Dissertação Dan 8.0

Pró-Reitoria Acadêmica
Programa de Pós-Graduação Stricto Sensu em Governança,

Tecnologia e Inovação
Trabalho de Conclusão de Curso
A IDENTIFICAÇÃO DE OPORTUNIDADES DE MELHORIA,

NOS PROCESSOS DE GOVERNANÇA DE TECNOLOGIA DA
INFORMAÇÃO, COM AUDITORIAS BASEADAS NO
FRAMEWORK COBIT: UM ESTUDO DE CASO NO SISTEMA
SEBRAE Estudo de Caso
Brasília - DF
2023
DANIEL MIRANDA DE OLIVEIRA
A IDENTIFICAÇÃO DE OPORTUNIDADES DE MELHORIA, NOS PROCESSOS

DE GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO, COM AUDITORIAS
BASEADAS NO FRAMEWORK COBIT: UM ESTUDO DE CASO NO SISTEMA
SEBRAE
Dissertação apresentada ao Curso de Pós-

Graduação Stricto sensu em Governança,
Tecnologia e Inovação da Universidade
Católica de Brasília, como requisito para
Autor: Daniel
obtenção Miranda
do título de Mestre. de Oliveira
Orientador: Prof.ª Dra. Luiza Beth Nunes Alonso

Orientador: Prof.ª. Dra. Luiza Beth Nunes Alonso
BRASÍLIA
2023

Miranda de Oliveira, Daniel.
* Cutte Título da Dissertação: A identificação de oportunidades de
r melhoria, nos processos de Governança de Tecnologia da
Informação, com auditorias baseadas no framework COBIT:
um estudo de caso no Sistema Sebrae / Daniel Miranda de
Oliveira. – Brasília – DF, 2023.
IX, 67 f. : il. ; 29 cm.

Dissertação (Mestrado) Universidade Católica de Brasília,
28/02/2023.

Orientação: Prof.ª. Dra. Luiza Beth Nunes Alonso
Inclui Referências
1. Governança. 2. Tecnologia. 3. Melhoria. I. A

identificação de oportunidades de melhoria, nos processos de
Governança de Tecnologia da Informação, com auditorias
baseadas no framework COBIT: um estudo de caso no Sistema
Sebrae. II. ALONSO, Luiza Beth Nunes. III. Universidade
Católica de Brasília.
* CDD

Monografia (não seria dissertação?) de autoria de Daniel Miranda de Oliveira, intitulada “A
IDENTIFICAÇÃO DE OPORTUNIDADES DE MELHORIA, NOS PROCESSOS DE
GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO, COM AUDITORIAS
BASEADAS NO FRAMEWORK COBIT: UM ESTUDO DE CASO NO SISTEMA
SEBRAE” apresentada como requisito para obtenção do título de Mestre ao curso de Pós-
Graduação Stricto sensu em Governança, Tecnologia e Inovação da Universidade Católica de
Brasília em (28/02/2023), defendida e aprovada pela banca examinadora abaixo assinada:
__________________________________________
Prof.ª Dra. Luiza Beth Nunes Alonso
Orientadora
Universidade Católica de Brasília
___________________________________________
Prof.º Dr. Hércules Antonio do Prado
Examinador Interno
Universidade Católica de Brasília
___________________________________________
Prof.º Dr. João Souza Neto
Examinador Externo
Associação de Auditoria e Controle de Sistemas de Informação - ISACA
Presidente do Capítulo Brasília
BRASÍLIA
2023
Em seus muitos significados, a palavra dedicar
pode ser descrita como oferecer tributo. Sendo
assim, esse trabalho é tributado aos meus Pais,
Avós e Tios, que de maneira ímpar,
contribuíram para minha formação não só
acadêmica, mas também como pessoa.
AGRADECIMENTOS
Para Deus, por providenciar a força necessário para me impedir de desistir nos
momentos em que corpo e mente pediram por isso.
Para a Prof.ª Esp. Lara Ferraz, por me apresentar a área de auditoria de tecnologia e
pelo incentivo oportuno em buscar a qualificação nas ferramentas para atuação na referida
área.
Para o Prof.º Me. Giovani Bonfim, por disponibilizar tempo para discutirmos de forma
valiosa o tema aqui tratado nos momentos turbulentos.
Para a Prof.ª. Dra. Luiza Beth Nunes Alonso, para o Prof.º. Dr. João Souza Neto e para
o Prof.º. Hércules Prado, por acolherem o meu trabalho e todo o suporte dado para sua
conclusão.
Para meus companheiros de jornada, nesse curso, Wanderson Alves, Rafael Quintino,
Maria Rezende e Fábio Gomes, pelos incentivos mútuos e apoio trocados na caminhada.
Para o Serviço Brasileiro de Apoio às Micro e Pequenas Empresas (Sebrae) pela
oportunidade e apoio na realização do presente mestrado.
Desejo que você
Não tenha medo da vida, tenha medo de não vivê-la.
Não há céu sem tempestades, nem caminhos sem acidentes.
Só é digno do pódio quem usa as derrotas para alcançá-lo.
Só é digno da sabedoria quem usa as lágrimas para irrigá-la.
Os frágeis usam a força; os fortes, a inteligência.
Seja um sonhador, mas una seus sonhos com disciplina,
Pois sonhos sem disciplina produzem pessoas frustradas.
Seja um debatedor de ideias. Lute pelo que você ama.
(Augusto Cury, 2010).
SUMÁRIO
1. INTRODUÇÃO................................................................................................................11
1.1. OBJETIVOS.............................................................................................................16
1.1.1. Geral......................................................................................................................16
1.1.2. Específicos............................................................................................................16
1.2. JUSTIFICATIVA.....................................................................................................16
2. FUNDAMENTAÇÃO TEÓRICA....................................................................................20
2.1. GOVERNANÇA DE TECNOLOGIA.....................................................................20
2.2. PROCESSOS DE AUDITORIA..............................................................................24
2.3. FRAMEWORK COBIT 5........................................................................................26
2.4. REVISÃO BIBLIOGRÁFICA.................................................................................35
3. MÉTODO E DESIGN DA PESQUISA...........................................................................41
3.1. DELINEAMENTO DA PESQUISA........................................................................41
3.2. POPULAÇÃO E AMOSTRA..................................................................................42
3.3. SUJEITOS DA PESQUISA......................................................................................43
3.4. COLETA DE DADOS..............................................................................................43
3.5. PROCEDIMENTO DE ANÁLISE DE DADOS......................................................48
4. ANÁLISE DOS RESULTADOS.....................................................................................55
5. CONSIDERAÇÕES FINAIS...........................................................................................61
6. REFERÊNCIAS................................................................................................................64
RESUMO
OLIVEIRA, D. M. A IDENTIFICAÇÃO DE OPORTUNIDADES DE MELHORIA, NOS

PROCESSOS DE GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO, COM
AUDITORIAS BASEADAS NO FRAMEWORK COBIT: UM ESTUDO DE CASO NO
SISTEMA SEBRAE. 2023. 67P. Governança, Tecnologia e Inovação – Universidade Católica
de Brasília, Brasília, 2023.
O presente estudo de caso demonstra como a Governança de Tecnologia da Informação -

GOVTI, em uma corporação, pode ser alvo de um trabalho de auditoria, pautado nas
recomendações emanadas pelo Framework COBIT, evidenciando-se assim oportunidades de
melhorias nos processos que apoiam a GOVTI ou oportunidades de implantação de novas
práticas de processos. Essa pesquisa buscou também evidenciar que a aplicação do framework
pode auxiliar a identificar pontos sensíveis, cujo tratamento pode diminuir as chances de
materialização dos riscos associados aos processos de tecnologia, bem como minimizar as
possibilidades de ocorrências de incidentes e problemas, que ocasionem a interrupção da
prestação de serviços críticos de TI para as áreas de negócio. O presente estudo teve como
campo de trabalho o ambiente tecnológico do Sistema Sebrae, em suas 28 (vinte e oito)
unidades distribuídas pelo Brasil.
Palavras-chave: Governança, Tecnologia, Auditoria, COBIT, Processo, Risco, Melhoria,

Sebrae.
ABSTRACT
This case study demonstrates how the IT Governance (ITG), in a corporation, can be the
target of an audit work, based on the recommendations issued by the COBIT Framework, thus
showing opportunities for improvement in the processes that support ITG or opportunities to
implement new process practices. This research also sought to show that the application of the
framework can help to identify sensitive points, whose treatment can reduce the chances of
materialization of the risks associated with technology processes, as well as minimize the
possibilities of incidents and problems that cause the interruption of the provision of critical
IT services for the business areas. The present study had as its field of work the technological
environment of the Sebrae System, in its 28 (twenty-eight) units distributed throughout Brazil.
Keywords: Governance, Technology, Audit, COBIT, Process, Risk, Improvement, Sebrae.

10
1. INTRODUÇÃO
Os diversos canais de acesso à informação, ora disponíveis, criaram um público

diferente no tocante ao consumo de conteúdo. Com a popularização da internet e dos
aparelhos de celular, bastam alguns cliques para verificar a origem de um determinado
conteúdo e a sua veracidade, a depender do interesse pelo tema. Sendo assim, para o bem do
entendimento daqueles que porventura acessarem o conteúdo do presente trabalho, é
importante conceituar que o sistema de pós-graduação brasileiro se organiza nas seguintes
modalidades de cursos: doutorado, mestrado, especialização e aperfeiçoamento. (GAZZOLA,
2003).
O mestrado, enquanto modalidade, apresenta duas formas de execução. Em sua forma

acadêmica, busca expor o mestrando à literatura científica, treiná-lo em atividades de pesquisa
buscando um grau cada vez maior de autonomia que o prepare para o doutorado e, como
resultado, qualificá-lo para o magistério superior. Em sua forma Profissional, um mestrado,
busca estabelecer um indivíduo capacitado para pesquisa, desenvolvimento e inovação
(P&D&I), e capaz de atuar como multiplicador, repassando seus conhecimentos para os
demais profissionais no seu campo profissional. (GAZZOLA, 2003).
Dessa forma, a Tecnologia da Informação - TI é o campo profissional aqui destacado,

tendo em vista não só o fato de ser o tema do presente programa, mas também a sua
importância singular para o desenvolvimento das corporações. Segundo Gonçalves (1993), a
tecnologia é o fator individual de mudança de maior importância na transformação das
empresas.
Para Prates e Ospina (2004), não há mais dúvidas de que, para as funções da
administração – planejamento, organização, liderança e controle – são de suma importância os
sistemas que fornecem informações aos administradores.
Essa importância não só modificou a forma como a tecnologia é encarada pelas

empresas, mas também os investimentos realizados em TI. Segundo pesquisa realizada pela
Fundação Getúlio Vargas (MEIRELLES, 2022), ocorreu mais uma vez o crescimento no
quantitativo financeiro investido em tecnologia pelas corporações. De uma forma global, em
11
1990, as empresas investiam 2,0% de seu faturamento líquido em tecnologia; em 2012, esse
percentual já era de 7,2% e agora ele se encontra na média de 8,7%.
A pesquisa ainda detalha os percentuais de investimento pelo comércio (4,1%),

indústria (5,0%) e serviços (12,4%), bem como a evolução da quantidade de usuários
consumidores de tecnologia em uma empresa que era de 7% do quadro total em 1988, contra
94% do quadro no período atual, bem como uma projeção de que o total de computadores em
uso passará de 205 milhões em 2022 para 216 milhões em 2023, pelas empresas
(MEIRELLES, 2022)
Segundo Cestari Filho (2011), as decisões sobre os investimentos em TI são tratadas

nas reuniões de planejamento estratégico pelo conselho administrativo da empresa (de uma
empresa específica, ou das empresas em geral? Se for das empresas em geral, seria
interessante colocar no plural, assim com na próxima frase). A TI deixou de ser tratada por
técnicos e passou a ser incorporada na estratégia da empresa para alcançar seus objetivos. Os
dados apresentados corroboram a posição de que a tecnologia é um ativo importante,
potencializador das capacidades de um negócio, e, na mesma proporção, um potencializador
dos riscos, em face do quão dependente os serviços se tornaram de recursos tecnológicos.
Dessa forma, sendo suporte para o alcance dos objetivos do negócio e integrante da
estratégia, é justo que a tecnologia seja alvo de prestação de contas, ações de gestão para
garantia do alcance das metas, bem como avaliação e assessoria por uma função de auditoria
interna independente, para oferecer clareza e confiança, além de promover e facilitar a
melhoria contínua, por meio de investigação rigorosa e comunicação perspicaz, conforme
preconiza o IIA - The Institute of Internal Auditors (2020).
Ainda segundo o IIA (2020), um dos papéis da Auditoria Interna é comunicar

avaliações e assessorias independentes e objetivas à gestão e ao corpo administrativo sobre a
adequação e eficácia da governança e do gerenciamento de riscos, incluindo os controles
internos (processos criados para oferecer confiança razoável sobre o atingimento dos
objetivos), para apoiar o alcance das metas organizacionais, promovendo e facilitando a
melhoria contínua.
Em outras palavras, a função de auditoria é ser a responsável por emitir uma opinião a
respeito da eficácia e eficiência dos controles que garantem o atingimento das metas, bem
12
como o cumprimento de leis, regulamentos externos, internos e boas práticas de mercado,

preparando a entidade para possíveis avaliações externas de órgãos reguladores e protegendo
o ambiente de controles, que segundo o COSO ICIF 2013 (Committee of Sponsoring
Organizations of the Treadway Commission - Internal Control – Integrated Framework), é
um conjunto de normas, processos e estruturas que fornece a base para a condução do
controle interno por toda a organização.
Como exemplo de órgão regulador externo, podemos citar a Agência Nacional de

