Práticas de Governança em Ti (Cobit) PDF

Práticas de Governança em TI (COBIT)
Práticas de Governança
em TI (COBIT)
Professor: Renato Silva de Lima
1
Apresentação 3
1- Introdução à Governança de TI 4
1.1 Governança de TI 4
1.2 A ISACA e o IT Governance Institute 5
1.3 Alinhamento Estratégico de TI 6
Exercícios do Capítulo 1 7
2 - Introdução ao COBIT 8
2.1 O que é o COBIT? 8
2.2. Componentes do framework do COBIT 10
Sumário 2.3 BSC e os controles e monitoramento de informações do COBIT 10
2.4 Áreas da Governança de TI com foco no COBIT 12
2.5 Foco do COBIT 13
3 - Modelo do COBIT 16
3.1 Necessidade de um modelo de controle para TI 16
3.2 A relação do COBIT com o negócio da empresa 18
3.3 Requisitos de negócio do COBIT 18
4 - Estrutura de processos do COBIT 23
4.1 Domínios de processos do COBIT 23
4.2 Controles do COBIT 26
4.2.1 Tabela RACI 27
4.3 Modelo de maturidade 28
4.3.1 Níveis do Modelo de Maturidade 29
4.3.2 Modelo de Maturidade e o Gerenciamento de processos de TI 31
4.4 Indicadores de processos 32
5 - Entendendo a estrutura do COBIT por dentro 36
5.1 Aplicabilidade da estrutura do COBIT 36
5.2 Como navegar nos processos 37
Considerações Finais 41
Respostas Comentadas dos Exercícios 42
Bibliografia 47
2
Apresentação
Caro aluno é um prazer acompanhá-lo nesse tema tão
importante para o nosso curso. O objetivo dessa disciplina
é apresentar e discutir conceitos e temas referentes às
práticas de governança de TI com base no modelo de
processo do COBIT - Control Objectives for Information and
related Technology (Controle de Objetivos relacionado a
Tecnologia da Informação). O tema é de muita importância
para o perfil do profissional de hoje, pois trata a TI com
uma variável dentro da estratégia da organização.
Estudaremos, durante o curso, a estrutura de processos
do COBIT, como eles se relacionam com outros modelos e
práticas do mercado, além de termos uma visão prática da
utilização desse modelo de gestão de TI.
Além disso, abordaremos tópicos relacionados à
avaliação de processo de TI, utilizando o modelo de
maturidade de processo do COBIT.
Por fim, discutiremos, em uma visão geral, como o
COBIT se encaixa com outros modelos de mercado e como
tem sido utilizado para melhorar a utilização dos recursos
de TI para gerar valor para as organizações.
Então, caros alunos, preparem-se para conhecer esse
tema com mais profundidade, pois certamente fará a
diferença no seu perfil profissional e na sua carreira.
Renato Silva de Lima, PMP, ITIL, CGEIT

Elisamara de Oliveira, MSc, PhD
3
1- Introdução à Governança de
TI Mas, a definição mais clara e equilibrada
de Governança de TI é: processo pelo qual decisões
Caro aluno, o tema forte dentro das organizações nos são tomadas sobre os investimentos em TI, que envolve
como as decisões são tomadas, quem toma as decisões,
dias atuais é a Governança. Eventos marcantes, como as
quem é responsabilizado e como os resultados são
fraudes em resultados e balanços das empresas Enron e
medidos e monitorados.
WorldCom, crise financeira nos EUA, a falência do Banco
Santos, a intervenção do Banco Panamericano, etc são Fonte: www.itgi.org
exemplos atuais de falta de controle e alinhamento
estratégico dentro das empresas para garantir que o
processo de governança esteja sendo executado de É claro que podemos encontrar muitas definições de
acordo com os interesses dos acionistas e entidades de governança de TI, que variam de autor para autor, mas
controle (como o próprio governo). em linhas gerais, a Governança de TI é, em sua essência,
um conjunto de regras e melhores práticas, que adaptadas
à cultura organizacional, servirá para profissionalizar a
Dentro das organizações o papel da TI é estratégico e gestão da TI, visando transformá-la em instrumento de
nada mais justo do que tratar o tema como tal, definindo apoio às decisões de negócio.
controles e clareando a visão estratégica do que a TI Assim, a governança de TI garante a capacidade
pode trazer de retorno para organização, garantindo organizacional exercida pela alta direção, pelas gerências
conformidade e alinhamento com os objetivos e metas da de negócios e pela gerência de TI para controlar a
organização. formulação e implementação da estratégia de TI e, com
isso, assegurar o alinhamento entre negócios e TI.
1.1 Governança de TI
Para muitas organizações a informação e a tecnologia
que a suporta representam o seu bem mais valioso, Leia o artigo do Prof. Luiz Roberto Nascimento
mas muitas vezes são os ativos menos compreendidos. publicado em 03/03/2011, intitulado
Organizações bem-sucedidas reconhecem os benefícios
da TI e utilizam-na para direcionar valores das partes “Postura Ética dos Profissionais da
interessadas no negócio. Área Contábil-financeira”
“...O presente trabalho tem a intenção de avaliar a

Essas organizações também entendem e gerenciam
situação atual da visibilidade negativa dos profissionais,
os riscos associados, tais como as crescentes demandas
tendo em vista os escândalos advindos das posturas
regulatórias e a dependência crítica de muitos processos
adotadas pelos profissionais da ENRON sob os
de negócios da TI.
auspícios intelectuais dos consultores e auditores
da ex-ARTHUR ANDERSEN dos E.U.A., bem como os
Para Peter Weill e Jeanne W. Ross (2005), a governança demais eventos subsequentes naquele país e outros
de TI é um “conjunto de especificações para apoiar da Europa, sendo que antes era apenas característica
decisões e estimular comportamentos desejáveis na de países subdesenvolvidos ou emergentes, Brasil no
utilização da Tecnologia da Informação”. Ou seja, eles meio, que já faziam parte das estatísticas daqueles de
conceituam governança como um modelo que define baixos padrões éticos e alto nível de corrupção...”
os direitos e as responsabilidades pelas decisões que
Disponível em: http://cepen.org/portaldacidadania/2011/03/
encorajam comportamentos desejáveis no uso de TI. postura-etica-dos-profissionais-da-area-contabil-financeira/
4
Juntos, a ISACA e seu instituto associado, o ITGI - IT

1.2 A ISACA e o IT Governance Institute
Governance Institute (Instituto de Governança da TI)
lideram a comunidade de controle em TI e atendem seus
A ISACA - Information Systems Audit and Control
praticantes fornecendo os insumos tecnológicos requeridos
Association (Associação de Auditoria e Controle de
pelos profissionais de TI em um ambiente global em
Sistemas de Informação) teve seu início em 1967,
constante mudança.
quando um pequeno grupo de profissionais que tinham
em comum o trabalho em auditoria de controle em
sistemas computadorizados, reuniram-se para discutir a
necessidade de uma fonte centralizada de informações e
orientações neste campo.
Em 1969, o grupo foi formalizado e incorporado como

a Associação de Auditores EDP. Em 1976 a associação
formou uma fundação de educação para assumir esforços
de pesquisa em larga escala para expandir o conhecimento A ISACA oferece quatro certificações. A
de valor da governança de TI e áreas de controle. certificação CISA -Certified Information Systems
Auditor é reconhecida globalmente e foi obtida por
Desde a sua criação, a ISACA tem se tornado uma mais de 75.000 profissionais desde sua criação. A
organização global de profissionais de governança de TI, certificação CISM - Certified Information
controle, segurança e auditoria. Os padrões de auditoria Security Manager tem como público alvo gerentes
de sistemas e controles são seguidos por profissionais de segurança da informação e já foi obtida por mais
no mundo todo e suas pesquisas destacam as questões de 13.000 profissionais. A designação CGEIT-
profissionais que apresentam desafios aos seus associados. Certified in the Governance of Enterprise IT
Os membros da ISACA, que somam mais de 86.000 ao redor promove o avanço de profissionais que desejam ser
do mundo, trabalham em mais de 160 países e atuam em reconhecidos por sua experiência e conhecimento
diversas áreas profissionais ligadas à TI como auditoria de relacionados à governança de TI e já foi obtida por
sistemas de informação, consultoria, educação, segurança mais de 4.000 profissionais. A nova certificação
da informação, órgãos reguladores, diretoria de TI (CIO – CRISC - Certified in Risk and Information
Chief Information Officer) e auditoria interna. Systems Control destina-se a profissionais de TI
que identificam e administram riscos por meio do
A ISACA publica o ISACA Journal, uma revista técnica desenvolvimento, implementação e manutenção de
líder na área de controles em sistemas de informação. controles de sistemas de informação.
Promove uma série de conferências internacionais com foco
tanto em tópicos técnicos quanto gerenciais pertinentes às Mais informações em:
profissões de governança em TI, controle e garantia de
sistemas de informação. http://www.isaca.org.br/novoportal/
5
A necessidade da avaliação do valor de TI, o

1.3 Alinhamento Estratégico de TI
gerenciamento dos riscos relacionados à TI e as crescentes
necessidades de controle sobre as informações, são
Para o ITGI - IT Governance Institute a alta direção
agora entendidos como elementos-chave da governança
tem papel fundamental e é responsável por liderar,
corporativa. Valor, risco e controle constituem a essência
definir uma estrutura organizacional alinhada às metas e
da governança de TI.
objetivos da organização e definir processos que garantem
que a TI corporativa sustente e estenda as estratégias Além disso, a governança de TI integra e institucionaliza
e objetivos da organização, ou seja, que TI faça parte boas práticas para garantir que a área de TI da organização
integral da estratégia corporativa. Assim, TI deve estar suporte os objetivos dos negócios. A governança de TI
alinhada à estratégia corporativa, para garantir a ligação habilita a organização a obter todas as vantagens de sua
entre os planos de negócios e de TI, definindo, mantendo informação, maximizando os benefícios, capitalizando as
e validando a proposta de valor de TI, alinhando as oportunidades e ganhando em poder competitivo.
operações de TI com as operações da organização.
Esses resultados requerem alguns tipos de modelo:
Atualmente dentro do mercado de TI vivemos a “Era dos um modelo para controle de TI, que se adeque e dê
Modelos e Práticas”: para cada função ou iniciativa dentro suporte à estratégia da organização, um modelo para
de TI relacionamos práticas para executar processos. Para controles internos amplamente aceitos para governança
que essas práticas tenham aderência dentro de TI são e gerenciamento de riscos empresariais, e outros modelos
aplicadas dentro de uma abordagem de processos, na qual similares como o COBIT, que discutiremos nessa disciplina.
são definidas atividades e as etapas dessas atividades são
medidas através de indicadores de performance. Com a concorrência, o mercado globalizado, as
novas exigências dos consumidores e o novo perfil de
Ao definir uma prática para gestão de TI, consumo, além dos controles, leis e regulamentações, as
necessariamente alguns domínios e controles devem ser organizações devem satisfazer os requisitos de qualidade,
considerados para que esse processo tenha, além de manter seus suas informações seguras, bem como de
eficiência, aderência às atividades de TI. todos seus bens e ativos.
O IT Governance é uma entidade que tem em seus Os executivos devem também otimizar o uso dos
papeis definir modelos e práticas de governança de TI. recursos de TI disponíveis, incluindo os aplicativos,
Divide a Governança de TI em 5 domínios para garantir informações, infraestrutura e pessoas. Para cumprir
sinergia com a Governança Corporativa e obter um maior essas responsabilidades, além de atingir seus objetivos,
grau de eficiência e controle das ações de TI alinhados os executivos devem entender o estágio atual de sua
à estratégia corporativa. Esses domínios serão discutidos arquitetura de TI e decidir que governança e controles ela
mais adiante. deve prover.
Leia o artigo de Gianni Ricciardi “IT Governance - De onde veio, onde está e para onde vai”
Disponível em:
http://www.isaca.org.br/novoportal/modules/wfsection/article.php?articleid=6
6
“...No final do século passado um grande número de investidores aplicou seu capital em tecnologia da
informação, tivemos a bolha das empresas ponto com, que explodiu frustrando o retorno esperado desses
investimentos em TI. Mais recentemente tivemos a quebra da empresa de energia Enron, da Consultoria
Arthur Andersen e da WorldCom na área de telecomunicações, que levou o governo americano a elaborar
a lei Sarbanes Oxley em 2002, que responsabiliza os gestores, podendo condenar a penas de até 20 anos
no caso de fraude constatada, alem de obrigar a ressarcir os prejuízos causados aos acionistas.
A área de TI, que era vista como uma “caixa preta”, passou a representar um sério risco
ao retorno sobre o investimento, ou mesmo na continuidade das empresas, devido à crescente
dependência da Tecnologia da Informação na composição e sustentação dos produtos e serviços, em
função do interesse público os problemas de compliance estão sendo expostos em tempo real.
É nesse contexto que o COBIT, Control Objectives for Information and related Technology, ganhou
forças como referência para o alinhamento, estruturação e controle do ambiente de TI. ... Com base em 4
dimensões, 34 processos, fatores críticos de sucesso, indicadores de performance, indicadores de resultado
e 318 objetivos de controles que procuram equacionar o ambiente de TI para atender os requerimentos
do negócio relativos às informações. O Cobit diz o que deve ser feito, Os conceitos, metodologias e
ferramentas de mercado cuidam do como fazer, dentre as quais podemos citar o ITIL IT Infrastructure
Library, Six Sigma, PMI, BSC, ISO 17799, CMM, Unified Process e Benchmarking, dentre outros.

