Escolar Documentos
Profissional Documentos
Cultura Documentos
Unidade III
5 MODELOS E PRÁTICAS DE GOVERNANÇA CORPORATIVA DE TI
Você já deve ter percebido a sequência lógica deste livro-texto. Iniciamos abordando a governança
corporativa, incluindo todos os seus fundamentos e lastreando a base conceitual para abordarmos a
governança corporativa de TI. Na sequência, exploramos as definições de governança de TI com foco nos
seus motivadores, no seu histórico e nos seus fundamentos. Abordamos o ciclo da governança de TI, além
dos papéis, responsabilidades e funções, principalmente envolvendo o processo de tomada de decisão.
Agora vamos ver os modelos de governança corporativa de TI. Esses modelos apresentam um conjunto
de boas práticas que auxilia em um melhor governo da TI nas organizações. Começaremos pelo modelo de
governança utilizado no Center for Information Systems Research (CISR), do Massachusetts Institute of
Technology (MIT), apresentado por Weill e Ross (2006). Depois passaremos ao modelo estabelecido por
Fernandes e Abreu (2014) e, por último, mencionaremos o modelo descrito na norma ISO 38500:2018.
O modelo Cobit®, sem dúvidas o mais conhecido, será abordado mais adiante. Apresentaremos também
modelos que suportam a governança de TI nos mais diversos aspectos da área de TI: análise de negócios;
processos de TI; arquitetura de TI; projetos de TI; e serviços de TI.
5.1 Modelos e frameworks de governança de TI
93
Unidade III
Ainda na parte superior do modelo, encontramos o terceiro componente, que é representado pelas
metas de desempenho do negócio. Aqui encontramos de forma clara metas e objetivos de desempenho
corporativos, que servirão de base para a criação de metas e objetivos de TI.
O componente de número cinco é formado pelos mecanismos de governança de TI. Ele expressa a
forma como harmonizamos os arranjos de governança de TI definidos pela alta direção. Definimos aqui
estruturas organizacionais, processos e abordagens de comunicação.
94
GOVERNANÇA CORPORATIVA DE TI
1. Constituir excelência em linhas de 1. O comitê executivo de tecnologia 1. Métricas distintas para cada
negócios individuais. e o conselho de tecnologia decidem: unidade de negócio.
princípios de TI e investimentos
2. Prover soluções integradas aos em TI. 2. Nova linguagem e cultura.
clientes.
2. O conselho de tecnologia e os 3. Retenção de clientes, venda
3. Melhorar a eficiência. parceiros de negócios decidem: cruzada, recrutamento.
4. Beneficiar-se de economia de estratégias e prioridades de TI, além
escala. dos padrões de TI.
5. Desenvolver a cultura "uma firma – 3. Os negócios decidem: necessidades
uma equipe". de aplicações.
6. Aumentar a transparência e a
responsabilidade.
Organização de TI e Mecanismos de Métricas e
comportamentos desejáveis governança de TI responsabilidades de TI
Ainda segundo Weill e Ross (2006), as organizações que não implementam boas práticas de
governança de TI baseadas em estratégias, atribuição de direitos de decisão e estabelecimento de metas
e métricas têm seu sistema de governo de TI totalmente ineficaz.
Existem pelo menos sete sintomas de ineficácia desses sistemas. São eles:
• Sintoma 1: há pouca importância dada pela alta direção para os investimentos relacionados
à área de TI.
95
Unidade III
• Sintoma 4: não há clareza sobre como a área de TI é governada pela alta direção.
Fernandes e Abreu (2014) apresentam um modelo genérico construído a partir do ciclo de governança
de TI, que pode ser aplicado em qualquer empresa que deseja possuir um adequado sistema de governo
para a área de TI. A figura a seguir apresenta um esboço desse modelo com todos os seus componentes.
96
97
Adaptada de: Fernandes e Abreu (2014).
Riscos e compliance
Avaliação independente
Gestão da mudança organizacional
Gerenciamento
de recursos
Clientes/usuários
Plano de TI -
Negócios
Resultados de TI
Estratégia de TI
GOVERNANÇA CORPORATIVA DE TI
Mecanismos
de decisão Portfólio Serviços
Priorização de TI
Orçamento Inovação
Plano de TI -
Investimentos
Internos
Fornecedores
Decisão Estrutura, processos,
Alinhamento Gestão do valor e do desempenho da TI
Priorização operações e gestão
Unidade III
O modelo é formado por componentes típicos de governança, que são: riscos e compliance; avaliação
independente; gestão da mudança organizacional; alinhamento estratégico; entrega de valor; gestão do
desempenho; comunicação; e gerenciamento de recursos.
Existem também os componentes de gestão e operacionais, que são: estratégia do negócio; estratégia
de TI; planos de TI; mecanismos de decisão; portfólio de TI; clientes e usuários; operações de serviços;
fornecedores; resultados da TI; resultados para o negócio; e comunicação e reporte de resultados.
Lembrete
Temos como segundo componente típico a avaliação independente, que funciona como um
desdobramento do primeiro componente (riscos e compliance). Ele é de grande importância para
verificar se a área de TI está aderente às práticas, às políticas e aos padrões de mercado. O sistema de
governo de TI precisa estabelecer como se dará essa avaliação por meio, é claro, de uma empresa
de auditoria externa.
Observação
98
GOVERNANÇA CORPORATIVA DE TI
Lembrete
O alinhamento estratégico é crítico para a concretização da entrega de
valor por parte da TI para os negócios, além de ser um dos processos mais
importantes da governança de TI.