Proteção de Dados (ANPD), responsável por estimular a adoção de padrões para serviços e
produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais, em face
da Lei Geral de Proteção de Dados – LGPD (2018).
A LGPD dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais,
por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de
proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da
personalidade da pessoa natural. Em seu texto, a lei preconiza que as estrutura de garantia de
privacidade de dados sejam atualizadas constantemente com base em informações obtidas a
partir de monitoramento contínuo e avaliações periódicas.
Conforme citado, é salutar que avaliações em ambientes de controle sejam feitas de

forma independente, por uma auditoria interna. No âmbito da LGPD, essas avaliações podem
ser pautadas na Resolução CD/ANPD nº 1, de 28 de outubro de 2021, que versa sobre os
principais pontos de verificação em um possível processo de auditoria vindo da ANPD.
Como mais um exemplo e integrante do presente estudo, podemos citar o framework

de governança corporativa de tecnologia COBIT (Control Objectives for Information and
Related Technology), que a exemplo COSO, é também um conjunto de normas, processos e
estruturas que fornece a base para a condução do controle interno do ambiente de tecnologia,
por toda a organização, sendo mantido pela Information Systems Audit and Control
Association – ISACA, uma associação com aproximadamente 95.000 usuários em 160 países,
para o fornecimento de conhecimento, certificações, comunidade, advocacia e treinamento em
garantia e segurança de sistemas de informação (SI), governança corporativa e gestão de TI,
bem como risco e conformidade de TI (COBIT, 2012).
13
O COBIT é um aliado no apoio à gestão de riscos no ambiente de tecnologia, uma vez

que a adaptação de suas práticas pode auxiliar na resolução de questões que tendem a afetar
negativamente as entregas dos serviços de tecnologia e por consequência o cumprimento dos
objetivos do negócio. Algumas dessas questões são tratadas pelo modelo em 12 (doze) itens,
descritos como pontos de dor, dos quais trazemos 05 (cinco), exemplificados abaixo (ISACA
COBIT 5.0, 2012, p. 38):
 Problemas com a terceirização da prestação de serviços, tais como o

não cumprimento de forma consistente dos níveis de serviço
acordados;
 Não cumprimento das exigências regulatórias ou contratuais;
 Limitações de TI na capacidade de inovação e agilidade dos

negócios da organização;
 Duplicação ou sobreposição das iniciativas ou desperdício de

recursos;
 Recursos de TI insuficientes, pessoal com competências

inadequadas ou insatisfação ou esgotamento do pessoal (ISACA
COBIT 5.0, 2012, p. 38).
A reflexão sobre os pontos de dor ou riscos apresentados, nos leva ao questionamento

de como é possível identificar tais oportunidades de melhoria e tratá-las de forma adequada,
uma vez que, estrategicamente, a tecnologia aumentou a capacidade de entrega das entidades
por meio da automação dos processos que são significativos para o negócio, tornando-se
fundamental para a oferta de serviços.
No entanto, a facilidade de entrega de serviços supracitada gera na mesma proporção

um alto nível de dependência dos serviços de tecnologia da informação, e no cenário em que
vivemos, a interrupção momentânea de um serviço tecnológico pode significar não somente a
insatisfação daqueles que o utilizam, mas também prejuízos financeiros em larga escala.
Diante desse cenário, há a necessidade de que as ações de TI estejam alinhadas aos

objetivos estratégicos da corporação, tendo em vista que esse alinhamento aumenta as chances
de que a estratégia da entidade seja cumprida, gerando valor, com custos aceitáveis e riscos
controlados, resultando em objetivos de tecnologia governados com eficiência e eficácia,
conforme preconizam os princípios de Governança de Tecnologia – GOVTI. (aqui seria
interessante uma citação, para respaldar este parágrafo e o anterior).
14
Ao relacionarmos os objetivos estratégicos de uma entidade aos objetivos de

tecnologia, temos de um conjunto de processo e controles aplicáveis em um ambiente de TI.
Essa relação é denominada pelo COBIT 5.0 como desdobramento de metas e cita que as
necessidades das partes interessadas podem estar relacionadas a um conjunto de objetivos
corporativos genéricos. Esses objetivos corporativos foram criados usando as dimensões do
Balanced Scorecard (BSC) e representam uma lista dos objetivos mais usados que uma
organização pode definir para si (ISACA COBIT 5.0, 2012, p. 19).
Esse desdobramento de metas nos suporta em duas frentes. Na primeira podemos

implementar processos, artefatos e controles para garantir o correto funcionamento da
tecnologia. Na segunda podemos avaliar a qualidade desses processos, artefatos e controles na
tentativa de melhorá-los, para que sejam efetivos em suas finalidades e auxiliem na
minimização de impactos negativos relacionados à TI, o que nos permite dizer que GOVTI
pode ser aplicada tanto nas frentes de Gestão de TI como nas frentes de Auditoria.
Dessa forma, buscar mecanismos que possam diminuir os impactos da interrupção dos
serviços de tecnologia (TI) sobre aqueles que os utilizam, tornou-se uma tarefa importante e
bem-vinda, principalmente para empresas em que existem altos níveis de dependência e/ou
investimentos em tecnologia. Essas ações alinham-se com as necessidades das corporações,
pois objetivam não somente a continuidade das operações, mas também o resguardo de sua
imagem perante o mercado.
Neste contexto, sendo também uma corporação com objetivos a serem cumpridos, o
Sistema Sebrae (Serviço Brasileiro de Apoio às Micro e Pequenas Empresas), investe em seu
ambiente de controle, visando o resguardo e continuidade de suas ações. O Sebrae é
constituído sob a forma de um serviço social autônomo com natureza jurídica de direito
privado, cuja competência é planejar, coordenar e orientar programas técnicos, projetos e
atividades de apoio às micro e pequenas empresas, em conformidade com as políticas
nacionais de desenvolvimento, particularmente as relativas às áreas industrial, comercial e
tecnológica (Decreto nº 99.570, 1990). Presente em todos os estados da Federação, denomina-
se Sistema Sebrae, a Unidade Nacional Coordenadora e as 27 unidades estaduais.
Diante destes argumentos, surge o questionamento que orientará esta pesquisa: Como
o framework COBIT pode contribuir, em auditorias, nos processos de governança de
15
tecnologia da informação no Sistema Sebrae, para a identificação de oportunidades de

melhoria no ambiente de TI?
Este trabalho está organizado da seguinte forma: nesta primeira seção, há a

contextualização e introdução ao tema da pesquisa, bem como a apresentação dos objetivos e
a justificativa da pesquisa. Na segunda seção, serão descritos os conceitos e teorias que
servirão de arcabouço da pesquisa. Na terceira seção serão explicados o método utilizado e o
design da pesquisa. Na quarta seção, os resultados serão explanados, analisados e discutidos.
Por fim, na quinta seção, haverá a apresentação das considerações finais, seguida das
referências bibliográficas.
16
1.1. OBJETIVOS
Nesta seção serão apresentados o objetivo geral da pesquisa, bem como os objetivos
específicos.
1.1.1. Geral
Identificar oportunidades de melhoria, nos processos de Governança de Tecnologia no

Sistema Sebrae, por meio de auditorias, utilizando o framework COBIT.
1.1.2. Específicos
a) Compreender os processos de Governança de Tecnologia e Auditoria no Sistema

Sebrae;
b) Desdobrar os objetivos estratégicos do Sebrae em objetivos de TI, conforme o
framework COBIT orienta;
c) Identificar os processos prioritários de TI que suportam os objetivos de TI,
conforme o framework COBIT orienta;
d) Aplicar o COBIT 5 PAM em uma auditoria de tecnologia para identificar
oportunidades de melhoria nos processos de governança de tecnologia do Sistema
Sebrae;
e) Analisar os dados e apresentar os resultados (este é um objetivo implícito da
pesquisa, eu tiraria. Mas fica apenas a reflexão, pois os professores aprovaram,
então deixa assim).
1.2. JUSTIFICATIVA
A respeito do Sistema Sebrae, a Controladoria Geral da União- CGU, possui as

seguintes considerações:
De acordo com o disciplinado no art. 70, parágrafo único da Constituição Federal,

prestará contas qualquer pessoa física ou jurídica, pública ou privada, que utilize,
arrecade, guarde, gerencie ou administre dinheiros, bens e valores públicos ou pelos
quais a União responda, ou que, em nome desta, assuma obrigações de natureza
pecuniária. O Sistema SEBRAE, por gerenciar recursos públicos provenientes de
17
contribuições parafiscais, está sob a jurisdição do TCU (inciso V do artigo 5º da Lei

8443/92), estando sujeito a prestação de contas anual, cuja apresentação é definida
pelo Tribunal de Contas da União - TCU, por meio de Instrução Normativa (CGU,
2011).
O TCU ainda entende que a Governança de Tecnologia da informação faz parte da

Governança Corporativa e consiste no estabelecimento de mecanismos para assegurar que o
uso da tecnologia da informação (TI) agregue valor ao negócio, com riscos aceitáveis,
conforme Acórdão 2.585/2012 do TCU - Tribunal de Contas da União e destaca os critérios
utilizados pela Secretaria de Fiscalização de Tecnologia da Informação – SEFTI, para
auditoria em TI:
Entre os critérios de auditoria adotados pela Sefti, destaca-se o modelo Control

Objectives for Information and related Technology (Cobit), mantido pelo Instituto
de Governança de TI (ITGI), órgão ligado à Associação Internacional de Auditores
de TI (ISACA) (TCU, 2012).
Ressalta-se que, o presente trabalho é baseado no COBIT versão 05, tendo em vista
que suas publicações não foram abandonados, conforme é possível verificar no site da ISACA
(https://www.isaca.org/resources/cobit/cobit-5#sort=relevancy, maio/2022), a ausência ainda
de uma versão em português para a versão 2019, a quantidade de trabalhos já realizados e
considerando também que o TCU ainda mantém o modelo como referência em seus trabalhos,
conforme a Figura 01.
Figura 01 – Pesquisa sobre COBIT 5
Fonte: TCU (2022).

18
Diante das regras e recomendações emanadas pelo TCU, entendemos que é

competência do órgão fiscalizar a aplicação dos recursos repassados ao Sebrae, cabendo
também ao Sebrae investir em trabalhos que fortaleçam o ambiente de controle, criando
mecanismos que apoiem a garantia de boa aplicação e o cumprimento das regras e
recomendações supracitadas.
É importante salientar que, conforme o decreto de criação (Decreto nº 99.570, 1990), o

orçamento anual do Sistema Sebrae é definido por sua estrutura de governança máxima, o
Conselho Deliberativo Nacional – CDN e apresentada para a aprovação da Secretaria
Especial de Produtividade e Competitividade do Ministério da Economia – SEPEC-ME.
Tomando o ano de 2021 como exemplo, a proposta orçamentária aprovada pela Portaria
SEPEC-ME Nº 14.812-2021, definiu os recursos financeiros do Sistema Sebrae para 2021 na
da ordem de R$ 4.555.976.142,00 (quatro bilhões e quinhentos e cinquenta e cinco milhões e
novecentos e setenta e seis mil e cento e quarenta e dois reais). Ao fim do exercício, é
apresentado o Relatório de Gestão para aprovação da secretaria supracitada, com a prestação
de contas orçamentária.
Há de ressaltar também que, no ano de 2021, foi iniciado o Programa Nacional de

Gestão de Riscos Estratégicos – PNGRE, dentro do Sistema Sebrae, com o objetivo de
mapear os riscos estratégicos da entidade. Em sua documentação resultante, o PNGRE, cita o
desalinhamento entre os objetivos estratégicos e os objetivos de tecnologia, como um risco de
médio a alto impacto, que deve ser gerido, visando impedir a materialização de situações que
possam comprometer os serviços prestados pela entidade.
A falta de alinhamento entre TI e áreas de negócio pode ocasionar esforços

sobrepostos, o desperdício de recursos, bem como o não atendimento de recomendações e
determinações externas, ocasionando multas e sanções de órgãos reguladores. O COBIT 5,
quando mapeia os objetivos corporativos em objetivos de tecnologia, por meio da cascata de
objetivos, cita como primeiro objetivo de TI o “Alinhamento da estratégia de TI e de
negócios” (aqui seria interessante citar a fonte). A cascata de objetivos será detalhada em
seção específica.
Dessa forma, além de testar a viabilidade do modelo COBIT 5 para a aplicação no

descobrimento de oportunidades de melhoria no ambiente tecnológico, contribuir para os
requisitos de transparência e prestação de contas, não só para os entes externos de regulação,
19
mas para a sociedade também, o presente estudo também se justifica pelo baixo percentual de
estudos encontrados associando auditoria de tecnologia ao COBIT, bem como pelo papel em
potencial que pode assumir como estudo de caso e referência para as outras entidades do
Sistema S. O denominado Sistema S é composto das seguintes entidades:
Fazem parte do Sistema S o Serviço Nacional de Aprendizagem Industrial (Senai);

