COBIT

EXPEDIEN T E
EQUIPE DIRETIVA
Oswaldo Luiz Saenger

Presidente – Grupo Projeção
José Sérgio de Jesus

Reitor e Diretor de Educação
Henrique Vinícius Ramos e Silva

Diretor de Operações
Jonathan Rosa Moreira

Pró-Reitor e Diretor Acadêmico da Educação Superior
ORGANIZAÇÃO
José Sérgio de Jesus
Jonathan Rosa Moreira
Francisca Carla Santos Ferrer
Daniel Barbosa Santos
Fabrício Vieira de Santana
Thamires de Oliveira Alencar
EQUIPE EDITORIAL
Daniel Barbosa Santos
Francisca Carla Santos Ferrer
Luis Eduardo Gauterio Fonseca
Fabrício Vieira de Santana
DESENVOLVIMENTO E SUPORTE TÉCNICO
José Gustavo Dias Alves
Thamires de Oliveira Alencar
Wellington Douglas Cordeiro de Souza Junior
SUPORTE ADMINISTRATIVO E LOGÍSTICO
Érika Silva Nascimento

JOSÉ SÉRGIO DE JESUS (Org)
JONATHAN ROSA MOREIRA (Org)
FRANCISCA CARLA SANTOS FERRER (Org)
DANIEL BARBOSA SANTOS (Org)
FABRÍCIO VIEIRA DE SANTANA (Org)
THAMIRES DE OLIVEIRA ALENCAR (Org)
COBIT
Coleção
Projeção lato sensu
Volume 6
Copyright © Projeção
Brasília - 2020
Diagramação: Fabrício Vieira de Santana

Capa: Thamires de Oliveira Alencar
Coleção: Projeção lato sensu
Volume: 6
DADOS INTERNACIONAIS DE CATALOGAÇÃO NA PUBLICAÇÃO (CIP)
658.511.4
COBIT / Organizadores, José Sérgio de Jesus ... [et al.] – Brasília: Projeção, 2020. 63 p. ;
30 cm. (Coleção Projeção latu sensu, v. 6)
ISBN: 978-65-89213-26-0
1. Gestão de projetos 2. Capability Maturity Model Integration 3. Processos de software

I. Jesus, José Sérgio de. IV. Título V. Coleção

CDU 658.511.4
Elaborada pelo processamento técnico da Biblioteca Central do Centro Universitário Projeção

Bibliotecário Luís Eduardo Gauterio Fonseca - CRB 01/1597
SUMÁRIO
06 ..................................................................Módulo 01
Governança Corporativa e Governança de TI
20 ........................................................................Módulo 02
Alinhamento Estratégico da TI
36 ........................................................................Módulo 03
COBIT
50 ........................................................................Módulo 04
Implantação da Governança de TI
M Ó D ULO 1
GOVERNANÇA CORPORATIVA E GOVERNANÇA DE TI
APRESENTAÇÃO
Nessa unidade vamos compreender o que é Governança. Iniciaremos o estudo da nossa
unidade pela Governança Corporativa, cujo objetivo é o de alinhar as expectativas entre exe-
cutivos e acionistas de uma organização empresarial. Além disso, ela deve favorecer o controle
interno dos ativos organizacionais e possibilitar uma eficiente Gestão de Risco. Uma vez com-
preendidos os aspectos da Governança Corporativa, iniciaremos os estudos da Governança
de TI, que tem objetivos semelhantes, porém, voltada para o monitoramento dos recursos e
ativos de TI, em prol da atribuição de valor da TI para o negócio. Compreenderemos o escopo
da Governança em TI, no sentido de alinhar estrategicamente a TI com a organização.
1. O que é Governança?
1.1 Governança Corporativa
Uma organização pode ser compreendida tomando decisões sobre investimentos, de-
como um grupo de pessoas associadas com missões de funcionários, contratos com for-
um objetivo em comum. Geralmente as or- necedores, entre uma infinidade de outras
ganizações são estruturadas de forma hierár- tarefas inerentes à gestão de uma grande
quica, com atividades voltadas para a execu- empresa. A gestão da empresa cabe aos seus
ção de algum tipo de negócio. No topo dessa executivos. E, é aí que entra a Governança.
hierarquia estão aquelas pessoas que deter-
A Governança Corporativa “[...] funda-
minam os rumos da organização.
mentou-se para criar um conjunto
No caso das empresas, que são aquelas
eficiente de mecanismos para assegurar
organizações que auferem lucro por suas ati-
que o comportamento dos executivos esteja
vidades, as pessoas que determinam o seu
sempre alinhado com o interesse dos acio-
rumo podem ser os seus proprietários, fun-
nistas, e também para evitar fraudes, erros
dadores ou sócios. No caso de empresas de
estratégicos e abusos de poder” (TOMIATTI,
capital aberto, Sociedades Anônimas (S.A.),
2012, p. 12).
por exemplo, são os seus acionistas. Também
é possível que empresas constituam um con- A definição de Governança Corporativa,
selho gestor e um conselho de sócios, que de acordo com o Instituto Brasileiro de Go-
não são, necessariamente, compostos pelos vernança Corporativa (IBCG, 2020) é:
mesmos membros.
[...] o sistema pelo qual as organizações
O fato é que, nem sempre, os proprie- são dirigidas, monitoradas e incentivadas,
envolvendo os relacionamentos entre
tários ou acionistas são os responsáveis por
proprietários, conselhos de administração,
efetuar a gestão da empresa. Por exemplo, diretoria e órgãos de controle. As boas práticas
qualquer um de nós pode ser acionista de de governança corporativa convertem princípios
uma grande empresa (S.A.), que possua ações em recomendações objetivas, alinhando
interesses com a finalidade de preservar e
negociadas na bolsa de valores. Mas, isso não otimizar o valor da organização, facilitando
significa que nós participemos da sua gestão, seu acesso ao capital e contribuindo para sua
longevidade. (IBGC, 2020).
7
Ainda de acordo com IBGC, a Governança 1.2 Controle Interno e Gestão de Risco
Corporativa traz alguns princípios. São eles:
Existem modelos de controle interno e de
• Princípio da Transparência: que consiste na gestão de risco capazes de garantir que os prin-
obrigação e no desejo de informar resulta- cípios da governança corporativa sejam obede-
dos e ações. cidos. O principal modelo norteador da estru-
turação de sistemas de controles internos e de
• Princípio da Equidade: tratamento igual para
gestão de risco é o COSO - The Committee of
todos os acionistas.
Sponsoring Organizations ofthe Treadway Com-
• Princípio da Prestação de Contas: os agen- mission (Comitê das Organizações Patrocinado-
tes da governança corporativa prestam con- ras).
tas e são responsáveis pelos seus atos e
omissões. COSO é uma entidade sem fins lucrativos,
dedicada à melhoria dos relatórios financeiros,
• Princípio da Responsabilidade Corporativa:
pautado na ética, efetividade dos controles inter-
os agentes de governança devem zelar pela
nos e governança corporativa. Ela foi criada por
sustentabilidade das organizações, visando
iniciativa do setor privado dos Estados Unidos
a sua longevidade, incorporando considera-
(bancos e seguradoras) para estudar as causas
ções de ordem social e ambiental na defini-
de ocorrências de fraudes em relatórios financei-
ção dos negócios e operações.
ros e contábeis, desenvolvendo recomendações
Portanto, a Governança Corporativa surgiu para empresas de capital aberto e para institui-
como uma maneira de implementar boas práti- ções de ensino.
cas de gestão, para minimizar os conflitos de in-
De acordo com o COSO, o controle interno
teresse existente entre os executivos gestores e
é um processo que pode ser efetuado pelo con-
os proprietários da empresa, definindo papéis e
selho de administração, executivos ou qualquer
responsabilidades para cada um deles.
outro funcionário de uma organização. Fernan-
Para Freitas (2013), o objetivo da governan- des & Abreu (2014) definem, para o COSO, as
ça é o de criar mecanismos eficientes de gestão, seguintes finalidades:
monitoramento e controle, com vistas a garan-
• Eficiência e eficácia das operações: que se
tir que as decisões dos gestores executivos e os
refere à salvaguarda de seus ativos, preven-
processos empresariais estejam alinhados com
ção e detecção de fraudes e erros.
os interesses dos proprietários ou acionistas. As-
sim, é possível conceder transparência no con- • Confiabilidade das demonstrações financei-
trole interno e na gestão dos riscos para os in- ras: exatidão, integridade e confiabilidade
vestidores da empresa, garantindo retorno para dos registros financeiros e contábeis.
os seus investimentos. A adoção de boas práticas • Conformidade com as leis e regulamentos vi-
de Governança Corporativa aumenta a confiança gentes: aderência às normas administrativas,
e a disposição dos investidores quem adquirir em às políticas da empresa e à legislação à qual
ações da empresa. está subordinada.
8
1.3 Sarbanes-Oxley e Basiléia II A SOx determina que as empresas aumentem
seus processos de controle, segurança e transpa-
Em 2001, a Enron Corporation, companhia
rência. Prevê mecanismos de auditoria, imprime
de energia americana, localizada em Hous-
responsabilidades à administração financeira da
ton, Texas, que empregava cerca de 21.000 pes-
empresa, controla as escriturações contábeis e
soas, decretou falência. Esse fato causou sur-
obriga a divulgação pública de informações. Ou
presa em toda a nação norte-americana, pois a
seja, ela define boas práticas de governança cor-
Enron era uma das empresas mais admiradas no
porativa, o que proporciona maior controle inter-
mundo. Era considerada a sétima maior empresa
no e gestão de riscos.
dos Estados Unidos, uma das líderes em distri-
buição de energia no país. No ano anterior ao O objetivo principal da SOx é o de identi-
da falência, seu faturamento havia atingido 101 ficar, combater e prevenir fraudes que possam
bilhões de dólares. impactar no desempenho financeiro das organi-
zações, garantindo o compliance (que é o dever
Entretanto, após a falência, descobriu-se, na
de observar e cumprir rigorosamente a legislação
verdade um grande escândalo financeiro, cujas
à qual se submete determinada organização). To-
dívidas chegavam à 13 bilhões de dólares. A
das as empresa norte-americanas e qualquer ou-
verdade é que a Enron havia manipulado seus
tra estrangeira, inclusive as brasileiras, mas que
balanços financeiros com a ajuda de empresas
atuam nos Estados Unidos, estão submetidas
e bancos. Esse evento provocou um efeito cas-
aos preceitos da SOx.
cata, que ocasionou a falência de várias outras
empresas, entre elas fundos de pensão, fundos Já o acordo de Basiléia II foi elaborado pelo
de investimentos e bancos. Além de prejuízos in- Comitê de Basileia para Supervisão Bancária, que
calculáveis a acionistas e investidores. é um fórum internacional que tem como objetivo
reforçar a regulação, a supervisão e as melhores
Esse fato originou a elaboração de uma fa- práticas bancárias para a promoção da estabili-
mosa lei, em 2002, pelos congressistas norte-a- dade financeira nas nações.
mericanos Paul Sarbanes e Michael Oxley (daí o
nome da lei, apelidada de SOx), para proteger in- O Acordo de Basileia I (1988) estabelecia re-
vestidores e demais stakeholders de erros nos comendações de exigências mínimas de capital
registros contábeis e a prática de fraudes. para instituições financeiras internacionalmente
ativas, principalmente para fins de mitigação do
Figura 1: Paul Sarbanes e Michael Oxley risco de crédito. Ou seja, era uma norma dire-
cionada aos grandes bancos. As recomendações
conhecidas como Basileia II (2004), foram uma
revisão desse primeiro acordo, que agregou prin-
cípios para uma avaliação mais precisa dos riscos
aos quais as instituições financeiras estão sub-
metidas.
1.4 Compliance
Fonte: https://portaldeauditoria.com.br/ O termo compliance tem origem no verbo

inglês “comply”, que significa literalmente: agir
9
de acordo com uma regra, instrução ou coman- governança de TI “[...] é o sistema pelo qual o uso
do. Portanto, literalmente, quando uma empresa atual e futuro da TI são dirigidos e controlados.
está em “compliance”, isso significa que ela está Significa avaliar e direcionar o uso da TI para dar
agindo em conformidade com as leis e regula- suporte à organização e monitorar seu uso para
mentos (internos e externos), definidos para a realizar planos. Inclui a estratégia e as políticas
sua área de atuação. É fundamental que as em- de uso da TI dentro da organização”.
presas assegurem a conformidade dos seus ne-
Segundo Weill e Ross (2004), a Governan-
gócios com a legislação vigente, além da regula-
ça de TI busca atender às práticas definidas pela
mentação aplicável ao setor econômico e órgãos
Governança Corporativa, visando responder às
de regulação.
seguintes questões:
Entretanto, o compliance vai muito além de
1. As capacidades da TI melhoram a competiti-
apenas seguir leis e regulamentos. Atualmente,
vidade da empresa?
esse conceito também está relacionado a valores
éticos do negócio e as melhores práticas do mer- 2. Todos os gerentes da empresa reconhecem
cado para atender às demandas da sociedade. suas responsabilidades com o gerenciamen-
Até mesmo a atenção com relação às questões to e o uso efetivo da TI – ou eles assumem
socioambientais, atualmente são alvo do com- que este é um problema apenas da área de
pliance. TI?
2. Governança de TI 3. Os investimentos em TI da empresa visam

atender aos objetivos estratégicos ou a em-
A Tecnologia da Informação (TI) possui im- presa desperdiça recursos e investimentos
portância fundamental para a grande maioria das apenas para atender às iniciativas táticas e
organizações, fornecendo suporte para todas as necessidades operacionais?
suas atividades, sejam elas estratégicas, táticas
ou operacionais. É fundamental que os proces- Para Fernandes e Abreu (2014), a governan-
sos de gestão da TI nas organizações estejam ça de TI deve:
imbuídos das melhores prática, para proporcio- • Promover o alinhamento da TI ao negócio
narem ganho substancial para as operações da (suas estratégias e objetivos), tanto no que
empresa. O setor de TI existe para possibilitar diz respeito a aplicações como à infraestru-
que as operações da empresa sejam realizadas a tura de serviços de TI;
contento e também que a própria gestão empre-
sarial aconteça com maior eficiência. • Providenciar a implantação de mecanismos
que garantam a continuidade do negócio
De acordo com o IT Governance Institute contra interrupções e falhas (manter e gerir
(2007), a Governança de TI é uma responsabili- as aplicações e a infraestrutura de serviços);
dade da alta administração (incluindo diretores e
• Viabilizar, com áreas de controle interno,
executivos), na liderança e nos processos que ga-
compliance e gestão de riscos, o alinhamento
rantem que a TI da empresa sustente e estenda
da TI a marcos de regulação externos, como
as estratégias e objetivos da organização. Já na
a Sarbanes-Oxley (empresas que possuem
concepção da ISO/IEC 38.500 (ASSOCIAÇÃO
ações ou títulos, papéis sendo negociados
BRASILEIRA DE NORMAS TÉCNICAS, 2009) a
10
em bolsas de valores norte-americanas), Ba- sua contribuição para a operação e objetivos
sileia II (no caso de bancos), além de outras do negócio.
normas.
• Entrega de valor: consiste no gerenciamen-
Portanto, perceba que a governança de TI é to dos programas e projetos, na avaliação do
uma peça fundamental da própria Governança valor entregue e no gerenciamento discipli-
Corporativa. Afinal, a Governança Corporativa nado do portfólio de TI.
não consegue ser eficiente se não houver um
• Gestão do desempenho: consiste na defini-
correto gerenciamento dos ativos e dos serviços
ção de indicadores, mecanismos de coleta e
da TI no âmbito de uma organização.
análise de indicadores de resultado (metas) e
2.1 Componentes da Governança de TI de desempenho da TI.
• Comunicação: consiste na comunicação do