O retorno sobre o capital já teve seu foco direcionado para a gestão e demonstração dos ativos, a gestão
financeira orçamentária, a gestão dos processos, a gestão dos clientes, a gestão das informações e devemos
ver em um futuro não distante esse foco direcionar-se para a gestão do conhecimento, assim que uma ameaça
ao retorno sobre o capital investido estiver fortemente associada ao fluxo do conhecimento nos mercados.”
Exercícios do Capítulo 1
1) Qual o papel da Governança de TI dentro das organizações?
2) O que é ISACA e ITGI e o que fazem?
3) Defina o que é alinhamento estratégico de negócio com o da TI.
7
• a mitigação dos riscos em TI

2 - Introdução ao COBIT A orientação aos negócios do COBIT, caro aluno,
consiste na definição de objetivos de negócios ligados
O COBIT- Control Objectives for Information
aos objetivos de TI, provendo métricas e modelos de
and related Technology – Controle de Objetivos
maturidade para medir a sua eficácia e identificando as
relacionado à Tecnologia da Informação fornece
responsabilidades relacionadas dos donos dos processos
boas práticas através de um modelo de domínios
de negócios e de TI.
e processos e apresenta atividades em uma
estrutura lógica e gerenciável. As boas práticas do
A figura 1 apresenta uma visão da interação do COBIT
COBIT representam o consenso de especialistas.
com o alinhamento de TI e os negócios. Nessa visão,
Elas são fortemente focadas mais nos controles
para prover as informações de que a empresa necessita
e menos na execução. Essas práticas irão ajudar
para atingir seus objetivos, os recursos de TI precisam
a otimizar os investimentos em TI, assegurar a
ser gerenciados por uma série de processos naturalmente
entrega dos serviços e prover métricas para julgar
agrupados.
quando as coisas saem erradas. Nessa disciplina
trabalharemos com a versão 4.1 do COBIT. A versão
5 foi apresentada pelo ISACA, mas sua aplicabilidade
ainda está sendo analisada pelo mercado, por
ter uma abordagem diferente da versão 4.1.
2.1 O que é o COBIT?

Para a área de TI ter sucesso em entregar os serviços
requeridos pelo negócio, os executivos devem implementar
um sistema interno de controles ou uma metodologia.
O modelo de controle do COBIT contribui para essas
necessidades ao:
• fazer uma ligação com os requisitos de negócios

Figura 1- Foco em processos e alinhamento de TI com
• organizar as atividades de TI em um modelo de
processos geralmente aceito o negócio
Fonte: www.isaca.org
• identificar os mais importantes recursos de TI a
serem utilizados
Mas como a empresa consegue implementar controles
• definir os objetivos de controle gerenciais a se- na área de TI de forma que ela entregue as informações
rem considerados
que a empresa precisa? Como ela gerencia os riscos e
• O COBIT não determina como os processos de- garante a segurança dos recursos de TI dos quais é tão
vem ser estruturados, e sim os controles que eles
devem possuir para que TI cumpra seus objetivos dependente? Como a empresa assegura que a área de TI
em termos de governança, ou seja, contribui para: atinge os seus objetivos e atende aos negócios?
Primeiramente os executivos precisam de objetivos
• o alinhamento e entrega de valor por parte da
área de TI para o negócio de controles que definam a meta básica de implementar
políticas, planos e procedimentos, bem como a estrutura
• a correta alocação e medição dos recursos envol-
vidos organizacional designada para prover razoável garantia de
8
que os objetivos de negócio serão atingidos e os eventos

indesejáveis serão prevenidos ou detectados e corrigidos.
Em segundo lugar, no complexo ambiente atual, os

executivos estão continuamente procurando informações
condensadas e disponíveis que os auxiliem a tomar
decisões difíceis relacionadas a valor, risco e controles,
de forma rápida e correta. O que deve ser avaliado e
como? As organizações precisam de medidas objetivas
que mostrem onde elas estão e onde são necessárias
melhorias e também precisam implementar instrumentos
que monitorem essas melhorias.
Como já dissemos, a versão do COBIT que trabalharemos

nessa disciplina será a 4.1, mas a apresentaremos dentro Figura 3 - Os 5 princípios de gestão do COBIT 5
de uma visão mais atual e de acordo com as tendências de Fonte: www.isaca.org/cobit
mercado que é um dos objetivos desse curso.

O COBIT versão 5 é um framework de negócios para
Caros alunos, para que vocês tenham uma ideia da
governança e gestão de TI, como já dissemos. Nessa
versão 5 do COBIT (vejam figura 2), faremos aqui sua
nova versão foram incorporadas as últimas novidades em
apresentação de forma superficial, mas ao mesmo tempo
governança corporativa e técnicas de gerenciamento de
mostramos que o conceito central de Governança de TI
TI. Fornece princípios novos para TI globalmente aceitos,
está mantido na essência da prática.
práticas, ferramentas e modelos analíticos para ajudar a
aumentar a eficiência gerando valor para as organizações.
O COBIT 5 apoia as empresas para que consigam

fazer a TI gerar valor para o negócio, mantendo uma
relação equilibrada entre os investimentos em recursos
de TI e os riscos organizacionais. O COBIT 5 considera
como essenciais numa organização os negócios, as áreas
funcionais de TI da empresa e as partes interessadas,
tanto internas como externas. É aplicável a qualquer tipo
e tamanho de empresa, seja comercial, sem fins lucrativos
Figura 2 - Evolução do COBIT com a versão 5 ou do setor público.
Fonte: www.isaca.org/cobit
Nessa nova versão, o COBIT descreve como pilares de

gestão 5 princípios mostrados na figura 3. Cada um destes Sugestão de vídeo do Youtube:
princípios está ligado a uma linha de gestão de TI que Introdução ao COBIT 5 (legendado)
deve estar diretamente ligada à gestão do negócio. Esses
conceitos, mesmo que na versão 4.1, serão aprofundados Disponível em:
http://youtu.be/sY2TaxU-R4E
nos próximos capítulos.
9
2.2. Componentes do framework do

COBIT
No modelo COBIT os recursos de TI são gerenciados
pelos processos de TI para alcançar os objetivos de TI
que, por sua vez, respondem aos requisitos de negócio da
organização.
Este é o princípio básico do framework COBIT, conforme

mostra o cubo apresentado na figura 4.
O cubo é o modelo que representa como os componentes

se inter-relacionam.
Figura 4 - Cubo do COBIT: processos de TI, recursos de
• Requisitos de Negócio TI e requisitos de negócios
Fonte: Framework COBIT 4.1 (www.isaca.org)
Efetividade
Eficiência O foco em processos do COBIT é ilustrado por um

modelo de processos de TI, que é subdividido em 4 domínios
Confidencialidade
e 34 processos, em linha com as áreas responsáveis por
Integridade planejar, construir, executar e monitorar, provendo, assim,
Disponibilidade uma visão total da área de TI. Conceitos de arquitetura
corporativa ajudam a identificar os recursos essenciais para
Conformidade
o sucesso dos processos, ou seja, aplicativos, informações,
Confiabilidade infraestrutura e pessoas.
No COBIT os processos agrupam as principais

• Recursos de TI
atividades de TI em um modelo de processo, facilitando
Aplicações o gerenciamento dos recursos de TI para atender as
Informações necessidades do negócio.
Infraestrutura
2.3 BSC e os controles e monitoramento
Pessoas
de informações do COBIT
• Processos de TI Caro aluno, é necessário que se tenha um nível de
reflexão profunda do papel de TI e que se conheçam as
Domínios
ferramentas de gerenciamento de informações para apoiar
Processos as organizações a encontrar respostas.
Atividades A figura 5 mostra como o gerenciamento das informações
é conseguido utilizando-se 3 níveis de controle:
10
• Paineis de controles (dashboards): que precisam No caso do COBIT, a resposta para esses requisitos
de indicadores; de definição e monitoramento dos controles e nível de
• Meios de medição (scorecards): que medem os performance de TI é compreendida por:
indicadores;
• Benchmarking da performance e capacidade dos
• Mecanismo de comparação (benchmarking): que processos de TI: expressos em modelos de maturi-
tem como objetivo obter um nível de comparação dade derivados do CMM- Capability Maturity Model,
dos resultados com outros setores e empresas. proposto pelo SEI- Software Engineering Institute.
• Objetivos e métricas dos processos de TI: para

definir e avaliar os seus resultados e performance
baseados nos princípios do BSC- Balanced Scorecard
publicado por Robert Kaplan e David Norton.
• Objetivos das atividades: para controlar esses

processos com base nos objetivos de controle do
COBIT.
Figura 5 - A base do Balanced Scorecard: indicadores, Com essas variáveis garantimos uma abordagem
métricas e referencial puramente estratégica da TI para atender as necessidades

Fonte: [ITGI, 2007] e objetivos de negócio.
Estes controles são conhecidos, em conjunto, como O objetivo é usar a TI como gerador de valor e
Balanced Scorecard ou BSC (que estudaremos no capítulo ferramenta de ganho de eficiência melhorando os
6). De acordo com seus autores, Kaplan e Norton (1997), o resultados da empresa.
BSC é uma técnica que visa a integração e balanceamento
de todos os principais indicadores de desempenho Com isso, já conseguimos sintetizar alguns conceitos e
existentes em uma empresa, desde os financeiros/ variáveis importantes dentro do processo de governança
administrativos até os relativos aos processos internos. de TI que o COBIT traz no seu modelo de processos,
definindo alguns domínios para estruturar as atividades
A intenção é estabelecer objetivos da qualidade táticas para garantir os controles sob esses processos.
(indicadores) para funções e níveis relevantes dentro
da organização, ou seja, realizar o desdobramento A figura 6 ilustra este conceito.
dos indicadores corporativos em setores, com metas
claramente definidas. O BSC sinaliza em quais segmentos
de mercado se deve competir e que clientes conquistar.
Oferece uma visão do futuro e um caminho para chegar
até ele.
Dessa forma, o modelo BSC traduz a missão e

a estratégia de uma empresa em objetivos e medidas
tangíveis. As medidas representam o equilíbrio entre os
diversos indicadores externos (voltados para acionistas
e clientes) e as medidas internas dos processos críticos
Figura 6 - O papel da Governança de TI define como o
de negócios (como a inovação, o aprendizado e o
modelo do COBIT trabalha
crescimento). Fonte: [ITGI, 2007]
11
priado gerenciamento dos recursos críticos

2.4 Áreas da Governança de TI com foco de TI: aplicativos, informações, infraestrutura
no COBIT e pessoas. Questões relevantes referem-se à
otimização do conhecimento e infraestrutura.
O COBIT segue em seu modelo uma abordagem definida 4) Gestão de risco: requer que os funcioná-
rios mais experientes da corporação preocu-
pelo IT Governance, que divide a TI em 5 grandes áreas, pem-se com os riscos, haja um entendimento
com o objetivo de suportar o processo de governança claro do apetite de risco da empresa e dos
requerimentos de conformidade, transparên-
provendo uma metodologia para assegurar que:
cia sobre os riscos significantes para a organi-
zação e inserção do gerenciamento de riscos
• a área de TI esteja alinhada com os negócios nas atividades da companhia.
• a área de TI habilite o negócio e maximize os 5) Mensuração de desempenho: acom-
benefícios panha e monitora a implementação da estra-
tégia, término do projeto, uso dos recursos,
• os recursos de TI sejam usados responsavelmen- processo de performance e entrega dos
te serviços, usando, por exemplo, o Balanced
Scorecard que traduz a estratégia em ações
• os riscos de TI sejam gerenciados apropriada- para atingir os objetivos, medidos através de
mente processos contábeis convencionais.
Como vimos, caro aluno, a mensuração da performance

é essencial para a Governança de TI. O COBIT realiza esta
medição, incluindo a definição e o monitoramento dos
objetivos de mensuração sobre o que os processos de TI
precisam entregar (processo de saída) e como entregam
(processo de capacidade e performance).
Muitas pesquisas identificaram a falta de transparência

dos custos, do valor e dos riscos de TI como uma das
mais importantes metas a serem obtidas para melhorar
a governança de TI. Embora haja contribuição de outras
áreas, a transparência é primariamente atingida através
da medição da performance.
O IT Governance destaca as 5 áreas da governança da

seguinte forma (conforme mostra a figura 7):
Figura 7 - 5 áreas da governança de TI com base no
1) Alinhamento estratégico: objetiva ga- IT Governance
rantir a ligação entre os planos de negócios e Fonte: [ITGI, 2007]
de TI, definindo, mantendo e validando a pro-
posta de valor de TI, alinhando as operações
de TI com as operações da organização. Essas áreas de foco em Governança de TI descrevem
os tópicos que os executivos precisam atentar para
2) Entrega de valor: é a execução da pro-
direcionar a área de TI dentro de suas organizações.
posta de valor de TI através do ciclo de entre-
ga, garantindo que TI entregue os prometidos Gerentes operacionais usam os processos para organizar e
benefícios previstos na estratégia da organi- gerenciar as atividades contínuas de TI.
zação, concentrando-se em otimizar custos e
provendo o valor intrínseco de TI.
O COBIT provê um modelo de processo genérico que
3) Gestão de recursos: refere-se à melhor
utilização possível dos investimentos e o apro- representa todos os processos normalmente encontrados
12
nas funções de TI, fornecendo um modelo de referência