Serviço Social do Comércio (Sesc); Serviço Social da Indústria (Sesi); Serviço
Nacional de Aprendizagem do Comércio (Senac); Serviço Nacional de
Aprendizagem Rural (Senar); Serviço Nacional de Aprendizagem do
Cooperativismo (Sescoop); e Serviço Social de Transporte (Sest) (AGÊNCIA
SENADO, 2022).
Na próxima seção os temas, autores e normas técnicas que servirão de referencial

teórico para orientar a investigação serão apresentados.
20
2. FUNDAMENTAÇÃO TEÓRICA
Nesta seção serão apresentados os temas, normas técnicas e os principais autores que
sustentarão a argumentação e servirão de base para a construção do quadro de análise. Parte-
se da Governança de Tecnologia, Processos de Auditoria e por fim, Framework COBIT 5.
2.1. GOVERNANÇA DE TECNOLOGIA
As empresas são dirigidas para que alcancem metas, ou seja, gerem valor e
proporcionem o retorno devido para aqueles que empregaram seus recursos financeiros,
materiais, humanos e outros, em sua composição. No desenvolvimento de suas atividades,
essas empresas estão submetidas aos efeitos de leis externas, seus próprios regulamentos, bem
como possíveis impactos oriundos de ocorrências locais ou globais, podendo ainda atentar-se
às boas práticas executadas pelo mercado em geral.
O valor que uma empresa gera está ligado à sua capacidade de absorver os
direcionamentos dados pelas partes interessadas e realizar benefícios com custos e riscos
aceitáveis. Para isso, torna-se essencial a existência de um planejamento estratégico, que pode
ser conceituado como um processo gerencial que possibilita ao executivo estabelecer o rumo a
ser seguido pela empresa e uma ferramenta de gestão que auxilia na tomada de decisão e na
busca de resultados mais efetivos e competitivos para a organização (RHPORTAL, 2015).
Segundo Robbins e Decenzo (2004, p. 6), o planejamento tem relação com as metas
organizacionais, uma vez que estabelece estratégias para alcançá-las e contribui para interação
e coordenação das atividades, dessa forma, o planejamento é a administração das ações
presentes que influenciarão, no futuro, os resultados das corporações. Para Robbins (2003,p.
116) o planejamento:
Compreende a definição das metas de uma organização, o estabelecimento de uma

estratégia global para alcançar essas metas e o desenvolvimento de uma hierarquia
de planos abrangentes para integrar e coordenar atividades. Diz respeito, portanto,
aos fins (o que será feito) e também aos meios (como será feito) (ROBBINS, 2003,
p. 116).
21
O valor gerado está associado também à capacidade de serviço de uma corporação,

traduzida pela forma com que os recursos, processos e infraestrutura são orquestrados para
atingir seus objetivos. Para garantir que esses investimentos sejam monitorados e que os
objetivos que proporcionem o devido retorno sejam alcançados, muitas corporações fazem
uso de um conjunto de princípios, políticas e processos que nomeamos como Governança
Corporativa:
Governança corporativa é o sistema pelo qual as empresas e demais organizações

são dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre
sócios, conselho de administração, diretoria, órgãos de fiscalização e controle e
demais partes interessadas.
As boas práticas de governança corporativa convertem princípios básicos em
recomendações objetivas, alinhando interesses com a finalidade de preservar e
otimizar o valor econômico de longo prazo da organização, facilitando seu acesso a
recursos e contribuindo para a qualidade da gestão da organização, sua longevidade
e o bem comum (IBGC, 2022).
As boas práticas de governança incluem também o monitoramento de possíveis

eventos que podem impedir o alcance dos objetivos estratégicos das corporações. Chamamos
de risco a possibilidade de que um fato prejudicial às metas possa ocorrer:
Organizações de todos os tipos e tamanhos enfrentam influências e fatores internos e

externos que tornam incerto se e quando elas atingirão seus objetivos. O efeito que
essa incerteza tem sobre os objetivos da organização é chamado de "risco" (ABNT
NBR ISO 31000, 2009).
A ISO 31000 (2009) afirma também que a gestão de riscos é pautada em princípios,
estruturas e processos para analisar criticamente, identificar, monitorar e comunicar as partes
interessadas a respeito dos riscos.
Para frear os efeitos das incertezas em seus resultados, as empresas têm investido em
estruturas para:
 Monitorar o alcance dos objetivos estratégicos definidos pela governança;
 Identificar, analisar, responder e monitorar as possíveis ameaças ao alcance das metas

empresariais, e;
 Manter a estrutura organizacional em acordo com leis e regulamentos vigentes.

22
Se o único modo de realizar uma travessia da margem de um rio a outra é por meio de
uma ponte, há a necessidade de que essa ponte seja monitorada e mantida de forma adequada
para que o fluxo de travessia não seja interrompido. Tomando como base essa analogia, o
crescente emprego da tecnologia (TI) da informação para que as corporações atinjam a
excelência de suas operações cria um alto nível de dependência dos serviços tecnológicos,
uma vez que a tecnologia é uma ponte utilizada para a que as empresas atravessem de uma
margem para a outra.
Vale ressaltar que as práticas de Governança Corporativa se estendem por sobre as

áreas de tecnologia das corporações, com o objetivo de garantir a geração de valor por parte
de recursos e capacidades empregadas no ambiente tecnológico, ou seja, a Governança de
Tecnologia - GOVTI.
Para SANTOS e SOUZA NETO (2013):
A governança pode (e deve) ser aplicada em várias áreas da empresa, como a

financeira, a de projetos e a de TI. Em qualquer dos casos, o papel dos diretores e da
alta administração é o de direcionar e de prestar contas. Aos gerentes de TI cabe,
então, executar e planejar a gestão de TI alinhada aos direcionamentos recebidos.
Sendo assim, assumimos que a TI não deve ser direcionada por si mesma
(SANTOS; SOUZA NETO, 2013).
De acordo com GONÇALVES, GASPAR e CARDOSO (2016, p. 61):
Verifica-se também dentre os modelos de governança de TI, a adoção do Cobit para

auxiliar a governança de TI nas organizações. Ele foi desenvolvido pela Information
System Audit and Control Association (ISACA), constituindo-se num referencial de
boas práticas reconhecidas internacionalmente que permite a avaliação do controle e
da efetividade das ações da área de TI, seja por auditores ou por gestores de TI e de
negócio (GONÇALVES; GASPAR; CARDOSO, 2016, p. 61).
No tocante ao Sebrae:
Este é organizado sob a forma de sistema e é composto por uma unidade nacional
coordenadora e por unidades operacionais vinculadas, localizadas em cada um dos
Estados da Federação e no Distrito Federal (RESOLUÇÃO DO CONSELHO
DELIBERATIVO NACIONAL, Nº 372/2021, Pág. 3).
Dessa forma, há um modelo misto de Governança de Tecnologia, uma vez que as

ações de TI podem ser organizadas de forma local ou centralizada. As ações locais atendem
demandas específicas do estado, que levam em questão especificidades de negócios regionais,
logística e outros. Já soluções centralizadas são aquelas que podem ser adquiridas para todas
23
as unidades, visando um melhor custo-benefício, gestão e padronização, uma vez que

favorecerão a integração de serviços, como por exemplo o contrato de Serviços de Solução de
Segurança da Informação (CT.0027.18), que contempla serviços para todas as unidades
(TRANSPARÊNCIA SEBRAE, 2022).
O Sebrae Nacional, como unidade coordenadora, possui uma área de Tecnologia da

Informação, responsável pela gestão dos serviços locais de TI, pela gestão dos serviços
compartilhados com as outras unidades, e ainda por emanar orientações quanto a padrões nos
serviços de TI.
Com relação aos recursos financeiros, o Planejamento Plurianual da entidade, define

que no mínimo 2% do orçamento do Sebrae Nacional e das unidades, deve ser investido em
tecnologia da informação, no tocante a bens tangíveis e intangíveis, como recursos de infra,
softwares, treinamentos, processos e outros, uma vez que, segundo o regimento interno do
Sebrae, as áreas de tecnologia tem a missão de disponibilizar tecnologias da informação e
comunicação, sistemas corporativos de gestão, atendimento e relacionamento, para responder
aos desafios da presença digital do SEBRAE.
Vale ressaltar que, embora constituído sob a forma de um serviço social autônomo
com natureza jurídica de direito privado, o Sistema Sebrae administra recursos públicos
provenientes de contribuições parafiscais, conforme citado anteriormente, sendo assim,
salutar a consideração de visões como a proposta por Santos et al (2020):
Os processos de governança alinham TIC, negócio e, nesse caso específico, os

interesses da população. Trata-se de uma atribuição complexa visto que a
governança de TIC no setor governamental deve atender aos preceitos da legalidade
sem incorrer custos desnecessários (SANTOS et al, 2020, p. 6).
24
Na próxima seção, será apresentado o referencial teórico a respeito de processos de

auditoria.
2.2. PROCESSOS DE AUDITORIA
Dentre os muitos mecanismos de asseguração, aplicados em um ambiente corporativo,

com a finalidade de evitar a materialização de riscos, está a auditoria. Segundo as Normas
Técnicas de Auditoria, emanadas pelo Conselho Federal de Contabilidade, por meio das
Normas Brasileiras de Contabilidade - NBCTA Estrutura Conceitual (2015), Trabalho de
Asseguração é o trabalho no qual o auditor (independente) visa obter evidências apropriadas e
suficientes para expressar sua conclusão de forma a aumentar o grau de confiança dos
usuários previstos sobre o resultado da mensuração ou avaliação do objeto, de acordo com os
critérios que sejam aplicáveis. Essa norma trata dos trabalhos de auditoria e revisão de
demonstrações financeiras.
Nos casos em que as auditorias de conformidade e operacionais não estão atreladas às

verificações das demonstrações financeiras, a NBCTO 3000 (2016), define trabalho de
asseguração como aquele no qual o auditor (independente) tem por objetivo obter evidências
apropriadas e suficientes de forma a expressar uma conclusão para aumentar o nível de
confiança dos outros usuários, que não sejam a parte responsável sobre a informação do
objeto, ou seja, compreende o resultado da mensuração ou avaliação de determinado objeto,
com base nos critérios aplicáveis.
Ainda falando sobre asseguração, segundo as Normas Internacionais das Entidades

Fiscalizadoras Superiores – ISSAI, em específico a ISSAI 300 (2016), auditoria é tida como
um exame independente, objetivo e confiável que visa verificar se os empreendimentos, os
sistemas, as operações, os programas, as atividades ou os organismos funcionam em
conformidade com os princípios da economicidade, da eficiência e da efetividade1 e se existe
espaço para melhorias.
Porém, as estruturas organizacionais têm se tornado complexas, principalmente devido

ao avanço da automatização dos processos. A grande quantidade de itens a serem auditados
em um curto espaço de tempo demandam direcionadores que possam otimizar os resultados
dos trabalhos. Dentre as técnicas de auditoria utilizadas para asseguração com bom
direcionamento está a ABR – Auditoria Baseadas em Riscos. Segundo o TCU:
25
A abordagem de auditoria baseada em risco direciona os esforços da equipe para

