UNIDADE II

Estudos Disciplinares
Gestão e Governança de TI

Prof. Antônio Palmeira

 Governança de TI

 É uma responsabilidade da alta direção da empresa no exercer de sua liderança e no

estabelecimento de estruturas e processos, de forma que a área de TI preste todo suporte e
extensão das estratégias corporativas.

 É a especificação de direitos decisórios e do framework de responsabilidades para estimular

comportamentos desejáveis na utilização da TI.

 É um sistema que aponta a direção e o controle na utilização da TI hoje e em uma

perspectiva futura. Assim as ações de governança consistem em estabelecer estratégias e
monitorá-las, garantindo o alinhamento entre TI e negócios.

 É a promotora do alinhamento estratégico da TI, a partir da

implementação de modelos de boas práticas de governo na
área de TI de uma corporação.
 Modelos e frameworks de Governança de TI

 Modelo do Center for Information Systems Research (CISR) do MIT: baseia-se na ideia de
sistema de governo de TI como a especificação de direitos decisórios.

 Modelo baseado no ciclo de governança de TI: construído a partir do ciclo de governança de

TI, que é composto por: alinhamento estratégico; tomada de decisões; estabelecimento de
estruturas e processos.

 Modelo baseado na norma ISO 38500:2018: apresenta um conjunto de princípios associado

às tarefas, que geram as práticas de governança de TI para as organizações
de qualquer porte.

 Modelo COBIT®: mundialmente conhecido como o principal

modelo de governança de TI.
 Modelo COBIT®

 O Modelo COBIT® foi formado a partir do modelo COSO (utilizado para controles de
governança de corporativa), além de vários padrões internacionais e práticas de gestão de
TI, oriundas de diversas instituições que trabalham com modelos de administração da TI.
Ano de Lançamento Versão Foco
1996 1 • Auditoria em TI
1998 2 • Controle Interno para a TI
2000 3 • Gerenciamento da TI
2005 4 • Governança de TI
2007 4.1 • Governança de TI
2012 5 • Governança e Gestão
2019 2019 • Governança Corporativa de Informação e Tecnologia
Fonte: Autoria própria (2020).
 Características do Modelo COBIT®

 Orientação para os negócios: o COBIT® é um framework que estabelece um diálogo entre

as áreas de negócios e a área de TI, por isso é comum dizer que ele é um modelo totalmente
orientado ao negócio.

 Utilização de métricas e indicadores: os indicadores e métricas apresentados pelo COBIT®

permitem medir a aderência da TI às estratégias de negócio e propiciar a entrega de valor.

 Forma integrada e única: o COBIT® utiliza outros modelos que são referenciados nas
contínuas versões dos frameworks implementados ao longo de anos pela ISACA.

 Estabelecimento de processos e de objetivos: ao analisarmos

a versão 2019, encontramos 40 processos que são chamados
de objetivos de governança e gestão.
 Benefícios do Modelo COBIT®

 Avaliação de processos da área de TI a partir dos processos e objetivos de governança

definidos no COBIT®, de forma a encontrar forças e fraquezas, permitindo a implementação
de melhorias que atendam às necessidades de negócio.
 Implementação de auditorias relacionadas aos riscos operacionais da TI, de forma a
mensurar a probabilidade de ocorrência de eventos adversos e a severidade
dos impactos mapeados.
 Estabelecimento de uma modularidade na implementação da governança de TI, dando
ênfase a processos, práticas e objetivos de governança/gestão mais específicos e
importantes em detrimento a outros que não possuem tanta importância.
 Possibilidade de realizar um benchmarking,
permitindo comparações com padrões
internacionais praticados pelo mercado.
 Estabelecimento de processos de qualificação de
fornecedores de produtos e serviços de TI.
 COBIT® 2019

 O COBIT® 2019 está situado em um contexto de governança corporativa de informação e

tecnologia (Enterprise Governance of IT – EGIT) que habilita o alinhamento entre TI e
negócio (Business/IT Alignment).

 Por meio de uma mesma linguagem e objetivos interligados, o alinhamento criado entre TI e
negócio coopera para a criação de valor (Value Creation) para as partes interessadas.

Fonte: ISACA (2019a, p. 11).

 Formas de Criação de Valor

 Realizando benefícios por meio dos sistemas e serviços da TI.