Para Fernandes e Abreu (2014), os compo-
valor entregue pela TI ao negócio e em re-
nentes típicos da Governança em TI são:
lação ao seu desempenho no atendimento
• Riscos e compliance: consiste na definição dos níveis de serviços e das metas estabele-
da tolerância de riscos da organização e na cidas pelo planejamento estratégico.
avaliação conjunta dos riscos com o negócio,
• Gerenciamento de recursos: consiste na
assim como na garantia de que a TI está ade-
supervisão do investimento, do uso e da
rente com requisitos de compliance externos
alocação dos recursos de TI, por meio de
e internos (através dos controles internos
avaliações periódicas das iniciativas e ope-
aplicáveis).
rações de TI, visando assegurar a existência
• Avaliação independente: consiste na promo- de recursos suficientes e o alinhamento com
ção de avaliações (auditorias) independentes objetivos estratégicos e necessidades de ne-
para verificar a conformidade da TI com re- gócios atuais e futuras.
quisitos de compliance externos e com os
2.2 Objetivos da Governança em TI
controles internos aos quais está submetida.
Para compreendermos os objetivos da Go-
• Gestão da mudança organizacional: consis-
vernança em TI, é necessário considerar a neces-
te no processo de avaliar a prontidão para
sidade de alinhamento entre os executivos de
a mudança das áreas de TI, em função da
negócio, geralmente chamados de CEO (Chief
implantação de inovações em processos de
Executive Officer) e os executivos de TI, os CIO
gestão e operacional, do planejamento da
(Chief Information Officer). Ambos assumem a
mudança, do estabelecimento de mecanis-
responsabilidade de efetuar a gestão dos investi-
mos de recompensas para a mudança e do
mentos feitos na área de TI em prol de vantagens
gerenciamento da implantação da mudança.
competitivas para empresa.
• Alinhamento estratégico: consiste na inte-
ração entre a TI e a alta administração, no Para Fernandes e Abreu (2014), o principal
sentido de estabelecer os mecanismos de objetivo da Governança de TI é alinhar a TI aos
direitos decisórios, assim como a obtenção requisitos do negócio, apoiando o negócio, ga-
dos direcionadores estratégicos e objetivos rantindo a continuidade dos serviços e a mini-
de negócio que irão afetar a TI, bem como a mização da exposição do negócio aos riscos de
11
TI. Para os mesmos autores, como desdobrando nefícios para a organização. Em compensação, se
este objetivo principal, podemos identificar ou- mal utilizada, pode trazer um risco incalculável.
tros objetivos da Governança de TI. 2.3 Escopo da Governança em TI
• Promover o posicionamento mais claro e
Para Fernandes e Abreu (2014), a Governan-
consistente da TI em relação às demais áreas
ça de TI compreende mecanismos e componen-
de negócios da empresa.
tes logicamente integrados, que permitem a exe-
• Promover o alinhamento e a priorização das cução do Planejamento Estratégico desenhado
iniciativas de TI com a estratégia do negócio. para a TI. Esses componentes são agrupados em
• Promover o alinhamento da arquitetura de quatro domínios. A estrutura que define esse es-
TI, sua infraestrutura e aplicações às neces- copo é a seguinte:
sidades do negócio, em termos de presente Figura 2: Os domínios e componentes da
e futuro. Governança de TI
• Promover a implantação e melhoria dos pro-
cessos operacionais e de gestão necessários
para atender aos serviços de TI, conforme
padrões que atendam às necessidades do
negócio.
• Prover a TI da estrutura de processos que

possibilite a gestão do seu risco e compliance
para a continuidade operacional da empresa.
• Promover o emprego de regras claras para

as responsabilidades sobre decisões e ações
relativas à TI no âmbito da empresa.
Fonte: Fernandes e abreu (2014, p.38)
Dada a importância da tecnologia em todas
as áreas do negócio, a Governança em TI tam- Vejamos a explicação a respeito de cada um
bém é peça fundamental para efetuar a gestão desses componentes a seguir.
dos riscos dentro da corporação. Outra atenção
• Alinhamento estratégico – É a forma como
importante é que os recursos de TI sejam aplica-
a TI atende ao negócio. Corresponde às de-
dos em um contexto corporativo, com a finalida-
finições da TI com relação à sua arquitetura,
de de agregar valor ao negócio. A TI precisa visar
infraestrutura, aplicações, processos e orga-
o desenvolvimento dos processos de negócio,
nização; em conformidade com as necessi-
sempre com transparência, eficiência, eficácia e,
dades presentes e futuras do negócio. Essas
principalmente, proporcionando lucro.
definições devem constar do Plano Diretor
A Governança em TI é capaz de proporcionar de TI.
valor agregado ao negócio, possibilitando que a • Princípios de TI - São as regras que todos
organização gaste seus recursos com mais asser- os colaboradores, desde a alta gestão até os
tividade. Portanto, a adequada utilização da TI de nível operacional, devem seguir. São de-
no âmbito corporativo pode trazer inúmeros be- finições sobre a forma como os ativos de TI
12
devem ser utilizados. rança dos ativos da organização.
• Gestão da demanda – É a análise sobre os • Competências - Corresponde ao conjunto

serviços necessários para atender a deman- de conhecimentos que torna possível o de-
da, incluindo análise das capacidades dos senvolvimento e a implantação de iniciativas
componentes, melhoria dos serviços, neces- da área de TI.
sidades de inovação, entre outros.
• Processos e organização - Representa a for-
• Necessidades de aplicações – Aplicações de ma como os serviços e produtos de TI serão
TI voltadas para atender à continuidade do desenvolvidos, gerenciados e oferecidos aos
negócio. Definem as aplicações que devem usuários.
ser implantadas, assim como as que devem
• Plano de Tecnologia da Informação (ou Pla-
ser mantidas, melhoradas ou substituídas.
no Estratégico de TI ou Plano Diretor de
• Arquitetura de TI - Conjunto computacional TI) - Consiste no principal elemento de ali-
que define como será a utilização da TI, no nhamento estratégico entre TI e organiza-
âmbito de seus processos, tecnologias, apli- ção. É um documento que contempla uma
cações. comunicação clara a respeito dos objetivos
viva produtos e serviços de TI para todos na
• Infraestrutura de TI – Define a capacidade
organização.
planejada para a TI (em termos de recursos
técnicos é humanos). • Mecanismos de decisão - Define as respon-
sabilidades sobre as decisões relacionadas à
• Objetivos de desempenho - Responde às
TI dentro da organização.
metas traçadas pela administração da TI,
para atender aos seus objetivos organizacio- • Critérios de decisão - Definem como serão
nais. Geralmente, estão relacionados a medi- priorizadas e quais os critérios a serem obe-
ção dos níveis de serviço. decidos acerca de cada decisão relacionada
a TI.
• Capacidade de atendimento da TI - Define
a quantidade de recursos necessários para • Portfólio de TI - Possibilita o gerenciamento
atender a demanda pelos sistemas e servi- de todos os projetos e serviços de TI ofer-
ços, sejam eles humanos ou recursos com- tados na organização, conferindo níveis de
putacionais. prioridade sobre quais devem ser priorizados
ou não.
• Estratégia de sourcing - Sourcing é um mé-
todo da área de suprimentos que permite • Projetos - São divididos entre projetos
analisar o orçamento dedicado a determi- alocados (aqueles onde a TI não é parte
nados produtos ou serviços, de acordo com gestora) e projetos sob responsabilidade di-
um mapeamento de mercado para avaliar a reta da TI.
melhor proporção custo-benefício para o ne-
• Serviços - Estão relacionados às operações
gócio, em termos de suprimentos.
que acontecem na organização e que são
• Política de segurança da informação - Con- ofertadas pela TI. Podem incluir serviços aos
siste em determinar diretrizes e procedimen- usuários, gestores, clientes, fornecedores,
tos específicos, voltados a garantir a segu- parceiros, etc.
13
• Inovações - Podem ocorrer tanto em nível
de processos de negócio (uma nova forma
de executar um processo de maneira mais
eficaz, por exemplo), como também em pro-
dutos ou serviços ofertados pela TI.
• Relacionamento com o cliente - É a forma

como a TI possibilita a interação entre usu-
ários (internos ou externos) e a organização,
bem como o atendimento as demandas ge-
radas por eles.
• Relacionamento com fornecedores - Inclui

solicitações, consultas, acordos, controle de
qualidade e desempenho, entre outros.
• Gestão do valor da TI - Está relacionado

às atividades que possibilitam que a TI de-
monstre a sua importância e o seu valor para
o negócio, em termos de retorno do investi-
mento, custos relativos e valor agregado.
• Gestão do desempenho - Refere-se ao mo-

nitoramento da eficiência e da eficácia dos
serviços de TI, considerando qualidade do
suporte, entrega dos serviços, segurança da
informação, medição dos níveis de serviço,
entre outros.
Portanto, o escopo da governança em TI con-

siste em centralizar esforços para alinhar estrate-
gicamente a TI com a organização, promovendo
benefícios efetivos para o negócio. A utilização
de recursos de TI de forma responsável, permite
que a empresa explore novas oportunidades e
maximize o retorno do seu investimento na área
de tecnologia.
14
DESAFIO
O conselho de administração de uma empresa de energia S/A, aprovou
a compra de uma outra empresa sediada no exterior. À época, a com-
panhia anunciou ao mercado, através de fato relevante, a operação e
o valor do negócio, sem explicitar detalhes relativos às sinergias ou a
como aquela operação criaria valor a seus acionistas. O estatuto da
empresa imputava ao conselho de administração a responsabilidade
pela aprovação de operações de aquisição desse porte, e não aos dire-
tores. Anos mais tarde, uma investigação apontou que o preço pago na
operação foi bastante superior ao real valor de mercado da empresa
objeto da aquisição, o que trouxe prejuízos aos acionistas minoritários.
A empresa é considerada de grande porte, com executivos de alto es-

calão e mais de 100.000 funcionários. Essa empresa conta com di-
versas filiais em todo o Brasil e realiza operações que superam vários
milhões de reais.
Pensando nesse contexto, seu desafio é o de elencar argumentos para

responder aos seguintes questionamentos:
Do ponto de vista dos pilares de sustentação da governança corpo-

rativa, quais foram as falhas no sistema de governança da empresa?
Como uma política eficaz de governança norteada pelos pilares pode-
ria coibir esse tipo de situação? Comente esses dois questionamentos.
Quais os principais fatores ativos da governança em TI dentro de uma
organização desse porte.
15
LEITURA COMPLEMENTAR
A título de leitura complementar, para se aprofundar nas questões tratadas nessa unidade, são
sugeridas três leituras:
1. Para onde estamos caminhando? Uma análise das pesquisas em governança corporativa
A Governança Corporativa tornou-se um dos temas mais discutidos no mundo dos negócios com
grande impacto acadêmico e prático. A pesquisa objetiva identificar, a partir da análise da litera-
tura, o desenvolvimento da temática e as oportunidades de pesquisa. A partir da análise de 31
artigos teóricos e 59 artigos empíricos identificaram-se oportunidades de pesquisa dentro de uma
abordagem interpretativista e crítica com vistas a orientar estudos em distintos contextos e par-
ticularidades. Também foi observada a predominância da Teoria da Agência, todavia com limitada
investigação dos conflitos entre acionistas, e entre credores e gestão. As oportunidades de pesqui-
sas voltam-se à compreensão de fenômenos pela análise interligada da Teoria da Agência, Teoria
dos Stakeholders, Stewardship e Dependência de Recursos. Foi possível evidenciar, por meio da
literatura, que a análise dos mecanismos internos e externos de maneira complementar fornece
maiores subsídios às investigações. A pesquisa contribuiu para geração de conhecimento, ao apre-
sentar de maneira sistematizada as principais características dos pesquisadores de GC, os aspectos
conceituais e teóricos da área, além de apresentar às potencialidades para futuras pesquisas, quan-
to à abordagem, teoria e mecanismos de governança corporativa.
KREUZBERG, Fernanda; VICENTE, Ernesto Fernando Rodrigues. Para Onde Estamos Caminhando? Uma Análise
das Pesquisas em Governança Corporativa. Rev. adm. contemp., Curitiba, v. 23, n. 1, jan./feb. 2019. Disponível
em: https://www.scielo.br/scielo.php?pid=S1415-65552019000100043&script=sci_arttext&tlng=pt. Acesso
em: 5 out. 2020.
2.Influência da governança corporativa na mitigação de relatórios financeiros fraudulentos
Este estudo teve o objetivo de analisar a influência da estrutura de governança corporativa na

mitigação da Possibilidade de Relatórios Financeiros Fraudulentos (PRFF) das empresas no Brasil.
Os dados de 314 empresas abertas foram utilizados para estimação da previsibilidade de falência
e da possibilidade da manipulação de resultados, para posterior identificação da PRFF. Verificou-se
que em 5,5% das observações houve indicativo de Possibilidade de Relatório Financeiro Fraudu-
lento, além de a probabilidade de falência ter sido identificada em 16,91% das observações e a
probabilidade de manipulação de resultados ter sido identificada em 17,73% delas. A estrutura de
governança corporativa das empresas apresentou influência na mitigação da , seja de forma direta
ou indireta por meio da redução das probabilidades de falência ou de manipulação de resultados.
Notou-se que as práticas de governança relacionadas ao Conselho de Administração foram mais
eficientes contra a probabilidade de falência, ao passo que as práticas relacionadas à auditoria esti-
veram relacionadas à redução da manipulação de resultados. Entre as contribuições deste estudo,
16
estão a identificação das probabilidades de fraudes nos relatórios, de falência e de manipulação de
resultados para as empresas no Brasil, assim como a verificação de que a governança corporativa
foi eficaz na mitigação desses problemas, seja de forma direta ou indireta, informação que é útil a
investidores e reguladores desse mercado.
MARTINS, Orleans Silva; VENTURA JÚNIOR, Raul. Influência da governança corporativa na mitigação de relató-
rios financeiros fraudulentos. RBGN: Revista Brasileira de Gestão de Negócios, v. 22, n. 1, p. 65-84, 2020. Dis-
ponível em: https://dialnet.unirioja.es/servlet/articulo?codigo=7292316. Acesso em: 5 out. 2020.
3. Análise do compliance das empresas brasileiras às boas práticas de governança corporativa
Estudos relatam que a adesão às boas práticas de governança corporativa agrega valor à empresa.
No entanto, os resultados de tal adesão parecem estar condicionados a características institucio-
nais e legais específicas de cada país. Este estudo objetiva analisar o compliance às boas práticas
de governança corporativa no contexto das empresas de capital aberto do mercado brasileiro. A
amostra é composta por 1336 observações anuais de 167 empresas listadas na B3 (Brasil, Bolsa,
Balcão) no período 2010-2017. Utilizaram-se como referência as recomendações dos principais
códigos de governança corporativa existentes no Brasil. Fez-se teste de comparação de média
(teste t) e de proporção (teste z) entre o observado no coletivo de empresas e as recomendações
no mercado brasileiro. Apesar da adesão a muitas das boas práticas recomendadas ainda há espaço
para a empresa brasileira avançar. Os resultados indicam inobservância da empresa brasileira às re-
comendações referentes ao comitê de auditoria e conselho fiscal, o que pode fragilizar em especial
transparência e controle dos atos internos da empresa. Ademais, a adesão a níveis diferenciados
de mercado está associada a uma maior inclinação a observar as sugestões emanadas dos códigos,
o que pode ser devido à percepção de uma favorável relação custo-benefício da adoção da go-
vernança corporativa. Como contribuição do trabalho tem-se a análise detalhada do atual cenário
da governança corporativa da empresa brasileira a partir da avaliação do grau de adoção de cada
prática recomendada individualmente.
CRISÓSTOMO, Vicente Lima; GIRÃO, Aline Maria Coelho. Análise do Compliance das empresas brasileiras às boas
práticas de governança corporativa. Revista ambiente contábil, v. 11, n. 2, jul./dez., 2019. Disponível em: https://
periodicos.ufrn.br/ambiente/article/view/16369/11849. Acesso em: 5 out. 2020.
17
SAIBA +
Um dos fatos que mais contribuiu para a solidificação dos preceitos de Go-
vernança Corporativa, e consequentemente da Governança de TI, foi o es-
cândalo da Enron Corporation. Além de servir como pontapé inicial para a
criação da lei denominada Sarbanes-Oxley, o caso também foi um marco,
para que governo e empresas iniciassem um empreendimento de esforços
inédito, em busca da transparência nas operações de grandes empresas e
da redução de riscos para investidores.
No link abaixo, você confere detalhes a respeito do escândalo Enron Cor-

poration.
SCHMITT, Cecília. Entenda o Caso Enron. 2002. Disponível em: http://www.pro-

vedor.nuca.ie.ufrj.br/eletrobras/artigos/schmitt1.htm. Acesso em: 5 out. 2020.
18
Referências
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 38500:2009: governan-

ça corporativa de tecnologia da informação. Rio de Janeiro: ABNT, 2009.
CRISÓSTOMO, Vicente Lima; GIRÃO, Aline Maria Coelho. Análise do Compliance das empresas
brasileiras às boas práticas de governança corporativa. Revista ambiente contábil, v. 11, n. 2, jul./
dez., 2019. Disponível em: https://periodicos.ufrn.br/ambiente/article/view/16369/11849. Acesso
em: 5 out. 2020.
FERNANDES, Aguinaldo Aragon; ABREU, Vladimir Ferraz. Implantando a governança de TI: da es-
tratégia à gestão dos processos e serviços. 4. ed. Rio de Janeiro: Brasport, 2014.
FREITAS, Marcos André dos Santos. Fundamentos do gerenciamento de serviços de TI. 2. ed. Rio
de Janeiro: Brasport, 2013.
INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA. Governança corporativa. São Paulo:

IBGC, 2017. Disponível em: http://www.ibgc.org.br/inter.php?id=18161. Acesso em: 30 jun. 2020.
IT GOVERNANCE INSTITUTE. COBIT QuickStart. 2. ed. Rolling Meadows: ITGI, 2007.
KREUZBERG, Fernanda; VICENTE, Ernesto Fernando Rodrigues. Para Onde Estamos Ca-
minhando? Uma Análise das Pesquisas em Governança Corporativa. Rev. adm. contemp.,
Curitiba, v. 23, n. 1, jan./feb. 2019. Disponível em: https://www.scielo.br/scielo.php?pi-
d=S1415-65552019000100043&script=sci_arttext&tlng=pt. Acesso em: 5 out. 2020.
MARTINS, Orleans Silva; VENTURA JÚNIOR, Raul. Influência da governança corporativa na mitiga-
ção de relatórios financeiros fraudulentos. RBGN: Revista Brasileira de Gestão de Negócios, v. 22,
n. 1, p. 65-84, 2020. Disponível em: https://dialnet.unirioja.es/servlet/articulo?codigo=7292316.
Acesso em: 5 out. 2020.
PORTAL DE AUDITORIA. Introdução à Lei Sarbanes Oxley (SOx). Disponível em: https://portalde-
auditoria.com.br/. Acesso em: 1 jul.2020.
SCHMITT, Cecília. Entenda o caso Enron. 2002. Disponível em: http://www.provedor.nuca.ie.ufrj.br/

eletrobras/artigos/schmitt1.htm. Acesso em: 5 out. 2020.
TOMIATTI, T. S. Governança de TI. 2012. Monografia – Faculdade de Tecnologia de São Paulo, São
Paulo, 2012. Disponível em: http://www.fatecsp.br/dti/tcc/tcc00048.pdf. Acesso em: 30 jun. 2020.
WEILL, P.; ROSS, J. W. IT governance: how top performers manage IT decision rights for superior
results. Boston: Harvard Business, 2004.
19
M Ó D ULO 2
ALINHAMENTO ESTRATÉGICO DA TI
APRESENTAÇÃO
Nessa unidade de estudos trataremos de compreender as características do alinhamento
estratégico da TI. Veremos que, para que haja esse alinhamento, é necessário haver primeiro
um Planejamento Estratégico Organizacional, que irá nortear a construção de um Planeja-
mento Estratégico de TI (PETI). Compreenderemos as características do PETI e a importân-
cia desse planejamento seguir o mesmo ritmo do Planejamento Organizacional, devendo ser
construído a partir dos objetivos e das estratégias definidas para a organização. Finalizaremos
a unidade compreendendo os fatores que influenciam na análise estratégica da organização
e, por fim, os papéis inerentes à Governança de TI.
1. Alinhamento estratégico da TI
O alinhamento estratégico acontece Negócio (PN) da organização.

quando todos os eixos ou setores da organi-
• O alinhamento estratégico entre PE e
zação concorrem para um mesmo objetivo. O
PETI deve promover a integração funcio-
que inclui o alinhamento entre a gestão orga-
nal entre os ambientes externo (merca-
nizacional e a gestão de TI, fundamental para
dos) e interno (estrutura administrativa e
que a organização mantenha a eficácia em
recursos financeiros, tecnológicos e hu-
seu negócio. Geralmente, esse alinhamento
manos) para desenvolver as competên-
tem início com um planejamento estratégico
cias e maximizar a performance organi-
integrado, realizado entre as áreas de negó-
zacional.
cio é de tecnologia da informação (TI). Os do-
cumentos que norteiam esse planejamento • O alinhamento entre PE e PETI reflete a
são denominados Planejamento Estratégico junção entre a orientação estratégica do
Organizacional ou de Negócio (PE), realiza- negócio e a orientação estratégica de TI.
do no âmbito da organização, e Planejamen- • O alinhamento estratégico entre PE e
to Estratégico de TI (PETI), ou simplesmen- PETI impacta na performance organiza-
te Plano de TI, realizado especificamente no cional, que que se traduz na sua eficiên-
âmbito da TI. cia e eficácia de atuação.
Sobre esses dois importantes instrumen- Esse alinhamento consiste em transpor-

tos de planejamento, Morais (2018) chama tar a estratégia do negócio para a estratégia
atenção para algumas questões importantes. de TI, garantindo que os objetivos do negócio
sejam suportados pela área de TI. Da mesma
• O alinhamento entre PE e PETI é alcança-
forma, as estratégias de TI devem potenciali-
do quando o conjunto de estratégias de
zar estratégias de negócio que seriam impos-
TI (sistemas, objetivos, obrigações, estra-
síveis de serem implantadas sem o auxílio de
tégias), é derivado do conjunto estratégi-
tecnologia. Assim, a estratégia de TI influen-
co organizacional, composto de missão,
cia e é influenciada pela estratégia de negó-
objetivos, planejamentos e estratégias.
cio, promovendo uma interação recíproca en-
• O elo entre PE e PETI está na forma tre elas.
como o Plano de TI suporta o Plano de
21
O Modelo de Ramizes e Sender (2003) ilus-
tra bem essa interdependência entre o PETI e o
PE.
Figura: Modelo Ramizes e Sender
Fonte: Modelo de Ramirez e Sender (2003) sobre o PETI
Esse alinhamento estratégico pode aconte- 2. Planejamento Estratégico

cer em diversos momentos do ciclo de vida da
O planejamento constitui-se de um dos pro-
organização. Por exemplo, no momento em que
cessos mais importantes na vida de uma organi-
os gestores se reúnem para planejar os objetivos
zação. Ele é uma peça fundamental para se al-
do negócio a médio e longo prazo, definindo es-
cançar os objetivos organizacionais, na medida
tratégias para atingir esses objetivos. Ou então,
em que define as metas a serem alcançadas em
quando eles se reúnem para analisar o cenário
cada etapa do caminho, os recursos a serem utili-
competitivo em busca de novas oportunidades.
zados e o método a ser adotado para se atingir os
Por isso, Fernandes e Abreu (2014) categorizam
objetivos. Almeida (2003) afirma que o Planeja-
o alinhamento estratégico como estático ou di-
mento Estratégico é uma atividade que propicia,
nâmico.
para a empresa, a consciência das oportunidades
• Alinhamento estático - Ocorre no momento e das ameaças enfrentadas no cumprimento de
em que a empresa planeja o seu futuro. É sua missão.
derivado do Plano Estratégico e do Plano de
Isso significa que o Planejamento Estratégi-
Negócios da empresa.
co possibilita a identificação de fatores externos
• Alinhamento dinâmico - Refere-se às altera- que contribuem como oportunidades ou amea-
ções da estratégia de TI em função de mu- ças. Por exemplo, mudanças macroeconômicas
danças nas estratégias de negócios da em- no país, o surgimento de novos concorrentes ou
presa, ocasionadas por mudanças de cenário as altas taxas de câmbio. Assim como, permite
da economia ou da política, por exemplo, a identificação de fatores internos, que podem
fazendo com que a empresa precise redire- ser encarados como forças ou fraquezas da or-
cionar os seus esforços. ganização, como o domínio de uma tecnologia,
22
necessidade de treinamento de funcionário, bom para responder questões fundamentais que
conhecimento em gestão, entre outros. norteiam a organização, como: em que negó-
cio atuar, como fazer a gestão de portfólio, a
O Planejamento Estratégico organizacional
melhor forma de alocar recursos, novos ne-
decorre das estratégias corporativas e competi-
gócios a serem desenvolvidos, entre outros.
tivas definidas pela alta gestão. Essas estratégias,
por sua vez, são desenhadas a partir da inteli- • Estratégia competitiva e de posicionamen-
gência competitiva que é adquirida ao longo do to - Está relacionada à missão da empresa,
tempo. Fernandes e Abreu (2014) ilustram bem os objetivos estratégicos do negócio, sua
o surgimento do Plano Estratégico organizacio- diferenciação frente aos concorrentes, sua
nal, bem como a sua relação com os demais pla- estratégia de crescimento, entre outros.
nejamentos efetuados pelas áreas funcionais da • Plano Estratégico - É o documento que con-
organização, inclusive o PETI, realizado pela área tém as intenções da alta gestão sobre como
de TI. atingir os seus objetivos de negócio. Estabe-
lece os métodos para que os objetivos sejam
Figura: Processo de Planejamento Estratégi-
atingidos.
co Organizacional
• Planos funcionais - Desdobram as estraté-
gias do negócio em estratégias a serem reali-
zadas no âmbito de cada função ou setor da
organização. Todos devem estar alinhados
para que os objetivos do plano estratégico
sejam atingidos.
Portanto, o PETI é tido como um dos planos

funcionais, que deve estar alinhado ao planeja-
mento estratégico organizacional. Entretanto,
Fonte: Fernandes e Abreu (2014) ele não está restrito somente à área de TI, de-
Vejamos, de acordo com os mesmos autores, vendo apoiar, em termos de operação e desen-
quais foram as etapas consideradas para a con- volvimento de novas soluções, as necessidades
secução de um Plano de TI. do negócio e dos diversos setores. Portanto, a
compreensão dos gestores de TI sobre o negócio
• Inteligência competitiva - Refere-se ao tra- é fundamental para determinar e direcionar os
tamento das informações (internas e exter- serviços a usuários e clientes que serão disponi-
nas), de forma a constituir um aprendizado bilizados e suportados.
inteligente sobre como aumentar a competi-
tividade da empresa. Esse aprendizado é ob- 3. Planejamento Estratégico de TI (PETI)
tido a partir da avaliação de oportunidades Para Morais (2018), o PETI surgiu outros dois
e ameaças, pontos fortes e pontos fracos, planejamentos anteriormente adotados nas or-
erros e acertos, em prol de uma evolução or- ganizações: o Planejamento Estratégico de Infor-
ganizacional continua. mações (PESI), que há alguns anos servia como
• Estratégia corporativa - Refere-se ao con- um portfólio de sistemas disponíveis para obten-
junto de métodos adotados pela organização ção de informações; e o Plano Diretor de Infor-
23
mática (também chamado de Plano Diretor de sário reavaliar a organização das operações e a
TI), utilizado até bem pouco tempo atrás e que oferta dos serviços, considerando os processos
tratava mais da parte da infraestrutura necessá- operacionais da organização, os processos de
ria para suportar o serviços da TI. Atualmente, o gestão, o relacionamento com clientes e com
PETI aglutina esses 2 documentos, sendo consi- usuários, a relação com fornecedores, além dos
derado como estrutura principal do alinhamen- recursos humanos para implantação e gestão
to estratégico realizado entre a área de TI e alta de todo esse escopo. Todas essas necessidades
gestão da organização. indicadas no PETI e que deverão ser supridas
quando da execução do planejamento, formarão
3.1 Características do PETI
novo portfólio de TI.
Conforme às melhores práticas de governan-
Para a finalização do plano, devemos consi-
ça de TI, o PETI é o principal documento gerado
derar que esse portfólio de TI deve ser aprova-
na fase de alinhamento estratégico entre a TI e
do pela alta gestão, o que requer gerenciamento
a organização. Esse tipo de planejamento, ge-
acerca dos investimentos definidos pela organi-
ralmente é feito de forma anual. Entretanto ele
zação para a área de TI. Para isso, é necessário
também pode ser feito para períodos de até 3
considerar critérios de análise, que vão definir as
anos, desde que sejam realizadas revisões atuais.
prioridade de execução relacionadas aos proje-
Principalmente, se considerarmos as constantes
tos elencados no PETI.
transformações e evoluções da tecnologia.
Para Fernandes e Abreu (2014), o Portfólio
O PETI, segue o mesmo ritmo do Planeja-
de TI pode ser subdividido em duas partes:
mento Estratégico organizacional, devendo ser
construído a partir dos objetivos e estratégias 1. Necessidades do negócio – Que define as
definidas para a organização. Como os dois pla- aplicações de apoio aos processos geren-
nos se retroalimentam, as definições contidas ciais e operacionais. Por exemplo: manuten-
no PETI devem sugerir novas oportunidades de ção de aplicações existentes, necessidade
negócio a partir do uso da tecnologia ou prover de upgrades em sistemas, desenvolvimento
informações sobre como será o apoio aos ob- de soluções (envolvendo Business Intelligen-
jetivos estratégias organizacionais, definidos no ce, Cloud Computing, Customer Relationship
planejamento organizacional. O que inclui es- Management, entre outros).
tratégias de suporte para as áreas funcionais da
2. Necessidades Internas da TI - Referem-se à
empresa, como marketing, produção, recursos
capacitação da TI para atender aos serviços,
humanos, logística, vendas, entre outras.
projetos e inovações que serão implantadas
O profundo entendimento da dinâmica do no âmbito da organização. Por exemplo: im-
negócio auxilia na determinação dos itens que plantação de segurança da informação, de-
irão compor o PETI, uma vez que ele deve prever finição de uma metodologia de gestão de
recursos computacionais, materiais e humanos projetos, processos de gestão de mudanças,
para as atividades a serem desempenhadas pela inovações tecnológicas a serem estudadas,
TI em toda a organização. Uma vez definidas as capacitação de pessoal técnico, melhoria da
necessidades, em termos de soluções de aplica- arquitetura de TI, entre outros.
tivos, arquitetura e infraestrutura de TI, é neces-
24
Fernandes e Abreu (2014) definem alguns previsto ou não; que serviços são fornecidos
passos fundamentais que constituem o proces- a usuários e clientes e também quais as pro-
so de elaboração de um Plano Estratégico de TI. postas de melhorias registrados. A análise do
Vejamos cada um deles. portfólio também permite identificar o que
deve permanecer e o que deve ser reestru-
Imagem: processo de elaboração de um PETI
turado; as ações ou serviços que devem ser
cancelados; as necessidades de melhoria,
entre outros.
• Entendimento da dinâmica do negócio -

Compreender a dinâmica envolvida no ne-
gócio é fundamental para determinar a ca-
pacidade que a TI deve ter para conseguir
atender às demandas do negócio. Geral-
mente, a análise estratégica da organização
e a análise do portfólio atual de TI fornecem
elementos para compreender a dinâmica do
negócio. Além disso, é fundamental conhe-
cer como os processos de negócio estão
mapeados, não só para compreender a sua
dinâmica, mas também conseguir propor
melhorias nas atividades. Além disso, é
importante compreender as mudanças e
a evolução do negócio, como alteração do
Fonte: Fernandes e Abreu (2014, p.76) perfil do cliente, oferta de novos produtos ou
serviços, localidades de atuação da empresa,
• Análise estratégica da organização - Anali- novos processos de produção, novas lojas
sar estrategicamente a organização significa em o peração, estudos para expansão das
compreender os requisitos do negócio que operações, etc. Tudo isso pode acarretar au-
impactam diretamente a TI e também como mento de demanda dos serviços de TI, bem
a TI pode contribuir com o sucesso do ne- como nos níveis de serviços requeridos, com
gócio. Para isso é importante compreender impacto em custos e riscos.
a estrutura do negócio, os objetivos estra-
• Definição da estratégia de serviços - Uma
tégicos do negócio e como eles podem se
vez compreendido o negócio, a sua dinâmica
desdobrar em objetivos para a TI.
e analisando também o portfólio atual de TI,
• Análise do portfólio atual de TI - Analisar o é necessário pensar em como os serviços de
portfólio atual da TI é importante para veri- TI serão ofertados. A estratégia de serviços
ficar o que está sendo executado em termos deve levar em consideração o que gera va-
de projetos, serviços e inovação; se o que lor para clientes e usuários, para desenvolver
estava previsto e não foi realizado; se o or- como será a oferta dos serviços de TI.
çamento previsto para a TI ficou dentro do
25
• Definição dos objetivos e metas de TI - De específicos de TI, serviços de suporte, dis-
forma geral, podemos considerar que os ob- ponibilidade de sistemas e infraestrutura de
jetivos e metas de TI são derivados dos se- atendimento a chamados, treinamento, de-
guintes fatores: senvolvimento de projetos, entre outros.
o Análise e definição das necessidades do • Definição da estratégia de segurança da