áreas de alto risco, reduzindo a quantidade de testes necessários e aumentando as
chances de identificar distorções materialmente relevantes. Ela começa com
procedimentos de avaliação de riscos, passa pela realização de testes mediante
aplicação dos procedimentos adicionais de auditoria planejados pelo auditor para
responder aos riscos avaliados como significativos, e se completa com a avaliação
da evidência de auditoria obtida, que deve ser apropriada e suficiente para a extração
de conclusões e a formação de opinião, culminando com a emissão do relatório de
auditoria. (AUDITORIA NO SETOR PÚBLICO - TCU, 2019)
Assim, como entidade alvo do trabalho, entendendo os benefícios da metodologia e

como entidade submetida à fiscalização do TCU, o Sistema Sebrae se utiliza da ABR como
metodologia para direcionamento e execução dos trabalhos de auditoria em suas unidades.
Para o Sebrae:
Os trabalhos de Auditoria Interna devem ser utilizados como instrumentos de
identificação e acompanhamento dos riscos e controles nos processos de negócio no
Sebrae. A Auditoria Interna deve possuir metodologia própria, atualizada e que
satisfaça às suas necessidades em relação ao escopo dos trabalhos planejados. O
Sebrae possui a metodologia de auditoria interna com foco em riscos
(REGULAMENTO DE AUDITORIA INTERNA DO SISTEMA SEBRAE –
RAISS (2020).
Uma vez que uma entidade como o Sistema Sebrae tenha seus riscos estratégicos ou
operacionais elencados, é possível a aplicação da ABR, como uma metodologia de trabalho.
Segundo o IIA, conforme já citado, os controles internos são processos criados para oferecer
confiança razoável sobre o atingimento dos objetivos da entidade.
Dessa forma, nos processos de alto risco, verifica-se a existência ou não de controles que
possam minimizar a ocorrência de prejuízos nas entregas desse referido processo. Caso o
controle exista, sua eficácia e eficiência são testados com a finalidade de detectar melhorias e,
caso não exista, a ausência do controle é apontada e sua construção recomendada. É nesse
ponto também em que é possível a conexão da ABR com a utilização do COBIT, uma vez que
o referido framework é constituído por um conjunto de sugestões de controles para garantir a
obtenção dos resultados dos processos de tecnologia da informação.
26
2.3. FRAMEWORK COBIT 5
O COBIT encara como essencial que as necessidades de um determinado negócio

estejam alinhadas aos propósitos de tecnologia, a fim de evitar investimentos em ações
tecnológicas que não favorecem a geração de valor para a corporação. Sendo assim,
correlacionar as metas de um planejamento estratégico com as metas de tecnologia, pode ser
um uma das formas de garantir esse alinhamento e evitar desperdícios. O COBIT 5.0,
framework de Governança Corporativa de TI, oferta em seu conjunto de boas práticas o
Desdobramento das Necessidades das Partes Interessadas em Objetivos Corporativos.
O modelo destaca que há um tom genérico nos objetivos estratégicos relacionados em

seu conteúdo, no entanto ressalta que os mesmos foram criados utilizando as dimensões do
Balanced Scorecard (BSC).
O BSC é um método voltado ao gerenciamento da estratégia das empresas e tem

como foco atuar para que a Visão da empresa seja concretizada. Com ele, é possível
gerenciar os objetivos a longo prazo, mantendo a atenção ao que colabora para a
realização da visão e monitorando por meio de indicadores se os planos traçados
pela empresa estão ou não saindo do papel (BLOGDAQUALIDADE, 2018).
Dessa forma, são sugeridos um conjunto de objetivos corporativos, baseados no BSC,

dentro das dimensões nomeadas como Financeira, Cliente, Interna, Treinamento e
Crescimento. Adicionalmente, o COBIT 5 apresenta também os objetivos corporativos dentro
das perspectivas dos objetivos da governança, dizendo se de forma primária ou secundária, os
objetivos corporativos favorecem a realização de benefícios, a otimização dos custos ou a
otimização dos recursos, conforme pode ser visualizado na Tabela 1.
27
Tabela 1 - Objetivos Corporativos do COBIT 5
Fonte: COBIT 5.0 (2012).
Por sua vez, o modelo também declara os objetivos de tecnologia dentro das mesmas
perspectivas, conforme Tabela 2 abaixo:
Tabela 2 - Mapeamento dos Objetivos Corporativos do COBIT 5 em Objetivos de TI

28
Dessa forma, tomando como exemplo uma empresa que, dentro da perspectiva de
Clientes do BSC, entenda que deve priorizar o objetivo de negócio de número 06 (seis),
Cultura de serviço orientada ao cliente, essa mesma empresa deverá trabalhar de forma
primária os objetivos de tecnologia de número 01 (um), “Alinhamento da estratégia de TI e de
negócios”, bem como o objetivo de tecnologia de número 07 (sete), “Prestação de serviços de
TI” em consonância com os requisitos de negócio.
Esse exemplo de desdobramento de metas proposto pelo COBIT 5, demonstra que o

objetivo corporativo de número seis pode ser apoiado pelos objetivos de tecnologia de número
um e número sete, visando o aumento do alinhamento da estratégia corporativa com a
estratégia de tecnologia.
Uma vez que os objetivos de tecnologia foram priorizados, é possível agora identificar
os processos relacionados a esses objetivos, cujas práticas propostas pelo COBIT 5.0 poderão
suportar duas frentes de trabalho. Na primeira, há a possibilidade de tomar essas práticas
como guia para implementação do processo de TI proposto, caso esse não seja ainda existente
no ambiente e na segunda, uma frente de melhoria, para avaliar o seu nível de capacidade em
entregar o que se propõe, minimizando assim o risco de que os objetivos de tecnologia não
sejam cumpridos e por consequência as metas corporativas.
Vale ressaltar que o framework considera o grupo de processos propostos como um

habilitador e o mesmo define que:
Habilitadores são fatores que, individualmente e em conjunto, influenciam se algo

irá funcionar - neste caso, a governança e a gestão corporativas da TI. Os
habilitadores são orientados pela cascata de objetivos, ou seja, objetivos de TI em
níveis mais alto definem o que os diferentes habilitadores deverão alcançar (COBIT
5, 2012).
Por sua vez, os processos propostos, num total de 37 (trinta e sete), estão agrupados
em um modelo de referência (Figura 2), divididos em 05 (cinco) domínios de conhecimento
(conforme Tabela 3 – substituir tabela por quadro), sendo o primeiro domínio voltado para
práticas de governança e os demais voltados para práticas de gestão.
29
Tabela 3 – Domínios do COBIT
CATEGORIA DOMÍNIOS
Governança Avaliar, Dirigir e Monitorar (EDM)
Alinha, planejar e Organizar (APO)
Construir, Adquirir e Implementar (BAI)

Gestão
Entregar, Serviços e Suporte (DSS)
Monitorar, Avaliar e Analisar (MEA)
Figura 2 – Modelo de Referência de Processos do COBIT 5

30
A ilustração do modelo de processo do COBIT 5 faz uma distinção entre processos

de governança e de gestão, inclusive com conjuntos específicos de práticas e
atividades de cada um. O modelo de processo também inclui as tabelas RACI, que
descrevem as responsabilidades das diferentes estruturas organizacionais e suas
funções na organização. (COBIT 5, 2012)
Dessa forma, ao buscarmos o detalhamento de um processo de tecnologia dentro do

COBIT 5.0, encontraremos não só o seu nome, mas também as descrições de seu
funcionamento, objetivo geral, métricas de exemplo sugestões de papéis e responsabilidades.
Anteriormente, foi citado que o objetivo de negócio de número 06 (seis), “Cultura de

serviço orientada ao cliente”, é suportado pelo objetivo de tecnologia de número 01 (um),
“Alinhamento da estratégia de TI e de negócios”, bem como pelo objetivo de tecnologia de
número 07 (sete), “Prestação de serviços de TI” em consonância com os requisitos de
negócio.
Por sua vez, como exemplo, ao submetermos o objetivo de Ti de número 01 (um) ao

Mapeamento dos Objetivos de TI do COBIT em Processos, tomando-se como base o domínio
Avaliar, Dirigir e Monitorar (EDM), temos a indicação que os processos que devem ser
implementados ou avaliados com a finalidade de garantir, de forma primaria, o Alinhamento
da estratégia de TI e de negócios são EDM01 - Garantir a Definição e Manutenção do Modelo
de Governança, bem como EDM02 - Garantir a Realização de Benefícios, como pode ser
visualizado na Tabela 4 (substituir o nome tabela por figura).
Tabela 4 – Mapeamento dos Objetivos de TI do COBIT em Processos do COBIT 5

31
Após obtermos, por meio dos exemplos aqui listados no desdobramento de metas, que
o processo “EDM01 - Garantir a Definição e Manutenção do Modelo de Governança” seria
um dos indicados para implementação e ou avaliação, é hora de lançarmos mão do suporte
que os descritivos do COBIT 5.0 nos trazem a respeito do processo supracitado para
entendermos o seu objetivo, bem como criar as listas de checagem para verificar a aplicação
das práticas e controle dos objetivos sugeridos.
Em sua documentação, o EDM01 é descrito como um processo para:
Analisar e articular os requerimentos da governança corporativa de TI, colocando

em prática e mantendo efetiva as estruturas de habilitadores, princípios, processos e
práticas, com clareza de responsabilidades e autoridade para alcançar a missão,
metas e objetivos da organização (COBIT 5.0 HABILITANDO PROCESSOS,
2012).
De forma adicional, o objetivo do processo é descrito como:
Implementar uma abordagem consistente, integrada e alinhada com a abordagem de

governança corporativa. Para garantir que as decisões de TI são tomadas em linha
com as estratégias e objetivos corporativos, garantir que os processos de TI são
acompanhados de forma eficiente e transparente, conformidade verificada aos
requisitos legais e regulatórios, alcance dos requisitos de governança aos membros
do Conselho de Administração (COBIT 5.0 HABILITANDO PROCESSOS, 2012).
Por sua vez, esse objetivo geral é desdobrado em 03 (três) objetivos específicos de
processo, possuindo sugestão de métricas para acompanhamento, bem como práticas para sua
implementação, sendo esses os objetivos de processo correspondentes ao EDM01:
O modelo de tomada de decisão estratégica para TI é eficiente e alinhado com os

requisitos internos e externos e das partes interessadas?
O sistema de governança de TI está integrado à Organização?
Garantia (Assurance) é obtida pela premissa de que o sistema de governança de TI
está operando de maneira eficiente? (COBIT 5.0 HABILITANDO PROCESSOS,
2012).
As práticas de processo correspondentes a cada objetivo possuem atividades sugeridas.

A avaliação do nível de execução dessas atividades nos permite obter um diagnóstico do
quanto estamos próximos ou não da plena implementação do processo referenciado e por
consequência do alcance do objetivo de TI. Caso tomemos como exemplo o objetivo
específico de número 01 (um), teremos como sugestão a prática de governança “EDM01.01
Avaliar o sistema de governança”, descrita como a ação de:
32
Continuamente identificar e envolver as partes interessadas da organização,

documentar o entendimento dos requisitos, e fazer um julgamento sobre o desenho
atual e futuro da governança corporativa de TI (COBIT 5.0 HABILITANDO
PROCESSOS, 2012).
A referida prática desdobra-se em 08 (oito) atividades, conforme Tabela 5 (mudar o

nome de tabela para quadro) abaixo:
Tabela 5 – Lista de Atividades do EDM01.01 do COBIT 5
ATIVIDADES
Analisar e identificar os fatores internos e externos ambientais (obrigações legais, regulamentares e
contratuais) e tendências no ambiente de negócios que podem influenciar o desenho da governança.
Determinar a importância da TI e seu papel no que diz respeito ao negócio.
Considerar regulamentos externos, leis e obrigações contratuais e determinar como eles devem ser aplicados
dentro da governança corporativa de TI.
Alinhar o uso ético do processamento de informações e seu impacto na sociedade, o ambiente natural, e os
interesses internos e externos das partes interessadas com o direcionamento, metas e objetivos da organização.
Determinar as implicações do ambiente geral de controle da organização no que diz respeito à TI.
Articular os princípios que irão orientar o desenho da governança e a tomada decisão de TI.
Compreender a cultura de tomada de decisões da organização e determinar o melhor modelo de tomada de

decisão de TI
Determinar os níveis adequados de delegação da autoridade, incluindo limites pré ‐estabelecidos para as
decisões de TI.
Fonte: COBIT 5.0 Habilitando Processos (2012).
Além dos processos de referência, o COBIT também oferece um modelo de avaliação

de processos denominado PAM - Process Assessment Model, alinhado com a norma ISO/IEC
15504, mantida pela Organização Internacional de Normalização. O referido modelo possui
um processo de avaliação repetível, baseado em evidências, composto por um conjunto de
indicadores de desempenho e capacidade do processo. Os indicadores são utilizados como
base para a coleta de evidências, que são avaliadas, permitindo assim a atribuição de uma
classificação (COBIT 5.0 PAM, 2012).
33
As classificações possíveis, segundo o PAM são:
Nível 0 - Processo incompleto: O processo não está implementado ou falha em atingir seu
propósito. Nesse nível, há pouca ou nenhuma evidência de qualquer realização sistemática do
propósito do processo.
Nível 1 - Processo executado – Um atributo: O processo atinge o propósito para o qual foi
implementado.
Nível 2 - Processo Gerenciado – Dois atributos: O processo descrito anteriormente como

executado, agora é considerado implementado de forma gerenciada (planejados, monitorados
e ajustados) e seus produtos de trabalho são adequadamente estabelecidos, controlados e
mantidos.
Nível 3 - Processo estabelecido – Dois Atributos: O processo descrito anteriormente como

gerenciado, agora é considerado estabelecido, usando um processo definido, que é capaz de
atingir os resultados.
Nível 4 – Processo Previsível – Dois Atributos: O processo descrito anteriormente como

estabelecido, agora opera dentro de limites definidos para atingir os resultados de processo.
Nível 5 - Processo Otimizado – Dois Atributos: O processo descrito anteriormente como

previsível é continuamente aprimorado para atender às metas de negócios relevantes, atuais e
projetadas.
Em cada nível de capacidade existem os seus respectivos atributos que serão avaliados
com a finalidade de classificar o processo ou não no nível em questão. Vale lembrar que um
processo somente muda de nível quando os atributos do nível anterior forem totalmente
atendidos.
Os atributos são avaliados da seguinte forma:

34
Tabela 5 – Atributos de Capacidade
Sigla Descrição Definição % de Realização

N Não alcançado. Há pouca ou nenhuma evidência de 0 a 15% de realização
obtenção do atributo definido no processo
avaliado.
P Alcançado Há alguma evidência de uma abordagem e >15% a 50% de realização

parcialmente. alguma conquista do atributo definido no
processo avaliado. Alguns aspectos da
conquista do atributo podem ser
imprevisíveis.
L Amplamente Há evidências de uma abordagem >50% a 85% de realização

Alcançado. sistemática e realização significativa do
atributo definido no processo avaliado.
Algumas fragilidades relacionadas a esse
atributo podem existir no processo
avaliado.
F Totalmente Há evidências de uma abordagem >85% a 100% de realização

Alcançado. completa e sistemática para, e
cumprimento total, dos objetivos definidos
atributo no processo avaliado. Não existem
deficiências significativas relacionadas a
esse atributo no processo avaliado.
Fonte: COBIT 5.0 PAM (2012).
2.4. REVISÃO BIBLIOGRÁFICA
Para a revisão de literatura, foram realizadas pesquisas na base Scopus sobre o tema
Auditoria, utilizando o COBIT, conforme a seguinte sentença:
TITLE-ABS-KEY ( COBIT AND AUDIT ) AND ( LIMIT-TO ( EXACTKEYWORD ,

"COBIT" ) OR LIMIT-TO ( EXACTKEYWORD , "IT Audit" ) OR LIMIT-TO
( EXACTKEYWORD , "COBIT 5" ) )
35
A pesquisa resultou na recuperação de 51 registros, distribuídos em articles,

conference paper e Book Chapter, conforme Figura 3:
Figura 3 – Tipologia de documentos
Fonte: Scopus (2023).
As publicações foram concentradas na Indonésia, Croácia e Estados Unidos. Seguem

listados os documentos mais citados na base Scopus (Tabela 6 – substituir o nome tabela por
quadro) sobre o tema e posteriormente, as publicações mais novas (Tabela 7 – substituir o
nome por quadro).
36
Tabela 06 – Artigos mais citados sobre o tema gestão de riscos em TI
REFERÊNCIA TEMA CITAÇÕES

VON SOLMS, Basie. Information Security
governance: COBIT or ISO 17799 or both? Information Security governance: COBIT or
97
Computers & Security, v. 24, n. 2, p. 99-104, ISO 17799 or both?
2005.
SPREMIC, Mario; ZMIRAK, Zlatan;

KRALJEVIC, Krunoslav. IT and business
process performance management: Case
IT and business process performance
study of ITIL implementation in finance
management: Case study of ITIL 30
service industry. In: ITI 2008-30th
implementation in finance service industry
International Conference on Information
Technology Interfaces. IEEE, 2008. p. 243-
250.
RADOVANOVIĆ, Dalibor et al. IT audit in

accordance with Cobit standard. In: The 33rd
IT audit in accordance with Cobit standard 17
International Convention MIPRO. IEEE,
2010. p. 1137-1141.
LIU, Qiang; RIDLEY, Gail. IT Control in the

Australian public sector: an international IT control in the australian public sector: An
16
comparison. ECIS 2005 Proceedings, p. 91, international comparison
2005.
KRISANTHI, Gusti Ayu Theresia;

SUKARSA, I. Made; BAYUPATI, I. Putu
Agung. Governance audit of application
Governance audit of application
procurement using COBIT framework. 15
procurement using COBIT framework
Journal of Theoretical and Applied
Information Technology, v. 59, n. 2, p. 342-
351, 2014.
Fonte: Resultado de pesquisa na Scopus (2022).
Von Solms (2005) investiga a coexistência e uso complementar do COBIT e da ISO

17799 como estruturas de referência para governança de Segurança da Informação. A
investigação é baseada em um mapeamento entre COBIT e ISO 17799 que se tornou
disponível em 2004, e fornece um nível de 'sincronização' entre esses dois frameworks.
37
Spremić, Zmirak, Kraljevic (2008) destacam que organizações bem-sucedidas

gerenciam a função de TI da mesma forma que gerenciam suas outras funções e processos
estratégicos. Isso, em particular, significa que eles entendem, gerenciam e medem
sistematicamente a qualidade do desempenho de TI. Eles estão fazendo isso engajando-se
em atividades de Governança de TI e Auditoria de TI. Nos últimos anos, existem vários
padrões e melhores práticas mundialmente utilizados na área de gerenciamento de
processos de TI, como CobiT e ITIL, que auxiliam a gestão a medir o desempenho de TI.
Neste artigo apresentamos o estudo de caso de gerenciamento de serviços de TI no setor
financeiro através da implementação de sugestões que surgem da metodologia ITIL.
Radovanović, Radojević, Lučić, Šarac (2020) afirmam que a governança de TI e a

auditoria de sistemas de informação se impõem como um imperativo para o sucesso dos
negócios. Para melhorar o gerenciamento de TI de acordo com os requisitos regulatórios, as
organizações estão usando estruturas de melhores práticas para facilitar o trabalho. Um
desses frameworks de governança de TI é o Cobit, que fornece diretrizes sobre o que pode
ser feito em uma organização em termos de atividades de controle, medição e
documentação de processos e operações.
Liu, Ridley (2005) destacam os baixos números de pesquisas acadêmicas a respeito

de estruturas de controle em TI, apesar de sua ampla utilização. Em seu artigo, relatam
pesquisas para comparar os níveis de maturidade de 15 processos-chave de controle de TI
dos Objetivos de Controle para Tecnologia da Informação e Tecnologia Relacionada
(COBIT) em organizações do setor público em toda a Austrália.
Krisanthi, Sukarsa, Agung Bayupati (2014) entendem que a auditoria dos

sistemas de informação é realizada para verificar o nível de prontidão da organização na
gestão da governança de Tecnologia da Informação (TI). A medição dos níveis de
maturidade no processo de aquisições usando o COBIT para mapear objetivos de negócio,
objetivos de TI e seus processos, apontaram o ITIL como melhor padrão a ser adotado para
o referido processo. A análise resultou em um nível de maturidade 3 - Definido,
demonstrando a lacuna que existe para se chegar até o nível 5 - otimizado.
38
Tabela 07 – Artigos mais novos sobre o tema gestão de riscos em TI
REFERÊNCIA TEMA ANO

MANAF, Khaerul et al. Digital Report
Application Audit Using The COBIT 5
Framework. In: 2021 15th International Digital Report Application Audit Using
2021
Conference on Telecommunication Systems, The COBIT 5 Framework
Services, and Applications (TSSA). IEEE,
2021. p. 1-4.
TANGKA, George Morris William; LIEM,

Andrew Tanny; MAMBU, Joe Yuan.
Information Technology Governance Audit Information Technology Governance Audit
Using the COBIT 5 Framework at XYZ Using the COBIT 5 Framework at XYZ 2020
University. In: 2020 2nd International University
Conference on Cybernetics and Intelligent
System (ICORIS). IEEE, 2020. p. 1-5.
ELIYANA, Anis et al. The Influence of

Information Technology Governance Audit The Influence of Information Technology
Using Cobit 5 For The Development Public Governance Audit Using Cobit 5 For The
2020
Library:(Case Study: Public Library In East Development Public Library: (Case Study:
Java). Library Philosophy and Practice, p. 1- Public Library In East Java )
12, 2020.
EITO-BRUN, Ricardo; CALLEJA
Records and document management in the
ALIAGA, Coral. Records and document
IT governance frameworks: Best practices
management in the IT Governance
and standardization (COBIT framework) |
frameworks: best practices and
[La gestión documental en los modelos de 2020
standardization (COBIT framework).
gobernanza TIC: Presencia y visibilidad de
REVISTA ESPANOLA DE
la normativa internacional en el modelo de
DOCUMENTACION CIENTIFICA, v. 43,
referência COBIT]
n. 3, 2020.
LIEHARYANI, Djoko CU et al. Audit

conformity for higher education using good Audit conformity for higher education
university governance (Gug) principle. In: using good university governance (Gug) 2020
Proc. Int. Conf. Ind. Eng. Oper. Manag., vol. principle
0, no. March. 2020. p. 2081-2089.
Fonte: Resultado de pesquisa na Scopus (2022).

39
Manaf, Subaeki, Solihin, Hidayat, Laluma (2021) demonstram a aplicação do

COBIT em uma auditoria de aplicativos para apoio ao processamento de valores, focando
nos domínios de suporte do COBIT, em que os processos DSS01 (gerenciar operações),
DSS02 (gerenciar solicitações de serviço e incidentes), DSS03 (gerenciar problemas),
DSS04 (gerenciar continuidade) e DSS05 (gerenciar serviço de segurança), obtidos do
mapeamento de objetivos, alcançam e 70% a 83% de aproveitamento.
Tangka, Liem, Mambu (2020) relatam que a governança de Tecnologia da

Informação (TI) é um conjunto de processos que visam garantir a adequação da
implementação de TI com seu suporte, para o alcance dos objetivos organizacionais. A boa
governança de TI pode ajudar a apoiar o sucesso da organização em atingir seus objetivos.
Para descobrir até que ponto a governança de TI é implementada, a governança de TI
precisa ser auditada. Os autores relatam que o objetivo deste estudo foi realizar uma
auditoria da governança de TI que foi implementada. A auditoria de governança de TI é
realizada com base no framework COBIT 5.
Ilham, Eliyana, Usman (2020) destacam que para maximizar a gestão e levá-la a
um nível melhor, as bibliotecas públicas precisam de auditorias de governança de
tecnologia da informação. A auditoria de tecnologia da informação utilizada neste estudo
utiliza o framework COBIT 5 que foca nos domínios APO04 e DSS01. O estudo visa
melhorar a qualidade dos serviços prestados e aumentar a sua competitividade. Os
resultados referem-se à visão e missão da biblioteca pública em East Java, que está de
acordo com o domínio da inovação em gestão (DSS01) e operações de gestão (APO04)
onde a condição da biblioteca pública ou nível de maturidade está em nível 3, que precisa
ser melhorado novamente.
Eito-Brun, Aliaga (2020) declaram que as organizações têm à sua disposição

diferentes normas que orientam a governança, gestão dos serviços e sistemas de
informação, sendo direcionadas por padrões que são compostos pelas melhores práticas
desenvolvidas por organizações públicas e privadas. Esses padrões são apresentados na
forma de frameworks que definem objetivos, indicadores-chave de processo e processos. As
entidades podem usar esses frameworks e padrões como base para definir seus próprios
processos internos e compará-los com as melhores práticas do setor, destacando-se o
COBIT como um desses padrões, desenvolvido pelo ISACA (Information Systems Audit
and Control Association).
40
Lieharyani, Putra, Ginardi, Sukmono (2020) tentam obter a correlação dos

princípios da GUG - Good University Governance (responsabilidade, transparência,
organização sem fins lucrativos, garantia de qualidade e eficácia e eficiência) e o seu
processo de tecnologia correspondente, realizando uma exploração teórica baseada em
revisão de literatura, opinião de especialistas que tem experiência com COBIT 5 e também
docentes no ensino superior. A pesquisa foca em encontrar o Processo de TI no COBIT 5
que tenha relação com os Princípios GUG, que são baseados em uma Lei na Indonésia (Lei
nº 12 ano 2012), em estudo de caso em um politécnico na Indonésia. Com esta pesquisa
haveria um modelo de auditoria no ensino superior, baseada nos referidos princípios. Até o
momento não há nenhuma pesquisa que tenha uma lista de processos de TI no COBIT 5
relacionados aos princípios GUG e o nível esperado para cada princípio GUG. A aplicação
do GUG é importante devido à necessidade de conformidade com as regulamentações
governamentais e preparação de modelos para futuras pesquisas sobre auditoria com base
em seus princípios.
41
3. MÉTODO E DESIGN DA PESQUISA
Nesta seção, serão apresentados os procedimentos para a realização da pesquisa, quais

sejam, os métodos utilizados (e as justificativas para sua utilização), a caracterização do tipo
da pesquisa, os sujeitos da pesquisa e os procedimentos de coleta e análise de dados.
3.1. DELINEAMENTO DA PESQUISA
Esta pesquisa pode ser caracterizada como exploratória, no que tange à busca por
trabalhos científicos em journals, bases de dados, normas técnicas, regulamentos e bancos de
teses e dissertações a respeito dos temas abordados. Conforme Richardson (2012), quando
não se tem informações suficientes sobre determinado tema, ou é necessário aprofundar-se a
respeito do fenômeno objeto da investigação, e buscas são realizadas neste sentido de
fomentar o conhecimento científico, a pesquisa caracteriza-se como exploratória. Os dados
empíricos, que serão obtidos com base nos conhecimentos provenientes da prática e da
experiência dos sujeitos da pesquisa (gestores de TI do Sebrae Nacional + 27 unidades da
federação), caracterizam esta pesquisa como empírica. Segundo Proetti (2017), os
conhecimentos científicos são obtidos por procedimentos metodológicos que permitem a
busca, análise, interpretação e entendimento dos fatos e fenômenos que, em alguns casos,
poderão ser observados, definidos, manipulados, experimentados, controlados, recompostos e
entendidos.
Dentre as estratégias de pesquisa disponíveis, destaca-se aqui o método Quali-Quanti,

