Escolar Documentos
Profissional Documentos
Cultura Documentos
Brasília - DF
2023
DANIEL MIRANDA DE OLIVEIRA
BRASÍLIA
2023
Miranda de Oliveira, Daniel.
* Cutte Título da Dissertação: A identificação de oportunidades de
r melhoria, nos processos de Governança de Tecnologia da
Informação, com auditorias baseadas no framework COBIT:
um estudo de caso no Sistema Sebrae / Daniel Miranda de
Oliveira. – Brasília – DF, 2023.
IX, 67 f. : il. ; 29 cm.
Dissertação (Mestrado) Universidade Católica de Brasília,
28/02/2023.
Orientação: Prof.ª. Dra. Luiza Beth Nunes Alonso
Inclui Referências
* CDD
Monografia (não seria dissertação?) de autoria de Daniel Miranda de Oliveira, intitulada “A
IDENTIFICAÇÃO DE OPORTUNIDADES DE MELHORIA, NOS PROCESSOS DE
GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO, COM AUDITORIAS
BASEADAS NO FRAMEWORK COBIT: UM ESTUDO DE CASO NO SISTEMA
SEBRAE” apresentada como requisito para obtenção do título de Mestre ao curso de Pós-
Graduação Stricto sensu em Governança, Tecnologia e Inovação da Universidade Católica de
Brasília em (28/02/2023), defendida e aprovada pela banca examinadora abaixo assinada:
__________________________________________
Prof.ª Dra. Luiza Beth Nunes Alonso
Orientadora
Universidade Católica de Brasília
___________________________________________
Prof.º Dr. Hércules Antonio do Prado
Examinador Interno
Universidade Católica de Brasília
___________________________________________
Prof.º Dr. João Souza Neto
Examinador Externo
Associação de Auditoria e Controle de Sistemas de Informação - ISACA
Presidente do Capítulo Brasília
BRASÍLIA
2023
Em seus muitos significados, a palavra dedicar
pode ser descrita como oferecer tributo. Sendo
assim, esse trabalho é tributado aos meus Pais,
Avós e Tios, que de maneira ímpar,
contribuíram para minha formação não só
acadêmica, mas também como pessoa.
AGRADECIMENTOS
Para Deus, por providenciar a força necessário para me impedir de desistir nos
momentos em que corpo e mente pediram por isso.
Para a Prof.ª Esp. Lara Ferraz, por me apresentar a área de auditoria de tecnologia e
pelo incentivo oportuno em buscar a qualificação nas ferramentas para atuação na referida
área.
Para o Prof.º Me. Giovani Bonfim, por disponibilizar tempo para discutirmos de forma
valiosa o tema aqui tratado nos momentos turbulentos.
Para a Prof.ª. Dra. Luiza Beth Nunes Alonso, para o Prof.º. Dr. João Souza Neto e para
o Prof.º. Hércules Prado, por acolherem o meu trabalho e todo o suporte dado para sua
conclusão.
Para meus companheiros de jornada, nesse curso, Wanderson Alves, Rafael Quintino,
Maria Rezende e Fábio Gomes, pelos incentivos mútuos e apoio trocados na caminhada.
Para o Serviço Brasileiro de Apoio às Micro e Pequenas Empresas (Sebrae) pela
oportunidade e apoio na realização do presente mestrado.
Desejo que você
Não tenha medo da vida, tenha medo de não vivê-la.
Não há céu sem tempestades, nem caminhos sem acidentes.
Só é digno do pódio quem usa as derrotas para alcançá-lo.
Só é digno da sabedoria quem usa as lágrimas para irrigá-la.
Os frágeis usam a força; os fortes, a inteligência.
Seja um sonhador, mas una seus sonhos com disciplina,
Pois sonhos sem disciplina produzem pessoas frustradas.
Seja um debatedor de ideias. Lute pelo que você ama.
(Augusto Cury, 2010).