negócio. informação - Uma Política de Segurança da
o Definição da estratégia de serviços. Informação (PSI) deve estar associada ao ris-
co que a TI representa para a continuidade
o Análise e definição da arquitetura de TI.
do negócio. Em teoria, essa política só pode
o Definição da estratégia de sourcing. ser desenhada após o desenho de todas as
o Definição da arquitetura de processos de arquiteturas anteriores. Afinal, só é possível
TI e organização. implantar segurança da informação quando
se conhece o panorama onde ela deve ser
o Definição da estratégia de segurança da
aplicada. A profundidade e a especificidade
informação.
da PSI são definidas em função do papel es-
• Análise e definição das necessidades do ne- tratégico que a TI representa para o negócio.
gócio - Em geral, as necessidades de aplica- Assim, quanto mais arraigados os serviços de
ções para o negócio envolvem a implantação TI para o funcionamento do negócio, maior
de novas aplicações de TI, a melhoria das deve ser o investimento em segurança da in-
aplicações já existentes e a substituição ou formação.
descarte de aplicações.
Fernandes e Abreu (2014) afirmam que,
• Análise e definição da arquitetura de TI – A quando se trata de segurança da informação, al-
arquitetura de TI é constituída pela organiza- guns aspectos fundamentais devem ser conside-
ção de dados, aplica ações e infraestrutura rados:
que proporcionam uma padronização técni-
1. Instituição de um Sistema de Gestão da Se-
ca para a execução dos serviços de TI.
gurança da Informação ou Information Se-
• Definição da estratégia de sourcing - Com a curity Management System, que contemple
visão formada sobre o que será necessário toda a organização, a liderança, o planeja-
em termos de necessidades de aplicações, mento, o apoio, a operação, o desempenho,
arquitetura de TI, infraestrutura de TI e ca- a melhoria contínua e a conformidade com
pacidade requerida, é possível decidir sobre requisitos legais e infralegais.
como será feita a oferta desses serviços, o
2. Constituição de uma Política de Segurança
que inclui analisar prós e contras a respeito,
da Informação documentada.
por exemplo, de terceirização, utilização de
armazenamento em nuvem, análise de for- 3. Organização da segurança da informação.
necedores, entre outros. 4. Segurança em recursos humanos.
• Definição da arquitetura de processos de TI 5. Gestão de ativos.
e organização - Essa definição está pauta-
6. Controle de acesso.
da em como estará estruturada a operação
dos serviços, incluindo serviços de produtos 7. Criptografia.
26
8. Segurança física e ambiental. estabelecidas as prioridades, a TI demonstre
como o valor orçado será distribuído pelo
9. Segurança das operações.
seu portfólio.
10. Segurança das comunicações.
• Priorização de investimentos - os projetos,
11. Aquisição, desenvolvimento e manutenção serviços e inovações devem ser priorizados
de sistemas. considerando a capacidade de investimento
12. Relacionamento com fornecedores. da empresa. A forma de priorizar os inves-
timentos na TI podem obedecer a critérios
13. Gestão de incidentes de segurança da infor-
como risco envolvido, retorno esperado, me-
mação.
lhoria do serviço, entre outros. É bastante
14. Aspectos de segurança da informação da recomendado que essa definição seja feita
gestão da continuidade do negócio. de maneira conjunta, entre os gestores de TI
15. Conformidade. e os gestores do negócio.
Em função da sua complexidade e da sua im- • Portfólio de TI aprovado - Esse é o resultado

portância para a condução e a gestão do negó- do processo de planejamento de TI. O por-
cio, a Política de Segurança da Informação pode tfólio tem como objetivo comunicar as prio-
ser considerada de forma autônoma, ou seja, um ridades de investimento de TI da empresa,
documento que integra, mas que também pode mostrando os riscos envolvidos e otimizan-
ser considerado de forma separada do PETI. do os recursos alocados para a TI. Ele tam-
bém é importante para monitorar as iniciati-
Os modelos de segurança da informação, re- vas de TI, além de eliminar as redundâncias
presentados pelas normas ISO da série 27000, dessas iniciativas. Além disso, o portfólio é
podem ser uma base para se estabelecer a políti- a demonstração do elo entre estratégia do
ca de segurança da informação. negócio com as iniciativas de TI. Por isso, é
recomendado que ele apresente uma lingua-
• Consolidação do portfólio preliminar de TI
gem mais próxima à linguagem do negócio,
- Essa etapa consiste em consolidar as ne-
em vez de termos específicos da área de TI.
cessidades a serem implantadas pela TI no
O portfólio deverá referenciar os itens dire-
âmbito da organização. Para isso é neces-
tamente relacionados ao atendimento das
sário considerar a interdependência entre
necessidades do negócio e os itens relacio-
projetos, serviços e aplicações, bem como
nados a necessidades internas da TI.
a relação entre eles e os objetivos definidos
no Planejamento Estratégico da organização. • Plano de TI – Negócios - De acordo com
O que inclui avaliações sobre priorização de Fernandes e Abreu (2014), o plano de TI vol-
investimentos. tado para os negócios é aquele que contém,
por exemplo:
• Definição do orçamento - Orçamento de
TI é o resultado nas estimativas de investi- o Projetos de desenvolvimento e implanta-
mento para novos projetos, serviços e ino- ção de sistemas, soluções de ERP, CRM,
vações, confrontado com as despesas e os Contact Center etc.
investimentos previstos no plano estratégico o Projetos de soluções específicas e inova-
organizacional. É importante que, uma vez doras de segurança da informação, como
27
identificação biométrica, sistemas de vi- to de serviços de TI.
gilância etc. o Projeto de implantação de novos seviços
o Projetos de adoção de novos paradigmas de TI etc.
tecnológicos (por exemplo cloud compu-
As prioridades devem estar alinhadas à es-
ting, Big Data, BYOD etc.).
tratégia de serviços de TI definidas anteriormen-
o Projetos de melhorias em sistemas existe, pois são derivadas das necessidades do negó-
tentes. cio, do entendimento do negócio, da análise do
o Projetos de Business Intelligence e siste- portfólio atual e do entendimento da dinâmica
mas gerenciais. do negócio.
o Sistemas e soluções que deverão ser 3.2 Papéis da Governança de TI

mantidas e as que irão ser descartadas.
Em algumas organizações, algumas funções
• Plano de TI – Interno - Para os mesmos au- da governança de TI estão integradas à Gover-
tores, o plano de TI interno é constituído por nança Corporativa. Como aquelas relacionadas à
iniciativas da área de TI voltadas a atender o gestão de riscos, controles internos, segurança
próprio Plano de TI, como: da informação, priorização de investimentos. De
o Projetos de implantação de Governança qualquer forma, a definição das responsabilida-
de TI. des depende das características e do modelo de
governança desenhado para cada organização.
o Projetos de implantação de processos de
TI. De qualquer forma, a criação de uma área ou
o Projetos de implantação/melhoria de departamento específico para lidar com a Gover-
data center. nança de TI tem a função de dar mais visibilidade
ao CIO (Chief Information Officer), conferindo
o Projetos de implantação/expansão de re-
lhe responsabilidade para dirigir a implantação
des de comunicação.
das políticas, regras e práticas de gestão e ope-
o Projetos de segurança da informação.
ração de serviços de TI.
o Projetos de desenvolvimento de com-
A implantação de governança de TI deve ser
petências em recursos humanos.
encarada como um programa. Para isso, deve ser
o Projetos de infraestrutura de TI.
designado um gerente, geralmente vinculado ao
o Projetos de aquisição de software de CIO, para que a organização implante as melho-
monitoramento e desempenho do ambi- res práticas. Geralmente, o programa é encerra-
ente. do quando os objetivos de maturidade dos pro-
o Sistemas específicos necessários para a cessos são alcançados.
gestão de TI.
Para esclarecer esse aspecto, Fernandes e
o Projetos de estudos e prospecção de no- Abreu (2014) propõem uma interessante e eluci-
vas tecnologias. dativa tabela, contendo as funções e atribuições
o Projetos de otimização da arquitetura de de cada um dos atores ou setores envolvidos
software. com a implantação da Governança de TI em uma
o Projeto de implantação do gerenciamen- organização.
28
Tabela 1: Funções e atribuições na Governança de TI
Funções da
Diretoria Áreas de
governança Governança de Áreas funcionais
CIO controle, risco
e de gestão executiva TI da TI
e compliance
da TI
Faz com que a
Segue a política
área de TI siga a Verificam se as
Aprova a política e os métodos, Seguem a política,
política de risco ações de miti-
Risco e com- de risco e com- mas trabalha desenvolvem e im-
da organização e gação foram im-
pliance pliance da organi- com indicadores plantam ações de
monitora os ris- plantadas e se
zação. e monitora os mitigação.
cos da TI para o foram efetivas.
riscos.
negócio.
Faz com que a

Segue a políti-
área de TI siga a É de
Aprova a política ca, trabalha com
política de con- Seguem a política responsabilidade
Avaliação inde controles in- indicadores que
troles internos e resolvem os itens da área de
dependente ternos da organi- monitoram a re-
da organização e não conformes. auditoria interna
zação. solução das não
monitora as pen- da organização.
conformidades.
dências.
Participam do pro-
grama de mudança,
Aprova mudan- A governança de liderando a mudan-
Aprova o progra-
ças na política TI pode montar ça na sua área, colo-
Gestão da ma de mudança
de pessoal e de e dirigir o pro- cando o seu pessoal
mudança or- organizacional e -
desenvolvimento grama de geren- para ser treinado
ganizacional lidera a sua im-
de recursos hu- ciamento da mu- e capacitado e im-
plantação.
manos. dança. plantam as melho-
res práticas em sua
área.
Define e comu-
Dirige o processo
nica a estratégia Define a estra- Participam da ela-
de planejamento
da organização e tégia de TI e a boração da estraté-
de TI e suas re-
decide sobre as comunica para gia de TI. Elaboram,
visões. Verifica
priorizações de as demais áreas gerenciam e implan-
a aderência dos
Alinhamento i nve s t i m e nt o s . funcionais de TI. tam seus planos
planos de TI com -
estratégico Aprova o orça- Propõe as priori- internos alinhados
a estratégia de
mento da área de dades para a di- com a estratégia de
TI. Estrutura o
TI e monitora os retoria executiva TI e elaboram os
portfólio de TI e
projetos estraté- e gerencia o por- respectivos orça-
consolida o orça-
gicos de negócios tfólio de TI. mentos.
mento de TI.
em TI.
Desenvolvem pro-
jetos, fornecem
Monitora o por-
Gerencia o por- serviços que geram
tfólio de TI. Veri-
tfólio de TI, a inovações de acor-
Monitora os pro- fica se os planos
Entrega de demanda, o rela- do com as melhores
jetos de negócio de TI estão sen- -
valor cionamento com práticas definidas
e TI estratégicos. do implantados
clientes e forne- pelo plano de TI,
e fornece visibili-
cedores. atendem a clientes e
dade para o CIO.
gerenciam serviços
de terceiros.
29
Gerencia o uso Propõem e implan-
de recursos e tam ações para oti-
Verifica oportu-
define ações mização de recur-
Recebe informes nidades de otimi-
para sua otimi- sos. Gerenciam os
G e r e n c i a - sobre a execução zação de recur-
zação. Gerencia recursos sob a sua
mento de re- orçamentária e sos. Acompanha -
o orçamento e responsabilidade e
cursos de investimentos a realização do
i nve s t i m e n t o s realizam o controle
da área de TI. orçamento e os
na área e repor- orçamentário de in-
investimentos.
ta-se à diretoria vestimentos em sua
executiva. área de atuação.
Propõe Métodos
de gerenciamen-
to do desempe-
nho. Mantém o
Gerenciam o de-
Gerencia o de- dashboard de
sempenho de seus
sempenho da TI, governança de
projetos, assim
gerencia a estra- TI. Monitora o
como a estratégia,
tégia de TI, soli- desempenho e a
Gestão de os serviços e as ino-
- cita recuperação criação de valor -
desempenho vações. Realizam
de desempenho da TI e faz reco-
correções, fornecem
para os seus ge- mendações. Ava-
os indicadores para
rentes e rede es- lia a efetividade
governança de TI e
tratégica. das melhores
para o CIO.
práticas sobre a
geração de valor
e sobre o risco
da TI.
Recebe os infor-
Consolida indica-
mes de desem- Recebe os infor-
dores de desem-
penho da TI e mes de desem- Comunicam os re-
penho e de valor.
da criação de va- penho e criação sultados de seu de-
e específicos de
lores através de de valor. Avalia sempenho e criação
comunicação interesse para -
dashboard exe- a estratégia de de valor, alimentan-
governança de TI
cutivo. Solicita TI. Reporta-se à do o dashboard de
e os comunica ao
ações de recupe- diretoria execu- gestão de TI.
CIO. Mantém o
ração de melho- tiva.
dashboard de TI.
ria.
30
DESAFIO
A governança e a tecnologia trazem para o contexto organizacional di-
versas vantagens, que, juntas, geralmente promovem eficiência, segu-
rança e transparência dos processos. Com base nesse aspecto, reflita
sobre as definições e conceitos que englobam o contexto da Gover-
nança de TI
Considere que você é funcionário de uma rede de supermercados que

tem mais de 2.000 funcionários e filiais em diversos estados do Brasil.
Essa rede utiliza a Tecnologia da Informação para suprir a demanda
pela necessidade de expansão da qualidade que deve ser aplicada nos
processos e, por consequência, nos produtos.
Elabore um texto argumentativo contendo cinco vantagens que a apli-

cação da governança corporativa e a governança de TI podem trazer
para esse contexto. Na sua argumentação, inclua também um ponto
negativo que pode ser causado pelo uso da governança.
Na sua reflexão, considere:
• uso correto da infraestrutura;
• segurança de dados;
• estão de dados;
• transparência dos processos e integração dos serviços;
• resistência e necessidade de treinamento por parte dos funcioná-

rios de alta escalão para lidar com a governança.
31
1. Restruturação da governança corporativa e de compliance em uma situação de crise: O caso

da Odebrecht s.a.
O objetivo geral deste estudo foi avaliar o processo de reestruturação da governança corporativa
e de compliance da Odebrecht S.A. no contexto do desenvolvimento de seu Sistema de Confor-
midade, em resposta aos desafios contemporâneos enfrentados pela empresa. Para tanto, foram
realizadas análises de documentos e registros da companhia e entrevistas individuais com pessoas
chaves no desenvolvimento do sistema de conformidade. O estudo conclui que: (a) a reestrutura-
ção da governança - corporativa e de compliance – e as ações da alta administração para patro-
cinar/reforçar o programa impulsionaram o início do aprimoramento do sistema de conformidade
da Odebrecht S.A, sem, contudo, atingirem as metas contidas nos compromissos assumidos com
autoridades competentes; (b) com a criação de uma instância responsável, dotada de pessoas e
recursos adequados, foi instituída uma estrutura permanente de avaliação e melhoria dos proces-
sos de conformidade e disseminação de experiências e melhores práticas; e (c) a despeito de ter
editado uma política sobre o tema, o processo de gestão de riscos da Odebrecht S.A. mostra-se
incipiente, pois ainda não há mapeamento formal de riscos, bem como definição de limites de ex-
posição máxima aceitável para estes.
SILVA, Marcos Ricardo Cruz da; MONTEIRO, Augusto de Oliveira. Restruturação da governança corporativa e de
compliance em uma situação de crise: o caso da Odebrecht S.A. Revista Gestão e Planejamento, Salvador, v. 20,
p. 420-436, jan./dez. 2019. Disponível em: https://amazon-c.unifacs.br/index.php/rgb/article/view/5652/3823.
2. Como as literaturas de adoção de TI e de governança de TI estão associadas para gerar valor aos
negócios: Reflexões no contexto de PMEs
A simples adoção de Tecnologia da Informação (TI) por pequenas e médias empresas (PMEs) não
influencia diretamente na agregação de valor aos negócios, mas deve ocorrer de forma alinhada
com as estratégias organizacionais. O alinhamento da TI com os negócios é discutido no âmbito da
governança de TI (GTI) e pode ser alcançado por meio do desenvolvimento de uma visão unificada
da adoção de TI em prol da criação de valor comercial. Nesse contexto, o objetivo da pesquisa foi
identificar e discutir as relações potenciais entre a literatura de adoção de TI e a de GTI. Adotou-se
uma abordagem interdisciplinar, qualitativa, sob uma lógica indutiva e epistemologia interpreta-
tivista. A aplicação em conjunto de teorias e modelos clássicos da literatura de adoção de TI, da
teoria da Visão Baseada em Recursos e dos princípios de GTI permitiu estabelecer um modelo
teórico-relacional dinâmico, e contingenciado pelo ambiente ao qual a organização está inserida.
32
FROGERI, Rodrigo Franklin et al. Como as Literaturas de Adoção de TI e de Governança de TI Estão Associadas
para Gerar Valor aos Negócios: reflexões no contexto de PMEs. Revista Ibérica de Sistemas e Tecnologias de
Informação; Lousada, Ed. E24, p. 363-678, nov. 2019. Disponível em: https://search.proquest.com/openview/
b98bf8683869d7098e22b49813364c4f/1?pq-origsite=gscholar&- cbl=1006393. Acesso em: 5 out. 2020.
3. O papel do CIO no alinhamento estratégico entre governança de TI e inovação
A tecnologia vem avançando e as empresas precisam se preparar para as mudanças e se adaptar

a elas. Os clientes finais estão mais exigentes e as organizações passaram a buscar o aumento no
nível de satisfação, sendo movidas pela criação de ofertas de maior qualidade, trazendo, como
consequência, uma maior competitividade no mercado. Com isso, explora-se na literatura a neces-
sidade de respostas mais rápidas às novas demandas, colocando em risco as formas convencionais
de atuação na Governança de TI. Este estudo visa responder como o diretor de TI (CIO) de uma
grande corporação privada vem atuando no alinhamento entre governança de TI e inovação e
quais os principais desafios desse CIO. Assim, a pesquisa tem como objetivos compreender quais
fatores são considerados essenciais para esse líder de TI e identificar sua influência na organização.
Para isso, foi realizada uma pesquisa qualitativa por meio de entrevista com o líder de tecnologia
da empresa JBS S.A. a fim de responder a questão de pesquisa e os objetivos propostos. Os resul-
tados deste estudo relacionam aspectos importantes, como Governança de TI, inovação, cultura
organizacional bem definida e liderança por reconhecimento, capazes de apoiar a estratégia orga-
nizacional e o crescimento corporativo. Este trabalho apresenta validações teóricas e contribuições
práticas para o alinhamento entre Governança de TI e inovação na percepção do entrevistado.
SOUZA, Ericson Mendes. O papel do CIO no alinhamento estratégico entre governança de TI e inovação: percep-
ção de um CIO de multinacional brasileira. 2020. Dissertação (mestrado profissional MPGC) – Fundação Getulio
Vargas, Escola de Administração de Empresas de São Paulo. Disponível em: https://bibliotecadigital.fgv.br/dspace/
handle/10438/28985. Acesso em: 5 out. 2020.
33
SAIBA +
Nessa apresentação você acompanha como foi o processo de implantação
da Governança Corporativa no âmbito do TCU. A apresentação foi idealiza-
da pela Assessoria de Segurança da Informação e Governança de Tecnolo-
gia da Informação (Assig)
TRIBUNAL DE CONTAS DA UNIÃO. Como o TCU vem implantando a gover-