2.5 Foco do COBIT
comum que pode ser compreendido por gerentes
operacionais de TI e gerentes de negócios.
O COBIT é focado no que é necessário para atingir
um adequado controle e gerenciamento de TI e está
posicionado em elevado nível estratégico.
O modelo de processos do COBIT foi

mapeado com as áreas de governança de TI, criando O COBIT foi alinhado e harmonizado com outros
uma ponte entre o que os gerentes operacionais pre- padrões e boas práticas de TI (veja a figura 9). O COBIT
cisam executar e o que os executivos desejam con-
trolar, com uma série de práticas de mercado para atua como um integrador desses diferentes materiais
apoiar como executar as atividades. de orientação, resumindo os principais objetivos sob um
conjunto de práticas que também estão relacionadas aos
requisitos de governança e de negócios.
Dentro do processo de governança, o COBIT tem um

papel tático de garantir os controles, a execução das
atividades, a visão de maturidade e objetivos, com base
nos processos e nos indicadores de performance que
trazem uma visão de painel de controles para auxílio à
tomada de decisão. A figura 8 mostra esta visão.
Figura 9 - Interação do COBIT com outros modelos e

práticas
Fonte:http://blogs.technet.com/b/rodias/default.aspx?Pag
Figura 8 - Posição tática do COBIT para a estratégia de eIndex=1&PostSortBy=MostViewed&Redirected=true
TI alinhada aos negócios
Fonte: Autoria própria
O COSO - Committee of Sponsoring Organizations of
the Treadway Commission (Comitê das Organizações
Para atingir uma governança efetiva, os executivos
Patrocinadoras do Treadway) é uma organização privada
requerem que os controles sejam implementados pelos
criada nos EUA em 1985 para prevenir e evitar fraudes nas
gerentes operacionais com uma metodologia de controles
demonstrações contábeis das empresas.
definida para todos os processos de TI. Os objetivos de
controle de TI do COBIT são organizados em processos de
A exemplo de outras práticas complementares ao COBIT,
TI; portanto o modelo proporciona uma clara ligação entre
o COSO é geralmente aceito como uma metodologia de
os requerimentos de governança de TI, processos de TI e
controle interno para corporações.
controles de TI.
13
• COBIT Control Practices: Explicam porque

os controles merecem ser implementados e como
implementá-los.
Leia o artigo “O que é COSO” publica-
do em 19/5/2008, disponível em:
http://controladoriaefinancas.blogspot. • IT Assurance Guide: Using COBIT: Traz

com/2008/05/o-que-o-coso.html orientações sobre como o COBIT pode ser usado
para suportar as variadas atividades de avaliação
Caso deseje, obtenha mais detalhes em: junto com sugestões de passos de testes para todos
os processos e objetivos de controle de TI.
http://pt.scribd.com/doc/221693/COSO-um-resumo
O diagrama de conteúdos do COBIT mostrado na figura

Como dissemos, o COBIT é um modelo de controles
10 relaciona cada publicação com o principal público-
internos para a área de TI. Os produtos do COBIT foram
alvo, suas dúvidas sobre governança de TI e os produtos
criados para dar suporte a executivos e alta direção,
aplicáveis que podem lhes dar as respostas.
gerentes de TI e de negócios, profissionais de avaliação
(assurance) e profissionais que trabalham com controles
Também existem produtos derivados para finalidades,
e segurança.
domínios ou organizações específicas, que não são foco
dessa disciplina.
Importante destacarmos que dentro do modelo
COBIT há diversas publicações com foco em processos Daremos ênfase no framework do COBIT que descreve
complementares que abordam o tema Governança de a estrutura de processos e sua aplicabilidade.
TI com cenários mais macro e com abordagens mais
profundas sobre o tema. Mas, essencialmente, o COBIT
traz na sua estrutura a seguinte lista de produtos:
• Board Briefing on IT Governance: Publicação

que auxilia os executivos a entender por que a go-
vernança de TI é importante, quais são suas princi-
pais questões e o papel deles em gerenciá-la.
• Diretrizes de gerenciamento/modelo de
maturidade: Auxiliam na designação de responsa-
bilidades, avaliação de desempenho e benchmark, e
tratam da solução de deficiências de capacidade.
• Práticas-chaves de gerenciamento: Organi-

zam os objetivos da governança de TI por domínios
e processos de TI e os relacionam com os requisitos
de negócios.
• Objetivos de controle: Proporcionam um com-

pleto conjunto de requisitos de alto nível a serem
considerados pelos executivos para o controle efetivo
de cada processo de TI.
• IT Governance Implementation Guide:

Using COBIT and Val IT (Value Information Tech-
nology): Provê um mapa geral para implementar a
governança de TI usando os recursos do COBIT e o Figura 10 - Principais publicações COBIT
Fonte: [ITGI, 2007]
Val IT.
14
• O COBIT é atualizado continuamente e harmo-

nizado com outros padrões e guias. Assim, o CO-
Sugestão: assistam aos vídeos BIT pode ser visto como um integrador de boas
práticas de TI e Governança de TI que ajuda no
O COBIT apresentado pelo ex-presidente da ISACA, entendimento e gerenciamento dos riscos e bene-
Michael Cangemi (em inglês). fícios associados com TI.
http://www.youtube.com/watch?v=bg_GEN8AZA0 • A estrutura de processos do COBIT e o seu

enfoque de alto nível orientado aos negócios for-
2”27”
nece uma visão geral de TI e das decisões a se-
rem tomadas sobre o assunto.
Introdução do COBIT 5
• E por fim nesse capítulo, em que descreve-
https://www.youtube.com/watch?v=sY2TaxU-R4E
mos de forma mais lógica como o COBIT interage
com a abordagem do IT Governance dentro da
3”17’ visão estratégica na organização, não poderíamos
deixar de descrever os benefícios de implemen-
tar o COBIT como um modelo de Governança de
COBIT 5 – The Next Evolution (em ingles) TI:
https://www.youtube.com/watch?v=PEqtgFZ4Pfo&feature=related
¾¾ melhor alinhamento baseado no foco
1”00’ do negócio
¾¾ visão clara para os executivos sobre o

que TI faz
Caro aluno, vamos finalizar o capítulo 2 com um ¾¾ clara divisão das responsabilidades
baseada na orientação para processos.
resumo do que vimos:
¾¾ aceitação geral por terceiros e órgãos
• O COBIT é um modelo e uma ferramenta de reguladores
suporte que permite aos gerentes suprir as de-
ficiências em relação aos requisitos de controle, ¾¾ entendimento entre todas as partes
questões técnicas e riscos de negócios, comuni- interessadas, baseado em uma linguagem
cando esse nível de controle às partes interessa- comum
das. O COBIT habilita o desenvolvimento de políti-
cas claras e boas práticas para controles de TI em ¾¾ cumprimento dos requisitos de contro-
toda a empresa. les e governança corporativa, descritos no
COSO para controle do ambiente de TI
1) Qual a definição do COBIT para os requisitos de monitoramento dos controles e nível

de performance?
2) Quais as cinco áreas da governança com base no IT Governance e a que cada uma se
refere?
3) O que é COSO e qual o seu papel?
15
3 - Modelo do COBIT
As organizações não podem atingir seus requisitos de
negócios e governança sem adotar e implementar um
Iniciamos esse capítulo descrevendo, com base no IT
modelo para governança e controle de TI para:
Governance, a missão do modelo COBIT dentro de TI,
que é pesquisar, desenvolver, publicar e promover um • fazer uma ligação com os requisitos de negócios
modelo de controle para governança de TI atualizado
• tornar transparente a performance obtida compa-
e internacionalmente reconhecido para ser adotado rada a esses requisitos
por organizações e utilizado no dia-a-dia por gerentes
• organizar as atividades de acordo com um mode-
de negócios, profissionais de TI e profissionais de
lo de processos reconhecido
avaliação. Leia nas seções seguintes muito mais sobre
• identificar os recursos mais importantes a serem
este tema.
aprimorados
• definir os objetivos de controles gerenciais a se-

3.1 Necessidade de um modelo de rem considerados
controle para TI
Adicionalmente, os modelos de governança e
controle estão tornando-se parte das boas práticas
Um modelo de controle da governança de TI define as
de gerenciamento de TI e são facilitadoras para o
razões pelas quais essa governança é necessária, quais
estabelecimento da governança de TI e aderência aos,
são as partes interessadas e o que esse modelo precisa
cada vez mais crescentes, requisitos regulatórios.
atingir.
Cada vez mais a alta direção está percebendo o

significativo impacto que a informação tem no sucesso da
organização.
Os executivos esperam obter um entendimento mais

profundo sobre a forma como TI funciona e o quanto
ela está sendo bem administrada para atingir vantagens
competitivas.
(Retirar imagem que estiver após esta frase pois não

esta no material)
Em particular, os executivos precisam saber se as As boas práticas de TI tornaram-se significantes devido
informações estão sendo devidamente gerenciadas de a inúmeros fatores, dentre eles:
modo que a empresa possa:

• Executivos de negócio e a alta direção vêm de-
mandando um melhor retorno dos investimentos em
• atingir os objetivos do negócio TI, isto é, vêm exigindo que a área de TI entregue
as necessidades da área de negócios para aumentar
• ter resiliência suficiente para aprender e se adap- o valor para partes interessadas
tar
• Preocupação com o aumento observado nos gas-
• gerenciar adequadamente os riscos encontrados tos com TI
• reconhecer apropriadamente as oportunidades e • Necessidade de atender às exigências regulató-
agir sobre elas rias de controles de TI em áreas com privacidade de
16
informações e relatórios financeiros (por exemplo, A crescente maturidade empresarial tem implicado na
Lei Sarbanes-Oxley e Basiléia II) e regulamentações aceitação e adoção de modelos e práticas bem-sucedidas,
para setores específicos como as áreas de finanças,
de saúde e farmacêutica tais como o COBIT, ITIL, normas como ISO 27000 sobre
padrões relacionados à segurança da informação, ISO
• Necessidade de seleção de provedores de ser-
viços e de gerenciamento e aquisição de serviços 9001:2000 relacionados aos requerimentos de sistemas e
terceirizados gerenciamento de qualidade, CMMI - Capability Maturity
• Aumento da complexidade dos riscos relaciona- Model Integration e PMBoK - Guide to the Project
dos à TI, como a segurança de redes Management Body of Knowledge.
• Necessidade de implantação de governança de

Além da adoção destes modelos e práticas, as empresas
TI que inclui a adoção de metodologias de controles
e boas práticas que ajudem a monitorar e aprimorar também vêm necessitando avaliar como estão em relação
as atividades críticas de TI para ampliar o valor do aos padrões geralmente aceitos em comparação com seus
negócio e reduzir os riscos
parceiros e organizações similares, o que pode ser feito
• Necessidade de otimizar os custos seguindo, através de técnicas de benchmarking.
sempre que possível, um enfoque padronizado em
vez de abordagens desenvolvidas de forma customi-
zada
“Como consequência do rumoroso caso da Enron Corporation, o congresso americano aprovou

uma rígida lei de governança corporativa conhecida pelo nome dos seus autores, o senador democrata Paul
Sarbanes e o deputado republicano Michael Oxley.
A lei Sarbanes-Oxley, também conhecida como SOX ou Sarbox, é baseada em alguns conceitos simples
mas poderosos, que são Transparência (da Administração), Documentação (dos procedimentos e outros),
Responsabilização (dos administradores), Segregação (de funções), Normatização (dos processos) e Monito-
ramento (do cumprimento de normas etc.).
Nisto ela se parece muito com a Regulamentação definida para o Basiléia II, do BIS – Banco das Compen-
sações Internacionais e com a Regulamentação do Banco Central do Brasil quanto a Controles Internos e
Risco Operacional. O que atende a SOX provavelmente atenderá o Basiléia II, o Risco Operacional e as re-
gulamentações do Bancen para Risco Operacional e Controles Internos.”
Fonte: http://www.servnet.inf.br/normas/pagina.asp?id=1
• Partes interessadas dentro da empresa que pro-

curam gerar valor a partir dos investimentos em TI:
¾¾ Aqueles que tomam decisões sobre in-

vestimentos
¾¾ Aqueles que decidem sobre requisitos
¾¾ Aqueles que usam os serviços de TI
• Partes interessadas dentro e fora da empresa que

Uma metodologia de governança e controles precisa fornecem serviços de TI:
servir a uma variedade de partes interessadas (ou
¾¾ Aqueles que gerenciam a organização e
stakeholders) tanto internas como externas, cada uma os processos de TI
com necessidades especificas, como as listadas a seguir:
17
¾¾ Aqueles que desenvolvem as capacidades O modelo COBIT é baseado nos seguintes princípios:
¾¾ Aqueles que operam os serviços