 Otimizando riscos, que precisam ser sempre bem gerenciados.

 Otimizando recursos e aumentando a eficiência operacional no uso da

informação e das tecnologias.
Estrutura do COBIT® 2019

Fonte: ISACA (2019a, p. 19).

 Entradas do COBIT® 2019

 A primeira entrada é a versão anterior (COBIT® 5), que traz uma certa proximidade
entre as duas versões.
 A segunda entrada é formada por frameworks/padrões, além das regulamentações que
influenciam na governança da informação e da tecnologia.
 A última entrada é a contribuição da comunidade de profissionais da ISACA e do mercado de
governança de TI em geral, que sempre ajuda a criar melhorias para o modelo.

Fonte: ISACA (2019a, p. 19).

 COBIT Core

 O COBIT Core é formado pelos 40 objetivos de governança e gestão (Governance and

Managment Objectives), divididos nos cinco domínios, sendo um de governança e
quatro de gestão.
 Ao lado do COBIT Core encontramos os fatores de desenho (Design Factors) e as Áreas de
Foco (Focus Area), que em conjunto com os objetivos de governança e gestão, contribuem
para a customização de um sistema de governança corporativa para
informação e tecnologia.

Fonte: ISACA (2019a, p. 19).

 Publicações do COBIT® 2019

 Introduction And Methodology – apresenta uma introdução geral do modelo, contendo todos
os detalhes sobre o COBIT® 2019 e as definições de governança.
 Governance And Management Objectives – descreve os 40 objetivos de governança e
gestão, que substituíram os processos da versão anterior (COBIT® 5).
 Design Guide – apresenta a forma de desenhar uma solução customizada de governança de
TI baseada em COBIT® 2019.
 Implementation Guide – apresenta um guia para implementar o COBIT®
2019 nas organizações.

Fonte: ISACA (2019a, p. 19).

Princípios do COBIT® 2019

Fonte: Adaptado de ISACA (2012, p. 39, tradução do autor).

 Componentes do Sistema de Governança

 O sistema de governança é formado por componentes, que de forma individual ou coletiva

cooperam para o bom funcionamento do governo da informação e da tecnologia em uma
empresa e atende aos objetivos de governança e gestão.

 Os componentes do sistema de governança são: processos; estruturas organizacionais;

princípios, políticas e procedimentos; informação; cultura, ética e comportamentos; pessoas,
habilidades e competências; serviços, infraestrutura e aplicações.
 Interatividade

Qual das opções a seguir não é considerado um modelo para governança de TI?

a) Modelo do Center for Information Systems Research (CISR) do MIT.

b) Modelo baseado no ciclo de governança de TI.
c) Modelo MPS.br.
d) Modelo baseado na norma ISO 38500:2018.
e) Modelo COBIT®.
 Resposta

Qual das opções a seguir não é considerado um modelo para governança de TI?

a) Modelo do Center for Information Systems Research (CISR) do MIT.

b) Modelo baseado no ciclo de governança de TI.
c) Modelo MPS.br.
d) Modelo baseado na norma ISO 38500:2018.
e) Modelo COBIT®.
 Áreas de foco

No COBIT® 2019, segundo ISACA (2019a, p. 22):

 Uma área de foco descreve um determinado tópico de governança, domínio ou problema
que pode ser tratado por uma coleção de objetivos de governança e gestão e seus
componentes. Exemplos de áreas de foco incluem: pequenas e médias empresas,
cibersegurança, transformação digital, computação em nuvem, privacidade e DevOps
(ISACA, 2019, p. 22, tradução do autor).
 Fatores de Desenho

 O COBIT® 2019 estabelece os fatores de desenho (design factors) como um ferramental que
adequa o sistema de governança de forma customizada a qualquer empresa ou contexto.
 Estas adequações e adaptações são fundamentais para a criação de valor a partir da
informação e da tecnologia.