nança de TI. [20--]. Disponível em: https://portal.tcu.gov.br/data/files/44/13/
F7/8C/7C75D410F10055D41A2818A8/2509615.PDF. Acesso em: 5 out.
2020.
34
Referências
ALMEIDA, M. I. R. Manual de planejamento estratégico. 2. ed. São Paulo: Atlas, 2003.
FROGERI, Rodrigo Franklin et al. Como as Literaturas de Adoção de TI e de Governança de TI Es-

tão Associadas para Gerar Valor aos Negócios: reflexões no contexto de PMEs. Revista Ibérica de
Sistemas e Tecnologias de Informação; Lousada, Ed. E24, p. 363-678, nov. 2019. Disponível em:
https://search.proquest.com/openview/b98bf8683869d7098e22b49813364c4f/1?pq-origsite=-
gscholar&- cbl=1006393. Acesso em: 5 out. 2020.
MORAIS, Izabelly Soares de. Governança de tecnologia da informação. Porto Alegre: SAGAH, 2018.
RAMIREZ, J. C.; SENDER, C. Alinhando a tecnologia da informação à estratégia. Bain & Company,
2003.
SILVA, Marcos Ricardo Cruz da; MONTEIRO, Augusto de Oliveira. Restruturação da governança
corporativa e de compliance em uma situação de crise: o caso da Odebrecht S.A. Revista Gestão e
Planejamento, Salvador, v. 20, p. 420-436, jan./dez. 2019. Disponível em: https://amazon-c.unifacs.
br/index.php/rgb/article/view/5652/3823. Acesso em: 5 out. 2020.
SOUZA, Ericson Mendes. O papel do CIO no alinhamento estratégico entre governança de TI e

inovação: percepção de um CIO de multinacional brasileira. 2020. Dissertação (mestrado profissio-
nal MPGC) – Fundação Getulio Vargas, Escola de Administração de Empresas de São Paulo. Disponí-
vel em: https://bibliotecadigital.fgv.br/dspace/handle/10438/28985. Acesso em: 5 out. 2020.
TRIBUNAL DE CONTAS DA UNIÃO. Como o TCU vem implantando a governança de

TI. [20--]. Disponível em: https://portal.tcu.gov.br/data/files/44/13/F7/8C/7C75D410F-
10055D41A2818A8/2509615.PDF. Acesso em: 5 out. 2020.
35
MÓDULO 3
COBIT
APRESENTAÇÃO
Iniciaremos esta unidade de estudos compreendendo as características e os objetivos
do COBIT (Control Objectives for Information and Related Technology). Conheceremos os
princípios que norteiam a implantação do COBIT nas organizações e também o modelo de re-
ferência de processos no COBIT 5, assim como o agrupamento entre esses processos e seus
respectivos domínios. Por fim, veremos as principais diretrizes a serem seguidas pelas empre-
sas que decidem pela implementação do COBIT, conhecendo também sua aplicabilidade e os
principais benefícios que essa implementação pode trazer para as organizações.
1. COBIT 1.2 Objetivos do COBIT
O COBIT (Control Objectives for Infor- O COBIT tem como objetivo: promover
mation and Related Technology) foi criado em o valor agregado pela TI nas organizações,
1994, pela ISACA (Information Systems Audit permitindo o gerenciamento da TI de forma
and Control Association). A ISACA é um órgão transparente e integrada, criando sinergia
que atua mundialmente, composto por várias entre a TI e os demais departamentos da em-
empresas de TI e que efetua certificações de presa. Ele promove um melhor gerenciamen-
segurança, auditoria de governança e gestão to das informações no âmbito da organização,
de risco. Desde que foi criado, o COBIT vem assegurando qualidade e confiabilidade da
evoluindo em termos de padrões técnicos, gestão, além de possibilitar o gerenciamento
profissionais e regulatórios; incorporando dos riscos envolvidos no negócio.
também questões específicas dos processos
Para Fernandes e Abreu (2014), o COBIT:
de TI. Em 1998, foi criada a sua segunda edi-
ção. A terceira edição foi publicada em 2000, • Ajuda as empresas a atingirem seus obje-
pelo IT Governance Institute (ITGI), entidade tivos de governança e gerenciamento da
criada pela ISACA com o objetivo de promo- TI em âmbito corporativo;
ver uma melhor compreensão a respeito dos
• Auxiliam as empresas a otimizarem o va-
princípios de Governança de TI. Em 2005
lor da sua TI, balanceando riscos versus
saiu uma versão 4.0 do COBIT, alinhada aos
benefícios.
modelos COSO, ITIL e ISO/IEC 17.779. O
COBIT 5 surgiu em 2012, quando passou a • Habilita a TI a ser gerenciada e governa-
ser adotado como um framework de negó- da de forma holística por toda a empresa
cios completo para governança e gerencia- (incluindo áreas de negócio, áreas funcio-
mento da TI. nais da TI e partes interessadas internas
e externas).
O COBIT foi concebido conforme as exi-
gências do COSO – Committe of Sponsoring • Pode ser utilizado por empresas de qual-
Organisations of the Treadway Commission’s quer natureza, mercado ou tamanho.
Internal Control – Integrated Framework, que 1.3 Princípios COBIT
é um padrão de controles internos adotado
por organizações de todo o mundo no que No framework COBIT 5, a governança e
tange ao gerenciamento e à gestão de riscos. o gerenciamento de TI são sustentados pelos
37
cinco princípios, descritos a seguir. ência sobre o funcionamento da governança e
do gerenciamento da TI). para isso, o COBIT pro-
Figura 1: princípios para a governança e ge-
põe um sistema de metas em cascata, descrito a
renciamento da TI empresarial
seguir.
Figura 2: Metas em cascata COBIT
Fonte: ISACA (2012)
1. Satisfazer as necessidades das partes interes-

sadas
No COBIT, a empresa deve gerar valor para as

suas partes interessadas, por meio da entrega de
benefícios, otimizando riscos e custos. Esse é o
principal objetivo que a governança deve buscar.
Entre as partes interessadas, podemos citar os
acionistas, clientes, colaboradores, fornecedores, Fonte: ISACA (2012)
sociedade em geral, entre outros. A geração de
Esse conceito de cascata permite colocar os
valor está relacionada ao resultado final, gerado
objetivos a serem atingidos em ordem lógica, o
pela organização através dos recursos aplicados
que facilita a sua consecução. Essa ordem é es-
durante o processo de geração desse resultado.
tabelecida em função da tangibilidade de cada
Portanto, a governança deve considerar as um deles, a parte do alinhamento do COBIT ao
necessidades das várias partes interessadas en- negócio.
volvidas no negócio. Essas necessidades devem
2. Cobrir a empresa de ponta a ponta
ser traduzidas em metas corporativas genéricas
(aplicáveis a toda a organização), metas relacio- Aqui, o foco é deixar toda organização ampa-
nadas à TI (específicas da área) e metas dos ha- rada pela integração entre a Governança Corpo-
bilitadores de TI (fatores tangíveis é intangíveis rativa e a Governança de TI. A TI deve ser visua-
que, individual ou coletivamente, possuem influ- lizada como um grande ativo dentro da empresa.
38
No COBIT, o sistema de governança é formado desejados em um guia prático para o dia a
pelos seguintes componentes: dia da empresa.
• Habilitadores da governança: recursos orga- • Processos - Descrevem práticas e atividades

nizacionais utilizados para viabilizar a gover- para atingir objetivos específicos, apoiando
nança, como princípios, frameworks, estru- também o atingimento das metas globais re-
turas, processos e práticas. lacionadas à TI.
• Escopo da governança: área que será efeti- • Estruturas organizacionais – São as entida-
vamente governada (que pode incluir desde des de tomada de decisões-chave em uma
um ativo tangível ou intangível até uma enti- empresa.
dade ou mesmo a empresa inteira). • Cultura, ética e comportamento dos envol-
• Papéis, atividades e relacionamentos: defi- vidos – Constituem a base para a formação
nem as partes interessadas envolvidas, o que da TI.
elas fazem e como devem interagir dentro • Informação – Que deve ser única, protegida
do escopo do sistema de governança. e ter ampla circulação dentro da organização
3. Aplicar um framework integrado único para viabilizar a Governança de TI.
• Serviços, infraestrutura e aplicações - Que

O COBIT funciona como um integrador para
apoiam a organização com processamento e
a governança e para a gestão. Por isso, é impor-
serviços de TI.
tante que essa integração ocorra através de uma
solução única e globalizada para a organização. • Pessoas, habilidades e competências - Pre-
Por isso, o COBIT serve como uma estrutura sentes nas pessoas e requeridas para a exe-
base para todas as orientações de gestão, na me- cução das atividades relacionadas à Gover-
dida em que define o conjunto de habilitadores nança de TI, principalmente no que se refere
para a governança e gerenciamento, provendo à tomada de decisão.
também a base de boas práticas a serem utiliza-
5. Separar Governança de Gerenciamento
das no âmbito da organização, o que inclui for-
mas para definição do escopo, papéis, atividades Aqui, é importante lembrar que gerencia-
e relacionamentos. mento (gestão) e governança são conceitos di-
ferentes. Gerenciamento é o ato de efetuar a
4. Possibilitar uma visão holística
gestão de algo, o que envolve planejar, organizar,
Isso significa que o COBIT deve abarcar a dirigir, controlar. Esse processo de gestão pode
empresa como um todo. Nenhuma área pode ser estar relacionado a projetos, a processos, a um
deixada de lado. Nesse ponto, o COBIT propõe setor, pessoas ou à empresa como um todo. Já
sete categorias de habilitadores de TI, capazes a governança envolve o alinhamento entre essa
de promover o sucesso da governança e do ge- gestão com as expectativas dos donos da em-
renciamento de TI. São eles: presa (o fundador, um conselho de sócios ou os
acionistas).
• Princípios, políticas e estruturas - Auxiliam a
traduzir o funcionamento esperado da orga- De acordo com o COBIT (2012):
nização. Constituem-se de comportamentos
• Gerenciamento (gestão): planeja, constrói,
39
executa e monitora atividades de forma ali- e Monitorar (EDM - Evaluate, Direct and Moni-
nhada com a direção estabelecida pelo gru- tor), onde são definidas práticas de avaliação, di-
po de governança, com a finalidade de atin- reção e monitoramento. Esse domínio é dotado
gir os objetivos corporativos. de 5 processos dentro de seu escopo. Como ve-
remos mais abaixo.
• Governança: assegura que as necessidades,
condições e opções das partes interessadas Já os processos de gerenciamento estão
estejam alinhadas para se atingir os objeti- abarcados por 4 domínios, de acordo com as áre-
vos corporativos, estabelecendo prioridades, as de Planejar, Construir, Executar e monitorar.
tomando decisões e monitorando o desem- Os domínios do gerenciamento são os seguintes.
penho e a conformidade com relação a esses
objetivos. • Alinhar, Planejar e Organizar (APO) - A sigla
“APO” vem do inglês Align, Plan and Organi-
Em geral, tanto a gestão como a governança
se. Este domínio possui abrangência estraté-
são responsabilidades do corpo diretivo de uma
gica, identificando as formas como a TI pode
empresa. Mas, esses conceitos não se confun-
contribuir melhor para o atingimento dos
dem e possuem processos especificos, como ve-
objetivos do negócio.
remos a seguir.
• Construir, Adquirir e Implementar (BAI) - A
1.4 Modelo de referência de processos no CO- sigla “BAI” vem do inglês Buitd, Acguire and
BIT 5 Implement. Este domínio cobre identifica-
ção, desenvolvimento e/ou aquisição de so-
O COBIT 5 subdivide 37 processos de TI,
luções de TI, a fim de executar a estratégia
que são agrupados em domínios. Esses domínios,
de TI que foi definida pela empresa, bem
por sua vez, pertencem às duas grandes áreas:
como sua implementação e integração junto
governança e gerenciamento. Esses processos
aos processos de negócio. Mudanças e ma-
ditam as responsabilidades da alta direção para a
nutenções em sistemas existentes também
utilização dos recursos de TI.
estão cobertas por este domínio.
Figura 3: Domínios das áreas de governança
• Entregar, Reparar e Suportar (DSS) - A si-
e gestão
gla “DSS” vem do inglês Deliver, Service and
Support. Este domínio cobre a entregada TI
propriamente dita, dos serviços requeridos,
incluindo gerenciamento de segurança e
continuidade, reparo de equipamentos, su-
porte aos serviços para os usuárias, além da
gestão dos dadas e da infraestrutura opera-
cional.
• Monitorar, Avaliar e Medir (MEA) - A sigla

“MEA” vem do inglês Monitor, Evaluate and
Fonte: Fernandes e Abreu (2014, p. 233)
Asses. Este domínio visa assegurar a quali-
Perceba que a Governança tem um domínio dade dos processos de TI, assim como a sua
denominado EDM, que se refere a Avaliar, Dirigir governança e conformidade com os objeti-
40
vos de controle do negócio, através de me- • DSS01 Gerenciar operações
canismos regulares de acompanhamento, • DSS02 Gerenciar requisições de serviços
DSS e incidentes
monitoramento de controles internos e de • DSS03 Gerenciar problemas
avaliações, que podem ser internas e exter- (Entregar, • DSS04 Gerenciar a continuidade
Reparar e • DSS05 Gerenciar os serviços de segu-
nas.
Suportar) rança
A tabela a seguir mostra os 37 processos de • DSS06 Gerenciar controles de processos
de negócios
TI relativos a cada um desses domínios do CO-
• MEA01 Monitorar, avaliar e medir o de-
BIT 5. MEA sempenho e a conformidade
(Monito- • MEA02 Monitorar, avaliar e medir o sis-
Domínio Processos de TI
rar, Avaliar tema de controles internos
• EDMCI Assegurar o estabelecimento e e Medir) • MEA03 Monitorar, avaliar e medir a con-
a manutenção do framework de Gover- formidade com requisitos externos
nança
EDM • EDM02 Assegurar a entrega dos bene-
Todos esses processos são desdobrados em
fícios
(Avaliar, • EDM03 Assegurar a otimização dos ris- práticas de governança ou práticas de gestão,
Dirigir e cos que contribuem para que os objetivos do COBIT
Monitorar) • EDMC4 Assegurar a otimização dos re-
cursos
sejam atingidos na empresa. Cada um desses 37
• EDM05 Assegurar a transparência para processos de TI é descrito em termos dos se-
as partes interessadas guintes componentes:
• AP001 Gerenciar o framework de ges-
tão de TI • Identificação do processo (código, nome,
• AP002 Gerenciar a estratégia área-chave e domínio).
• AP003 Gerenciar a arquitetura corpora-
tiva • Descrição do processo.
APO • AP004 Gerenciar a inovação
• AP005 Gerenciar o portfólio • Propósito geral do processo.
(Alinhar, • AP006 Gerenciar orçamento e custos
Planejar e AP007 Gerenciar recursos humanos • Metas relacionadas (metas relacionadas à TI
Organizar) • AP008 Gerenciar relacionamentos suportadas primariamente e métricas sugeri-
• AP009 Gerenciar acordos de serviço
• APO10 Gerenciar fornecedores
das para medi-las).
• APO11 Gerenciar a qualidade
• Metas e exemplos de métricas específicas
• AP012 Gerenciar riscos
• AP013 Gerenciar a segurança do processo.
• BAI01 Gerenciar programas e projetos • Matriz de responsabilidades, associando os