• prover a informação de que a organização preci-
• Partes interessadas dentro e fora da empresa que sa para atingir os seus objetivos
têm responsabilidades sobre controles/riscos:
• identificar as necessidades para investir
¾¾ Aqueles com responsabilidades sobre
• gerenciar e controlar os recursos de TI usando
segurança, confidencialidade e/ou riscos
um conjunto estruturado de processos para prover
¾¾ Aqueles que executam funções de con- os serviços que disponibilizam as informações neces-
formidade sárias para a organização.
¾¾ Aqueles que requerem ou fornecem ser-

viços de avaliação
3.3 Requisitos de negócio do COBIT
3.2 A relação do COBIT com o negócio da O gerenciamento e o controle da informação estão
presentes em toda a metodologia COBIT e ajudam a
empresa
assegurar o alinhamento com os requisitos de negócios.
Caro aluno, conforme está ficando bem claro, a
orientação para negócios é o principal foco do COBIT, Para atender aos objetivos de negócios, as informações
que foi desenvolvido não somente para ser utilizado precisam se adequar a certos critérios de controles, aos
por provedores de serviços, usuários e auditores, mas quais o COBIT denomina necessidades de informação da
também, e sobretudo, para fornecer um guia abrangente empresa. Baseado em abrangentes requisitos de qualidade,
para os executivos e donos de processos de negócios. guarda e segurança, 7 critérios de informação distintos
e sobrepostos são definidos, como já apresentamos na
A visão do COBIT em relação ao Planejamento figura 4, ou seja, conforme o modelo de cubo do COBIT.
Estratégico de TI pode ser vista na figura 11, que apresenta
a pirâmide organizacional que se divide em 3 níveis:
estratégico, tático e operacional. No nível estratégico
traçamos os objetivos, no tático as metas e no operacional
as ações a serem realizadas. Esta ordem hierárquica reflete
como o processo de tomada de decisão ocorre.
Estes 7 requisitos são assim definidos:
1) Efetividade: lida com a informação relevan-

te e pertinente para o processo de negócio bem
como a sua entrega em tempo, de maneira cor-
reta, de forma consistente e utilizável.
Figura 11 - Pirâmide organizacional e o processo de 2) Eficiência: relaciona-se com a entrega da

informação através do melhor (mais produtivo e
tomada de decisão econômico) uso dos recursos.
18
3) Confidencialidade: está relacionada com a TI (a arquitetura de TI para a organização) necessários

proteção de informações confidenciais para evi- para executar de maneira bem-sucedida a parte que cabe
tar a divulgação indevida.
à TI na estratégia da empresa.
4) Integridade: relaciona-se com a fidedig-
nidade e totalidade da informação bem como
sua validade de acordo os valores de negócios e
expectativas.
5) Disponibilidade: relaciona-se com a dispo-

nibilidade da informação quando exigida pelo
processo de negócio atual e futura. Também
está ligada à salvaguarda dos recursos necessá-
rios e capacidades associadas. Uma vez que os objetivos alinhados estiverem
6) Conformidade: lida com a aderência a definidos, eles precisam ser monitorados para assegurar
leis, regulamentos e obrigações contratuais aos que as entregas atendam às expectativas. Isto é alcançado
quais os processos de negócios estão sujeitos,
isto é, critérios de negócios impostos externa- por métricas derivadas dos objetivos e capturadas pelo
mente e políticas internas. scorecard de TI.
7) Confiabilidade: relaciona-se com a entrega

da informação apropriada para os executivos Para que o cliente entenda os objetivos e o scorecard
para administrar e exercer suas responsabilidade TI, todos esses objetivos e métricas associadas devem
des fiduciárias e de governança.
ser expressos em termos de negócios significativos para o
Enquanto os critérios de informação fornecem um cliente.
método genérico para definir os requisitos de negócios,
Combinado com um efetivo alinhamento da hierarquia
a definição de um conjunto genérico de objetivos de
dos objetivos, isto irá assegurar que os negócios
negócios e de TI fornece uma base mais refinada para
confirmem que TI irá colaborar para que a empresa atinja
o estabelecimento dos requisitos de negócios e o
seus objetivos.
desenvolvimento de métricas que permitam avaliar se
esses objetivos foram atendidos.
Na figura 12 relacionamos, dentro da estratégia
corporativa, a arquitetura de processos e controles de TI
Toda organização usa TI para fazer funcionar as
com os objetivos de negócio. O COBIT, na sua estrutura,
iniciativas de negócios e essas podem ser representadas
interliga essas duas variáveis, ou seja, os objetivos de
como objetivos de negócios para a área de TI. Esses
negócio com a arquitetura de TI.
exemplos genéricos podem ser utilizados como um guia
para determinar os requisitos de negócios específicos, as
metas e as métricas para a organização.
Para a área de TI entregar de maneira bem-sucedida

os serviços que suportam as estratégias de negócios,
deve existir uma clara definição das responsabilidades e
direcionamento dos requisitos pela área de negócios (o
cliente) e um claro entendimento acerca do que e como
precisa ser entregue pela TI (o fornecedor).
Esse procedimento deve levar a uma clara definição

Figura 12 - Arquitetura de processos e controles de TI
dos objetivos próprios da área de TI (os objetivos de TI)
e a estratégia corporativa
que, por sua vez, irá definir os recursos e capacidades de Fonte: [ITGI, 2007]
19
Assim, os processos de TI podem atender as • Aplicativos: são os sistemas automatizados

necessidades da organização de forma mais eficiente e para usuários e os procedimentos manuais que pro-
cessam as informações.
alinhada à estratégia da organização, garantindo a entrega
dos serviços de TI para gerar valor ao negócio. Nessa • Informações: são os dados em todas as suas
formas; a entrada, o processamento e a saída forne-
ordem, classificar e utilizar os recursos de T de forma mais cida pelo sistema de informação em qualquer forma-
eficiente trará mais eficiência para o negócio. to a ser utilizado pelos negócios.
• Infraestrutura: refere-se à tecnologia e aos

recursos (ou seja, hardware, sistemas operacionais,
sistemas de gerenciamento de bases de dados, re-
des, multimídia e os ambientes que abrigam e dão
suporte a eles) que possibilitam o processamento
dos aplicativos.
A organização de TI entrega os serviços de
acordo com esses objetivos através de um conjunto • Pessoas: são os funcionários requeridos para
planejar, organizar, adquirir, implementar, entregar,
claramente definido de processos que usam a experi-
suportar, monitorar e avaliar os sistemas de informa-
ência das pessoas e a infraestrutura tecnológica para ção e serviços. Eles podem ser internos, terceirizados
processar aplicativos de negócios de maneira automa- ou contratados, conforme necessário.
tizada, aprimorando as informações de negócios.
Repare, caro aluno, na figura 13 como há uma relação
direta dos recursos de TI com a estratégia da organização,
em que se observa a dependência dos processos com os
O COBIT parte da premissa que os recursos de TI
objetivos de TI e com os resultados do negócio.
precisam ser gerenciados por um conjunto de processos
agrupados com o objetivo de fornecer informações
pertinentes e confiáveis para que a organização consiga
alcançar seus objetivos.
Esses recursos, em conjunto com os processos,

constituem a arquitetura de TI da organização. Para
atender aos requisitos de negócios para TI, a organização
precisa investir nos recursos necessários para criar uma
adequada capacidade técnica (por exemplo, um sistema
de planejamento de recursos ou ERP) que atenda a uma
necessidade de negócios (como implementar um canal
de suprimentos) resultando no desejado retorno (como
aumento de vendas e benefícios financeiros).
Figura 13 - Relação dos recursos de TI com a estratégia

da organização
Fonte: [ITGI, 2007]
Os recursos de TI identificados no COBIT podem ser

definidos como se segue (conforme mostra a figura 13): O COBIT, conforme veremos no próximo capítulo, define
20
as atividades de TI em um modelo de processos genéricos O COBIT fornece um modelo de processo de referência

dentro de domínios de processos. Esses domínios possuem e uma linguagem comum para que todos na organização
uma abordagem de ciclo, como em todas as práticas de possam visualizar e gerenciar as atividades de TI.
mercado.
Incorporar o modelo operacional e a linguagem comum
A orientação a processo é atividade padrão dentro das para todas as áreas de negócios envolvidas em TI é um
boas práticas de TI. Necessariamente trabalhar orientado dos mais importantes passos e ações preliminares para
a processo remete-nos a uma visão de ciclo de vida, no uma boa governança.
qual planejamos, fazemos, controlamos e agimos e, no
final, voltamos ao ciclo de planejamento. O COBIT possui Isto também fornece uma metodologia para medição e
uma abordagem semelhante no qual são definidos grupos monitoramento da performance de TI, comunicação com
de processos com essa visão de ciclo de processo. provedores de serviços e integração das melhores práticas
de gerenciamento.
O COBIT, como trataremos no próximo capítulo, divide
seus processos em 4 domínios: Planejar e Organizar; Um modelo de processos incentiva a determinação de
Adquirir e Implementar; Entregar e Suportar; Monitorar proprietários dos processos, o que possibilita a definição
e Avaliar. Esses domínios mapeiam as tradicionais áreas de responsabilidades. Além disso, relaciona os requisitos
de responsabilidade de TI de planejamento, construção, de negócio com os processos de TI, dividindo em controles
processamento e monitoramento. e indicadores desses processos, como mostra a figura 14.
Figura 14 - Modelo de processos de TI relacionado aos negócios

Fonte: [ITGI, 2007]
21
1) As organizações não podem atingir seus requisitos de negócios e governança sem adotar e implementar um
modelo para governança e controle de TI. Qual alternativa não se refere a um motivo para a adoção de um
modelo de governança de TI?
a) tornar transparente a performance obtida comparada aos requisitos de negócios
b) organizar as atividades de acordo com um modelo de processos reconhecido
c) reduzir o número de profissionais de TI dentro da empresa
d) identificar os recursos mais importantes a serem aprimorados
e) definir os objetivos de controles gerenciais a serem considerados
2) Uma metodologia de governança e controles precisa servir a uma variedade de stakeholders,

cada um com necessidades especificas. Liste os principais stakeholders.
3) O COBIT, baseado em abrangentes requisitos de qualidade, guarda e segurança, define 7 critérios de

informação distintos e sobrepostos, conforme o seu modelo de cubo. Associe corretamente os 7 requisitos com
sua definição.
Efetividade Eficiência Confidencialidade Integridade Disponibilidade Conformidade Confiabilidade
____________: relaciona-se com a fidedignidade e totalidade da informação bem como sua validade de acordo os
valores de negócios e expectativas.
____________: relaciona-se com a entrega da informação apropriada para os executivos para administrar e exercer
suas responsabilidades fiduciárias e de governança.
____________: lida com a aderência a leis, regulamentos e obrigações contratuais aos quais os processos de
negócios estão sujeitos, isto é, critérios de negócios impostos externamente e políticas internas.
____________: lida com a informação relevante e pertinente para o processo de negócio bem como a sua entrega
em tempo, de maneira correta, de forma consistente e utilizável.
____________: relaciona-se com a disponibilidade da informação quando exigida pelo processo de negócio hoje e
no futuro. Também está ligada à salvaguarda dos recursos necessários e capacidades associadas.
____________: relaciona-se com a entrega da informação através do melhor (mais produtivo e econômico) uso
dos recursos.
____________: está relacionada com a proteção de informações confidenciais para evitar a divulgação indevida.
4) Cite pelo menos três fatores que tornaram as boas práticas de TI importantes.
22
4 - Estrutura de processos do
COBIT
A estrutura de processos do COBIT tem uma
abordagem tática, no qual agrupamos processos
macro, chamados de domínios, que são ramificados em
atividades chamadas de processos, que são subdivididos
em pequenas atividades ou subprocessos. Com isso,
o COBIT proporciona um controle mais apurado e
profundo dos processos de TI no nível de atividade de Fonte: [ITGI, 2007]
entrega, facilitando o controle de indicadores.
No que se segue, caro aluno, detalharemos cada um
4.1 Domínios de processos do COBIT dos domínios descrevendo como estão estruturados.
Agora nesse capítulo detalharemos a estrutura de
processos do COBIT com mais profundidade, dando uma 1 – Planejar e Organizar (PO)
visão de aplicabilidade do modelo.
Este domínio cobre a estratégia e as táticas,
Para que a governança de TI seja eficiente, é importante preocupando-se com a identificação da maneira em
avaliar as atividades e riscos da TI que precisam ser que TI pode melhor contribuir para atingir os objetivos
gerenciados. de negócios. O sucesso da visão estratégica precisa ser
planejado, comunicado e gerenciado por diferentes
Geralmente eles são ordenados por domínios perspectivas.
de responsabilidade de planejamento, construção,
processamento e monitoramento. Uma organização apropriada, bem como uma
adequada infraestrutura tecnológica, devem ser colocadas
No modelo COBIT são 4 domínios, assim denominados: em funcionamento. Este domínio tipicamente ajuda a
responder as seguintes questões gerenciais:
1) Planejar e Organizar (PO): Provê direção
para entrega de soluções (AI) e entrega de ser- • As estratégias de TI e de negócios estão alinha-
viços (DS) das?
2) Adquirir e Implementar (AI): Provê as • A empresa está obtendo um ótimo uso dos seus
soluções e as transfere para tornarem-se servi- recursos?
ços
• Todos na organização entendem os objetivos de
3) Entregar e Suportar (DS): Recebe as TI?
soluções e as torna passíveis de uso pelos usu-
ários finais • Os riscos de TI são entendidos e estão sendo
gerenciados?
4) Monitorar e Avaliar (ME) - Monitora todos
os processos para garantir que a direção defini- • A qualidade dos sistemas de TI é adequada às
da seja seguida. necessidades de negócios?
23
2– Adquirir e Implementar (AI) 4 – Monitorar e Avaliar (ME)
Para executar a estratégia de TI, as soluções de TI Todos os processos de TI precisam ser regularmente
precisam ser identificadas, desenvolvidas ou adquiridas, avaliados com o passar do tempo para assegurar a
implementadas e integradas ao processo de negócios. qualidade e a aderência aos requisitos de controle. Este
domínio aborda o gerenciamento de performance, o
Além disso, alterações e manutenções nos sistemas monitoramento do controle interno, a aderência regulatória
existentes são cobertas por esse domínio para assegurar e a governança.
que as soluções continuem a atender aos objetivos de
negócios. Trata geralmente das seguintes questões de
gerenciamento:
Este domínio tipicamente trata das seguintes questões • A performance de TI é mensurada para detectar
de gerenciamento: problemas antes que seja muito tarde?
• O gerenciamento assegura que os controles in-