Fonte: ISACA (2019a, p. 23)

 Fator de Desenho: Estratégia Corporativa (Enterprise Strategy)

 Este fator influencia fortemente o desenho do sistema de governança, por meio da estratégia
que vai depender do arquétipo escolhido pela empresa (ou de uma combinação deles com
os seus respectivos pesos), dentre aqueles mencionados no quadro a seguir.
Arquétipo estratégico Foco
Crescimento/aquisição Crescimento
Inovação/diferenciação Oferecimento de produtos e serviços diferenciados e inovadores.
Liderança em custo Redução de custos em curto prazo.
Serviço ao
Fornecimento de serviços estáveis e orientados para o cliente.
cliente/estabilidade
Fonte: Adaptado de ISACA (2019a, p. 23, tradução do autor).
 Fator de Desenho: Objetivos Corporativos (Enterprise Goals)

 Este fator possui forte relação com o primeiro fator, porque ao definir estratégias,
inevitavelmente objetivos são estabelecidos. O quadro a seguir apresenta o fator desenho
Objetivos Corporativos, por meio de um conjunto de objetivos definidos pelo framework
COBIT® 2019, considerando as dimensões do BSC. No desenho do sistema de governança,
é necessário informar quais objetivos corporativos são mais importantes.
Referência Dimensão do BSC Objetivo Corporativo
EG01 Financeira Portfólio de produtos e serviços competitivos
EG02 Financeira Risco de negócio gerenciado
EG03 Financeira Conformidade com leis e regulamentos externos
EG04 Financeira Qualidade da informação financeira
Fonte: Adaptado de ISACA
(2019a, p. 24, tradução do autor). EG05 Cliente Cultura de serviço orientada ao cliente
EG06 Cliente Continuidade e disponibilidade do serviço de negócio
EG07 Cliente Qualidade da informação gerencial
Otimização da funcionalidade do processo
EG08 Processos Internos
interno de negócio
EG09 Processos Internos Otimização dos custos do processo de negócio
EG10 Processos Internos Habilidade, motivação e produtividade da equipe
EG11 Processos Internos Conformidade com políticas internas
EG12 Aprendizado e Crescimento Programas de transformação digital gerenciados
EG13 Aprendizado e Crescimento Inovação de produtos e negócio
 Fator de Desenho: Perfil de Risco (Risk Profile)

 Este fator auxilia no mapeamento das áreas de risco e no apetite para riscos que a empresa
possui. O quadro a seguir apresenta as categorias de riscos.
Referência Categoria de risco
1 Tomada de decisões de investimentos em TI
2 Gerenciamento de ciclo de vida de programas e projetos
3 Custos e supervisão de TI
4 Especialização em TI, habilidades e comportamentos
5 Arquitetura corporativa de TI
6 Incidentes de infraestrutura operacional de TI
7 Ações não autorizadas
Fonte: Adaptado de ISACA (2019a, p. 8 Problemas de adoção e uso de software
24, tradução do autor). 9 Incidentes de hardware
10 Falhas de software
11 Ataques lógicos
12 Incidentes de terceiros e fornecedores
13 Incompatibilidade
14 Questões geopolíticas
15 Ação industrial
16 Ação da Natureza
17 Inovação baseada em tecnologia
18 Questões ambientais
19 Gerenciamento de dados e informações
 Fator de Desenho: Questões relacionadas à informação e à tecnologia (I&T –
Related Issues)
 Este fator de desenho do sistema de governança aponta quais as questões mais importantes
e menos importantes. O quadro a seguir apresenta algumas destas questões.
Referência Descrição
Frustação entre as diferentes entidades de TI em toda a organização devido a uma
A
percepção de baixa contribuição para o valor do negócio.
Frustação entre os departamentos de negócio e o departamento de TI devido às
B iniciativas fracassadas ou uma percepção de baixa contribuição para o valor do
negócio.
Incidentes significativos relacionados à TI, como perda de dados, violações de
C
segurança, falhas em projetos e aplicações, ligados à TI.
D Problemas de entrega de serviço pelos terceiros de TI.
E Falhas em atender aos requisitos regulatórios ou contratuais relacionados à TI.
Descobertas regulares de auditoria ou outros relatórios de avaliação sobre baixo
F
desempenho de TI ou qualidade de TI relatada ou problemas de serviço.
G Gastos substanciais de TI ocultos e desonestos.
Duplicações ou sobreposições entre várias iniciativas ou outras formas de
H
recursos desperdiçados.
Recursos de TI insuficientes, equipe com habilidades inadequadas ou desgaste /
I
insatisfação da equipe.
Fonte: Adaptado de ISACA (2019a, p. 25, tradução do autor).
 Fator de Desenho: Cenário de Ameaça (Threat Landscape)

 No desenho do sistema de governança, é necessário apontar o peso de cada cenário

atual de ameaça.