SUMÁRIO
1. INTRODUÇÃO................................................................................................................11
1.1. OBJETIVOS.............................................................................................................16
1.1.1. Geral......................................................................................................................16
1.1.2. Específicos............................................................................................................16
1.2. JUSTIFICATIVA.....................................................................................................16
2. FUNDAMENTAÇÃO TEÓRICA....................................................................................20
5. CONSIDERAÇÕES FINAIS...........................................................................................61
6. REFERÊNCIAS................................................................................................................64
RESUMO
This case study demonstrates how the IT Governance (ITG), in a corporation, can be the
target of an audit work, based on the recommendations issued by the COBIT Framework, thus
showing opportunities for improvement in the processes that support ITG or opportunities to
implement new process practices. This research also sought to show that the application of the
framework can help to identify sensitive points, whose treatment can reduce the chances of
materialization of the risks associated with technology processes, as well as minimize the
possibilities of incidents and problems that cause the interruption of the provision of critical
IT services for the business areas. The present study had as its field of work the technological
environment of the Sebrae System, in its 28 (twenty-eight) units distributed throughout Brazil.
1. INTRODUÇÃO
Para Prates e Ospina (2004), não há mais dúvidas de que, para as funções da
administração – planejamento, organização, liderança e controle – são de suma importância os
sistemas que fornecem informações aos administradores.
1990, as empresas investiam 2,0% de seu faturamento líquido em tecnologia; em 2012, esse
percentual já era de 7,2% e agora ele se encontra na média de 8,7%.
Dessa forma, sendo suporte para o alcance dos objetivos do negócio e integrante da
estratégia, é justo que a tecnologia seja alvo de prestação de contas, ações de gestão para
garantia do alcance das metas, bem como avaliação e assessoria por uma função de auditoria
interna independente, para oferecer clareza e confiança, além de promover e facilitar a
melhoria contínua, por meio de investigação rigorosa e comunicação perspicaz, conforme
preconiza o IIA - The Institute of Internal Auditors (2020).
Em outras palavras, a função de auditoria é ser a responsável por emitir uma opinião a
respeito da eficácia e eficiência dos controles que garantem o atingimento das metas, bem
12
A LGPD dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais,
por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de
proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da
personalidade da pessoa natural. Em seu texto, a lei preconiza que as estrutura de garantia de
privacidade de dados sejam atualizadas constantemente com base em informações obtidas a
partir de monitoramento contínuo e avaliações periódicas.
Dessa forma, buscar mecanismos que possam diminuir os impactos da interrupção dos
serviços de tecnologia (TI) sobre aqueles que os utilizam, tornou-se uma tarefa importante e
bem-vinda, principalmente para empresas em que existem altos níveis de dependência e/ou
investimentos em tecnologia. Essas ações alinham-se com as necessidades das corporações,
pois objetivam não somente a continuidade das operações, mas também o resguardo de sua
imagem perante o mercado.
Neste contexto, sendo também uma corporação com objetivos a serem cumpridos, o
Sistema Sebrae (Serviço Brasileiro de Apoio às Micro e Pequenas Empresas), investe em seu
ambiente de controle, visando o resguardo e continuidade de suas ações. O Sebrae é
constituído sob a forma de um serviço social autônomo com natureza jurídica de direito
privado, cuja competência é planejar, coordenar e orientar programas técnicos, projetos e
atividades de apoio às micro e pequenas empresas, em conformidade com as políticas
nacionais de desenvolvimento, particularmente as relativas às áreas industrial, comercial e
tecnológica (Decreto nº 99.570, 1990). Presente em todos os estados da Federação, denomina-
se Sistema Sebrae, a Unidade Nacional Coordenadora e as 27 unidades estaduais.
Diante destes argumentos, surge o questionamento que orientará esta pesquisa: Como
o framework COBIT pode contribuir, em auditorias, nos processos de governança de
15
1.1. OBJETIVOS
Nesta seção serão apresentados o objetivo geral da pesquisa, bem como os objetivos
específicos.