• Os novos projetos fornecerão soluções que aten- ternos sejam efetivos e eficientes?
dam às necessidades do negócio?
• O desempenho da TI pode ser associado aos ob-
• Os novos projetos serão entregues no tempo e jetivos de negócio?
orçamento previstos?
• Existem controles adequados para garantir confi-
• Os novos sistemas funcionaram apropriadamente dencialidade, integridade e disponibilidade das infor-
quando implementados? mações?
• As alterações ocorrerão sem afetar as operações
de negócios atuais?
Dentro desses quatro domínios o COBIT identificou
34 processos de TI geralmente utilizados (veja a figura
3- Entregar e Suportar (DS) 15). Embora a maioria das organizações tenha definido as
responsabilidades de TI de planejar, construir, processar e
Este domínio trata da entrega dos serviços solicitados, o monitorar, e muitas delas tenham os mesmos processos-
que inclui entrega de serviço, gerenciamento da segurança chave, poucas terão a mesma estrutura de processos ou
e continuidade, serviços de suporte para os usuários e o aplicarão todos os 34 processos do COBIT.
gerenciamento de dados e recursos operacionais.
O COBIT fornece uma completa lista de processos
Trata geralmente das seguintes questões de que podem ser utilizados para verificar a totalidade das
gerenciamento: atividades e responsabilidades. No entanto, nem todos

precisam ser aplicados e podem ser combinados conforme
• Os serviços de TI estão sendo entregues de acor- as necessidades de cada empresa. Para cada um desses
do com as prioridades do negócio? 34 processos, uma ligação foi feita com os objetivos de
• Os custos de TI estão otimizados? negócios e de TI suportados.
• A força de trabalho está habilitada para utilizar os

sistemas de TI de maneira produtiva e segura? Também são fornecidas informações sobre como os
objetivos podem ser medidos, quais são as atividades-
• Os aspectos de confidencialidade, integridade e
disponibilidade estão sendo contemplados para ga- chave, as principais entregas e quem é responsável por
rantir a segurança da informação? elas.
24
Figura 15 - 34 processos do COBIT

Fonte: http://www.cleberpereira.com.br/tecnologia/cobit.htm
Com isso, agora conseguimos relacionar o que discutimos nos tópicos anteriores quando falamos de recursos e
processos de TI, objetivos e requisitos de negócio com a visão completa de domínios dos processos do COBIT, como
mostra a figura 16.
Figura 16 - Visão completa dos domínios de processos do COBIT

25
4.2 Controles do COBIT Para você ter uma ideia mais precisa de como os
controles e processos funcionam, caro aluno, observe
Agora podemos definir como o COBIT trata seus a seguinte analogia: quando a temperatura da sala
processes de TI através dos controles de objetivos. (padrão) do sistema de aquecimento (processo) está
O COBIT define objetivos de controles para todos os definida, o sistema irá constantemente averiguar
34 processos e engloba todos os processos e controles de (comparar) a temperatura ambiente da sala (controle
aplicativos. de informação) e irá sinalizar (agir) para o sistema de
aquecimento para prover mais ou menos calor.
Os gerentes operacionais usam os processos para

organizar e gerenciar as atividades de TI em andamento.
Controle é definido como políticas,
procedimentos, práticas e estruturas organizacionais
Como já dissemos, o COBIT provê um modelo de
criadas para prover uma razoável garantia de que os
processo genérico que representa todo o esquema
objetivos do negócio serão atingidos e que eventos
normalmente encontrado nas funções de TI, fornecendo
indesejáveis serão evitados ou detectados e corrigidos.
um modelo referência comum compreensível para os
gerentes das operações de TI e de negócios.
Os objetivos de controle de TI fornecem um conjunto

completo de requisitos de alto nível a serem considerados O COBIT relaciona informações, processos de TI,
pelos executivos para um controle efetivo de cada processo recursos de TI, com requerimentos de negócio e uma
de TI. estrutura encadeada de processos.
De uma maneira mais detalhada, os controles: Para atingir uma governança efetiva, os controles
precisam ser implementados pelos gerentes operacionais
• são definições de ações gerenciais para aumentar de acordo com um método de controles definido para
o valor ou reduzir o risco todos os processos de TI.
• consistem em políticas, procedimentos, práticas e
estruturas organizacionais O método fornece uma ligação clara em relação aos
• são desenvolvidos para prover uma razoável requisitos de governança, processos e controles de TI.
garantia de que os objetivos de controle serão atin-
gidos e que eventos indesejáveis serão evitados ou
detectados e corrigidos Cada um dos processos de TI do COBIT possui uma
descrição do processo e um número do objetivo de
A empresa precisa fazer escolhas relacionadas aos controle. Ao todo, eles formam as características de um
processos ao: processo bem gerenciado.
• selecionar aqueles que são aplicáveis
• decidir quais deles serão implementados Os objetivos de controles são identificados por duas
letras para identificar o domínio (PO, AI, DS e ME), um
• escolher como implementá-los (frequência,
abrangência, automação, etc.) número de processo e um número de objetivo de controle,
como pode ser visto na tabela 1.
• aceitar o risco de não implementar aqueles que
podem ser aplicáveis
26
Tabela 1 – 34 processos do COBIT

Fonte: [ITGI, 2007]
Além de avaliar quais controles são necessários, 4.2.1 Tabela RACI

os proprietários dos processos devem entender quais
entradas eles precisam receber de outros e o que os outros O COBIT provê a tabela RACI - Responsible,
precisam de seu processo. Accountable, Consulted and Informed para cada processo.
RACI identifica quem é responsável (R), responsabilizado
O COBIT fornece exemplos de entradas e saídas básicos (A), consultado (C) e/ou (I) informado.
que servem para qualquer processo, incluindo requisitos
externos de TI. O termo “responsabilizado“ significa que “a
responsabilidade é deste indivíduo” – esta é a pessoa que
Existem alguns tipos de saída que servem de entrada dá orientações e autoriza uma certa atividade.
para todos os outros processos, os quais são marcados
como “ALL” nas tabelas de saídas e, portanto, não são É “responsável” aquela pessoa que faz com que a
mencionados como entradas para todos os processos. tarefa seja executada.
Geralmente incluem os padrões de qualidade e Os outros dois papeis (“consultado” e “informado”)

requisitos de métricas, a estrutura do processo de TI, os asseguram que todos que precisam serão envolvidos e
papeis e responsabilidades documentados, a estrutura suportam o processo.
de controle de TI da organização, as políticas de TI e as
funções e responsabilidades dos funcionários. A tabela 2 descreve o papel a responsabilidade de cada
membro da equipe dentro de um processo, com isso o
O entendimento dos papeis e responsabilidades de nível de controle é mais efetivo e direcionado aos donos
cada processo é essencial para uma efetiva governança. dos processos.
27
Tabela 2 – Tabela RACI do COBIT

Fonte: [ITGI, 2007]
atingem os objetivos de negócios e de TI e são uti-

lizados para mensurar a performance dos processos
4.3 Modelo de maturidade internos baseados nos princípios do BSC - Balanced
Scorecard
Uma necessidade básica para toda organização é • Objetivo de atividades para habilitar o efetivo
entender a situação dos seus próprios sistemas de TI e desempenho do processo
decidir que nível de gerenciamento e controle a empresa
A alta direção de corporações e de grandes organizações
deveria ter.
é cada vez mais solicitada a considerar quão bem a área
de TI está sendo gerenciada.
Para decidir dentro de um nível correto, os executivos
devem se perguntar:
Em resposta, planos de negócios requerem o
• Quão distante devemos ir e será que o custo é desenvolvimento de melhorias e um apropriado
justificado pelo benefício? gerenciamento e controle sobre a infraestrutura de
• Como fazer para obter uma visão objetiva do ní- informação.
vel de performance da organização?
• O que deve ser avaliado e como? Enquanto alguns argumentariam que isso não é algo
importante, é preciso considerar o custo-benefício e as
seguintes questões relacionadas:
As organizações precisam avaliar onde elas precisam
investir e onde são requeridas melhorias, bem como • O que os nossos concorrentes estão fazendo e
como estamos posicionados em relação a eles?
implementar um conjunto de ferramentas de gerenciamento
para atingir esses aprimoramentos. • Quais são as boas práticas aceitáveis para o
ambiente de negócio e como estamos colocados em
relação a essas práticas?
O COBIT lida com essas questões por fornecer:
• Com base nessas comparações, podemos dizer
• Modelos de maturidade que permitem fazer com- que estamos fazendo o suficiente?
parações e identificar os necessários aprimoramentos
• Como podemos identificar o que precisa ser feito
de capacidades
para atingir um nível adequado de gerenciamento e
• Objetivos de performance e métricas para os controle sobre os processos de TI?
processos de TI, demonstrando como os processos
28
Começando com os processos COBIT, o proprietário do

processo poderá gradativamente ampliar as comparações
com os objetivos de controle. Isso atende a três
necessidades:
• Uma medida relativa de onde a empresa está
• Uma maneira de eficientemente decidir para

onde ir
• Uma ferramenta para avaliação do progresso em

relação às metas
4.3.1 Níveis do Modelo de Maturidade

Fonte: http://www.ivirtua.com.br/?conteudo=solutions
O modelo de maturidade para o gerenciamento e

Pode ser difícil fornecer respostas significativas
controle dos processos de TI é baseado num método de
para essas questões. O gerenciamento de TI está
avaliar a organização, permitindo que ela seja pontuada
constantemente procurando ferramentas de benchmarking
de um nível de maturidade não-existente (0) a otimizado
e de auto avaliação em resposta à necessidade de saber o
(5). A figura 17 ilustra este processo.
que fazer de maneira eficiente.
Figura 17 - Método para se avaliar uma organização

Fonte: [ITGI, 2007]
Este enfoque é derivado do modelo de maturidade do Os modelos da SEI são orientados para os princípios de
SEI - Software Engineering Institute que define critérios engenharia de produtos de software, para organizações
para a maturidade da capacidade de desenvolvimento que buscam excelência nessas áreas e desejam uma
de software. Embora siga os conceitos do SEI, a avaliação formal dos níveis de maturidade para que os
implementação COBIT difere consideravelmente destes. desenvolvedores de software possam ser “certificados”.
29
No COBIT, uma definição genérica (veja tabela 3) é provida para as escalas de maturidade que são similares às do
CMM, mas interpretadas de acordo com a natureza dos processos de gerenciamento de TI. Um modelo específico é
fornecido derivando dessa escala genérica para cada um dos 34 processos COBIT.
Tabela 3 – Escala de maturidade genérica

Fonte: [ITGI, 2007]
Independente do modelo, as escalas não devem ser

tão granulares visto que seria difícil de utilizar e sugeriria
uma precisão não justificável, por que em geral o propósito
é identificar onde estão as questões e como definir
prioridades para aprimoramentos.
O propósito não é avaliar o nível de aderência aos

objetivos de controles.
Os níveis de maturidade são designados como perfis

Fonte: http://vitoralbertoklein.wordpress.com/category/gestao-por-pro-
de processos de TI que a empresa reconheceria como cessos/
descrição de possíveis situações atuais e futuras. Eles não
são designados como um modelo inicial, em que não se A avaliação de maturidade do COBIT espera resultar
pode avançar para o próximo nível sem antes ter cumprido em um perfil em que as condições relevantes para diversos
todas as condições do nível inferior. níveis de maturidade serão atingidas, seguindo como
premissas o que está listado a seguir:
Com os modelos de maturidade do COBIT,
diferentemente do enfoque original SEI/CMM, não há • Refere-se aos requisitos de negócio e aos aspec-
intenção de se medir os níveis de maneira precisa ou tos habilitadores em diferentes níveis.
tentar certificar que aquele nível foi exatamente atingido. • São escalas que permitem uma comparação
pragmática.
30
• São escalas em que a diferença pode ser mensu- está envolvido no aprimoramento da performance, se
rável de uma maneira fácil. necessário. As escalas incluem o 0 (zero), pois é possível
• São reconhecíveis como um “perfil” da organiza- que um processo não exista de fato.
ção em relação à governança e controle de TI.
• Auxiliam na determinação dos modelos “As-Is” e A escala de 0 a 5 é baseada em uma escala simples
“To-Be” relativos à maturidade da governança e con- de maturidade, mostrando como um processo evolui
trole de TI.
de capacidade inexistente para capacidade otimizada.
• Suportam a análise de “gap” para determinar “o Embora uma capacidade apropriadamente aplicada já
quê” necessita ser feito para alcançar o nível escolhi-
reduza riscos, a organização ainda precisa analisar quais os
do.
controles necessários para assegurar que os riscos sejam
• Não são específicos para determinado tipo de
mitigados e que valor é obtido em linha com o apetite de
organização, a natureza do negócio determinará qual
o nível apropriado. risco e objetivos de negócios. Esses controles são guiados
pelos objetivos de controle do COBIT.
4.3.2 Modelo de Maturidade e o Gerenciamento
de processos de TI O modelo de maturidade é uma forma de medir quão
bom os processos de gerenciamento são, ou seja, quão
O modelo COBIT para o gerenciamento de processos de capazes eles são. O quanto devem ser desenvolvidos ou
TI foi desenvolvido como uma ênfase forte em controles. capacitados deveria primariamente depender dos objetivos
Essas escalas são práticas de serem aplicadas e de fácil de TI e sua conexão como as necessidades de negócios
entendimento. que eles suportam.
O quanto dessa capacidade é realmente entregue

depende largamente do retorno que a organização deseja
do investimento. Por exemplo, existem processos e
sistemas críticos que precisam de um gerenciamento da
segurança maior e mais restrito do que outros que são
menos críticos.
Por outro lado, o grau de sofisticação dos controles

que precisam ser aplicados em um processo é mais
O assunto gerenciamento de processos de TI é direcionado pelo apetite de risco da organização e pelos
inerentemente complexo e subjetivo e, portanto, é mais requisitos aplicáveis de conformidade. A escala do modelo
bem tratado através de avaliações facilitadas que provocam de maturidade ajudará os profissionais a explicar aos
a consciência, capturam o consenso geral e motivam o gerentes onde existem deficiências no gerenciamento do
aprimoramento. Essas avaliações podem ser executadas processo de TI e definir metas de onde querem estar.
com base nas descrições do nível de maturidade como
um todo ou com um maior rigor contra cada uma das O correto nível de maturidade será influenciado pelos
afirmações individuais dessas descrições. Seja qual for o objetivos de negócios, o ambiente operacional e as práticas
caminho escolhido, é preciso ter experiência no processo do mercado.
que está sendo analisado.
Especificamente, o nível de maturidade gerencial
A vantagem de uma abordagem de modelo de dependerá da dependência da empresa em TI, de sua
maturidade é a relativa facilidade de os gerentes sofisticação tecnológica e, mais importante, do valor da
colocarem-se a si mesmos em uma escala e avaliar o que informação.
31
Finalmente, embora altos níveis de maturidade

aumentem o controle sobre os processos, a organização
Em resumo, os modelos de maturidade
ainda precisa analisar, com base nos riscos e direcionamento
fornecem um perfil genérico de estágios
de valor, quais mecanismos devem ser aplicáveis. Os
através dos quais cada empresa
pode evoluir em gerenciamento e objetivos genéricos de negócios e de TI definidos nessa
controle de processos de TI. metodologia ajudarão na análise.
Os mecanismos de controle são guiados