Fonte: Adaptado de ISACA (2019a, p. 25, tradução do autor).

 Fator de Desenho: Requisitos de Conformidade (Compliance Requirements)

 Este fator funciona como um grande elo entre a governança corporativa e a

governança de TI.

Fonte: Adaptado de ISACA (2019a, p. 26, tradução do autor).

 Fator de Desenho: Papel da TI (Role of IT)

 Este fator de desenho retrata também a forma como a TI é vista pela organização.

Fonte: Adaptado de ISACA (2019a, p. 26, tradução do autor).

 Fator de Desenho: Modelo de Fornecimento para TI (Sourcing model for IT)

 No desenho do sistema é necessário informar como é o fornecimento de serviços

de TI na empresa.

Fonte: Adaptado de ISACA (2019a, p. 26, tradução do autor).

 Fator de Desenho: métodos de implementação de TI
(IT implementation methods)
 Este fator de desenho apresenta métodos de implementação de TI (IT implementation
methods) que as organizações adotam no seu dia a dia.

Fonte: Adaptado de ISACA (2019a, p. 26, tradução do autor).

 Fator de Desenho: Estratégia de adoção tecnológica (Technology adoption
strategy)
 Este fator apresenta as estratégias que as empresas optam ao adotar a tecnologia.

Fonte: Adaptado de ISACA (2019a, p. 27, tradução do autor).

 Cascata de Objetivos do COBIT® 2019

 A ideia da cascata de objetivos é, a partir das necessidades e direcionamentos das partes

interessadas (Stakeholder Drivers and Needs), apresentar objetivos corporativos (Enterprise
Goals) e desdobrá-los em objetivos alinhados (Alignment Goals).
 A partir destes objetivos alinhados estabelecer objetivos de governança e gestão
(Governance and Management Objectives) do COBIT® 2019.

Fonte: ISACA (2019a, p. 28)

 Interatividade

Qual das opções a seguir apresenta um método de implementação da TI considerado como

fator de desenho?

a) DevOps.
b) Cloud.
c) Híbrido.
d) Terceirizado.
e) Estratégico.
 Resposta

Qual das opções a seguir apresenta um método de implementação da TI considerado como

fator de desenho?

a) DevOps.
b) Cloud.
c) Híbrido.
d) Terceirizado.
e) Estratégico.
 Objetivos alinhados

 Há 13 objetivos corporativos Ref.

Dimensão Objetivo de
Métricas
do BSC alinhamento
(que são fatores de desenho)
• Custo de não conformidade com TI, incluindo acordos e
cascateados em objetivos Conformidade de multas, e o impacto da perda de reputação.
de alinhamento. O quadro TI e suporte para • Número de problemas de não conformidade
conformidade de relacionados à TI relatados ao conselho ou causando
a seguir apresenta alguns AG01 Financeira
negócios com leis comentários públicos ou constrangimento.
destes objetivos: e regulamentos • Número de questões de não conformidade relacionadas
externos. a contratos e acordos com provedores de serviços de
TI.
• Frequência apropriada de atualização do perfil de risco.
• Porcentagem de avaliações de risco empresarial,
Gestão do risco
AG02 Financeira incluindo risco de TI.
Fonte: Adaptado de ISACA (2019a, p. relacionado à TI
• Número de incidentes significativos relacionados à TI
30-32, tradução do autor). que não foram identificados em uma avaliação de risco.
• Percentual de investimentos de TI, cujo benefício
Benefícios obtidos
descrito no Business Case atende ou
por investimento
excede as expectativas.
AG03 Financeira em TI ou por meio
• Percentual de serviços de TI para os quais benefícios
do portfólio de
esperados (como declarados nos acordos de nível de
serviços de TI.
serviço) são realizados.
• A satisfação das principais partes interessadas em
Qualidade da
relação ao nível de transparência, compreensão e
informação
AG04 Financeira precisão da informação financeira da TI.
financeira relativa
• Percentual de serviços de TI com custos e benefícios
à TI
 Gerenciamento do Desempenho do COBIT® 2019

