeholder Responsabilidade da Governança de TI

Figura 1.4 – Responsabilidades da Governança de TI. Fonte: Material Estácio WebAula.

Utilizando as estratégias descritas acima, há um direcionamento na utiliza-

1. Alinhamento estratégico e Compliance

Veja como o Ciclo é representado na imagem abaixo (FERNANDES e ABREU,

Alinhamento Decisão, compromisso, Estrutura, processos Medição do

Figura 1.5 – Ciclo da Governança e TI. Fonte: Material Estácio WebAula.

1. Alinhamento Estratégico e Compliance trata de que o planejamento estra-

Cliente Processos Internos

Figura 1.6 – Perspectivas do BSC. Fonte: Material Estácio WebAula

O objetivo no BSC é alcançado pelas seguintes ações e respostas às questões:

Atender as demandas dos quatro requisitos possibilita o ajuste continuo da

• Participação no Mercado: Qual a representatividade (%) das vendas da empresa

Perspectivas dos Processos

• Conformidade do Produto em relação ao Padrão: Especificação determinada