caracterizado pela junção da aplicação dos métodos quantitativo e qualitativo em uma única
pesquisa. Ainda para Proetti:
A pesquisa qualitativa não visa à quantificação, mas sim ao direcionamento para o

desenvolvimento de estudos que buscam respostas que possibilitam entender,
descrever e interpretar fatos. Ela permite ao pesquisador manter contato direto e
interativo com o objeto de estudo. A pesquisa quantitativa segue com rigor de estudo
a um plano previamente estabelecido, com hipóteses e variáveis definidas pelo
estudioso. Ela visa enumerar e medir eventos de forma objetiva e precisa
(PROETTI, 2017).
42
Para Santos (2000), quantitativa é aquela pesquisa onde são importantes a coleta e a
análise quantificada dos dados, e, de cuja quantificação, resultados automaticamente
apareçam. Qualitativa é aquela pesquisa cujos dados só fazem sentido através de um
tratamento lógico secundário, feito pelo pesquisador.
Tais considerações são necessárias para direcionar a presente pesquisa, uma vez que
associaremos os métodos quali-quanti, para investigar quais as contribuições que o framework
COBIT pode realizar em auditorias nos processos de Governança e Gestão de Tecnologia da
Informação, no Sistema Sebrae (Sebrae Nacional + 27 unidades da federação).
Essa inspeção, resultará em um estudo de caso, que segundo Yin (2005, p. 32) “é uma
investigação empírica que investiga um fenômeno contemporâneo dentro de seu contexto de
vida real, especialmente quando os limites entre o fenômeno e o contexto não estão
claramente definidos”, havendo um destaque para as lições aprendidas, uma vez que Yin
(2005) ainda destaca:
Parte-se do princípio de que as lições que se aprendem desses casos fornecem

muitas informações sobre as experiências da pessoa ou instituição usual (YIN, 2005,
p. 63)
Para Gil (2019), a pesquisa de estudo de caso consiste no estudo profundo e exaustivo de
um ou poucos objetos, de maneira que permita seu amplo e detalhado conhecimento, tarefa
praticamente impossível mediante outros tipos de delineamentos. Dessa forma, por meio do
estudo de caso, realizaremos um processo investigativo a respeito dos fenômenos relativos aos
processos de tecnologia em uma instituição, no intento de percebermos oportunidades de
melhoria em sua execução
3.2. POPULAÇÃO E AMOSTRA
A população da pesquisa será composta por todas as sedes do sistema Sebrae nas 27
unidades da federação do país (incluído o Distrito Federal), e também a sede nacional. A
delimitação deu-se por haver, nas sedes regionais, toda a concentração de informações a
respeito dos estados, e por possuírem seus próprios processos de Governança e Gestão de TI,
focados nas soluções locais.
43
O tipo de amostragem utilizada foi a por conveniência, que, segundo Hair Jr. et al
(2009) envolve a seleção de itens da amostra que sejam mais acessíveis dentro da população
do estudo, e também por oferecerem as informações necessárias para a extração de dados. A
seleção das amostras também se justifica por permitir formar um panorama geral a partir das
informações dali extraídas.
3.3. SUJEITOS DA PESQUISA
Os sujeitos desta pesquisa, dos quais serão provenientes os dados empíricos, são os
técnicos e gestores dos setores de TI do Sebrae Nacional e também das sedes dos Sebrae/UF,
nas 27 unidades da federação. Segundo Flick (2009), os sujeitos são definidos de acordo com
parâmetros pré-definidos pelo pesquisador, e que atendam os critérios para que façam parte da
população investigada.
3.4. COLETA DE DADOS
Os dados aqui utilizados serão obtidos por meio da aplicação de formulários

eletrônicos (survey), para os gestores e coordenadores de tecnologia do Sistema Sebrae, em
cada estado da Federação. Estes dados são caracterizados como dados primários, ou seja,
foram coletados para satisfazer as necessidades da pesquisa. A eficácia deste instrumento
materializa-se pelo baixo custo de aplicação, e na precisão e uniformidade de mensuração.
Também é eficiente pois permite que grandes volumes de dados sejam coletados de um
grande número de respondentes (MALHOTRA, 2001).
Uma vez coletados, esse conjunto de dados será tratado e submetido a técnicas de
análise, para que as informações possam embasar o processo de análise da aplicação do
COBIT. Vale ressaltar também o caráter aplicado dessa pesquisa, uma vez que os resultados
da referida poderão ser empregados de forma prática em outros contextos, como por exemplo
outras entidades do Sistema S.
O questionário será elaborado para avaliar os atributos dos níveis de capacidade, que
por sua vez, alimentarão o fluxo de atividades de auditoria. Na etapa “d” (Identificar
Processos e Testar Controles), surgem as recomendações, oriundas das avaliações dos
44
processos específicos, com a função de garantir que o processo de TI contribua para a

realização do objetivo do negócio.
Desta forma, de acordo com o método proposto pelo COBIT 5, os domínios a serem
analisados podem ser: Avaliar, Dirigir e Monitorar (EDM); Alinhar, Planejar e Organizar
(APO); Construir, Adquirir e Implementar (BAI); Entregar, Atender e Apoiar (DSS) e
Monitorar, Avaliar e Analisar (MEA), conforme a Figura 4.
Figura 4 – Fluxo de Atividades de Auditoria com apoio do COBIT
Fonte: Elaborado pelo Autor (2023).
a) Elencar Riscos Prioritários
Conforme o que preconiza a ABR, um risco de médio/alto impacto é elencado para ser
o direcionador do processo de auditoria. No âmbito do Sistema Sebrae, para o
processo de tecnologia, segundo a avaliação realizada, foi elencado como prioritário o
risco “Plano estratégico de TI incompatível com as necessidades atuais e futuras da
organização”.
b) Identificar Objetivo de Negócio

45
Nesse contexto, o risco deve ser monitorado e pode ser transformado em um objetivo
de negócio que é “Garantir que o Plano estratégico de TI seja compatível com as
necessidades atuais e futuras da organização”.
c) Conectar com Objetivo de TI
Posteriormente, o risco ou o objetivo de negócio pode ser enquadrado em uma das

visões genérica do BSC trazidas pelo COBIT, para identificar com qual objetivo de
tecnologia ele se conecta. Segundo a tabela de mapeamentos de objetivos do COBIT,
o alinhamento entre as estratégias de TI e de negócio, são tratados como o Objetivo de
Tecnologia nº1;
Tabela 8 - Mapeamento dos Objetivos Corporativos do COBIT 5 em Objetivos de TI
d) Identificar Processo e avaliar o nível de capacidade

46
Assim, por meio do mapeamento de objetivos de TI em processos, é possível

identificar quais processos e controles de TI o COBIT recomenda que sejam avaliados
para garantir que o objetivo de TI contribua para a realização do objetivo de negócio,
minimizando a possibilidade de que o risco direcionador se materialize.
Sendo assim, os processos de TI, recomendáveis para análise, são aqueles cuja
intersecção com o objetivo de TI nº1 está preenchida com a letra “P”, de primário. Por
meio do questionário eletrônico, os gestores de tecnologia responderão a respeito do
status de cada controle avaliado, sendo essa uma prática comum no ramo da auditoria,
denominada CSA – Control Self Assessment.
A autoavaliação de controles (do inglês Control Self Assessment - CSA) consiste num
processo em que os próprios gestores avaliam seus controles e riscos. Tipicamente a
autoavaliação pode ocorrer por meio de questionários ou oficinas de autoavaliação das
práticas existentes para lidar com os riscos (TCU,2020).
Tabela 9 - Mapeamento dos Objetivos TI do COBIT 5 em Processos de TI

47
Tabela 10 - Mapeamento dos Objetivos TI do COBIT 5 em Processos de TI (Continuação)

48
e) Emitir opinião
As evidências de que as práticas de processo são executadas, alimentam as avaliações

dos níveis de capacidade de cada processo, podendo garantir os benefícios de sua
execução para a entidade. Caso essas evidências não sejam encontradas ou não sejam
suficientes, caberá a recomendação de melhorias, após as análises dos resultados.
49
3.5. PROCEDIMENTO DE ANÁLISE DE DADOS
Utilizando-se dos conceitos apresentados no item anterior, o desdobramento de metas

executado com base no objetivo estratégico “Garantir que o Plano estratégico de TI seja
compatível com as necessidades atuais e futuras da organização”, trouxe os seguintes
processos como prioritários:
a) EDM01 - Garantir a Definição e Manutenção do Framework de Governança

b) EDM02 - Garantir a Realização de Benefícios
c) APO01 - Gerenciar a Estrutura de Gestão de TI,
d) APO02 - Gerenciar a Estratégia
e) APO03 - Gerenciar a Arquitetura da Organização
f) APO05 - Gerenciar o Portfólio
g) APO07 - Gerenciar Recursos Humanos
h) APO08 - Gerenciar Relacionamentos
i) BAI01 - Gerenciar Programas e Projetos
j) BAI02 - Gerenciar Definição de Requisitos
Dentro desse grupo, em face do caráter de base de suas práticas, a escolha foi priorizar
os processos EDM01 e APO01, porém sabemos que as empresas devem considerar a ação dos
fatores externos em suas práticas diárias e seu planejamento. No ano de 2022, conforme
amplamente divulgado na mídia, o Sistema Sebrae foi alvo de um ataque cibernético:
O Serviço Brasileiro de Apoio às Micro e Pequenas Empresas (Sebrae) confirmou ter

sofrido um ataque cibernético que provocou interrupção e instabilidade no seu portal,
que está em manutenção desde o último domingo, 27. Segundo o site CISO Advisor,
especializado em cibersegurança, o ataque afeta todos os sites no domínio
sebrae.com.br e da Agência Sebrae, dimensões que podem indicar uma contaminação
por ransomware (https://www.baguete.com.br/noticias/30/03/2022/sebrae-sofre-
ataquecibernetico,2022).
Diante desse cenário, a adição dos processos APO12 – Gerenciar Riscos, APO13 –
Gerenciar Segurança e DSS05 – Gerenciar Serviços de Segurança, podem representar um
ganho na perspectiva da análise com a finalidade de apoiar a blindagem da instituição contra
novos ataques. Sendo assim, as práticas de cada processo priorizado serão avaliadas,
50
conforme a escala do modelo de avaliação de processos, PAM - Process Assessment Model,

baseado na ISO 15504, proposto pelo COBIT5, conforme a seguinte escala:
N = Não Alcançado -> Há pouca ou nenhuma evidência de obtenção do atributo definido no

processo avaliado, ou seja, 0 a 15% de realização.
P = Alcançado Parcialmente -> Há alguma evidência de uma abordagem e alguma conquista
do atributo definido no processo avaliado. Alguns aspectos da conquista do atributo podem
ser imprevisíveis, ou seja, >15% a 50% de realização.
L = Amplamente Alcançado -> Há evidências de uma abordagem sistemática e realização
significativa do atributo definido no processo avaliado. Algumas fragilidades relacionadas a
esse atributo podem existir no processo avaliado, ou seja, >50% a 85% de realização.
F = Totalmente Alcançado -> Há evidências de uma abordagem completa e sistemática para,
e cumprimento total, dos objetivos definidos atributo no processo avaliado. Não existem
deficiências significativas relacionadas a esse atributo no processo avaliado, ou seja, >85% a
100% de realização.
Com base nas informações supracitadas, são listados os questionamentos para

avaliação a respeito de sua execução, que serão disponibilizados ao público-alvo, Gestores de
Tecnologia do Sistema Sebrae, por meio da ferramenta Google Forms:
EDM01 - Garantir a Definição e Manutenção do Framework de Governança
Visando “Garantir a Definição e Manutenção do Modelo de Governança”, em que

é implementada uma abordagem consistente, integrada e alinhada com a abordagem de
governança corporativa e que se pode garantir que as decisões de TI são tomadas em linha
com as estratégias e objetivos corporativos, garantir que os processos de TI são
acompanhados de forma eficiente e transparente, conformidade verificada aos requisitos
legais e regulatórios, alcance dos requisitos de governança aos membros do Conselho de
Administração (Cobit 5 Enabling Process, 2012), perguntamos:
a) Existe um modelo estratégico de tomada de decisão para a TI que é efetivo e está

alinhado com os requisitos das partes interessadas e do ambiente interno e externo da
organização? Ex.: Política de Governança de TI
51
( ) N = Não Alcançado - (0 a 15% de realização)

( ) P = Alcançado Parcialmente - (>15% a 50% de realização)
( ) L = Amplamente Alcançado - (>50% a 85% de realização)
( ) F = Totalmente Alcançado - (>85% a 100% de realização)
b) Você considera que o sistema de governança de TI está incorporado na organização?

Ex: A TI é envolvida nas ações de planejamentos estratégico?

c) Existem garantias de que o sistema de governança de TI está operando de forma

efetiva? Ex.: Resultados de TI são divulgados e discutidos com a governança,
retroalimentando o planejamento?