 O gerenciamento do desempenho do COBIT® 2019 é conhecido como COBIT®

Performance Management (CPM).
 Na sua versão de 2019 volta a ter o Capability Maturity Model Integration (CMMI) como
inspiração, diferentemente da versão 5, que se baseava na norma ISO/IEC 15504 para
avaliar a capacidade dos processos.
 A ideia do CPM é aferir o desempenho de todos os componentes de um
sistema de governança.
 No entanto, a ISACA só desenvolveu de forma satisfatória aferição do nível de capacidade
dos processos e o nível de maturidade das áreas de foco.
 O nível de capacidade dos processos é medido em uma
escala que vai do nível 0 até o nível 5.
 Níveis de capacidade dos processos
 A medição desta capacidade ocorre no COBIT® 2019 tendo por base as atividades,
permitindo uma visão mais clara do nível de capacidade.
Fonte: Adaptado de ISACA
(2019a, p. 39, tradução do autor).
Nível Detalhamento
Ausência de capacidade básica.
Nível 0 Abordagem incompleta para atender à governança/gestão.
Alguns objetivos de algumas práticas do processo são atendidos.
O processo atinge parcialmente, o seu propósito por meio da aplicação de um
Nível 1 conjunto incompleto de atividades.
Execução de atividade em um nível inicial. intuitivo e não muito organizado.
O processo alcança seu propósito por meio da aplicação de um conjunto
Nível 2 básico, mas completo, de atividades que podem ser caracterizadas como
executadas.
O processo atinge seu propósito de forma organizada por melo de ativos
Nível 3 organizacionais.
Consideramos que aqui os processos são bem definidos.
O processo atinge seu propósito.
Nível 4
O desempenho do processo é medido quantitativamente.
O processo atinge seu propósito.
Nível 5
O desempenho do processo é medido sempre em busca da melhoria contínua.
 Objetivos de Governança e Gestão

 Os objetivos de governança e gestão do COBIT® 2019 representam os antigos processos

descritos nas versões anteriores 4.1 e 5 do COBIT®.
 Eles são em número de 40 e agrupados em cinco domínios diferentes (sendo um dedicado à
governança e quatro dedicados à gestão).

Fonte: ISACA (2019b, p. 12).

 Domínios de Governança e Gestão

 Avaliar, Dirigir e Monitorar (Evaluate, Direct and Monitor – EDM) – é o único domínio de
governança e cinco objetivos de governança que auxiliam na avaliação das estratégias,
direção da TI e monitoramento das escolhas e ações estratégicas.
 Alinhar, Planejar e Organizar (Align, Plan and Organize - APO) – apresenta 14 objetivos de
gestão voltados para o planejamento, organização e alinhamento das atividades de apoio
relacionadas à Informação e Tecnologia.
 Construir, Adquirir e Implementar (Build, Acquire and Implement - BAI) – apresenta 11
objetivos de gestão voltados para a construção, aquisição e implementação de soluções
relacionadas à TI.
 Entrega, Serviço e Suporte (Deliver, Service and Support –
DSS) – apresenta 6 objetivos de gestão voltados para
entrega e suporte de serviços de TI.
 Monitorar, Avaliar e Analisar (Monitor, Evaluate and Assess –
MEA) – apresenta 4 objetivos de gestão voltados para o
monitoramento de desempenho e da conformidade de TI.
Propósitos dos Objetivos de Governança e Gestão
Objetivo de
Referência Governança ou Propósito
Gestão
Estabeleci- • Prover uma abordagem consistente, integrada e alinhada de
mento e governança corporativa de informação e tecnologia.
manutenção do • Assegurar que os processos de TI sejam avaliados de forma
EDM01
framework de efetiva e transparente para verificar conformidade com aspectos
governança legais e de regulação e que os requisitos de governança da alta
assegurado administração sejam atendidos.