Para alcançar esta maturidade, as empresas devem
pelos objetivos de controle do COBIT e
seguir:
enfocam o que é feito no processo; os
modelos de maturidade primariamente
• Um conjunto de requisitos e aspectos que habili-
tam os diferentes níveis de maturidade focam em quão bem os processos são
gerenciados. Melhorar a maturidade reduz
• Uma escala onde a diferença pode ser facilmente
medida riscos e aprimora a eficiência, levando a
uma menor quantidade de erros, processos
• Uma escala que pode ser utilizada para compara- mais previsíveis e uso eficiente dos
ções pragmáticas
recursos sob o ponto de vista de custos.
• Uma base para definir as posições “como está” e
“como será”
• Suporte para a análise de deficiências a fim de

determinar o que precisa ser feito para atingir o nível
4.4 Indicadores de processos
escolhido
Os objetivos e métricas são definidos no COBIT em três
• Considerada no conjunto, uma visão de como a
área de TI é gerenciada na organização níveis:
Os modelos de maturidade do COBIT enfocam a • Objetivos e métricas de TI: que definem o

que os negócios esperam de TI e como medir isso
maturidade, mas não necessariamente a abrangência
e profundidade dos controles. Eles não são um número • Objetivos e métricas dos processos: que
definem o que os processos de TI precisam entregar
para ser atingido, tampouco são desenhados para ser uma
para suportar os objetivos de TI e como medir isso
base formal de certificação com níveis que criam requisitos
• Objetivos e métricas de atividades: que
mínimos difíceis de atingir.
estabelecem o que precisa acontecer dentro do pro-
cesso para atingir a requerida performance e como
No entanto, são desenhados para serem sempre medir isso
aplicáveis, fornecendo níveis com descrições que uma
empresa pode reconhecer como os que melhor se adequam
Os objetivos são definidos de cima para baixo de
aos seus processos. O nível correto é determinado pelo
maneira que os objetivos de negócios determinarão vários
tipo de organização, ambiente e estratégia.
objetivos de TI em que haja necessidade de suportá-los.
Abrangência e a profundidade do controle e como a

Um objetivo de TI é atingido através de um processo ou
capacidade é utilizada e entregue são decisões de custo-
por interação de um determinado número de processos.
benefício. Por exemplo, um alto nível de gerenciamento
Portanto, os objetivos de TI ajudam em diferentes
de segurança pode ter que ser enfatizado apenas nos
objetivos de processos. Por sua vez, cada objetivo de
sistemas mais críticos da organização. Outro exemplo
processo requer um determinado número de atividades
seria a escolha entre uma revisão semanal e um controle
estabelecendo assim os objetivos da atividade.
contínuo automatizado.
32
Na figura 18, exemplificamos o relacionamento dos • Medidas de resultados (saídas): anteriormente

objetivos de negócios, TI, processos e atividades. KGIs, agora indicam se os objetivos foram atingidos.
Esses podem ser medidos somente após os fatos,
portanto são chamados de indicadores históricos (log
Os termos KGI - Key Goal Indicator (indicador chave de indicators).
meta) e KPI - Key Performance Indicator (indicador chave • Indicadores de performance: anteriormente KPIs,
de performance) usados em versões prévias do COBIT agora indicam se os objetivos serão possivelmente
atingidos. Eles são medidos antes que os resultados
foram trocados por 2 tipos de métricas:
sejam claros, portanto são chamados de indicadores
futuros.
Figura 18 - Relação entre objetivos

Fonte: [ITGI, 2007]
As medidas de resultados no nível menor tornam-se • Ausência de riscos de integridade e confidencia-

indicadores de performance para o nível maior. As medidas lidade
de resultados tornam-se um indicador de performance • Eficiência de custos de processos e operação

para o objetivo de nível superior.
• Confirmação de fidedignidade, efetividade e con-
formidade
As medidas de resultados obtidas definem as medições
que informam a gerência, depois dos fatos, se a função, Os indicadores de performance definem as medidas
os processos e a atividade de TI atingiram seus objetivos. que determinam quão bem negócios, função de TI ou
processo de TI estão sendo executados para permitir que
Os medidores de resultados de funções de TI às vezes os objetivos sejam atingidos.
são expressos em termos de critérios de informação:

Eles são indicadores futuros “lead indicators”
• Disponibilidade da informação necessária para relacionados a se os objetivos serão atingidos, direcionando,
suportar as necessidades de negócios
33
portanto, os objetivos de maior nível. Eles às vezes medem • Um índice elevado de preocupação com resulta-
a disponibilidade de apropriadas capacidades, práticas dos versus o esforço (atenção na performance e em
atingir os objetivos quando comparado com o esfor-
e habilidades, bem como os resultados de atividades ço para capturá-los)
relacionadas.
• Internamente comparável (um percentual de
uma base ou números no tempo)
Por exemplo, um serviço entregue por TI é um
• Comparável externamente independente do ta-
objetivo para TI, mas é um indicador de performance e de manho da empresa ou do mercado de atuação
capacidade para o negócio.
• É melhor ter algumas boas métricas do que uma
longa lista de métricas de baixa qualidade.
É por isso que os indicadores de performance às
• Fácil de mensurar, não sendo confundida com
vezes são chamados de direcionadores de performance,
metas
particularmente nos balanced scorecards.
Assim, as métricas providas são tanto uma medida

de resultados obtidos de uma função de TI, processo ou Assista ao vídeo que apresenta
atividade de TI que elas medem, quanto um indicador de um estudo de caso em que o COBIT foi usado
performance direcionando um objetivo de maior nível de como solução de governança de TI.
negócios, função de TI ou processo de TI. http://youtu.be/eaeGgyLEaCI 5’54”
As métricas foram desenvolvidas com as seguintes Faça os testes para certificação COBIT 4.1!
http://www.issoe.com.br/issoe/index.php/simulado-cobit-41-
características: gratuito.html
34
1) O COBIT ordena as atividades e riscos da TI que precisam ser gerenciados em 4 domínios de responsabilidade
relativos ao planejamento, construção, processamento e monitoramento. Associe os 4 domínios com sua função
e marque a resposta correta:
Planejar e Organizar (PO) Adquirir e Implementar (AI)
Entregar e Suportar (DS) Monitorar e Avaliar (ME)
( ) Monitora todos os processos para garantir que a direção definida seja seguida.
( ) Provê as soluções e as transfere para tornarem-se serviços
( ) Provê direção para entrega de soluções (AI) e entrega de serviços (DS)
( ) Recebe as soluções e as torna passíveis de uso pelos usuários finais
a) ME PO DS AI
b) PO AI ME DS
c) AI ME DS PO
d) ME AI PO DS
2) O que são controles e para que servem os objetivos de controles do COBIT?
3) O que é a tabela RACI do COBIT e para que serve?
4) Quais são os 5 níveis de maturidade do COBIT e o que cada um significa?
5) O que é um modelo de maturidade e como as empresas podem alcançar essa maturidade?
35
Agora podemos desmembrar os domínios do COBIT

5 - Entendendo a estrutura do
e navegar nos níveis que descrevem os processos e
COBIT por dentro atividades. Como dissemos, o modelo COBIT divide-
se em 4 domínios contendo 34 processos genéricos que
Agora que evoluímos em alguns conceitos
gerenciam os recursos de TI para entregar as informações
importantes dentro da visão do COBIT como processos,
para a área de negócios de acordo com os requisitos de
alinhamento com negócio, indicadores, maturidade,
negócios e governança.
requisitos de negócios e TI estamos prontos para
trabalhar com a estrutura dos processos do modelo na
prática e entender como relacionar cada processo e
requisito dentro do COBIT.
5.1 Aplicabilidade da estrutura do

COBIT
Como visto nos capítulos anteriores, podemos
entender que o COBIT é um modelo que reúne processos
de gerenciamento, controle, alinhamento com o negócio
e principalmente monitoramento através da estrutura de
indicadores.
O modelo COBIT une os requisitos de negócios para

informação e governança aos objetivos da função de
serviços de TI. O modelo de processos do COBIT permite Com isso, já podemos ter uma visão mais ampla de
que as atividades de TI e os recursos que as suportam como os processos do COBIT descem de um nível mais
sejam apropriadamente gerenciados e controlados com tático se transformando em um conjunto de atividades
base nos objetivos de controle de COBIT, bem como de controles e processo de TI, aumentando a gestão
alinhados e monitorados usando os objetivos e métricas dos controles através dos indicadores de processos e da
do COBIT. A figura 19 ilustra este processo. granularidade das atividades.
Por isso, o COBIT tem tido uma aceitabilidade cada

vez mais forte dentro das empresas, baseado na análise
Figura 19 - Visão geral do COBIT e na harmonização dos padrões e boas práticas de TI
Fonte: [ITGI, 2007]
36
existentes, adequando-se aos princípios de governança O COBIT influencia diferentes usuários:

geralmente aceitos.
• Alta Direção: Para obter valor dos investimentos
de TI, balancear os riscos e controlar o investimento
O COBIT está posicionado em alto nível, direcionado em um ambiente de TI muitas vezes imprevisível
por requisitos de negócios, abrange todas as atividades
• Executivos de negócios: Para assegurar que o
de TI e concentra-se no que deveria ser obtido e não em gerenciamento e o controle dos serviços de TI ofe-
como atingir uma efetiva governança, gerenciamento e recidos internamente e por terceiros estejam funcio-
nando de modo adequado
controle.
• Executivos de TI: Para prover os serviços de TI
de que o negócio precisa para suportar a estratégia
Sendo assim, o COBIT age como um integrador de negócios de maneira controlada e gerenciada
das práticas de governança de TI e influencia • Auditores: Para substanciar suas opiniões e/ou
a alta direção, gerências de negócios e de TI, prover recomendações sobre controles internos para
profissionais de governança, avaliação e segurança,
os executivos
profissionais de auditoria de TI e de controles.
Ele é desenhado para ser complementar e
O COBIT foi desenvolvido e é mantido por um
utilizado com outros padrões e boas práticas.
instituto de pesquisa independente e sem fins lucrativos,
contando com a experiência de seus membros associados,
especialistas e profissionais de controle e segurança.
A implementação de boas práticas deve ser consistente
com a governança e o ambiente de controle da organização, O seu conteúdo baseia-se em uma contínua pesquisa
apropriada para a organização e integrada a outros das boas práticas de TI e é atualizado continuamente,
métodos e práticas utilizadas. provendo um recurso objetivo e prático para todos os tipos
de usuários.
Sua efetividade depende de como foram implementados
e mantidos atualizados. O COBIT é orientado para os objetivos e escopo da
governança de TI, assegurando que a metodologia de
Eles são mais úteis quando aplicados como um controle seja compreensiva, alinhada com os princípios de
conjunto de princípios e um ponto de partida para produzir governança de organizações e, portanto, aceitável para a
procedimentos específicos. alta direção, executivos, auditores e reguladores.
Para evitar que as práticas fiquem só no papel, a 5.2 Como navegar nos processos
gerência e os funcionários devem entender o que fazer,
como fazer e porque isso é importante. Entender e navegar na estrutura de processos do
COBIT é bem simples, as informações são encadeadas e
Para atingir o alinhamento das boas práticas com os existe uma dependência direta com os requerimentos de
requisitos de negócios é recomendável que o COBIT seja recursos, indicadores e controles.
utilizado num alto nível, provendo uma metodologia de
controle geral com base em um modelo de processos de TI Para cada um dos processos de TI do COBIT é
que deve servir genericamente para toda empresa. apresentada uma descrição em conjunto com os principais
objetivos e métricas no formato de cascata, como mostrado
Práticas específicas e padrões cobrindo áreas específicas na figura 20.
podem ser mapeados com a metodologia COBIT, provendo
assim um material de orientação.
37
Figura 20 - Estrutura de processos do COBIT

Fonte: [ITGI, 2007]
Temos 4 domínios, que são divididos em 34 processos • Nome do processo

de TI. Para cada processo temos um controle de TI,
• Domínio ao qual pertence o processo
que satisfaz um requisito (objetivo) de negócio, assim
• A meta de TI para esse processo
descrevemos a meta desse processo e um indicador
para monitorar de perto esse processo. Trata-se de uma • A meta desse processo
orquestração de processos que devem estar alinhados
• Os objetivos desse processo
necessariamente aos objetivos e metas da organização.
• As métricas de indicadores chaves
Para cada processo, temos que descrever os seguintes • A relação desse processo com os recursos de TI
requisitos (que podem ser vistos na figura 21): envolvidos
• E a(s) área(s) ao qual esse processo pertence

• Descrição do processo dentro da estrutura de governança de TI
Figura 21 - Descrição de um processo no COBIT