• BAI02 Gerenciar a definição de requisi- papéis às tarefas.
tos
• BAI03 Gerenciar a identificação e a • Descrição detalhada das práticas do proces-
construção de soluções
BAI so (para cada prática):
• BAI04 Gerenciar disponibilidade e capa-
(Construir, cidade
• BAI05 Gerenciar a habilitação da mu-
o Entradas e saídas
Adquirir e
Implemen- dança organizacional
o Detalhamento das atividades.
tar) • BAI06 Gerenciar mudanças
• BAI07 Gerenciar o aceite e a transição
o Orientações relacionadas, referenciando
das mudanças
BAI08 Gerenciar o conhecimento outros modelos e padrões, além de docu-
• BAI09 Gerenciar ativos mentação adicional.
• BAI10 Gerenciar a configuração
41
O esquema abaixo demonstra como é feito o
agrupamento entres esses processos e domínios.
Figura 4: Agrupamento de processos e domínios
Fonte: ISACA (2012)
1.5 Diretrizes de implementação do COBIT • É necessário reconhecer onde estão os

pontos fracos (pain points) no contexto da
As práticas do COBIT 5 são implantadas atra-
TI, assim como eventos externos ou inter-
vés de um conjunto de diretrizes pautadas em
nos que possam impactar a governança e/
um ciclo de melhoria contínua. De acordo com
ou o gerenciamento da TI (tais como: fusões,
Fernandes e Abreu (2014), para a implantação
aquisições, reduções de investimentos, no-
destas diretrizes, algumas premissas devem ser
vos requisitos regulatórios ou de compliance,
respeitadas:
mudanças no mercado etc.).
• O contexto atual e a cultura da empresa • Viabilizar a mudança, buscando ultrapassar
devem ser levados em consideração, assim os focos de resistência humana, compor-
como os seus habilitadores e restrições. tamental e cultural por meio de uma abor-
• Deve ser criado um ambiente propício ao dagem positiva sobre os benefícios da sua
comprometimento de todas as partes inte- implementação para o interesse comum da
ressadas (principalmente as mais críticas), empresa.
com estruturas apropriadas para direciona- • Criação de um business case que demonstre
mento, supervisão e suporte, em todos os de que forma essa implementação trará va-
níveis da organização. lor para o negócio da empresa.
42
• O ciclo de vida de implementação pressupõe A imagem a seguir mostra uma visão plani-
a existência de um programa (não somente ficada desse ciclo de vida sugerido para imple-
um projeto) de sete fases, que é sustentado mentação do COBIT 5.
de forma iterativa por uma abordagem con-
sistente de governança e gerenciamento.
Figura 5: Visão planificada do ciclo de vida de implementação
Fonte: adaptada de ISACA (2012)
1.6 Modelo de Capacidade de Processos

O processo está imple- PA3.1 – Defini-
Nível 3
mentado utilizando um ção do Processo.
O COBIT 5 adota um modelo de capacidade
(Processo processo definido ca-
de processos. Isso significa que, para cada proces- PA3.2 – Implan-
Estabeleci- paz de atingir os seus tação do Pro-
so, pode ser realizada uma avaliação com relação do) resultados esperados. cesso.
aos seus atributos. A tabela a seguir demonstra
O processo opera den- PA4.1 – Medi-
os 6 níveis de capacidade que um processo pode Nível 4
ção do Processo.
tro de limites definidos
atingir, bem como os atributos de desempenho (Processo para atingir os seus PA4.2 – Contro-
da capacidade para cada um desses níveis. Previsível) resultados esperados. le do Processo.
Atributos ge- O processo é conti- PA5.1 – Inova-
Nível de néricos de Nível 5 nuadamente melho-
Descrição ção do Processo.
capacidade capacidade de rado para atender aos
processo (Processo
objetivos de negócio PA5.2 – Otimi-
em Otimi-
O processo não está atuais e projetos mais zação do Pro-
zação)
implantado ou falha relevantes. cesso.
Nível 0 no atingimento de seu
propósito. Neste nível,
(Processo há pouca ou nenhuma
Com o auxílio desse modelo de capacidade,
Incomple- evidência de qualquer a gerência tem condições de mapear a situação
to) atingimento sistemá- atual da capacidade relacionada cada um dos
tico do propósito do
processo. processos. Assim, é possível estabelecer as ca-
Nível 1 racterísticas atuais da organização e centrar es-
O processo imple- PA1.1 – Desem-
mentado atinge o seu penho do Pro- forços na melhoria de cada um desses processos.
(Processo
Executado) propósito. cesso
1.7 Aplicabilidade do COBIT
O processo está im-
plementado de forma PA2.1 – Gestão A estrutura do COBIT define os chamados
Nível 2 gerenciada (planejada, do Desempe-
monitorada e ajustada) nho.
habilitadores de TI, que funcionam como um
(Processo e seus produtos de excelente guia para a sua implementação, bem
Gerencia- trabalho são estabe- PA2.2 – Gestão
do) de Produtos de como para a avaliação da capacidade atual dos
lecidos, controlados e
mantidos apropriada- Trabalho. processos existentes. O COBIT é um framework
mente. focado em “o que” deve ser atingido, em vez de
43
“como” atingir, a partir da implantação de técni- liados em conjunto ou isoladamente, a fim
cas de governança, gestão e controle. Por isso, de verificar os riscos com relação às metas
ele deve ser utilizado em um nível estratégico da ou às boas práticas definidas.
organização, de forma a estabelecer um modelo
• Realização de benchmark: pois a existência
de processos que seja aplicável a toda a organi-
de um modelo de avaliação padronizados
zação.
para todos os habilitadores de TI permi-
Além disso, o modelo de Governança de TI te que a organização monte sua estratégia,
proposto no COBIT pode ser aplicado em em- pautada em parâmetros utilizados por outras
presas e organizações de diversos tamanhos. empresas e padrões internacionais de gestão
Isso, porque sua estrutura pode ser implanta- e governança.
da de forma gradual, conforme o planejamento • Qualificação de fornecedores de TI: uma
estratégico e as diferentes prioridades de cada vez que o modelo de capacidade de proces-
uma delas. sos utilizado no COBIT pode ser utilizado
como quantificador decisivo para a tomada
Entre as várias oportunidades para se aplicar
de decisão para a contratação de serviços de
o COBIT no âmbito de uma empresa, Fernandes
TI, ou mesmo na definição dos níveis de ser-
e Abreu (2014) citam algumas que se destacam.
viços desejados dentro da organização.
• Avaliação dos habilitadores de TI: a grande
1.8 Benefícios do COBIT
abrangência do COBIT, bem como o seu alto
grau de padronização, permite que ele seja Entre os benefícios do COBIT para as orga-
utilizado como um checklist para avaliar os nizações Fernandes e Abreu (2014) citam as se-
pontos fortes e os pontos fracos dos habi- guintes:
litadores de TI da organização. Portanto, ele
serve como subsídio para a proposição de • Maior assertividade na tomada de decisões
melhorias, assim como para a estruturação sobre investimentos em iniciativas de TI,
da governança e do gerenciamento. uma vez que ele proporciona melhor visibili-
dade acerca do alinhamento entre as neces-
• Atuação da governança em vários níveis:
sidades do negócio e o valor que a TI pode
uma vez que ele abarca questões legais,
oferecer ao negócio.
compliance, linhas de negócios, entidades or-
ganizacionais (incluindo a área de TI), ativos • Responsabilidades e protocolos de comuni-
tangíveis ou intangíveis, etc. cação mais claros, tornando a circulação de
informações mais direta e precisa nos vários
• Implementação modular da governança de
níveis organizacionais.
TI: pois práticas e padrões relativos aos ha-
bilitadores podem ser mapeados para outros • Visão mais clara sobre a situação atual dos
modelos (ITIL, CMMI, PMBOK, etc), criando habilitadores de TI, bem como dos seus pon-
uma estrutura específica de governança e tos de vulnerabilidade.
gestão para cada organização. • Redução da exposição a riscos, desde que
• Avaliação dos riscos operacionais de TI: sejam tomadas ações de melhoria preventiva
uma vez que os habilitadores podem ser ava- após analisados os habilitadores.
44
• Maior solidez é assertividade no planeja-
mento, a partir da compreensão da interde-
pendência entre os habilitadores analisados.
• Maior visibilidade por parte de todos os ní-

veis da organização sobre o impacto da me-
lhoria dos habilitadores de TI nos processos
de negócio e na obtenção das metas corpo-
rativas.
• Redução dos custos operacionais e de pro-

priedade do acervo de TI (aplicativos e infra-
estrutura).
• Melhoria da imagem perante os clientes em

função do aumento da satisfação e da con-
fiabilidade com relação aos produtos e servi-
ços de TI.
45
DESAFIO
Considere que você foi contratado para atuar no setor de TI de uma
grande empresa mineradora, que acabou de ganhar uma licitação para
explorar uma mina de minério de ferro no Sudeste do país. Atualmen-
te, essa empresa possui 1.200 colaboradores e um faturamento de
cerca de R$360mi ao ano. A empresa atua majoritariamente no mer-
cado interno, abastecendo siderúrgicas que processam o minério para
fazer ferro-gusa. A empresa está em processo de abertura de capital,
conta com gestão especializada e possui alguns sistemas que não são
interligados para seus processos. Com a exploração dessa nova mina,
a previsão é que a organização dobre seu o faturamento, gerando, com
isso, a possibilidade de começar a operar no mercado externo.
Você foi apresentado aos diretores da empresa em uma reunião no

momento de fazer o planejamento estratégico para o ano seguinte.
A partir da análise desse panorama, que ações você proporia para a

empresa diante dos novos desafios apresentados?
Em sua análise considere que as melhorias podem se basear na utiliza-

ção do COBIT, que traria à empresa a modernidade da integração de
processos (governança), possibilitando: planejar e organizar; adquirir e
implementar; entregar e suportar; e monitorar e avaliar. Um projeto de
implementação da Governança de TI, em conjunto com a Governança
Corporativa, pode preparar a empresa para os novos desafios. Princi-
palmente, no sentido de conceder à empresa, a transparência neces-
sária para os públicos com os quais se relaciona, preparando-a para a
abertura de capital. A estrutura do COBIT pode fornecer à organização
o controle necessário para atingir um grau de maturidade e qualidade,
permitindo o uso eficaz e eficiente de seus ativos estratégicos de TI
para dar mais valor aos processos da empresa e, consequentemente,
proporcionar condições de melhorar os resultados obtidos.
46
1. Governança de TI em organizações do setor de saúde: Um estudo de caso de aplicação do cobit
Este estudo tem por objetivo descrever a implantação do framework COBIT em uma organização
privada do setor de saúde, bem como analisar o nível de maturidade da Governança de TI (GTI)
antes e após sua implantação. O estudo é do tipo exploratório e qualitativo, e foi usada a estratégia
de estudo de caso único com a finalidade de descrever a implantação do framework COBIT. Os
dados foram coletados por meio de entrevistas no segundo semestre de 2015.
PRADO, Edmir Parada Vasques et al. Governança de TI em organizações do setor de saúde: um estudo de caso de
aplicação do COBIT. Braz. J. of Develop., Curitiba, v. 6, n. 6, p. 34002-34022, jun. 2020. Disponível em: https://
www.brazilianjournals.com/index.php/BRJD/article/view/11091/9300. Acesso em: 5 out. 2020.
2. Avaliação da prestação de serviços de TI sob os modelos de governança de TI
Este artigo apresenta uma comparação dos indicadores de desempenho antes e depois da adoção
de modelos de governança para o gerenciamento de serviços de TI. Os resultados indicam que a
adoção desses modelos melhorou os níveis de serviço fornecidos pela TI aos negócios, contribuin-
do também para garantir a satisfação do cliente.
NEVES, Paulo Sérgio; DONÁ, Claudio Merlim. Avaliação da prestação de serviços de TI sob os modelos de gover-
nança de TI – um estudo de caso. Braz. J. of Bus., Curitiba, v. 2, n. 1, p. 357-371, jan./mar. 2020. Disponível em:
https://www.brazilianjournals.com/index.php/BJB/article/view/7267/6316. Acesso em: 5 out. 2020.
3. Capacidade dos processos da coordenadoria de desenvolvimento de sistemas de um órgão

público brasileiro
A TI passou a ser um parceiro estratégico da organização e por isso deve estar alinhada ao seu
plano de negócio. Neste cenário é crescente a importância da governança de TI e da adoção de
frameworks de governança como o COBIT 5. O objetivo deste estudo foi avaliar a capacidade dos
processos da Coordenadoria de Desenvolvimento de Sistemas de um órgão do judiciário traba-
lhista brasileiro pelas diretrizes do COBIT 5. Foi aplicado um questionário a seis gestores desse
setor sobre os processos BAI01, BAI02 e BAI03. Os três foram considerados aderentes ao COBIT
5 e atingiram o nível 1 de capacidade - processo executado. Também foi possível verificar que os
participantes da pesquisa tiveram uma compreensão distinta para vários dos itens questionados.
ARÊAS; Tayse Cascaes. Capacidade dos processos da coordenadoria de desenvolvimento de sistemas de um
órgão público brasileiro. [20--]. Trabalho de Conclusão do Curso (Especialização em Governança de Tecnologia
da Informação) Universidade do Sul de Santa Catarina. Disponível em: https://riuni.unisul.br/bitstream/hand-
le/12345/7929/TAYSE_CASCAES_AREAS_artigo_final_apos_defesa.pdf?-sequence=2&isAllowed=y. Acesso em:
5 out. 2020.
47
SAIBA +
COBIT é a sigla para Control Objectives for Information and Related Tech-
nology (em português, Controle de Objetivos para Informação e Tecnologia
Relacionada). É a base de conhecimento mais utilizada no mercado para
apoiar organizações na Governança de Tecnologia da Informação. Enten-
da mais sobre o assunto neste vídeo da série “5 Minutos” com Fernando
Palma, professor e consultor em Gestão de TI. Organizador do Portal GSTI.
PORTAL GSTI. ITIL e COBIT: o que você precisa saber. mar./ 2018. Disponí-
vel em: https://www.youtube.com/watch?v=5f4aO4nhaNs. Acesso em: 5 out.
2020.
Nesse outro vídeo você acompanha um comparativo entre o COBIT, a base

de conhecimento mais reconhecida e utilizada no mercado para apoiar or-
ganizações na Governança de Tecnologia da Informação (TI); e a ITIL, uma
biblioteca que reúne as melhores práticas Gestão de Serviços de Tecnologia
da Informação (TI).
PORTAL GSTI. COBIT 5 em 5 minutos: o que é COBIT? fev./ 2017. Disponí-

vel em: https://www.youtube.com/watch?v=_zW-tfHKbdE. Acesso em: 5 out.
2020.
48
Referências
ARÊAS; Tayse Cascaes. Capacidade dos processos da coordenadoria de desenvolvimento de sis-

temas de um órgão público brasileiro. [20--]. Trabalho de Conclusão do Curso (Especialização em
Governança de Tecnologia da Informação) Universidade do Sul de Santa Catarina. Disponível em:
https://riuni.unisul.br/bitstream/handle/12345/7929/TAYSE_CASCAES_AREAS_artigo_final_apos_
defesa.pdf?-sequence=2&isAllowed=y. Acesso em: 5 out. 2020.
ISACA. COBIT 5: a business framework for the governance and management of enterprise IT. Rolling
Meadows, 2012.
NEVES, Paulo Sérgio; DONÁ, Claudio Merlim. Avaliação da prestação de serviços de TI sob os mode-
los de governança de TI – um estudo de caso. Braz. J. of Bus., Curitiba, v. 2, n. 1, p. 357-371, jan./mar.
2020. Disponível em: https://www.brazilianjournals.com/index.php/BJB/article/view/7267/6316.
PRADO, Edmir Parada Vasques et al. Governança de TI em organizações do setor de saúde: um estudo
de caso de aplicação do COBIT. Braz. J. of Develop., Curitiba, v. 6, n. 6, p. 34002-34022, jun. 2020.
Disponível em: https://www.brazilianjournals.com/index.php/BRJD/article/view/11091/9300.
PORTAL GSTI. Valor. [S.l.], 2016. Disponível em: https://img.portalgsti.com.br/3LXaz6wsSkTK0sd-NK-

GvpPI_QKjg=/700x260/https://www.portalgsti.com.br/media/uploads/article/25/2016/10/09/va-
lor.png. Acesso em: 03 jul. 2020.
PORTAL GSTI. COBIT 5 em 5 minutos: o que é COBIT? fev./ 2017. Disponível em: https://www.
youtube.com/watch?v=_zW-tfHKbdE. Acesso em: 5 out. 2020.
PORTAL GSTI. ITIL e COBIT: o que você precisa saber. mar./ 2018. Disponível em: https://www.
youtube.com/watch?v=5f4aO4nhaNs. Acesso em: 5 out. 2020.
INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA. Governança corporativa. São Paulo:

IBGC, 2017. Disponível em: http://www.ibgc.org.br/inter.php?id=18161. Acesso em: 30 jun. 2020.
49
MÓD ULO 4
IMPLANTAÇÃO DA GOVERNANÇA DE TI
50
APRESENTAÇÃO
Nesta unidade de aprendizagem, compreenderemos um pouco da prática da adoção do
COBIT pelas organizações, incluindo as etapas de planejando e de implantação da Governan-
ça de TI. Será apresentado um roteiro com um passo a passo da implantação da Governança
de TI, que poderá ser adaptado a diferentes empresas, de acordo com a realidade de cada
uma delas. Além disso, veremos alguns fatores críticos para o sucesso dessa implantação. Em
seguida, teremos a oportunidade de confrontar a Governança de TI pautada em COBIT com
outros modelos, técnicas e normas de governança adotados pelo mercado. Por fim, você co-
nhecerá como ocorre a certificação em COBIT e os principais mecanismos para obtê-la.
1. Planejando e implantando a Governança Um projeto envolve não somente a fase

de TI de planejamento, mas também as fases de
implementação, implantação e gerenciamen-
O planejamento é a primeira etapa após
to. O Guia PMBOK (PROJECT MANAGE-
a decisão pela implantação da governança de
MENT INSTITUTE, 2014, p. 26) salienta que
TI. Para planejar a implantação da Governan-
os processos e procedimentos que devem ser
ça de TI em uma organização é importante,
adotados por uma organização, para a condu-
primeiro, haver um estudo detalhado a res-
ção do trabalho de um projeto, incluem basi-
peito de todos os processos que envolvem as
camente o seguinte:
atividades da organização. Afinal, a governan-
ça está relacionada a diversos fatores dentro Iniciação e planejamento
da empresa. Ela é responsável pela segurança
• Diretrizes e critérios para adequação do
dos ativos, alinhamento das práticas da em-
conjunto de processos e procedimentos
presa com as normas regulatórias e conecta
da organização a fim de atender às ne-
tudo à tecnologia, incluindo todos os aspec-
cessidades específicas do projeto;
tos que promovem a TI como prestadora fun-
damental de serviços a clientes e usuários. • Padrões organizacionais específicos,
como políticas (p. Ex., políticas de recur-
A Governança de TI propriamente dita,
sos humanos, de saúde e segurança, de
no âmbito das organizações, deve ser com-
ética e de gerenciamento de projetos),
preendida como um programa. Ou seja, um
ciclos de vida do produto e do projeto,
conjunto de processos e procedimentos re-
e políticas e procedimentos de qualidade
alizados de forma contínua e que devem ser
(p.ex., auditorias de processos, metas de
cada vez mais aprimorados. Entretanto, quan-
melhorias, listas de verificação e defini-
do tratamos especificamente da sua implan-
ções padronizadas de processos para uso
tação, a Governança de TI deve ser encarada
na organização); e
como um projeto, ou seja, um conjunto de
processos e procedimentos com início, meio • Modelos (p.ex., registro dos riscos, es-
e fim. E, que possibilitam a entrega de um trutura analítica do projeto, diagrama de
produto final. Nesse caso, a Governança de rede do cronograma do projeto e mode-
TI devidamente implantada. los de contrato).
51
Execução, monitoramento e controle Portanto, a execução do projeto terá como
entrega a Governança de TI implantada no âmbi-
• Procedimentos de controle de mudanças, in-
to da organização, devidamente alinhada ao seu
cluindo os passos para modificação dos pa-
planejamento estratégico.
drões, políticas, planos e procedimentos da
organização, ou de quaisquer documentos 2. Roteiro de implantação da Governança de TI
do projeto, além do modo como quaisquer
Fernandes e Abreu (2014) apresentam um
mudanças serão aprovadas e validadas;
roteiro genérico a respeito da implantação da
• Procedimentos de controles financeiros (por Governança em TI, composto por 20 fases ou
exemplo: relatório de horas, análises obriga- etapas. Obviamente, esse roteiro não é uma re-
tórias de gastos e despesas, códigos contá- gra, haja vista que a implantação do modelo de
beis e cláusulas contratuais padrão); Governança, seja ele corporativo ou de TI, deve
• Procedimentos de gerenciamento de ques- obedecer as características e o histórico de cada
tões e defeitos que definem os seus contro- organização em particular. De qualquer forma,
les; o roteiro apresentado pelos autores é um exce-
lente alicerce para compreendermos como se dá
• Identificação e solução de questões e de-
essa implantação da governança no âmbito de
feitos, além de acompanhamento dos seus
uma empresa genérica. O roteiro é descrito abai-
itens de ação;
xo.
• Requisitos de comunicações da organização
Figura: Roteiro de implantação Governança
(por exemplo: tecnologia de comunicações
de TI
específica disponível, mídia de comunicação
autorizada, políticas de retenção de registros
e requisitos de segurança);
• Procedimentos de priorização, aprovação e

emissão de autorizações de trabalho;
• Procedimentos de controle de riscos, incluin-

do categorias de riscos, modelos de declara-
ção de riscos, definições de probabilidade e
impacto, e matriz de probabilidade e impac-
to; e
• Diretrizes padronizadas, instruções de tra-

balho, critérios de avaliação de propostas e
critérios de medição de desempenho.
Fonte: Fernandes e Abreu (2014, p. 619)
Encerramento
1. Sensibilizar a alta direção
• Diretrizes ou requisitos de encerramento do
projeto (p. ex., lições aprendidas, auditorias Consiste em sensibilizar a alta direção da
finais do projeto, avaliações do projeto, vali- organização a respeito da necessidade de se
dações de produto e critérios de aceitação). implantar a governança de TI. Isso é importan-
52
te para conseguir o patrocínio para o projeto. O alta administração, área de auditoria, compliance,
que inclui investimentos financeiros, de tempo riscos, desenvolvimento, suporte, infraestrutura
e outros recursos. O programa de Governança tecnológica, segurança da informação, entre ou-
de TI não acontece se não houver esse patro- tros.
cínio da alta administração. Para conseguir essa
4. Estruturar preliminarmente o programa
sensibilização, é possível contratar consultores
ou palestrantes experientes em Governança de É necessário escolher o gerente do programa
TI, que possam esclarecer sobre os benefícios de Governança de TI, além de definir o seu esco-
que ela pode trazer para a organização. Também po básico de atuação.
pode ser interessante fazer visitas de benchmark
5. Implantar a estrutura e as responsabilidades
para conhecer outras empresas que adotam a
Governança de TI. Tudo isso é importante para Consiste em estruturar os recursos mínimos
sensibilizar sobre os riscos que a organização para iniciar a implantação da Governança de TI.
está suscetível, caso não haja mecanismos efi- O que incluir a definição de políticas e a comu-
cazes para garantir a continuidade do negócio. nicação da implantação do programa a todos os
Também pode ser interessantes demonstrar a interessados, incluído os esclarecimentos a res-
vulnerabilidade da empresa a incidentes de se- peito das respectivas responsabilidades.
gurança e eventuais fragilidades com relação aos
controles de auditoria, caso a Governança de TI 6. Estabelecer os direitos decisórios
não seja adotada. Consiste em instituir, com o apoio da alta
2. Estabelecer o foco do programa administração, um modelo de direitos decisórios,
ou seja, definir “quem decide sobre o que” com
A definição do foco depende da análise da relação à TI. É importante definir quem define
estratégia utilizada no âmbito da organização. as prioridades, quem aprova os investimentos,
Essa análise possibilita identificar os requisitos como e por quem os serviços serão controlados,
relacionados à TI e que são críticos para o suces- etc.
so da organização. O foco pode servir, por exem-
plo, para a manutenção da continuidade das 7. Realizar avaliação dos processos-foco
operações. Nesse caso, o foco da governança de Aqui, é necessário avaliar qual é o estágio atu-
TI deverá ser na segurança das informações. al das práticas correntes. O objetivo é identificar
3. Definir papéis, estrutura e relacionamentos quais as ações mais urgentes a serem tomadas.
com os interessados relevantes Geralmente, são aquelas que irão proporcionar
ganhos mais rápidos. Além disso também devem
Aqui, é necessário definir se será criada uma ser definidas as ações de médio prazo e as ações
área específica para a Governança de TI. Por o que são menos prioritárias. Para uma melhor
exemplo, se as responsabilidades serão compar- percepção acerca da urgência de ações, pode ser
tilhadas pelos executivos de TI ou se será atribu- interessante consultar usuários e a alta adminis-
ída uma pessoa (o grupo de pessoas) específica tração, a respeito das entregas da TI que são ou
para este fim. É importante lembrar que a Gover- que precisam ser realizadas, principalmente em
nança de TI é uma responsabilidade de todos, o termos de qualidade e do grau de atendimento
que inclui análises e definição de papéis para a dessas entregas com relação ao negócio.
53
8. Estabelecer metas indicadores de progresso os processos forem sendo implantados.
e de resultado
• A forma como o programa será gerenciado.
Com base nos resultados da avaliação pro- • A estrutura de gestão do programa, assim
posta na etapa anterior, será importante definir como a matriz de responsabilidades.
as metas. Essa definição deve ter como base
• Os riscos do programa.
aqueles processos estão com o nível de maturi-
dade muito aquém do necessário. Deve-se esta- • As estratégias para gerenciamento de mu-
belecer qual o nível de maturidade desejada para danças no programa.
cada processo. Para isso, é importante saber qual
• O plano de comunicação do programa.
o nível de desempenho atual e qual nível deve
ser atingido. • Os critérios de qualidade a serem seguidos
pelo projeto.
9. Estabelecer um roadmap de implementação
• As métricas de progresso a serem conside-
Devem ser consideradas ações de curto mé- radas.
dio e longo prazo. Também é necessário definir
• Os pontos de controle do programa.
a sequência e a interdependência entre essas
ações. 11. Definir parcerias (auditoria, riscos e com-
pliance)
10. Elaborar o plano do programa
As áreas de auditoria, riscos e compliance, as-
Com o roadmap definido, já é possível ter
sim como a auditoria externa, podem ser tidas
uma ideia dos projetos que irão compor o pro-
como grandes aliadas da TI na busca pela gover-
grama de governança. Para Fernandes e Abreu
nança, uma vez que elas possuem fácil acesso
(2014), esse programa deve considerar alguns
à alta administração. Principalmente, no caso de
aspectos.
organizações onde a Governança Corporativa
• O escopo, composto pela lista de processos, já está implantada de forma mais madura. Além
estrutura e ações de TI a serem implemen- disso, são áreas que podem ajudar a identificar
tadas. pontos de vulnerabilidades da TI para o negócio.
• Sequência de implantação dos processos, 12. Aprovação do programa

considerando os requisitos técnicos de cada
A aprovação do programa de governança é
um.
importante para que se possa alocar recursos,
• A linha de tempo prevista para a implantação contratar consultorias, efetuar treinamentos,
dos processos. alocar recursos técnicos e humanos, entre ou-
• Os recursos estimados para o programa. tros. A aprovação do programa de Governança
TI pela alta administração é a autorização para
• Os serviços a serem adquiridos.
que o orçamento previsto para o programa seja
• Orçamento estimado para o programa e para executado.
cada um dos projetos.
13. Elaborar o plano de gerenciamento da mu-
• Os benefícios esperados, na medida em que dança de cultura organizacional de TI
54
Para se alcançar o resultado esperado com Através do monitoramento, é possível co-
a implantação do modelo de governança, é nhecer o andamento e o progresso das ativida-
necessário mudar a cultura organizacional. Assim, des, bem como a qualidade dos entregáveis, o
todos os colaboradores que compõem a organi- controle dos riscos, o nível de adoção das medi-
zação poderão dar suporte para o programa. A das e de comprometimento dos envolvidos. Para
cultura organizacional é formada pelo compor- isso, é fundamental que a organização tenha
tamento coletivo das pessoas, incluindo o con- uma metodologia de gerenciamento de projetos.
junto de símbolos, sistemas e processos que
18. Avaliar os resultados dos projetos de im-
elas acreditam. Uma nova cultura organizacional
plantação da governança de TI
pode ser obtida a partir da mudança nas crenças
e os valores de cada indivíduo. Nesse ponto, é Na medida em que os projetos que com-
fundamental lembrar que essas mudanças come- põem a implantação da Governança de TI são
çam pelas lideranças da organização. entregues, é necessário avaliar se os resultados
foram alcançados.
14. Elaborar o plano dos projetos de implanta-
ção da governança de TI 19. Comunicar o valor gerado pela teria um ne-
gócio
Cada ação ou iniciativa para a implantação
da Governança de TI, deverá ser conduzida a Para Fernandes e Abreu (2014), geralmente,
partir de um plano de projeto. Pode ser usado, os executivos e demais integrantes de cargos de
por exemplo, o PMBOK – Project Management alta gestão percebem quando a TI agrega valor
Body of Knowledge, como norteador do plano para o negócio da seguinte forma:
de gerenciamento do projeto.
• Os projetos de sistemas e soluções são en-
15. Implantar as ações do plano de gerencia- tregues no prazo e com os requisitos acor-
mento da mudança da cultura organizacional dados.
Essa etapa deve acontecer paralelamente • Os projetos de sistemas são entregues den-
ao desenvolvimento dos projetos específicos de tro do time-to-market do negócio (tempo de-
Governança de TI. A partir do roadmap da gover- corrido desde o início do desenvolvimento
nança de TI, já é possível dar início à execução de um produto ou serviço até ele estar pron-
do plano de gerenciamento da mudança cultural. to para venda).
16. Executar os projetos de implantação da go- • As aplicações e os serviços estão disponíveis

vernança de TI de acordo com os ciclos operacionais do ne-
gócio e conforme os níveis de serviços acor-
Aqui, também pode ser utilizado o PMBOK – dados com os gestores do negócio.
Project Management Body of Knowledge, para o
• A TI possui capacidade de atender à expan-
gerenciamento da execução dos projetos especí-
são do negócio ou de suas transações rapi-
ficos, relacionados a implantação da governança
damente, visando atender ao time-to-market
de TI.
requerido.
17. Monitorar à execução dos projetos de im-
• O negócio possui uma rápida resolução de
plantação da governança de TI
incidentes que afetam a sua operação.
55
• O negócio possui uma rápida recuperação cinador da alta direção da empresa pode ter
de serviços, quando um incidente afeta a sua sérios problemas na sua implementação.
operação.
• Envolvimento dos executivos da organiza-
• A TI contribui com inovações tecnológicas e ção - Além do executivo patrocinador, o pro-
de processo para a sua operação. grama de Governança de TI também neces-
sita do envolvimento dos demais executivos
• As plataformas de aplicações, software e de
da organização. Principalmente, porque a
Infraestrutura são flexíveis para acompanhar
implantação de novos processos de TI pode
o crescimento do negócio.
alterar a forma como as demais áreas da em-
Portanto, para os autores, o programa de presa são atendidas pela TI.
Governança de TI deverá avaliar, para cada pro-
• Atacar as principais vulnerabilidades - Para
jeto, qual(is) dos requisitos de sucesso, do ponto
possibilitar a obtenção de resultados a curto
de vista do negócio, será(ão) atendido(s). Os re-
prazo. Isso é extremamente importante para
sultados deverão ser medidos e comunicados à
o sucesso do empreendimento. Esses resul-
alta administração e aos patrocinadores.
tados sempre devem ser comparados aos
20. Revisar e evoluir o programa resultados anteriores, para que a melhoria
possa ser evidenciada em termos numéricos.
Na medida em que os projetos são entregues,
naturalmente a cultura organizacional começa a • Ter uma abordagem de gestão de mudança
mudar, pois os resultados começam a aparecer. cultural - A implantação da Governança de
Portanto, é hora de começar a planejar a evo- TI tem impacto sobre a forma como o pesso-
lução do programa de governança de TI. Isso é al de TI trabalho, dos usuários e clientes da
feito a partir da implantação de melhorias no que TI e dos fornecedores. Por isso, é importante
já está consolidado ou então buscando um novo planejar como será realizada essa mudança
foco, a partir de uma nova análise estratégica da da cultura organizacional.
organização. • Equipe qualificada - A implantação da Go-
3. Fatores críticos para o sucesso na implanta- vernança de TI exige uma equipe qualifica-
ção da Governança de TI da para tal. Deve-se procurar alocar pessoas
que tenham os perfis requeridos para o pla-
Fernandes e Abreu (2014) também definem nejamento, a implantação e o gerenciamento
alguns fatores que podem favorecer com que do programa.
a implantação de um programa de Governança
• Certificar-se de que os benefícios previstos
de TI seja bem-sucedido. Para isso, segundo os
pela Governança de TI estão sendo atingi-
autores, os requisitos a serem atendidos são os
dos - Pois a alta administração somente en-
seguintes:
tenderá os investimentos no programa se as
• Liderança para a mudança - É necessário um melhorias puderem ser evidenciadas através
executivo patrocinador, que assuma a lide- de números e, principalmente, da agregação
rança e que garanta os fundos necessários de valor ao negócio.
para o empreendimento. Um programa de
4. Governança de TI, COBIT e outros modelos
Governança de TI que não possui um patro-
56
Uma série de modelos e frameworks que tra-
Modelos ISO – Interna- Sistemas de qualidade, ciclo
tam das melhores práticas de TI nas organizações tional Organization for de vida de software, teste
surgiram nas últimas décadas. Alguns deles são Standardization de software, etc.
originais e outros são evoluções de modelos an-

eSCM-SP e eSCM-CL – Outsourcing em serviços
teriores. Fernandes e Abreu (2014) propuseram Service Provider Capabi- que utilizam a TI de forma
uma tabela bem interessante acerca dos princi- lity Maturity Model intensiva.
pais modelos utilizados atualmente, relacionados