• Assegurar um valor ótimo do conjunto das iniciativas, dos ativos e

Entrega de
serviços de TI, entrega de custo adequado, obtenção dos custos
EDM02 benefícios
exatos das iniciativas e os benefícios prováveis de forma que o
assegurada
Fonte: Adaptado de Fernandes, Diniz e negócio possa ser apoiado efetiva e eficazmente.
Abreu (2019, p.168-170).
Otimização
• Assegurar que os riscos derivados de TI não ultrapassem os
EDM03 do risco
limites de apetite e tolerância de riscos da organização.
assegurada
Otimização dos
• Assegurar que os recursos de que a TI necessita sejam fornecidos
EDM04 recursos
de maneira otimizada.
assegurada
• Garantir que as partes interessadas apoiem o roadmap e os planos
Assegurar
de TI.
engajamento
EDM05 • Comunicar o desempenho da TI para as partes interessadas e
das partes
confirmar que os objetivos de TI estão alinhados com os objetivos
interessadas
da organização.
Propósitos dos Objetivos de Governança e Gestão

Objetivo de
Referência Governança ou Propósito
Gestão

• Implementar uma abordagem consistente para que os requisitos de

Fonte: Adaptado de Fernandes,
Diniz e Abreu (2019, p. 168-170).
Framework de governança sejam atendidos, cobrindo componentes de
gestão da governança como processos de gestão, estrutura organizacional,
APO01 informação e papéis e responsabilidades, atividades confiáveis e repetíveis,
tecnologia itens de informação, políticas e procedimentos, habilidades e
gerenciado competências, cultura e comportamento, infraestrutura e
aplicações.
• Apoiar a transformação digital da organização e entregar o valor
desejado através de um roadmap de mudanças incrementais.
Estratégia • Alinhar cada iniciativa de TI com os objetivos estratégicos da TI.
APO02
gerenciada • Permitir mudanças nos diferentes aspectos da organização, de
canais a processos e dados, cultura, habilidade, modelo
operacional e incentivos.
• Representar os diferentes blocos de construção que constituem a
Arquitetura
organização e seus relacionamentos, assim como os princípios
APO03 empresarial
que guiam o seu projeto para permitir uma entrega responsiva e
gerenciada
eficiente dos objetivos operacionais e estratégicos.
• Atingir vantagem competitiva, inovação para o negócio, melhorar a
Inovação experiência do cliente, aperfeiçoar a eficiência e eficácia
APO04
gerenciada operacional pela exploração de desenvolvimentos em TI e em
tecnologias emergentes.
Propósitos dos Objetivos de Governança e Gestão

Objetivo de
Referência Governança Propósito
ou Gestão
• Realizar o valor desejado e reduzir o risco de atrasos, custos
e erosão do valor.
Programas • Assegurar a qualidade e o valor dos entregáveis dos
BAI01
gerenciados programas.
• Acompanhar projetos do programa e maximizar a contribuição
do programa ao portfólio de investimento.

Definição de
• Criar soluções otimizadas que atendem ao negócio da
BAI02 requisitos
Fonte: Adaptado de Fernandes, Diniz e organização enquanto minimizam o risco.
gerenciada
Abreu (2019, p.168-170).
• Assegurar a entrega de produtos e serviços digitais de forma
Identificação e
ágil e escalável.
construção de
BAI03 • Estabelecer soluções a tempo e de custo efetivo capaz de
soluções
apoiar os objetivos estratégicos e operacionais da
gerenciadas
organização.
• Manter a disponibilidade do serviço, a gestão eficiente de
Disponibilidade
recursos e a otimização do desempenho do sistema através
BAI04 e capacidade
da predição do desempenho futuro e dos requisitos de
gerenciadas
capacidade.
Propósitos dos Objetivos de Governança e Gestão

Objetivo de
Referência Governança Propósito
ou Gestão

Operações
DSS01 • Entregar os produtos e serviços de TI conforme o planejado.
gerenciadas

• Aumentar a produtividade e minimizar disrrupções, através

da rápida resolução de solicitações e incidentes relatados
Solicitações
pelos usuários.
de serviços e
DSS02 • Avaliar o impacto de mudanças e o tratamento dos
incidentes
incidentes.
gerenciados
Fonte: Adaptado de Fernandes, Diniz • Resolver os chamados e reestabelecer os serviços em
e Abreu (2019, p. 168-170). resposta ao incidente.
• Aumentar a disponibilidade, melhorar os níveis de serviços,
reduzir custos, melhorar a conveniência e satisfação do
Problemas
DSS03 cliente através da redução de problemas operacionais e
gerenciados
identificar a causa-raiz como parte da resolução do
problema.
• Adaptar rapidamente, continuar as operações do negócio e
Continuidade manter a disponibilidade de recursos e informação em níveis
DSS04
gerenciada aceitáveis para a organização em eventos de
indisponibilidade ou interrupção significativa de serviços.
Propósitos dos Objetivos de Governança e Gestão