1.1.1. Geral
1.1.2. Específicos
1.2. JUSTIFICATIVA
Ressalta-se que, o presente trabalho é baseado no COBIT versão 05, tendo em vista
que suas publicações não foram abandonados, conforme é possível verificar no site da ISACA
(https://www.isaca.org/resources/cobit/cobit-5#sort=relevancy, maio/2022), a ausência ainda
de uma versão em português para a versão 2019, a quantidade de trabalhos já realizados e
considerando também que o TCU ainda mantém o modelo como referência em seus trabalhos,
conforme a Figura 01.
mas para a sociedade também, o presente estudo também se justifica pelo baixo percentual de
estudos encontrados associando auditoria de tecnologia ao COBIT, bem como pelo papel em
potencial que pode assumir como estudo de caso e referência para as outras entidades do
Sistema S. O denominado Sistema S é composto das seguintes entidades:
2. FUNDAMENTAÇÃO TEÓRICA
Nesta seção serão apresentados os temas, normas técnicas e os principais autores que
sustentarão a argumentação e servirão de base para a construção do quadro de análise. Parte-
se da Governança de Tecnologia, Processos de Auditoria e por fim, Framework COBIT 5.
As empresas são dirigidas para que alcancem metas, ou seja, gerem valor e
proporcionem o retorno devido para aqueles que empregaram seus recursos financeiros,
materiais, humanos e outros, em sua composição. No desenvolvimento de suas atividades,
essas empresas estão submetidas aos efeitos de leis externas, seus próprios regulamentos, bem
como possíveis impactos oriundos de ocorrências locais ou globais, podendo ainda atentar-se
às boas práticas executadas pelo mercado em geral.
O valor que uma empresa gera está ligado à sua capacidade de absorver os
direcionamentos dados pelas partes interessadas e realizar benefícios com custos e riscos
aceitáveis. Para isso, torna-se essencial a existência de um planejamento estratégico, que pode
ser conceituado como um processo gerencial que possibilita ao executivo estabelecer o rumo a
ser seguido pela empresa e uma ferramenta de gestão que auxilia na tomada de decisão e na
busca de resultados mais efetivos e competitivos para a organização (RHPORTAL, 2015).
Segundo Robbins e Decenzo (2004, p. 6), o planejamento tem relação com as metas
organizacionais, uma vez que estabelece estratégias para alcançá-las e contribui para interação
e coordenação das atividades, dessa forma, o planejamento é a administração das ações
presentes que influenciarão, no futuro, os resultados das corporações. Para Robbins (2003,p.
116) o planejamento:
A ISO 31000 (2009) afirma também que a gestão de riscos é pautada em princípios,
estruturas e processos para analisar criticamente, identificar, monitorar e comunicar as partes
interessadas a respeito dos riscos.
Para frear os efeitos das incertezas em seus resultados, as empresas têm investido em
estruturas para:
Se o único modo de realizar uma travessia da margem de um rio a outra é por meio de
uma ponte, há a necessidade de que essa ponte seja monitorada e mantida de forma adequada
para que o fluxo de travessia não seja interrompido. Tomando como base essa analogia, o
crescente emprego da tecnologia (TI) da informação para que as corporações atinjam a
excelência de suas operações cria um alto nível de dependência dos serviços tecnológicos,
uma vez que a tecnologia é uma ponte utilizada para a que as empresas atravessem de uma
margem para a outra.
No tocante ao Sebrae:
Este é organizado sob a forma de sistema e é composto por uma unidade nacional
coordenadora e por unidades operacionais vinculadas, localizadas em cada um dos
Estados da Federação e no Distrito Federal (RESOLUÇÃO DO CONSELHO
DELIBERATIVO NACIONAL, Nº 372/2021, Pág. 3).
Vale ressaltar que, embora constituído sob a forma de um serviço social autônomo
com natureza jurídica de direito privado, o Sistema Sebrae administra recursos públicos
provenientes de contribuições parafiscais, conforme citado anteriormente, sendo assim,
salutar a consideração de visões como a proposta por Santos et al (2020):
Uma vez que uma entidade como o Sistema Sebrae tenha seus riscos estratégicos ou
operacionais elencados, é possível a aplicação da ABR, como uma metodologia de trabalho.
Segundo o IIA, conforme já citado, os controles internos são processos criados para oferecer
confiança razoável sobre o atingimento dos objetivos da entidade.