Fonte: [ITGI, 2007]
38
Cada processo é coberto por quatro seções e cada uma

delas é apresentada em cerca de uma página (veja as A seção 1 contém uma descrição que resume os
seções na tabela 4). objetivos do processo, apresentada no formato de cascata.
A letra P indica um relacionamento primário e a letra S
indica um secundário.
A seção 2 apresenta os objetivos de controle desse

processo.
A seção 3 apresenta os processos de entrada e

saída, tabela RACI (identifica quem é responsável (R),
responsabilizado (A), consultado (C) e/ou informado),
objetivos e métricas.
A seção 4 apresenta o modelo de maturidade do

Tabela 4 – Seções em que um processo COBIT é dividido
Fonte: [ITGI, 2007] processo.
Leia o artigo “A força do COBIT” publicado na revista INFO EXAME por Bruno Ferrari.
Disponível em:
http://info.abril.com.br/aberto/infonews/032008/14032008-4.shl
Uma visão do COBIT por Eduardo Fagundes
1/4 - https://www.youtube.com/watch?v=iwjD0CM4Vz0
2/4 - https://www.youtube.com/watch?v=U4xOxGDsxLI&feature=fvwrel
3/4 - https://www.youtube.com/watch?v=9uqGioPdnco&feature=fvwrel
4/4 - https://www.youtube.com/watch?v=Vu9_DWm3v5Y&feature=fvwrel
39
1) Porque o COBIT tem tido uma aceitabilidade cada vez mais forte dentro das empresas?
2) Qual a relação do COBIT com o negócio da empresa?
3) Cada processo dentro do COBIT é coberto por quatro seções, cite-as e explique-as.
4) Assinale V-Verdadeiro ou F-Falso

( ) A implementação de boas práticas deve ser consistente com a governança e o ambiente de controle da
organização, apropriada para a organização e integrada a outros métodos e práticas utilizadas.
( ) O COBIT é orientado para os objetivos e escopo da governança de TI, assegurando que a metodologia
de controle seja compreensiva, alinhada com os princípios de governança de organizações. Mas a maior
dificuldade é que seu modelo é pouco aceitável para a alta direção e executivos.
( ) O COBIT foi desenvolvido e é mantido por um instituto de pesquisa independente e sem fins lucrativos,
contando com a experiência de seus membros associados, especialistas e profissionais de controle e segurança.
( ) Para atingir o alinhamento das boas práticas com os requisitos de negócios é recomendável que o
COBIT seja utilizado num alto nível, provendo uma metodologia de controle geral com base em um modelo de
processos de TI que deve servir apenas para as áreas que trabalham com TI na empresa.
( ) O modelo COBIT une os requisitos de negócios para informação e governança aos objetivos da função
de serviços de TI. O modelo de processos do COBIT permite que as atividades de TI e os recursos que as
suportam sejam apropriadamente gerenciados e controlados com base nos objetivos de controle de COBIT,
bem como alinhados e monitorados usando os objetivos e métricas do COBIT.
40
Os modelos de governança de TI aliados à adesão

Considerações Finais
à metodologia Balanced Scorecard, elencam um novo
cenário para profissionais de TI. É muito clara hoje, a busca
Caro aluno, esperamos que você tenha atingido nossos
das empresas por estratégias organizacionais, e a área de
objetivos de aprendizado em relação aos temas discutidos
TI precisa estar alinhada a esta estratégia corporativa,
nessa disciplina. Nosso objetivo foi trazer para você uma
criando um plano tático que leve em consideração as metas
abordagem tática e estratégica desse tema que vem
definidas pela alta administração em termos de visão,
a cada dia sendo cobrado de forma mais enfática nos
missão, objetivos e indicadores. A abordagem sistemática
perfis profissionais que as empresas buscam: prática de
que fizemos desse tema nesta disciplina, vai contribuir
governança de TI com base no COBIT, apoiado pelo BSC.
para que você seja este profissional ambicionado pelas
empresas.
Levamos as discussões em um nível de profundidade
que, acreditamos, capacita você desde já a participar da
Parabéns por ter concluído esta disciplina e esperamos
implementação ou até mesmo implementar um plano
que o conhecimento aqui adquirido contribua de forma
de gestão e controle de TI consistente e ter uma visão
significativa para a sua melhor atuação profissional!
mais estratégica da TI, sempre levando em consideração
o alinhamento estratégico com o negócio. Você saberá
Prof. Renato Lima e Profa. Elisamara
como usar os recursos de TI exclusivamente para gerar
valor ao negócio, apoiar a organização com controle e
maturidade nos processos de TI, de forma a gerenciar os
riscos operacionais e garantir maior eficiência do uso de TI
para os processos da organização.
Como você aprendeu, a implantação de controles de TI

com base no COBIT é trabalhosa, para cada processo deve
ser avaliado e definido um plano de implantação, apoiado
em indicadores de performance. Sabemos que o COBIT é
apenas um modelo de apoio que referencia o que devemos
fazer e que há diversas práticas e modelos no mercado
que apoiam as organizações em planejar o “como fazer”.
Com base nessa nova visão relativa à governança

de TI, concluímos que é fator crítico de sucesso para as
organizações apoiarem-se em modelos como o COBIT
para aumentar seu controle sobre os recursos de TI e,
consequentemente, aumentar a maturidade dos processos
de TI. Adicionalmente, as empresas devem, antes de
alinhar quais processos deverão ser controlados, obter um
alinhamento profundo e bem estruturado com as metas e
objetivos de negócio da organização para que os processos
controlados estejam primariamente alinhados à estratégia
da organização.
41
Capítulo 2
Respostas Comentadas dos
Exercícios 1) Qual a definição do COBIT para os requisitos
de monitoramento dos controles e nível de
Capítulo 1
performance?
1) Qual o papel da Governança de TI dentro das

No COBIT, a resposta para os requisitos de definição e
organizações?
monitoramento dos controles e nível de performance de TI
é compreendida por:
Garantir alinhamento e sinergia com a Governança
Corporativa e dar condições à empresa de obter um maior • Benchmarking da performance e capacidade dos
grau de eficiência no uso e no controle das ações de TI processos de TI, que são expressos em modelos de
alinhado à estratégia de negócio da organização, de forma maturidade derivados do CMM- Capability Maturity
Model, proposto pelo SEI- Software Engineering Ins-
a usar a TI para gerar valor ao negócio. titute.
• Objetivos e métricas dos processos de TI, neces-

2) O que é ISACA e ITGI e o que fazem? sários para definir e avaliar os seus resultados e per-
formance baseados nos princípios do BSC- Balanced
business ScoreCard
ISACA - Information Systems Audit and Control
Association (Associação de Auditoria e Controle de • Objetivos das atividades: para controlar esses
Sistemas de Informação) é uma organização global de processos com base nos objetivos de controle do
COBIT.
profissionais de governança de TI, controle, segurança e
auditoria. Os padrões de auditoria de sistemas e controles Com essas variáveis garante-se uma abordagem
propostos pela ISACA são seguidos por profissionais no puramente estratégica da TI para atender as necessidades
mundo todo e suas pesquisas destacam as questões e objetivos de negócio. O objetivo é usar a TI como gerador
profissionais que apresentam desafios aos seus associados. de valor e ferramenta de ganho de eficiência melhorando
Juntos, a ISACA e seu instituto associado, o ITGI - IT os resultados da empresa.
Governance Institute (Instituto de Governança da TI)
lideram a comunidade de controle em TI e atendem seus 2) Quais as cinco áreas de da governança com
praticantes fornecendo os insumos tecnológicos requeridos base no IT Governance e o que cada uma faz?
pelos profissionais de TI.
1 - Alinhamento estratégico: foca em garantir a ligação
3) Defina o que é alinhamento estratégico da TI. entre os planos de negócios e de TI
2 - Entrega de valor: é a execução da proposta de
O ITGI defende que a alta direção tem papel
valor de IT através do ciclo de entrega, garantindo que TI
fundamental e é responsável por liderar, definir uma
entrega os prometidos benefícios previstos na estratégia
estrutura organizacional alinhada às metas e objetivos da
da organização
organização e definir processos que garantam que a TI
3 - Gestão de recursos: refere-se à melhor utilização
corporativa sustente e estenda as estratégias e objetivos
possível dos investimentos e o apropriado gerenciamento
da organização, ou seja, que TI faça parte integral da
dos recursos críticos de TI
estratégia corporativa. De acordo com este conceito, deve
4 - Gestão de risco: requer a preocupação com riscos
haver um alinhamento estratégico da TI à estratégia
pelos funcionários mais experientes da corporação, um
corporativa, para garantir a ligação entre os planos de
entendimento claro do apetite de risco da empresa e dos
negócios e de TI, definindo, mantendo e validando a
requerimentos de conformidade, transparência sobre os
proposta de valor de TI, alinhando as operações de TI
riscos
com as operações da organização.
42
5 - Mensuração de desempenho: acompanha e monitora ¾¾ Aqueles que executam funções de con-

a implementação da estratégia, término do projeto, uso formidade
dos recursos, processo de performance e entrega dos ¾¾ Aqueles que requerem ou fornecem ser-
serviços viços de avaliação
3) Associe corretamente os 7 requisitos com sua

3) O que é COSO e qual o seu papel?
definição.
O COSO - Committee of Sponsoring Organizations

Integridade: relaciona-se com a fidedignidade e
of the Treadway Commission (Comitê das Organizações
totalidade da informação bem como sua validade de
Patrocinadoras do Treadway) é uma organização privada
acordo os valores de negócios e expectativas.
criada nos EUA em 1985 para prevenir e evitar fraudes
Confiabilidade: relaciona-se com a entrega da
nas demonstrações contábeis das empresas. A exemplo
informação apropriada para os executivos para administrar
de outras práticas complementares ao COBIT, o COSO
e exercer suas responsabilidades fiduciárias e de
é geralmente aceito como uma metodologia de controle
governança.
interno para corporações.
Conformidade: lida com a aderência a leis,
regulamentos e obrigações contratuais aos quais os
Capítulo 3
processos de negócios estão sujeitos, isto é, critérios de
negócios impostos externamente e políticas internas.
1) Qual alternativa não se refere a um motivo
Efetividade: lida com a informação relevante e
para a adoção de um modelo de governança de TI?
pertinente para o processo de negócio bem como a
sua entrega em tempo, de maneira correta, de forma
c) reduzir o número de profissionais de TI dentro da
consistente e utilizável.
empresa
Disponibilidade: relaciona-se com a disponibilidade
da informação quando exigida pelo processo de negócio
2) Liste os principais stakeholders.
hoje e no futuro. Também está ligada à salvaguarda dos
recursos necessários e capacidades associadas.
• Stakeholders dentro da empresa que procuram
gerar valor a partir dos investimentos em TI: Eficiência: relaciona-se com a entrega da informação
através do melhor (mais produtivo e econômico) uso dos
¾¾ Aqueles que tomam decisões sobre in-
vestimentos recursos.
Confidencialidade: está relacionada com a proteção
¾¾ Aqueles que decidem sobre requisitos
de informações confidenciais para evitar a divulgação
¾¾ Aqueles que usam os serviços de TI indevida.
• Stakeholders dentro e fora da empresa que for-
necem serviços de TI: 4) Cite pelo menos três fatores que tornaram as
¾¾ Aqueles que gerenciam a organização e boas práticas de TI importantes.
os processos de TI
• Executivos de negócio e a alta direção vêm de-
¾¾ Aqueles que desenvolvem as capacida- mandando um melhor retorno dos investimentos em
des TI, isto é, vêm exigindo que a área de TI entregue
as necessidades da área de negócios para aumentar
¾¾ Aqueles que operam os serviços o valor para partes interessadas
• Stakeholders dentro e fora da empresa que têm • Preocupação com o aumento observado nos gas-
responsabilidades sobre controles/riscos: tos com TI
¾¾ Aqueles com responsabilidades sobre • Necessidade de atender às exigências regulató-
segurança, confidencialidade e/ou riscos rias de controles de TI em áreas com privacidade de
43
informações e relatórios financeiros (por exemplo,

Lei Sarbanes-Oxley e Basiléia II) e regulamentações 3) O que é a tabela RACI do COBIT e para que
para setores específicos como as áreas de finanças,
de saúde e farmacêutica serve?
• Necessidade de seleção de provedores de ser-

viços e de gerenciamento e aquisição de serviços O COBIT provê a tabela RACI - Responsible,
terceirizados Accountable, Consulted and Informed para cada processo.
• Aumento da complexidade dos riscos relaciona- RACI identifica quem é responsável (R), responsabilizado
dos à TI, como a segurança de redes (A), consultado (C) e/ou (I) informado. O termo
“responsabilizado“ significa que “a responsabilidade é
• Necessidade de implantação de governança de
TI que inclui a adoção de metodologias de controles deste indivíduo” – esta é a pessoa que dá orientações e
e boas práticas que ajudem a monitorar e aprimorar autoriza uma certa atividade. É “responsável” a pessoa
as atividades críticas de TI para ampliar o valor do
negócio e reduzir os riscos que faz com que a tarefa seja executada. Os outros dois
papeis (“consultado” e “informado”) asseguram que todos
• Necessidade de otimizar os custos seguindo,
sempre que possível, um enfoque padronizado em que precisam serão envolvidos e suportam o processo.
vez de abordagens desenvolvidas de forma customi- Outra tabela do COBIT descreve o papel a responsabilidade
zada de cada membro da equipe dentro de um processo, com
isso o nível de controle é mais efetivo e direcionado aos
Capítulo 4
donos dos processos.
1) Associe os 4 domínios com sua função e