APO01 - Gerenciar a Estrutura de Gestão de TI
Visando garantir que é possível “Gerenciar a Estrutura de Gestão de TI”, de forma

que a instituição tenha como prover uma abordagem de gerenciamento consistente para
permitir que os requisitos de governança corporativa sejam cumpridos, cobrindo processos de
gestão, estruturas organizacionais, papéis e responsabilidades, atividades confiáveis e
repetíveis e habilidades e competências (Cobit 5 Enabling Process, 2012), perguntamos:
a) Existe um conjunto eficaz de políticas, definido e mantido?

52

b) Todos estão cientes das políticas e de como devem ser implementadas?

APO12 – Gerenciar Riscos
Visando garantir que é possível “Gerenciar Riscos”, de forma que seja possível
Integrar o gerenciamento do risco organizacional relacionado a TI com o risco organizacional
em geral, e balancear os custos e benefícios do gerenciamento do risco organizacional
relacionado a TI (Cobit 5 Enabling Process, 2012), perguntamos:
a) O risco relacionado à TI é identificado, analisado, gerenciado e relatado?

b) Existe um perfil de risco atual e completo?

53
c) Todas as ações de gerenciamento de risco significativas são gerenciadas e ficam sob

controle?

d) As ações de gerenciamento de riscos são implementadas de forma eficaz?

APO13 – Gerenciar Segurança
Visando garantir que é possível “Gerenciar a Segurança”, para manter o impacto e a

ocorrência de incidentes de segurança da informação dentro dos níveis de apetite de risco da
organização (Cobit 5 Enabling Process, 2012), perguntamos:
a) Existe um sistema que considera e trata de forma eficaz os requisitos de segurança da

informação corporativa?

b) Um plano de segurança foi estabelecido, aceito e comunicado em toda a organização?

54

c) As soluções de segurança da informação são implementadas e operadas de forma

consistente em toda a organização?

DSS05 – Gerenciar Serviços de Segurança
Visando garantir que é possível “Gerenciar os Serviços de Segurança” na tentativa

de minimizar o impacto de vulnerabilidades e incidentes operacionais de segurança da
informação para o negócio (Cobit 5 Enabling Process, 2012), perguntamos:
a) A segurança de Redes e comunicações atende às necessidades de negócios?

b) As informações processadas, armazenadas e transmitidas por dispositivos de

comunicação são protegidas?

55
c) Todos os usuários são identificados de maneira única e têm direitos de acesso de

acordo com sua função na organização?

d) Medidas físicas foram implementadas para proteger as informações de acesso não

autorizado, danos e interferência durante o processamento, armazenamento ou
transmissão?

e) As informações eletrônicas são devidamente protegidas quando armazenadas,

transmitidas ou destruídas?

56
4. ANÁLISE DOS RESULTADOS
Os questionários elaborados foram aplicados para cada um dos estados da federação com
a finalidade de colher a classificação para os itens dos processos, conforme a Tabela 11
abaixo (substituir o nome tabela por quadro):
Tabela 11 – Atributos de Capacidade
Sigla Descrição Definição % de Realização

N Não alcançado. Há pouca ou nenhuma evidência de 0 a 15% de realização
obtenção do atributo definido no processo
avaliado.
P Alcançado Há alguma evidência de uma abordagem e >15% a 50% de realização

parcialmente. alguma conquista do atributo definido no
processo avaliado. Alguns aspectos da
conquista do atributo podem ser
imprevisíveis.
L Amplamente Há evidências de uma abordagem >50% a 85% de realização

Alcançado. sistemática e realização significativa do
atributo definido no processo avaliado.
Algumas fragilidades relacionadas a esse
atributo podem existir no processo
avaliado.
F Totalmente Há evidências de uma abordagem >85% a 100% de realização

Alcançado. completa e sistemática para, e
cumprimento total, dos objetivos definidos
atributo no processo avaliado. Não existem
deficiências significativas relacionadas a
esse atributo no processo avaliado.
Fonte: COBIT 5.0 PAM, 2012
Tomando os resultados da Paraíba para exemplificar o processo, temos as seguintes

respostas:
57
Tabela 12 – Dados coletados na Paraíba
PROCESSO ITEM ESTADO NIVEL

EDM01 EDM01_1 PB P
EDM01 EDM01_2 PB L
EDM01 EDM01_3 PB P
APO01 APO01_1 PB L
APO01 APO01_2 PB L
APO12 APO12_1 PB L
APO12 APO12_2 PB P
APO12 APO12_3 PB P
APO12 APO12_4 PB P
APO13 APO13_1 PB P
APO13 APO13_2 PB P
APO13 APO13_3 PB P
DSS05 DSS05_1 PB P
DSS05 DSS05_2 PB L
DSS05 DSS05_3 PB L
DSS05 DSS05_4 PB L
DSS05 DSS05_5 PB L
Ao consolidarmos os dados por processos, temos a seguinte visão, respeitando a escala

supracitada, proposta pelo PAM:
Tabela 13 – Dados consolidados coletados na Paraíba
NIVEL DE
ESTADO PROCESSO N P L F FINAL
CAPACIDADE
PB EDM01 - 2 1 - P 0
PB APO01 - - 2 - L 1
PB APO12 - 3 1 - P 0
PB APO13 - 3 - - P 0
PB DSS05 - 1 4 - L 1
a) Para o processo EDM01, dois dos itens foram atribuídos como P (Alcançado
Parcialmente) e um L (Totalmente Alcançado), o que resulta em uma classificação
final P, tendo em vista o percentual de 66,66% de concentração na referida escala;
58
b) Para o processo APO01, todos os itens foram atribuídos como L, dessa forma a
classificação final permanece como L;
c) Para o processo APO12, 03 itens (75%) foram atribuídos como P e 01 item como L
(25%), dessa forma, a classificação final é atribuída como P;
d) Para o processo APO13, todos os itens foram atribuídos como P, dessa forma, a
classificação final também é P;
e) Para o processo DSS05, 03 itens (75%) foram atribuídos como L e 01 item como P
(25%), dessa forma, a classificação final é atribuída como L;
Tendo como base as aferições realizadas e a escala proposta pelo PAM, podemos concluir
que no caso da Paraíba:
a) Para os processos EDM01, APO1 e APO13, existe alguma evidência de uma

abordagem e alguma realização do atributo definido no processo avaliado. Alguns
aspectos da realização do atributo podem ser imprevisíveis, ou seja, considerando o
nível 01, processo executado, não há evidências de uma abordagem sistemática e
realização significativa do atributo definido no processo avaliado, o que pode ensejar
em produtos de trabalho ausentes e resultados de processo não atingidos;
b) Para os processos APO01 e DSS05, existem evidências de uma abordagem sistemática
e realização significativa do atributo definido no processo avaliado, ou seja,
considerando o nível 01, o processo é executado. Algumas fragilidades relacionadas a
esse atributo podem existir no processo avaliado, uma vez que ela ainda não é
plenamente alcançada;
A referida análise foi realizada para cada um dos estados da federação, resultando no
seguinte consolidado:
59
Tabela 14 – Dados consolidados coletados em todo país
N - Não P - Alcançando L - Amplamente F - Totalmente

PROCESSO
Alcançado Parcialmente Alcançado Alcançado
EDM01 0 18 10 0
APO01 0 12 16 0
APO12 0 25 3 0
APO13 0 19 9 0
DSS05 0 11 17 0
Tabela 15 – Dados consolidados coletados em todo país, com escala de classificação de

atributos de processo
N - Não P - Alcançando L - Amplamente F - Totalmente NIVEL DE

PROCESSO FINAL CAPACIDADE
Alcançado Parcialmente Alcançado Alcançado
EDM01 0 64% 36% 0 P 0
APO01 0 43% 57% 0 L 1
APO12 0 89% 11% 0 P 0
APO13 0 68% 32% 0 P 0
DSS05 0 39% 61% 0 L 1
Tabela 16 – Resultado por Processo para o Sistema Sebrae
PROCESSO DESCRIÇÃO RESULTADO CAPACIDADE

Garantir a Definição e Manutenção P - Alcançando
EDM01 0
do Framework de Governança Parcialmente
Gerenciar a Estrutura de Gestão de L - Amplamente
APO01 1
TI Alcançado
P - Alcançando
APO12 Gerenciar Riscos 0
Parcialmente
P - Alcançando
APO13 Gerenciar a Segurança 0
Parcialmente
L - Amplamente
DSS05 Gerenciar Serviços de Segurança 1
Alcançado

60
Também foi possível gerar uma visão da classificação dos processos por região. Na
região Norte todos os processos possuem resultante P, Alcançando Parcialmente. O
investimento em tecnologia para essa região foi R$ 26.690.000,00
Tabela 17 – Resultado por Região
NORTE
PROCESSO FINAL CAPACIDADE
EDM01 P 0
APO01 P 0
APO12 P 0
APO13 P 0
DSS05 P 0
Para as regiões Centro-Oeste e Nordeste, temos uma predominância de 60% dos

processos com resultante P, Alcançando Parcialmente e 40% com resultante L, Amplamente
Alcançado. Essa é a mesma resultante do consolidado para o Sistema Sebrae. O investimento
em tecnologia para essas regiões é de R$ 17.500.000,00 (Sebrae Nacional Desconsiderado) e
R$ 36.980.000,00, respectivamente.
Tabela 18 – Resultado por Região Tabela 19 – Resultado por Região
CENTRO-OESTE NORDESTE
FINA CAPACIDA PROCESSO FINAL CAPACIDADE
PROCESSO L DE 0
EDM01 P
EDM01 P 0
APO01 L 1
APO01 L 1
APO12 P 0
APO12 P 0
APO13 P 0
APO13 P 0
DSS05 L 1
DSS05 L 1
Para as regiões Sul e Sudeste, temos uma predominância de 80% dos processos com
resultante L, Amplamente Alcançado e 20% com resultante P, Alcançando Parcialmente,
sendo essas as regiões com melhor capacidade, acima da resultante do consolidado para o
61
Sistema Sebrae. O investimento em tecnologia para essas regiões é de R$ 57.300.000,00 e R$

26.690.000,00, respectivamente.
Tabela 20 – Resultado por Região Tabela 21 – Resultado por Região
SUDESTE SUL
PROCESS CAPACIDA PROCESS CAPACIDA
O FINAL DE O FINAL DE
EDM01 L 1 EDM01 L 1
APO01 L 1 APO01 L 1
APO12 P 0 APO12 P 0
APO13 L 1 APO13 L 1
DSS05 L 1 DSS05 L 1
Fonte: Elaborado pelo Autor (2023). Fonte: Elaborado pelo Autor (2023).
A seguir, na próxima seção, serão apresentadas as considerações finais do trabalho.
5. CONSIDERAÇÕES FINAIS
Com base nos conceitos aqui revisitados por meios das pesquisas bibliográficas, foi
possível perceber e atestar que a tecnologia da informação é uma ferramenta eficaz para o
cumprimento da estratégia de uma empresa. De forma adicional, a manutenção do
alinhamento dos objetivos de TI com os objetivos do negócio torna-se um fator crucial para
explorar o máximo potencial dos recursos tecnológicos resultantes dos investimentos
realizados por uma determinada empresa.
Avançando nos aspectos do estudo de caso realizado, ao utilizarmos o PAM, método

de avaliação proposto pelo COBIT 5, para analisar os processos de tecnologia, priorizados
com base no desdobramento de metas e nas variáveis de ambiente, foi possível concluir que
existem oportunidades para melhorias.
Considerando as avaliações para um Nível de Capacidade 01, em que buscamos

comprovar que um processo é executado e alcança o seu propósito, com relação ao Sistema
62
Sebrae, foi possível atestar que 03 (três) dos 05 (cinco ) processos avaliados não alcançam
plenamente os atributos para serem considerados em nível 01. De forma adicional, ressalta-se
que o nível 2 de capacidade não foi avaliado pois nenhum processo atingiu o nível 1 de
capacidade com F – Totalmente Alcançado, conforme pode ser visualizado na Figura 5.
Figura 5 – Tipologia de documentos
Dessa forma, com relação ao processo “EDM01 - Garantir a Definição e Manutenção

do Framework de Governança”, recomenda-se que a unidades envidem esforços em
implementar ou revisar seus modelos estratégico de tomada de decisão para garantir que a TI
esteja alinhada com os requisitos das partes interessadas, do ambiente interno e externo da
organização, visando incorporar um sistema de governança de ti com plena operação na
entidade, evitando situações como a dificuldade da percepção do valor de TI, dificuldade da
percepção do retorno dos investimentos em TI e duplicação ou sobreposição das iniciativas ou
desperdício de recursos.
Com relação ao processo APO12 – Gerenciar Riscos, é importante que a entidade

envide esforços para implementar ou rever suas práticas de gestão de risco, uma vez que essas
podem diminuir a possibilidade de materialização de prejuízos e diminuir o tempo de resposta
em face de sua ocorrência. É recomendável a implementação ou revisão das ações para
identificação, tratamento e monitoramento dos riscos, em face da possibilidade de paralização
do ambiente tecnológico e por consequência das atividades de negócio.
Da mesma forma, recomenda-se a revisão do processo APO13 – Gerenciar a
Segurança, na tentativa de manter o impacto e a ocorrência de incidentes de segurança da
63
informação dentro dos níveis de apetite de risco da organização, definindo-se requisitos,

soluções, políticas e planos de segurança compatíveis com as necessidades do negócio.
Finalmente, realizar um comparativo das ações de tecnologia por unidade da federação

e o comportamento com relação a forma como os investimentos de tecnologia são realizados e
a quantidade de atendimentos realizados, pode ser um fator de sucesso no equilíbrio dos
níveis de capacidade, uma vez que é possível perceber que as regiões com maior índice de
investimento conseguem, aparentemente, entregar níveis maiores de capacidade, conforme a
Figura 6.
Figura 6 – Regiões x Processos x Investimento

As recomendações descritas acima comprovam que oportunidades de melhoria podem
ser geradas em auditorias com base no framework COBIT e no futuro, um comparativo com
outras entidades do Sistema S como APEX, ABDI, SESC, SENAC, SESI, SENAI, SESCOOP
e ADAPS podem aumentar o nível de resultado do método aqui trabalhado.
64
6. REFERÊNCIAS
AGÊNCIA SENADO. Sistema S. Brasília, DF: Senado Federal. [Acesso em 12.mai.2022].