Objetivo de
Referência Governança ou Propósito
Gestão
Monitoramento do
desempenho e da • Prover transparência do desempenho e
MEA01
conformidade conformidade e dirigir o atingimento dos objetivos.
gerenciado
• Obter transparência para as principais partes
interessadas sobre a adequação do sistema de
Sistema de controle
MEA02 controle interno para fornecer confiança na operação
interno gerenciado
e no atingimento dos objetivos da empresa e
Fonte: Adaptado de Fernandes, entendimento dos riscos residuais.
Diniz e Abreu (2019, p.168-170).
Conformidade com
• Assegurar que a organização esteja em
MEA03 requisitos externos
conformidade com todos os requisitos externos.
gerenciada

• Permitir que a organização projete e desenvolva

iniciativas eficientes e efetivas de garantia,
fornecendo orientação para o planejamento,
MEA04 Garantia gerenciada
definição do escopo, execução e acompanhamento
de auditorias usando um roadmap baseado em
práticas reconhecidas de auditoria.
 Estrutura dos Objetivos de Governança e Gestão

 Identificação inicial: nome do domínio (domain); área de foco (focus area); objetivo de
governança ou de gestão (Governance/Management Objective); descrição (Description);
propósito (Purpose).

 Cascata de objetivos: objetivos corporativos (Enterprise Goals); objetivos de alinhamento

(Alignment Goals); exemplos de métricas para objetivos corporativos (Example Metrics for
Enterprise Goals); exemplo de métricas para objetivos de alinhamento (Example Metrics for
Alignment Goals).

 Componentes: processos (process); estruturas organizacionais

(organizational structures); fluxos e itens de informação
(Information Flows and Items); pessoas, habilidades e
competências (people, skills and competencies); políticas e
procedimentos (policies and procedures); cultura, ética e
comportamentos (culture, ethics and behavior); serviços,
infraestruturas e aplicações (Services, Infrastructure
and Applications).
Identificação inicial e cascata de objetivos de um objetivo de
governança e gestão

Fonte: Adaptado de ISACA (2019b, p. 18-19).

 Componentes dos objetivos de governança e gestão: Processos

 Nele encontramos as práticas (governance/managment practice), as métricas (metrics), as

atividades (activities) que compõem o processo, o nível de capacidade (capability level) de
cada atividade, as regulamentações/padrões/modelos (Standards, Frameworks, Compliance
Requirements) relacionados ao objetivo de governança/gestão e a referência detalhada
(detailed reference) das regulamentações/padrões/modelos mencionados.

Fonte: ISACA (2019b, p. 19).

 Interatividade

Como é conhecido o gerenciamento do desempenho do COBIT® 2019?

a) CMMI.
b) ISO 15504.
c) CPM.
d) DevOps.
e) ITIL.
 Resposta

Como é conhecido o gerenciamento do desempenho do COBIT® 2019?

a) CMMI.
b) ISO 15504.
c) CPM.
d) DevOps.
e) ITIL.
 Componentes dos objetivos de governança e gestão:
estruturas organizacionais
 Este componente apresenta uma matriz conhecida como RACI, contendo uma relação entre
estruturas organizacionais e práticas-chave de gestão/governança. Cada estrutura por
exercer um papel de: Responsável (Responsible – R); Responsabilizado (Acountable – A);
Consultado (Consulted – C); Informado (Informed – I).
 Encontramos também a indicação de regulamentações/padrões/modelos (Standards,
Frameworks, Compliance Requirements) relacionados ao componente e a referência
detalhada (detailed reference) das regulamentações/padrões/modelos mencionados.

Fonte: ISACA (2019b, p. 21).

 Componentes dos objetivos de governança e gestão: fluxo e itens
de informação
 Nele encontramos as entradas (Inputs), saídas (Outputs) e uma indicação de
regulamentações/padrões/modelos (Standards, Frameworks, Compliance Requirements)
relacionados ao componente e a referência detalhada (detailed reference) das
regulamentações/padrões/modelos mencionados.

Fonte: ISACA (2019b, p. 23).

 Demais componentes dos objetivos de governança e gestão

 4º componente: pessoas, habilidades e competências.

 5º componente: políticas e procedimentos.
 6º componente: cultura, ética e comportamento.
 7º componente: infraestruturas, serviços e aplicações.