Dessa forma, nos processos de alto risco, verifica-se a existência ou não de controles que
possam minimizar a ocorrência de prejuízos nas entregas desse referido processo. Caso o
controle exista, sua eficácia e eficiência são testados com a finalidade de detectar melhorias e,
caso não exista, a ausência do controle é apontada e sua construção recomendada. É nesse
ponto também em que é possível a conexão da ABR com a utilização do COBIT, uma vez que
o referido framework é constituído por um conjunto de sugestões de controles para garantir a
obtenção dos resultados dos processos de tecnologia da informação.
26
Por sua vez, o modelo também declara os objetivos de tecnologia dentro das mesmas
perspectivas, conforme Tabela 2 abaixo:
Dessa forma, tomando como exemplo uma empresa que, dentro da perspectiva de
Clientes do BSC, entenda que deve priorizar o objetivo de negócio de número 06 (seis),
Cultura de serviço orientada ao cliente, essa mesma empresa deverá trabalhar de forma
primária os objetivos de tecnologia de número 01 (um), “Alinhamento da estratégia de TI e de
negócios”, bem como o objetivo de tecnologia de número 07 (sete), “Prestação de serviços de
TI” em consonância com os requisitos de negócio.
Uma vez que os objetivos de tecnologia foram priorizados, é possível agora identificar
os processos relacionados a esses objetivos, cujas práticas propostas pelo COBIT 5.0 poderão
suportar duas frentes de trabalho. Na primeira, há a possibilidade de tomar essas práticas
como guia para implementação do processo de TI proposto, caso esse não seja ainda existente
no ambiente e na segunda, uma frente de melhoria, para avaliar o seu nível de capacidade em
entregar o que se propõe, minimizando assim o risco de que os objetivos de tecnologia não
sejam cumpridos e por consequência as metas corporativas.
Por sua vez, os processos propostos, num total de 37 (trinta e sete), estão agrupados
em um modelo de referência (Figura 2), divididos em 05 (cinco) domínios de conhecimento
(conforme Tabela 3 – substituir tabela por quadro), sendo o primeiro domínio voltado para
práticas de governança e os demais voltados para práticas de gestão.
29
CATEGORIA DOMÍNIOS
Governança Avaliar, Dirigir e Monitorar (EDM)
Após obtermos, por meio dos exemplos aqui listados no desdobramento de metas, que
o processo “EDM01 - Garantir a Definição e Manutenção do Modelo de Governança” seria
um dos indicados para implementação e ou avaliação, é hora de lançarmos mão do suporte
que os descritivos do COBIT 5.0 nos trazem a respeito do processo supracitado para
entendermos o seu objetivo, bem como criar as listas de checagem para verificar a aplicação
das práticas e controle dos objetivos sugeridos.
Por sua vez, esse objetivo geral é desdobrado em 03 (três) objetivos específicos de
processo, possuindo sugestão de métricas para acompanhamento, bem como práticas para sua
implementação, sendo esses os objetivos de processo correspondentes ao EDM01:
ATIVIDADES
Analisar e identificar os fatores internos e externos ambientais (obrigações legais, regulamentares e
contratuais) e tendências no ambiente de negócios que podem influenciar o desenho da governança.
Considerar regulamentos externos, leis e obrigações contratuais e determinar como eles devem ser aplicados
dentro da governança corporativa de TI.
Alinhar o uso ético do processamento de informações e seu impacto na sociedade, o ambiente natural, e os
interesses internos e externos das partes interessadas com o direcionamento, metas e objetivos da organização.
Determinar as implicações do ambiente geral de controle da organização no que diz respeito à TI.
Articular os princípios que irão orientar o desenho da governança e a tomada decisão de TI.
Determinar os níveis adequados de delegação da autoridade, incluindo limites pré ‐estabelecidos para as
decisões de TI.
Nível 0 - Processo incompleto: O processo não está implementado ou falha em atingir seu
propósito. Nesse nível, há pouca ou nenhuma evidência de qualquer realização sistemática do
propósito do processo.
Nível 1 - Processo executado – Um atributo: O processo atinge o propósito para o qual foi
implementado.