Disponível em: https://www12.senado.leg.br/noticias/glossario-legislativo/sistema-s
ASSOCIAÇÃO DE AUDITORIA E CONTROLE DE SISTEMAS DE INFORMAÇÃO

(ISACA). COBIT (Objetivos de Controle para Tecnologia da Informação e Áreas
Relacionadas) 5.0 – Modelo Corporativo para Governança e Gestão de TI da Organização.
EUA, 2012.
ASSOCIAÇÃO BRASILIEIRA DE NORMAS E TÉCNICAS (ABNT). NBR 31000. Gestão

de Riscos – Princípios e Diretrizes. Rio de Janeiro, 2009.
Brasil. Aprova a proposta orçamentária anual de 2021 do Serviço Brasileiro de Apoio às

Micro e Pequenas Empresas – SEBRAE. Brasília, DF: Ministério da Economia/Secretaria
Especial de Produtividade, Emprego e Competitividade; 2021 [Acesso em 12.mai.2022].
Disponível em: https://www.in.gov.br/en/web/dou/-/portaria-sepec/me-n-14.812-de-20-de-
dezembro-de-2021-368988335
Brasil. Lei nº 13.709, de 14 de agosto de 2018. Dispõe sobre a proteção de dados pessoais e
altera a Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet). Brasília, DF:
Presidência da República; 2018 [Acesso em 12.mai.2022].
Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm.
Brasil. RESOLUÇÃO CD/ANPD Nº 1, DE 28 DE OUTUBRO DE 2021. Aprova o

Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no
âmbito da Autoridade Nacional de Proteção de Dados. Brasília, DF: Presidência da
República/Autoridade Nacional de Proteção de Dados; 2021 [Acesso em 12.mai.2022].
Disponível em: https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-1-de-28-de-outubro-
de-2021-355817513.
65
CESTARI FILHO, F. ITIL v3 Fundamentos. Rio de Janeiro: Escola Superior de Redes, RNP,
2011.
COSO - COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY

COMMISSION et al. Internal control-integrated framework. 2013.
DA UNIÃO, Controladoria-Geral. Entendimentos do Controle Interno Federal sobre a Gestão

dos Recursos das Entidades do Sistema “S” – Perguntas e Respostas. Secretaria Federal de
Controle Interno. Brasília, 2011.
DE CONTABILIDADE, Conselho Federal. Normas Brasileiras de Contabilidade: NBC TA

estrutura conceitual–estrutura conceitual para trabalhos de asseguração. Brasília: Conselho
Federal de Contabilidade, 2015.
DE CONTABILIDADE, Conselho Federal. Normas brasileiras de contabilidade: NBC TO-de

asseguração contábil: NBC TO 3000 e NBC TO 3402. Brasília: Conselho Federal de
Contabilidade,2016.
GAZZOLA, A. L. A. “Considerações iniciais sobre os conceitos de Mestrado Profissional e

de Especialização. Texto apresentado em Reunião dos Reitores de Universidades Federais.”
Universidade Federal de Minas Gerais, 2003.
GIL, ANTONIO CARLOS. COMO ELABORAR PROJETOS DE PESQUISA. 6. ED. SÃO

PAULO: ATLAS. 2019.
GONÇALVES, José Ernesto Lima. Os impactos das novas tecnologias nas empresas
prestadoras de serviços. Revista de Administração de Empresas, v. 34, n. 1, p. 63-81, 1994.
GONÇALVES, GASPAR e CARDOSO. Governança De Tecnologia Da Informação: Uma

Análise Do Nível De Maturidade Em Empresas Atuantes No Brasil – Brasil, REVISTA DE
GESTÃO DE PROJETOS – GEP, Janeiro/Abril, 2016.
66
IBGC. O que é governança corporativa? São Paulo, SP: Instituto Brasileiro de Governança
Corporativa. [Acesso em 12.mai.2022].
Disponível em: https://www.ibgc.org.br/conhecimento/governanca-corporativa
ISACA. COBIT 5 PUBLICATIONS. Illinois, EUA: Associação de Auditoria e Controles

de Sistemas de Informação. [acesso em 30 de maio de 2022.]. Disponível em:
https://www.isaca.org/resources/cobit/cobit-5#sort=relevancy,
ISSAI, INTOSAI. 300, Fundamental Principles of Performance Auditing. Vienna – Austria,

2013.
MACHADO, B. S. (Org). Abordagem de auditoria baseada em risco no contexto da auditoria

operacional. Coletânea de Pós-Graduação, v.2 n.2. Auditoria do Setor Público. Brasília: 2019.
MEIRELLES, F. S. Pesquisa Anual do Uso de TI nas Empresas. FGVcia: Centro de TI

Aplicada, 33a. ed., 2022.
PRATES, Glaúcia Aparecida; OSPINA, Marco Túlio. Tecnologia da informação em pequenas

empresas: fatores de êxito, restrições e benefícios. Revista de administração
contemporânea, v. 8, n. 2, p. 9-26, 2004.
PROETTI, Sidney. As pesquisas qualitativa e quantitativa como métodos de investigação

científica: Um estudo comparativo e objetivo. Revista Lumen-ISSN: 2447-8717, v. 2, n. 4,
2018.
PROJECT MANAGEMENT INSTITUTE – PMI. Um guia do conhecimento em

gerenciamento de projetos. EUA, 2014.
RHPORTAL. Planejamento estratégico: conceito e aplicações. [Acesso em 10 de maio de

2022] Disponível em: https://www.rhportal.com.br/artigos-rh/planejamento-estratgico-
conceito-e-aplicaes/.
67
ROBBINS, Stephen P. Administração: Mudanças e Perspectivas. 4. ed. São Paulo:

Saraiva,2003.
ROBBINS, Stephen P; DECENZO, David A. Fundamentos da Administração. Conceitos

Essenciais e Aplicações. 4. ed. São Paulo: Prentice Hall, 2004.
SANTOS, Antonio Raimundo dos. Metodologia científica: a construção do conhecimento. 3.

ed. Rio de Janeiro: DP&A editora, 2000. 142 p.
SANTOS, D. L. N., & SOUZA NETO, J. Avaliação da capacidade dos processos de

governança corporativa de TIC baseada no COBIT 5. Dissertação de Mestrado, Universidade
Católica de Brasília, Brasília, DF, Brasil, 2013.
SANTOS, Pedro Otávio Londe dos et al. PROPOSTA DE CONSTRUÇÃO DE MODELO

DE MATURIDADE EM GOVERNANÇA E GESTÃO DE TIC. REAd. Revista Eletrônica
de Administração (Porto Alegre), v. 26, p. 463-494, 2020.
THE INSTITUTE OF INTERNAL AUDITORS. Modelo das Três Linhas de Defesa. EUA,
2020.
Transparência Sebrae – Contratos. Brasília, DF: Serviço Brasileiro de Apoio às Micro e
Pequena Empresa. [Acesso em 25.jul.2022].
Disponível em: https://transparencia.sebrae.com.br/contratos#
Yin, R. K. Estudo de caso: planejamento e métodos. Porto Alegre, RS: Bookman, 2005.

Dissertação Dan 8.0

Enviado por

Dados do documento

Descrição original:

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Dissertação Dan 8.0

Enviado por

Direitos autorais:

Formatos disponíveis

Pró-Reitoria Acadêmica

Programa de Pós-Graduação Stricto Sensu em Governança,

A IDENTIFICAÇÃO DE OPORTUNIDADES DE MELHORIA,

A IDENTIFICAÇÃO DE OPORTUNIDADES DE MELHORIA, NOS PROCESSOS

Dissertação apresentada ao Curso de Pós-

Orientador: Prof.ª Dra. Luiza Beth Nunes Alonso

1. Governança. 2. Tecnologia. 3. Melhoria. I. A

2.1. GOVERNANÇA DE TECNOLOGIA.....................................................................20

2.2. PROCESSOS DE AUDITORIA..............................................................................24

2.3. FRAMEWORK COBIT 5........................................................................................26

2.4. REVISÃO BIBLIOGRÁFICA.................................................................................35

3. MÉTODO E DESIGN DA PESQUISA...........................................................................41

3.1. DELINEAMENTO DA PESQUISA........................................................................41

3.2. POPULAÇÃO E AMOSTRA..................................................................................42

3.3. SUJEITOS DA PESQUISA......................................................................................43

3.4. COLETA DE DADOS..............................................................................................43

3.5. PROCEDIMENTO DE ANÁLISE DE DADOS......................................................48

4. ANÁLISE DOS RESULTADOS.....................................................................................55

OLIVEIRA, D. M. A IDENTIFICAÇÃO DE OPORTUNIDADES DE MELHORIA, NOS

O presente estudo de caso demonstra como a Governança de Tecnologia da Informação -

Palavras-chave: Governança, Tecnologia, Auditoria, COBIT, Processo, Risco, Melhoria,

Keywords: Governance, Technology, Audit, COBIT, Process, Risk, Improvement, Sebrae.

Os diversos canais de acesso à informação, ora disponíveis, criaram um público

O mestrado, enquanto modalidade, apresenta duas formas de execução. Em sua forma

Dessa forma, a Tecnologia da Informação - TI é o campo profissional aqui destacado,

Essa importância não só modificou a forma como a tecnologia é encarada pelas

A pesquisa ainda detalha os percentuais de investimento pelo comércio (4,1%),

Segundo Cestari Filho (2011), as decisões sobre os investimentos em TI são tratadas

Ainda segundo o IIA (2020), um dos papéis da Auditoria Interna é comunicar

como o cumprimento de leis, regulamentos externos, internos e boas práticas de mercado,

Como exemplo de órgão regulador externo, podemos citar a Agência Nacional de

Conforme citado, é salutar que avaliações em ambientes de controle sejam feitas de

Como mais um exemplo e integrante do presente estudo, podemos citar o framework

O COBIT é um aliado no apoio à gestão de riscos no ambiente de tecnologia, uma vez

 Problemas com a terceirização da prestação de serviços, tais como o

 Não cumprimento das exigências regulatórias ou contratuais;

 Limitações de TI na capacidade de inovação e agilidade dos

 Duplicação ou sobreposição das iniciativas ou desperdício de

 Recursos de TI insuficientes, pessoal com competências

A reflexão sobre os pontos de dor ou riscos apresentados, nos leva ao questionamento

No entanto, a facilidade de entrega de serviços supracitada gera na mesma proporção

Diante desse cenário, há a necessidade de que as ações de TI estejam alinhadas aos

Ao relacionarmos os objetivos estratégicos de uma entidade aos objetivos de

Esse desdobramento de metas nos suporta em duas frentes. Na primeira podemos

tecnologia da informação no Sistema Sebrae, para a identificação de oportunidades de

Este trabalho está organizado da seguinte forma: nesta primeira seção, há a

Identificar oportunidades de melhoria, nos processos de Governança de Tecnologia no

a) Compreender os processos de Governança de Tecnologia e Auditoria no Sistema

A respeito do Sistema Sebrae, a Controladoria Geral da União- CGU, possui as

De acordo com o disciplinado no art. 70, parágrafo único da Constituição Federal,

contribuições parafiscais, está sob a jurisdição do TCU (inciso V do artigo 5º da Lei

O TCU ainda entende que a Governança de Tecnologia da informação faz parte da

Entre os critérios de auditoria adotados pela Sefti, destaca-se o modelo Control

Figura 01 – Pesquisa sobre COBIT 5

Fonte: TCU (2022).

Diante das regras e recomendações emanadas pelo TCU, entendemos que é

É importante salientar que, conforme o decreto de criação (Decreto nº 99.570, 1990), o

Há de ressaltar também que, no ano de 2021, foi iniciado o Programa Nacional de

A falta de alinhamento entre TI e áreas de negócio pode ocasionar esforços

Dessa forma, além de testar a viabilidade do modelo COBIT 5 para a aplicação no

Fazem parte do Sistema S o Serviço Nacional de Aprendizagem Industrial (Senai);

Na próxima seção os temas, autores e normas técnicas que servirão de referencial

2.1. GOVERNANÇA DE TECNOLOGIA