4) Quais são os 5 níveis de maturidade do COBIT
marque a resposta correta:
e o que cada um indica?
d) ME AI PO DS
0 Inexistente – Completa falta de um processo
reconhecido. A empresa nem mesmo reconheceu que
2) O que são controles e para que servem os
existe uma questão a ser trabalhada.
objetivos de controles do COBIT?
1 Inicial – Existem evidências que a empresa
reconheceu que existem questões e que precisam ser
Controle é definido como políticas, procedimentos,
trabalhadas.
práticas e estruturas organizacionais criadas para prover
2 Repetível – Os processos evoluíram para um
uma razoável garantia de que os objetivos do negócio
estágio onde procedimentos similares são seguidos por
serão atingidos e que eventos indesejáveis serão evitados
diferentes pessoas fazendo a mesma tarefa. Há um alto
ou detectados e corrigidos. Os objetivos de controle de TI
grau de confiança no conhecimento dos indivíduos e
do COBIT fornecem um conjunto completo de requisitos de
consequentemente erros podem ocorrer.
alto nível a serem considerados pelos executivos para um
3 Processo Definido – Procedimentos foram
controle efetivo de cada processo de TI. De uma maneira
padronizados, documentados e comunicados através de
mais detalhada, os controles:
treinamento. É mandatório que esses processos sejam
• são definições de ações gerenciais para aumentar seguidos; no entanto, possivelmente desvios não serão
o valor ou reduzir o risco detectados. Os procedimentos não são sofisticados mas
• consistem em políticas, procedimentos, práticas e existe a formalização das práticas existentes.
estruturas organizacionais 4 Gerenciado e Mensurável – A gerencia monitora e
• são desenvolvidos para prover uma razoável mede a aderência aos procedimentos e adota ações onde os
garantia de que os objetivos de controle serão atin- processos parecem não estar funcionando muito bem. Os
gidos e que eventos indesejáveis serão evitados ou
processos estão debaixo de um constante aprimoramento
detectados e corrigidos
44
e fornecem boas práticas. Automação e ferramentas são Capítulo 5

utilizadas de uma maneira limitada ou fragmentada.
5 Otimizado – Os processos foram refinados a um 1) Porque o COBIT tem tido uma aceitabilidade
nível de boas práticas, baseado no resultado de um cada vez mais forte dentro das empresas?
contínuo aprimoramento e modelagem da maturidade
como outras organizações. TI é utilizada como um caminho O COBIT é baseado na análise e na harmonização
integrado para automatizar o fluxo de trabalho, provendo dos padrões e boas práticas de TI existentes e adequa-
ferramentas para aprimorar a qualidade e efetividade, se aos princípios de governança geralmente aceitos. O
tornando a organização rápida em adaptar-se. COBIT está posicionado em alto nível, direcionado por
requisitos de negócios, abrange todas as atividades de TI
5) O que é um modelo de maturidade e como as e concentra-se no que deveria ser obtido e não em como
empresas podem alcançar essa maturidade? atingir uma efetiva governança, gerenciamento e controle.
Assim, o COBIT age como um integrador das práticas de
O modelo de maturidade para o gerenciamento e governança de TI e influencia a alta direção, gerências de
controle dos processos de TI é baseado num método de negócios e de TI, profissionais de governança, avaliação e
avaliar a organização, permitindo que ela seja pontuada segurança, profissionais de auditoria de TI e de controles.
de um nível de maturidade não-existente (0) a otimizado Ele é desenhado para ser complementar e utilizado com
(5). No COBIT, uma definição genérica é provida para as outros padrões e boas práticas. Em função de todas estas
escalas de maturidade (resposta da questão 4) que são características é que o COBIT vem sendo cada vez mais
similares às do CMM, mas interpretadas de acordo com aceito dentro das empresas como um padrão que as
a natureza dos processos de gerenciamento de TI. Um levará a adquirir a maturidade em seus processos ligados
modelo específico é fornecido derivando dessa escala à governança de TI.
genérica para cada um dos 34 processos COBIT. Os níveis
de maturidade são designados como perfis de processos 2) Qual a relação do COBIT com o negócio da
de TI que a empresa reconheceria como descrição de empresa?
possíveis situações atuais e futuras. Para alcançar esta
maturidade, as empresas devem seguir: O modelo COBIT é baseado nos seguintes princípios:
prover a informação de que a organização precisa para
• Um conjunto de requisitos e aspectos que habili- atingir os seus objetivos, identificar as necessidades para
tam os diferentes níveis de maturidade
investir, gerenciar e controlar os recursos de TI usando um
• Uma escala onde a diferença pode ser facilmente conjunto estruturado de processos para prover os serviços
medida
que disponibilizam as informações necessárias para a
• Uma escala que pode ser utilizada para compara- organização. O gerenciamento e o controle da informação
ções pragmáticas
estão presentes em toda a metodologia COBIT e ajudam
• Uma base para definir as posições “como está” e a assegurar o alinhamento com os requisitos de negócios.
“como será”
Para atender aos objetivos de negócios, as informações
• Suporte para a análise de deficiências a fim de precisam se adequar a certos critérios de controles, que o
determinar o que precisa ser feito para atingir o nível
COBIT provê de forma adequada e consistente.
escolhido
• Considerada no conjunto, uma visão de como a 3) Cada processo dentro do COBIT é coberto por
área de TI é gerenciada na organização
quatro seções, cite-as e explique-as.
A seção 1 contém uma descrição do processo que

resume os objetivos do processo.
45
A seção 2 apresenta os objetivos de controle desse

processo.
A seção 3 apresenta os processos de entrada e saída,
a referência à tabela RACI (identifica quem é responsável
(R), responsabilizado (A), consultado (C) e/ou (I)
informado), objetivos e métricas.
A seção 4 apresenta o modelo de maturidade do
processo.
4) Assinale V-Verdadeiro ou F-Falso
( V ) A implementação de boas práticas deve ser

consistente com a governança e o ambiente de controle da
organização, apropriada para a organização e integrada a
outros métodos e práticas utilizadas.
( F ) O COBIT é orientado para os objetivos e escopo

da governança de TI, assegurando que a metodologia de
controle seja compreensiva, alinhada com os princípios de
governança de organizações. Mas a maior dificuldade é
que seu modelo é pouco aceitável para a alta direção e
executivos.
( V ) O COBIT foi desenvolvido e é mantido por um

instituto de pesquisa independente e sem fins lucrativos,
contando com a experiência de seus membros associados,
especialistas e profissionais de controle e segurança.
( F ) Para atingir o alinhamento das boas práticas com

os requisitos de negócios é recomendável que o COBIT
seja utilizado num alto nível, provendo uma metodologia
de controle geral com base em um modelo de processos
de TI que deve servir apenas para as áreas que trabalham
com TI na empresa.
( V )O modelo COBIT une os requisitos de negócios

para informação e governança aos objetivos da função de
serviços de TI. O modelo de processos do COBIT permite
que as atividades de TI e os recursos que as suportam
sejam apropriadamente gerenciados e controlados com
base nos objetivos de controle de COBIT, bem como
alinhados e monitorados usando os objetivos e métricas
do COBIT.
46
Bibliografia MELO, João. O que é Balanced Scorecard. 2012.

Disponível em: http://reader.feedshow.com/show_
items-feed=b5534b8076f411a7c99e7b28a4fc064d .
ALBERTIN, Rosa; ALBERTIN, Albert. Estratégias de Acesso em 29 jan. 2013.
Governança de Tecnologia da Informação. Rio de
janeiro: Campus, 2009. O´BRIEN, James A. Sistemas de Informação e as
decisões gerenciais na era da Internet. São Paulo:
ANDRADE, Adriana; ROSSETTI, José P. Governança Saraiva, 2010.
Corporativa. São Paulo: Atlas, 2007.
BARNEY, J. B; HERSTERLY, W. S. Administração OLIVEIRA, D. P. R. Sistemas de informações
estratégica e vantagem competitiva. São Paulo: gerenciais: estratégias, táticas, operacionais. São
Pearson, 2007. Paulo: Atlas, 2008.
BENTLEY, William. Lean Six Sigma for CIO. CRC PEREIRA, Pedro. Gerenciamento através de
Press, 2009. objetivos estratégicos. Disponível em: http://www.
pedropereira.com.br/2009/03/estruturando-objetivos-
FRANCO, D.H. Tecnologias e ferramentas de estrategicos-para-a-organizacao/. Acesso em 27 Mar.
gestão. Campinas: Alinea, 2009. 2012.
KAPLAN, Robert S; NORTON, David P. A estratégia SILVA NETTO, Abner; OLIVEIRA, Elisamara.
em ação: Balanced Scorecard. Rio de Janeiro: Campus, Planejamento Estratégico de TI. São Paulo, 2012.
1997. 73p. Material Didático (Curso de pós graduação lato sensu
em Gestão Estratégica da Tecnologia da Informação) –
KAPLAN, Robert S.; NORTON, David P. Mapas Universidade Gama Filho.
Estratégicos: convertendo ativos intangíveis em
resultados tangíveis. Rio de Janeiro: Elsevier, 2004. SOUZA NETO, Manoel Veras; RAMOS, Anatália S. M.
Gestão da Tecnologia da Informação. Natal: Editora
KRAEMER, Maria Elisabeth P. Sistema de UFRN, 2010.
gerenciamento estratégico – BSC – nas instituições
de ensino superior. 2005. Disponível em: http://www. TURBAN, Efraim; KING, David; ARONSON; Jay E.
gestiopolis.com/Canales4/ger/sistemageren.htm. Acesso Business Intelligence. Porto Alegre: Bookman, 2009.
em 28 Jan. 2013. WEILL, Peter; ROSS, Jeanne W. Governança de TI-
Tecnologia da Informação. São Paulo: Makron Books,
LAHTI, Christian; PETERSON, Roderick. Sarbanes- 2005.
Oxley Conformidade de TI usando COBIT. Rio de
Janeiro: Alta Books, 2006. Indicações na web:
ITGI – IT Governance Institute. COBIT 4.1. 2007. Sites da ISACA e do IT Governance Institute:
Disponível em: http://www.trainning.com.br/download/ www.isaca.org
cobit41isaca_portugues.pdf. Acesso em 28 jan. 2013. www.isaca.org.br
www.itgovernance.co.uk/
47

Práticas de Governança em Ti (Cobit) PDF

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Práticas de Governança em Ti (Cobit) PDF

Enviado por

Direitos autorais:

Formatos disponíveis

Práticas de Governança em TI (COBIT)

Renato Silva de Lima, PMP, ITIL, CGEIT

interessadas no negócio. Área Contábil-financeira”

“...O presente trabalho tem a intenção de avaliar a

Juntos, a ISACA e seu instituto associado, o ITGI - IT

Em 1969, o grupo foi formalizado e incorporado como

A necessidade da avaliação do valor de TI, o

1) Qual o papel da Governança de TI dentro das organizações?

2) O que é ISACA e ITGI e o que fazem?

3) Defina o que é alinhamento estratégico de negócio com o da TI.

• a mitigação dos riscos em TI

2.1 O que é o COBIT?

• fazer uma ligação com os requisitos de negócios

que os objetivos de negócio serão atingidos e os eventos

Em segundo lugar, no complexo ambiente atual, os

Como já dissemos, a versão do COBIT que trabalharemos

mercado que é um dos objetivos desse curso.

O COBIT 5 apoia as empresas para que consigam

Nessa nova versão, o COBIT descreve como pilares de

2.2. Componentes do framework do

Este é o princípio básico do framework COBIT, conforme

O cubo é o modelo que representa como os componentes

Eficiência O foco em processos do COBIT é ilustrado por um

No COBIT os processos agrupam as principais

• Objetivos e métricas dos processos de TI: para

• Objetivos das atividades: para controlar esses

métricas e referencial puramente estratégica da TI para atender as necessidades

Dessa forma, o modelo BSC traduz a missão e

priado gerenciamento dos recursos críticos

Como vimos, caro aluno, a mensuração da performance

Muitas pesquisas identificaram a falta de transparência

O IT Governance destaca as 5 áreas da governança da

nas funções de TI, fornecendo um modelo de referência

O modelo de processos do COBIT foi

Dentro do processo de governança, o COBIT tem um

Figura 9 - Interação do COBIT com outros modelos e

• COBIT Control Practices: Explicam porque

http://controladoriaefinancas.blogspot. • IT Assurance Guide: Using COBIT: Traz

O diagrama de conteúdos do COBIT mostrado na figura

• Board Briefing on IT Governance: Publicação

• Práticas-chaves de gerenciamento: Organi-

• Objetivos de controle: Proporcionam um com-

• IT Governance Implementation Guide:

• O COBIT é atualizado continuamente e harmo-

http://www.youtube.com/watch?v=bg_GEN8AZA0 • A estrutura de processos do COBIT e o seu

¾¾ visão clara para os executivos sobre o

1) Qual a definição do COBIT para os requisitos de monitoramento dos controles e nível

3) O que é COSO e qual o seu papel?

• definir os objetivos de controles gerenciais a se-

Cada vez mais a alta direção está percebendo o

Os executivos esperam obter um entendimento mais

(Retirar imagem que estiver após esta frase pois não

Em particular, os executivos precisam saber se as As boas práticas de TI tornaram-se significantes devido

informações estão sendo devidamente gerenciadas de a inúmeros fatores, dentre eles:

modo que a empresa possa:

• Necessidade de implantação de governança de

“Como consequência do rumoroso caso da Enron Corporation, o congresso americano aprovou

• Partes interessadas dentro da empresa que pro-

¾¾ Aqueles que tomam decisões sobre in-

¾¾ Aqueles que decidem sobre requisitos

¾¾ Aqueles que usam os serviços de TI

• Partes interessadas dentro e fora da empresa que

¾¾ Aqueles que operam os serviços