Em cada nível de capacidade existem os seus respectivos atributos que serão avaliados
com a finalidade de classificar o processo ou não no nível em questão. Vale lembrar que um
processo somente muda de nível quando os atributos do nível anterior forem totalmente
atendidos.
Para a revisão de literatura, foram realizadas pesquisas na base Scopus sobre o tema
Auditoria, utilizando o COBIT, conforme a seguinte sentença:
Ilham, Eliyana, Usman (2020) destacam que para maximizar a gestão e levá-la a
um nível melhor, as bibliotecas públicas precisam de auditorias de governança de
tecnologia da informação. A auditoria de tecnologia da informação utilizada neste estudo
utiliza o framework COBIT 5 que foca nos domínios APO04 e DSS01. O estudo visa
melhorar a qualidade dos serviços prestados e aumentar a sua competitividade. Os
resultados referem-se à visão e missão da biblioteca pública em East Java, que está de
acordo com o domínio da inovação em gestão (DSS01) e operações de gestão (APO04)
onde a condição da biblioteca pública ou nível de maturidade está em nível 3, que precisa
ser melhorado novamente.
Esta pesquisa pode ser caracterizada como exploratória, no que tange à busca por
trabalhos científicos em journals, bases de dados, normas técnicas, regulamentos e bancos de
teses e dissertações a respeito dos temas abordados. Conforme Richardson (2012), quando
não se tem informações suficientes sobre determinado tema, ou é necessário aprofundar-se a
respeito do fenômeno objeto da investigação, e buscas são realizadas neste sentido de
fomentar o conhecimento científico, a pesquisa caracteriza-se como exploratória. Os dados
empíricos, que serão obtidos com base nos conhecimentos provenientes da prática e da
experiência dos sujeitos da pesquisa (gestores de TI do Sebrae Nacional + 27 unidades da
federação), caracterizam esta pesquisa como empírica. Segundo Proetti (2017), os
conhecimentos científicos são obtidos por procedimentos metodológicos que permitem a
busca, análise, interpretação e entendimento dos fatos e fenômenos que, em alguns casos,
poderão ser observados, definidos, manipulados, experimentados, controlados, recompostos e
entendidos.
Para Santos (2000), quantitativa é aquela pesquisa onde são importantes a coleta e a
análise quantificada dos dados, e, de cuja quantificação, resultados automaticamente
apareçam. Qualitativa é aquela pesquisa cujos dados só fazem sentido através de um
tratamento lógico secundário, feito pelo pesquisador.
Tais considerações são necessárias para direcionar a presente pesquisa, uma vez que
associaremos os métodos quali-quanti, para investigar quais as contribuições que o framework
COBIT pode realizar em auditorias nos processos de Governança e Gestão de Tecnologia da
Informação, no Sistema Sebrae (Sebrae Nacional + 27 unidades da federação).
Essa inspeção, resultará em um estudo de caso, que segundo Yin (2005, p. 32) “é uma
investigação empírica que investiga um fenômeno contemporâneo dentro de seu contexto de
vida real, especialmente quando os limites entre o fenômeno e o contexto não estão
claramente definidos”, havendo um destaque para as lições aprendidas, uma vez que Yin
(2005) ainda destaca:
Para Gil (2019), a pesquisa de estudo de caso consiste no estudo profundo e exaustivo de
um ou poucos objetos, de maneira que permita seu amplo e detalhado conhecimento, tarefa
praticamente impossível mediante outros tipos de delineamentos. Dessa forma, por meio do
estudo de caso, realizaremos um processo investigativo a respeito dos fenômenos relativos aos
processos de tecnologia em uma instituição, no intento de percebermos oportunidades de
melhoria em sua execução
A população da pesquisa será composta por todas as sedes do sistema Sebrae nas 27
unidades da federação do país (incluído o Distrito Federal), e também a sede nacional. A
delimitação deu-se por haver, nas sedes regionais, toda a concentração de informações a
respeito dos estados, e por possuírem seus próprios processos de Governança e Gestão de TI,
focados nas soluções locais.