Fonte: ISACA (2019b, p. 24-25).

 Exemplo de um objetivo de governança (Identificação inicial)

 EDM01 – Estabelecimento e manutenção do framework de governança assegurado (Ensured

Governance Framework Setting and Maintenance).
 Descrição: trata da análise, articulação, implementação e manutenção dos componentes do
sistema de governança.
 Propósito: prover uma abordagem consistente, integrada e alinhada de governança
corporativa para informação e tecnologia.

Fonte: ISACA (2019b, p. 29).

 Exemplo de um objetivo de governança (Cascata de Objetivos)

 Aqui encontramos a determinação dos objetivos corporativos EG03, EG08 e EG12 (que
podem ser encontrados no Quadro 25 (Fator de Desenho: Objetivos Corporativos).
 Estes objetivos corporativos são desdobrados em objetivos de alinhamento AG01 e AG02.
 Observe também que em ambos os objetivos se encontram métricas bem definidas.

Fonte: ISACA (2019b, p. 29).

 Exemplo de um objetivo de governança (Processo)

 A representação das práticas de governança/gestão encontradas nos objetivos de

governança são feitas da seguinte forma XXXNN.ZZ. XXX representa o domínio, NN
representa o número de ordem do objetivo de governança/gestão e ZZ representa o número
de ordem da prática de governança/gestão.
 EDM01 possui três práticas de governança, apresentaremos apenas a primeira que é a
EDM01.01 – Avaliar o sistema de governança (Evaluate the governance system).

Fonte: ISACA (2019b, p. 29).

 Exemplo de um objetivo de governança (Processo)

 A prática de governança EDM01.01 possui 8 atividades, as quatro primeiras operam

normalmente no nível de capacidade “2” e as quatro últimas operam normalmente no
nível de capacidade “3”.
 Percebemos ainda que um dos guias relacionadas para esta prática é a ISO/IEC 38500:2015
no item 5.2 (princípio de responsabilidade).

Fonte: ISACA (2019b, p. 29).

Exemplo de um objetivo de governança (Estruturas Organizacionais)

Fonte: ISACA (2019b, p. 31).

 Exemplo de um objetivo de governança (fluxo e itens de informação)

 As entradas para esta prática são oriundas da prática MEA03.02 e externamente ao COBIT®
(Outside COBIT).
 As saídas desta prática são destinadas às diversas práticas de gestão do objetivo de gestão
APO01 e também para todos os objetos de governança do domínio EDM.

Fonte: ISACA (2019b, p. 32).

 Relação entre os objetivos corporativos e objetivos de alinhamento

 Observe que a relação entre os dois objetivos gera um mapeamento P (Primário) e S

(Secundário). O P indica forte relação entre o objetivo corporativo e o objetivo de
alinhamento. O S indica fraca relação entre o objetivo corporativo e o objetivo
de alinhamento.

Fonte: ISACA (2019b, p. 297).

Relação entre os objetivos de alinhamento e os objetivos de
governança e gestão

Fonte: ISACA (2019b, p. 298).

 Resumo do COBIT® 2019

 Framework para governança de TI.

 Deve ser adaptado a cada realidade.

 Deve ser harmonizado com outros modelos para a gestão da TI.

 Deve ser desenhado considerando os fatores apresentados.

 Opera a partir de objetivos de governança e gestão.

 Interatividade

Qual das alternativas a seguir não representa um item da matriz RACI utilizada no COBIT®?

a) Responsável.
b) Responsabilizado.
c) Consultado.
d) Informado.
e) Gerenciado.
 Resposta

Qual das alternativas a seguir não representa um item da matriz RACI utilizada no COBIT®?

a) Responsável.
b) Responsabilizado.
c) Consultado.
d) Informado.
e) Gerenciado.
 Referências

 FERNANDES, A. A.; ABREU, V. F. Implantando a governança de TI. Rio de Janeiro:

Brasport, 2014.

 ISACA. Information Systems Audit and Control Association – COBIT 2019: Governance and
Management Objectives. Rolling Meadows: ISACA, 2019a.

 ISACA. Information Systems Audit and Control Association – COBIT 2019: Introduction and
Methodology. Rolling Meadows: ISACA, 2019b.
ATÉ A PRÓXIMA!