PRINCE2 – Project in Metodologia de gerencia-
à governança de TI. A tabela é mostrada a seguir. controlled environment mento de projetos.
Modelo de melhores
Escopo do modelo PMBOK – Project Mana-
práticas Base de conhecimento em
gement Body of Know-
gestão de projetos.
Modelo abrangente, apli- ledge
cável para a governança e
COBIT
para o gerenciamento da TI Modelos PMI para Ges- Base de conhecimento para
em âmbito corporativo. tão de Portfólio e pro- gerenciamento de portfólios
gramas e programas.
Trata da governança corpo-
ISO/IEC 38500
rativa de TI. Modelo ágil para o geren-
SCRUM
ciamento de projetos.
Trata de princípios e guias
ISO 31000 para o gerenciamento de Metodologia de planeja-
BSC – Balanced Score-
riscos. mento e gestão da estra-
card
tégia.
Desenvolvimento de produ-
CMMI – Capability Ma- Metodologia para a melho-
tos e projetos de sistemas e
turity Model Integration Seis Sigma ria da qualidade de proces-
software.
sos.
Modelo brasileiro para a
MPS.br para Software melhoria do processo de SAS 70 – Statement on
Regras de auditoria para
software. Auditing Standards for
empresas de serviços.
Services Organization
Serviços de TI, segurança da Modelo de gestão de com-

ITIL – Information Te- SFIA – Skills Framework
informação, gerenciamento petências direcionado aos
chnology Infrastructure for the Information Age
da infraestrutura, gestão de profissionais de TI.
Library
ativos e aplicativos, etc.
TOGAF – The Open Modelo que trata o desen-
Norma que aborda requisi-
Group Architecture Fra- volvimento e a evolução de
tos e melhores práticas para
ISO/IEC 20000 mework arquiteturas de TI.
o gerenciamento de servi-
ços de TI.
BPM CBOK – Business Corpo de conhecimento
Modelo brasileiro para a Process Management para o gerenciamento de
MPS.br para Serviços melhoria das práticas de Body of Knowledge processos de negócio.
serviços.
BABOK – The Guide to Guia de conhecimento para
USMBOK – Universal Gerenciamento de serviços the Business Analysis a prática de análise de ne-
Service Management de qualquer natureza (inclu- Body of Knowledge gócio.
Body of Knowledge sive de TI).
Requisitos e código de prá- DAMA DMKOK – Data Guia de conhecimento para

ISO/IEC 27001 e ISO/ Management Body of a disciplina de gestão de
tica para a gestão da segu-
IEC 27002 Knowledge dados.
rança da informação.
57
A adoção das práticas de Governança de TI deve 5.3 COBIT 5 Assessment
ser feita a partir da escolha de um modelo ade-
É um certificado denominado “avançado”. O
rente às práticas da organização. Importante
COBIT Assessment demonstra que os profissio-
lembrar que a governança de TI não se restringe
nais dominam o entendimento de como realizar
a aplicação desses modelos ou dessas melho-
uma “Avaliação de Capacidade de Processo For-
res práticas, já que a utilização de qualquer um
mal”. Além disso, devem demonstrar como ela
desses modelos toma como princípio a própria
pode ser usada para habilitar objetivos de negó-
arquitetura de processos de TI já existente na or-
cio é priorizar iniciativas de melhoria, identifican-
ganização.
do oportunidades para melhorar a governança
5. Certificação e o gerenciamento dos ativos de TI. Os profis-
sionais certificados com COBIT 5 Assessment
A ISACA oferece 3 níveis de certificação pro-
garantem a implementação de controles mais
fissional, relacionados ao conhecimento e à pro-
confiáveis sobre os processos internos, capa-
ficiência na utilização do COBIT. Vejamos cada
zes de fornecer aos stakeholders uma linha clara
um deles.
a respeito da visão dos recursos dos processos,
5.1 COBIT 5 Foundation permitindo que os líderes de TI redirecionem ou
liberem recursos, conforme as prioridades dos
É um certificado denominado “fundamen- processos de negócio. É uma certificação des-
tos”. Demonstra que os profissionais entendem tinada a auditores internos, externos, além de
os problemas e desafios relacionados à gover- consultores de TI.
nança e ao gerenciamento de TI no âmbito das
organizações. O candidato deve comprovar que 5.4 Resumo prescritivo do Exame ISACA COBIT
sabe usar o framework COBIT 5 para a solução 5 Foundamtion
desses problemas e desafios. Os profissionais
Formato do exame: 50 questões de múlti-
certificados como COBIT 5 Foundation demons-
pla escolha. É necessário acertar no mínimo 25
tram que utilizam os elementos do COBIT 5 na
questões (50%). A prova tem 40 minutos de du-
prática estão preparados para utilizar seus co-
ração e está disponível em Português.
nhecimentos nas empresas.
Instituto certificador: o programa de certifi-
5.1 COBIT 5 Implementation
cação COBIT 5® é oferecido pela APMG e pela
Esse é um certificado denominado “imple- PeopleCert.
mentação”. O COBIT 5 Implementation demons-
Onde realizar: tanto a PEOPLECERT https://
tra que os profissionais possuem conhecimen-
www.peoplecert.org/ como a APMG https://
tos para aplicar todos os elementos do COBIT
apmg-international.com/pt-br oferecem exames
5, em toda a empresa, com base em um ciclo
remotos acompanhados por fiscal em tempo
de vida de melhoria contínua. Esses profissionais
real. O exame pode ser feito em qualquer local
demonstram o entendimento de como o COBIT
que tenha acesso à internet. É necessário realizar
5 pode ser adaptado às diferentes necessidades
o exame em um ambiente isolado (quarto, sala,
das diferentes empresas.
etc.) em que não haja outras pessoas próximas.
58
Certificado: o resultado de aprovação sai
na hora. O certificado digital (em PDF) é libera-
do em 5 dias após o processo de validação do
exame. Esse certificado vale por tempo inde-
terminado, não expira e não precisa pagar taxas
anuais de manutenção.
Maiores informações sobre as certificações

do COBIT 5 podem ser encontradas na página
da ISACA (www.isaca.org).
59
DESAFIO
Uma maneira de buscar representação sobre o valor que a Tecnologia
da Informação possui em uma organização é determinar o quanto a
tecnologia esteve presente na cadeia produtiva até que o produto ou
serviço da empresa esteja em posse do consumidor final.
Esse é um aspecto relacionado ao alinhamento estratégico da Tecno-

logia da Informação com o Planejamento Estratégico e de Negócios da
empresa.
Elabore um texto argumentativo com a seguinte premissa: como pode

ser realizada a implementação do alinhamento estratégico da TI, por
meio da governança de TI em uma empresa?
Em seu texto, considere que a implementação do alinhamento estra-

tégico da TI é definida durante a fase de seu planejamento devendo
estar diretamente relacionada ao pensamento estratégico organiza-
cional. Além disso, os projetos e as operações da TI devem possuir o
objetivo de cumprir ou ajudar a cumprir a missão da organização. Além
disso, considere que o caminho natural para a obtenção do alinha-
mento estratégico da TI deve partir do plano estratégico da empresa,
constituído em seu plano Diretor de TI.
60
1. Implementação do processo de gerenciamento de mudanças de TI em uma maternidade – Um

estudo de caso
Este artigo apresenta indicadores de desempenho obtidos após a implementação do processo de

gerenciamento de mudanças de TI. O cenário escolhido foi no segmento de saúde, dentro de uma
maternidade com operação delicada. Os resultados indicam que a adoção desse processo tornou a
TI mais controlada e melhor gerenciada.
NEVES, Paulo Sérgio; DONÁ, Claudio Merlim. Implementação do processo de gerenciamento de mudanças de TI
em uma Maternidade: um estudo de caso. Braz. J. of Bus., Curitiba, v. 2, n. 2, p.659-668, abr./jun. 2020. Dispo-
nível em: https://www.brazilianjournals.com/index.php/BJB/article/view/8626/7421. Acesso em: 5 out. 2020.
2. Governança corporativa: Avaliação do uso das melhores práticas em uma em instituição de

ensino superior (IES) brasileira
As mudanças na ordem econômica, política e social do mundo nas últimas décadas impuseram uma
série de desafios aos governos nacionais. A governança pública mostra-se como um novo paradig-
ma cuja proposta indica escopos mais amplos, colocando uma perspectiva mais abrangente de go-
verno com ênfase em eficiência e controle. Dessa forma, o presente estudo é relevante em função
de apresentar os mecanismos de governança adotados nas Universidades e sua respectiva adequa-
ção aos princípios fundamentais da governança. Foi realizada uma avaliação na Universidade Fede-
ral do Ceará (UFC), com foco na análise das cinco dimensões: do controle Ambiente de Controle;
Avaliação de Risco; Atividades de Controle; Informação e Comunicação e Monitoramento.
SANTIAGO, Maria Glícia Conde; ANDRIOLA, Wagner Bandeira; LIMA, Alberto Sampaio. Governança corporativa:
avaliação do uso das melhores práticas em uma em instituição de ensino superior (IES) brasileira. Educação &
Linguagem, [S. I], ano 6 · n. 1, p. 14-34, jan./abr. 2019. Disponível em: https://www.fvj.br/revista/wp-content/
uploads/2019/05/2_REdLi_20191.pdf. Acesso em: 5 out. 2020.
3. Data science para promover a governança corporativa de tecnologia da informação
A teoria e prática de Data Science pode ser operacionalizada de diferentes maneiras, mas é a téc-
nica de Data Mining uma das mais utilizadas atualmente pelas instituições pois permite descobrir e
gerar conhecimento sobre as bases de dados que possuem. Mais que isso, esse enfoque de minera-
ção de dados integrado a conhecimento de especialista pode promover o aprendizado de máquina
que neste trabalho ajuda a Governança de TI para melhorar a Prestação de Contas.
VANTI, Adolfo; SOLANA-GONZÁLEZ, Pedro; SEIBERT, Rosane. Data science para promover a governança
corporativa de tecnologia da informação. maio. 2019. Disponível em: https://www.researchgate.net/profile/
Pedro_Solana-Gonzalez/publication/333535945_Data_Science_to_Promote_Corporate_Governance_of_In-
formation_Technology/links/5dbe05444585151435e26733/Data-Science- -to-Promote-Corporate-Governan-
ce-of-Information-Technology.pdf. Acesso em: 5 out. 2020.
61
SAIBA +
Nesse estudo, você confere a percepção dos gestores operacionais da Se-
cretaria de Tecnologia da Informação (STI) do TRE/SC acerca dos impactos
gerados nos processos de trabalho internos do órgão após a implementa-
ção das melhores práticas de governança de TI. Trata-se de um estudo de
caso descritivo-avaliativo, de abordagem qualitativa no que concerne às ca-
racterísticas e ao modo de investigação. Como resultados, verificou-se que
até março de 2013 foram implementados oito dos 24 processos de gover-
nança de TI baseados no modelo COBIT, versão 4.1, definidos como meta
do Planejamento Estratégico de TI para 2013. Concluiu-se que a percepção
dos gestores é positiva em relação à governança de TI, embora existam al-
gumas falhas, como na comunicação intra e interáreas e na centralização de
informações por alguns setores.
KLUMB, Rosangela; AZEVEDO, Beatriz Marcondes de. A percepção dos gestores

operacionais sobre os impactos gerados nos processos de trabalho após a im-
plementação das melhores práticas de governança de TI no TRE/SC. Rev. Adm.
Pública, Rio de Janeiro. v. 48, n. 4, p. 961-982, jul./ago. 2014. Disponível em:
https://www.scielo.br/pdf/rap/v48n4/a08v48n4.pdf. Acesso em: 5 out. 2020.
62
Referências
KLUMB, Rosangela; AZEVEDO, Beatriz Marcondes de. A percepção dos gestores operacionais sobre
os impactos gerados nos processos de trabalho após a implementação das melhores práticas de go-
vernança de TI no TRE/SC. Rev. Adm. Pública, Rio de Janeiro. v. 48, n. 4, p. 961-982, jul./ago. 2014.
Disponível em: https://www.scielo.br/pdf/rap/v48n4/a08v48n4.pdf. Acesso em: 5 out. 2020.
NEVES, Paulo Sérgio; DONÁ, Claudio Merlim. Implementação do processo de gerenciamento de

mudanças de TI em uma Maternidade: um estudo de caso. Braz. J. of Bus., Curitiba, v. 2, n. 2,
p.659-668, abr./jun. 2020. Disponível em: https://www.brazilianjournals.com/index.php/BJB/arti-
cle/view/8626/7421. Acesso em: 5 out. 2020.
PROJECT MANAGEMENT INSTITUTE. Um guia do conhecimento em gerenciamento de projetos:

guia PMBOK. 5. ed. São Paulo: Saraiva, 2014.
SANTIAGO, Maria Glícia Conde; ANDRIOLA, Wagner Bandeira; LIMA, Alberto Sampaio. Governança
corporativa: avaliação do uso das melhores práticas em uma em instituição de ensino superior (IES)
brasileira. Educação & Linguagem, [S. I], ano 6 · n. 1, p. 14-34, jan./abr. 2019. Disponível em: https://
www.fvj.br/revista/wp-content/uploads/2019/05/2_REdLi_20191.pdf. Acesso em: 5 out. 2020.
VANTI, Adolfo; SOLANA-GONZÁLEZ, Pedro; SEIBERT, Rosane. Data science para promover a
governança corporativa de tecnologia da informação. maio. 2019. Disponível em: https://www.
researchgate.net/profile/Pedro_Solana-Gonzalez/publication/333535945_Data_Science_to_Pro-
mote_Corporate_Governance_of_Information_Technology/links/5dbe05444585151435e26733/
Data-Science- -to-Promote-Corporate-Governance-of-Information-Technology.pdf. Acesso em: 5
out. 2020.
63

COBIT

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

COBIT

Enviado por

Direitos autorais:

Formatos disponíveis

EXPEDIEN T E

Oswaldo Luiz Saenger

José Sérgio de Jesus

Henrique Vinícius Ramos e Silva

Jonathan Rosa Moreira

José Sérgio de Jesus

Jonathan Rosa Moreira

Francisca Carla Santos Ferrer

Daniel Barbosa Santos

Fabrício Vieira de Santana

Thamires de Oliveira Alencar

Daniel Barbosa Santos

Francisca Carla Santos Ferrer

Luis Eduardo Gauterio Fonseca

Fabrício Vieira de Santana

DESENVOLVIMENTO E SUPORTE TÉCNICO

José Gustavo Dias Alves

Thamires de Oliveira Alencar

Wellington Douglas Cordeiro de Souza Junior

SUPORTE ADMINISTRATIVO E LOGÍSTICO

Érika Silva Nascimento

Diagramação: Fabrício Vieira de Santana

DADOS INTERNACIONAIS DE CATALOGAÇÃO NA PUBLICAÇÃO (CIP)

1. Gestão de projetos 2. Capability Maturity Model Integration 3. Processos de software

Elaborada pelo processamento técnico da Biblioteca Central do Centro Universitário Projeção

1.1 Governança Corporativa

Fonte: https://portaldeauditoria.com.br/ O termo compliance tem origem no verbo

2. Governança de TI 3. Os investimentos em TI da empresa visam

• Comunicação: consiste na comunicação do

• Prover a TI da estrutura de processos que

• Promover o emprego de regras claras para

• Gestão da demanda – É a análise sobre os • Competências - Corresponde ao conjunto

• Relacionamento com o cliente - É a forma

• Relacionamento com fornecedores - Inclui

• Gestão do valor da TI - Está relacionado

• Gestão do desempenho - Refere-se ao mo-

Portanto, o escopo da governança em TI con-

A empresa é considerada de grande porte, com executivos de alto es-

Pensando nesse contexto, seu desafio é o de elencar argumentos para

Do ponto de vista dos pilares de sustentação da governança corpo-

2.Influência da governança corporativa na mitigação de relatórios financeiros fraudulentos

Este estudo teve o objetivo de analisar a influência da estrutura de governança corporativa na

3. Análise do compliance das empresas brasileiras às boas práticas de governança corporativa

No link abaixo, você confere detalhes a respeito do escândalo Enron Cor-

SCHMITT, Cecília. Entenda o Caso Enron. 2002. Disponível em: http://www.pro-

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 38500:2009: governan-

INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA. Governança corporativa. São Paulo:

IT GOVERNANCE INSTITUTE. COBIT QuickStart. 2. ed. Rolling Meadows: ITGI, 2007.

SCHMITT, Cecília. Entenda o caso Enron. 2002. Disponível em: http://www.provedor.nuca.ie.ufrj.br/

O alinhamento estratégico acontece Negócio (PN) da organização.

Sobre esses dois importantes instrumen- Esse alinhamento consiste em transpor-

Figura: Modelo Ramizes e Sender

Fonte: Modelo de Ramirez e Sender (2003) sobre o PETI

Esse alinhamento estratégico pode aconte- 2. Planejamento Estratégico

Portanto, o PETI é tido como um dos planos

• Entendimento da dinâmica do negócio -

o Análise e definição das necessidades do • Definição da estratégia de segurança da

Em função da sua complexidade e da sua im- • Portfólio de TI aprovado - Esse é o resultado

o Sistemas e soluções que deverão ser 3.2 Papéis da Governança de TI

Faz com que a

Considere que você é funcionário de uma rede de supermercados que

Elabore um texto argumentativo contendo cinco vantagens que a apli-

Na sua reflexão, considere:

• uso correto da infraestrutura;