43
O tipo de amostragem utilizada foi a por conveniência, que, segundo Hair Jr. et al
(2009) envolve a seleção de itens da amostra que sejam mais acessíveis dentro da população
do estudo, e também por oferecerem as informações necessárias para a extração de dados. A
seleção das amostras também se justifica por permitir formar um panorama geral a partir das
informações dali extraídas.
Os sujeitos desta pesquisa, dos quais serão provenientes os dados empíricos, são os
técnicos e gestores dos setores de TI do Sebrae Nacional e também das sedes dos Sebrae/UF,
nas 27 unidades da federação. Segundo Flick (2009), os sujeitos são definidos de acordo com
parâmetros pré-definidos pelo pesquisador, e que atendam os critérios para que façam parte da
população investigada.
Uma vez coletados, esse conjunto de dados será tratado e submetido a técnicas de
análise, para que as informações possam embasar o processo de análise da aplicação do
COBIT. Vale ressaltar também o caráter aplicado dessa pesquisa, uma vez que os resultados
da referida poderão ser empregados de forma prática em outros contextos, como por exemplo
outras entidades do Sistema S.
O questionário será elaborado para avaliar os atributos dos níveis de capacidade, que
por sua vez, alimentarão o fluxo de atividades de auditoria. Na etapa “d” (Identificar
Processos e Testar Controles), surgem as recomendações, oriundas das avaliações dos
44
Conforme o que preconiza a ABR, um risco de médio/alto impacto é elencado para ser
o direcionador do processo de auditoria. No âmbito do Sistema Sebrae, para o
processo de tecnologia, segundo a avaliação realizada, foi elencado como prioritário o
risco “Plano estratégico de TI incompatível com as necessidades atuais e futuras da
organização”.
Nesse contexto, o risco deve ser monitorado e pode ser transformado em um objetivo
de negócio que é “Garantir que o Plano estratégico de TI seja compatível com as
necessidades atuais e futuras da organização”.
e) Emitir opinião
Dentro desse grupo, em face do caráter de base de suas práticas, a escolha foi priorizar
os processos EDM01 e APO01, porém sabemos que as empresas devem considerar a ação dos
fatores externos em suas práticas diárias e seu planejamento. No ano de 2022, conforme
amplamente divulgado na mídia, o Sistema Sebrae foi alvo de um ataque cibernético:
Diante desse cenário, a adição dos processos APO12 – Gerenciar Riscos, APO13 –
Gerenciar Segurança e DSS05 – Gerenciar Serviços de Segurança, podem representar um
ganho na perspectiva da análise com a finalidade de apoiar a blindagem da instituição contra
novos ataques. Sendo assim, as práticas de cada processo priorizado serão avaliadas,
50
Visando garantir que é possível “Gerenciar Riscos”, de forma que seja possível
Integrar o gerenciamento do risco organizacional relacionado a TI com o risco organizacional
em geral, e balancear os custos e benefícios do gerenciamento do risco organizacional
relacionado a TI (Cobit 5 Enabling Process, 2012), perguntamos:
Os questionários elaborados foram aplicados para cada um dos estados da federação com
a finalidade de colher a classificação para os itens dos processos, conforme a Tabela 11
abaixo (substituir o nome tabela por quadro):
NIVEL DE
ESTADO PROCESSO N P L F FINAL
CAPACIDADE
PB EDM01 - 2 1 - P 0
PB APO01 - - 2 - L 1
PB APO12 - 3 1 - P 0
PB APO13 - 3 - - P 0
PB DSS05 - 1 4 - L 1
a) Para o processo EDM01, dois dos itens foram atribuídos como P (Alcançado
Parcialmente) e um L (Totalmente Alcançado), o que resulta em uma classificação
final P, tendo em vista o percentual de 66,66% de concentração na referida escala;
58
b) Para o processo APO01, todos os itens foram atribuídos como L, dessa forma a
classificação final permanece como L;
c) Para o processo APO12, 03 itens (75%) foram atribuídos como P e 01 item como L
(25%), dessa forma, a classificação final é atribuída como P;
d) Para o processo APO13, todos os itens foram atribuídos como P, dessa forma, a
classificação final também é P;
e) Para o processo DSS05, 03 itens (75%) foram atribuídos como L e 01 item como P
(25%), dessa forma, a classificação final é atribuída como L;
Tendo como base as aferições realizadas e a escala proposta pelo PAM, podemos concluir
que no caso da Paraíba:
A referida análise foi realizada para cada um dos estados da federação, resultando no
seguinte consolidado:
59
Também foi possível gerar uma visão da classificação dos processos por região. Na
região Norte todos os processos possuem resultante P, Alcançando Parcialmente. O
investimento em tecnologia para essa região foi R$ 26.690.000,00
NORTE
PROCESSO FINAL CAPACIDADE
EDM01 P 0
APO01 P 0
APO12 P 0
APO13 P 0
DSS05 P 0
CENTRO-OESTE NORDESTE
FINA CAPACIDA PROCESSO FINAL CAPACIDADE
PROCESSO L DE 0
EDM01 P
EDM01 P 0
APO01 L 1
APO01 L 1
APO12 P 0
APO12 P 0
APO13 P 0
APO13 P 0
DSS05 L 1
DSS05 L 1
Fonte: Elaborado pelo Autor (2023).
Fonte: Elaborado pelo Autor (2023).
Para as regiões Sul e Sudeste, temos uma predominância de 80% dos processos com
resultante L, Amplamente Alcançado e 20% com resultante P, Alcançando Parcialmente,
sendo essas as regiões com melhor capacidade, acima da resultante do consolidado para o
61
SUDESTE SUL
PROCESS CAPACIDA PROCESS CAPACIDA
O FINAL DE O FINAL DE
EDM01 L 1 EDM01 L 1
APO01 L 1 APO01 L 1
APO12 P 0 APO12 P 0
APO13 L 1 APO13 L 1
DSS05 L 1 DSS05 L 1
Fonte: Elaborado pelo Autor (2023). Fonte: Elaborado pelo Autor (2023).
5. CONSIDERAÇÕES FINAIS
Com base nos conceitos aqui revisitados por meios das pesquisas bibliográficas, foi
possível perceber e atestar que a tecnologia da informação é uma ferramenta eficaz para o
cumprimento da estratégia de uma empresa. De forma adicional, a manutenção do
alinhamento dos objetivos de TI com os objetivos do negócio torna-se um fator crucial para
explorar o máximo potencial dos recursos tecnológicos resultantes dos investimentos
realizados por uma determinada empresa.
Sebrae, foi possível atestar que 03 (três) dos 05 (cinco ) processos avaliados não alcançam
plenamente os atributos para serem considerados em nível 01. De forma adicional, ressalta-se
que o nível 2 de capacidade não foi avaliado pois nenhum processo atingiu o nível 1 de
capacidade com F – Totalmente Alcançado, conforme pode ser visualizado na Figura 5.
6. REFERÊNCIAS
Brasil. Lei nº 13.709, de 14 de agosto de 2018. Dispõe sobre a proteção de dados pessoais e
altera a Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet). Brasília, DF:
Presidência da República; 2018 [Acesso em 12.mai.2022].
Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm.
CESTARI FILHO, F. ITIL v3 Fundamentos. Rio de Janeiro: Escola Superior de Redes, RNP,
2011.
GONÇALVES, José Ernesto Lima. Os impactos das novas tecnologias nas empresas
prestadoras de serviços. Revista de Administração de Empresas, v. 34, n. 1, p. 63-81, 1994.
IBGC. O que é governança corporativa? São Paulo, SP: Instituto Brasileiro de Governança
Corporativa. [Acesso em 12.mai.2022].
Disponível em: https://www.ibgc.org.br/conhecimento/governanca-corporativa
THE INSTITUTE OF INTERNAL AUDITORS. Modelo das Três Linhas de Defesa. EUA,
2020.
Transparência Sebrae – Contratos. Brasília, DF: Serviço Brasileiro de Apoio às Micro e
Pequena Empresa. [Acesso em 25.jul.2022].
Disponível em: https://transparencia.sebrae.com.br/contratos#
Yin, R. K. Estudo de caso: planejamento e métodos. Porto Alegre, RS: Bookman, 2005.