Observação
Podemos utilizar diversas ferramentas para fazer a gestão desses
indicadores. Uma delas é o Balanced Scorecard (BSC), que nos ajuda a criar
um conjunto de indicadores balanceados nas perspectivas financeiras, do
cliente, dos processos internos, do aprendizado e do crescimento.
100
GOVERNANÇA CORPORATIVA DE TI
Saiba mais
A ISO/IEC lançou uma segunda edição dessa norma em 2015, que foi publicada pela ABNT em 2018 com
pequenas alterações quando comparadas à versão de 2008. O objetivo principal da ISO 38500:2018 é
trazer um conjunto de princípios que, associados a tarefas, trazem as práticas de governança de TI para
as organizações de qualquer porte, públicas ou privadas. Essa norma integra uma família de padrões da
ISO dedicada apenas à governança e à gestão de TI. O quadro a seguir apresenta essa família de normas
da ISO para governança e gestão de TI.
Norma Escopo
38500 Governança de TI.
38501 Guia de implementação da governança de TI.
38502 Framework de governança de TI.
38503 Avaliação da governança de TI.
38504 Princípios básicos de governança de TI.
38505-1 Aplicações da governança de dados.
38505-2 Gerenciamento e governança de dados.
38506 Governança de investimentos de TI.
38507 Implicações da governança no uso da inteligência artificial.
A norma ISO 38500:2018 funciona como uma “mãe” das outras normas e promove o uso eficiente e
eficaz da TI, garantindo a confiança dos stakeholders na TI. Ela também traz um conjunto de informações
e orientações para aqueles que exercem o governo da TI em uma empresa.
101
Unidade III
A figura a seguir apresenta o desenho do modelo de governança de TI estabelecido pela norma com
os seus componentes fundamentais. O modelo consiste primariamente na execução de três tarefas
de governança de TI, que são: avaliar; dirigir; e monitorar. Essas tarefas sofrem pressões externas das
autoridades da organização (alta direção e conselho de administração), das obrigações regulatórias
(por exemplo, a SOX), das necessidades de negócio (novas aplicações que atendam às necessidades de
negócio) e das expectativas das partes interessadas (entrega do valor) e do negócio, de forma geral
(ABNT, 2018).
Fonte de
autoridade
Dirigir Monitorar
Propostas e planos
Estratégias e
políticas
Desempenho e
conformidade
Gerentes
• Na tarefa dirigir são estabelecidas estratégias e políticas que influenciam a gestão de TI, bem como
toda orientação para implementá-las, garantindo que o uso da TI atenda aos objetivos do negócio.
• Na tarefa avaliar ocorre um processo de análise do uso da TI no que tange a planos e propostas
construídos a partir das informações oriundas da gerência da TI.
• Na tarefa monitorar são aferidos o desempenho e a conformidade da TI, bem como o atendimento
das políticas e o desempenho em relação aos planos projetados.
102
GOVERNANÇA CORPORATIVA DE TI
Comportamento
Responsabilidade Estratégia Aquisição Desempenho Conformidade humano
Práticas de
Práticas de Práticas de Práticas de Práticas de
Práticas de avalição avalição
avalição avalição avalição avalição
Avaliar considerando considerando
considerando considerando considerando considerando
o princípio da o princípio do
o princípio da o princípio o princípio do o princípio da
responsabilidade. comportamento
estratégia. da aquisição. desempenho. conformidade. humano.
Práticas Práticas Práticas Práticas Práticas de direção
Práticas de direção de direção de direção de direção de direção considerando
Dirigir considerando considerando considerando considerando considerando o princípio do
o princípio da o princípio da o princípio o princípio do o princípio da comportamento
responsabilidade. estratégia. da aquisição. desempenho. conformidade. humano.
Práticas de
Práticas de Práticas de Práticas de Práticas de Práticas de monitoração
monitoração monitoração monitoração monitoração monitoração
Monitorar considerando
considerando considerando considerando considerando considerando o princípio do
o princípio da o princípio da o princípio o princípio do o princípio da comportamento
responsabilidade. estratégia. da aquisição. desempenho. conformidade. humano.
103
Unidade III
Saiba mais
Os modelos e frameworks comentados até agora são utilizados para o governo da área de TI. Eles
estabelecem uma forte ligação entre as áreas de negócios, a alta direção e a área de TI, apresentando, em
uma visão macro, como a tecnologia da informação e as suas estratégias devem ser dirigidas, avaliadas
e monitoradas em uma visão mais executiva.
Os princípios e as práticas apresentados como boas práticas por esses modelos devem ser desdobrados
na TI como um todo no nível de gestão. É justamente nesse desdobramento que começa o trabalho
dos modelos de suporte à governança de TI, adentrando cada contexto específico de TI (serviços de TI,
projetos de TI, terceirizações em TI, aplicações de TI, processos de TI, qualidade de software, análise de
negócios de TI, gestão de dados, dentre outros).
Observação
O quadro a seguir apresenta uma relação desses modelos de melhores práticas, bem como o seu
escopo específico dentro dos contextos da TI, ou seja, nas áreas internas da TI.
104
GOVERNANÇA CORPORATIVA DE TI
Além do Babok®, o IIBA mantém uma série de publicações voltadas para análise e estratégia
relacionadas à tecnologia da informação e de dados. O IIBA foi criado em outubro de 2003 em Toronto
(Canadá) com o objetivo de apoiar a emergente comunidade de análise de negócios, por meio de
iniciativas como a criação e o desenvolvimento da consciência e do reconhecimento da contribuição do
analista de negócios.
Observação
Essa análise de negócios é composta por seis elementos principais. São eles:
• Mudanças (changes): é a ação que ocorre para atender à necessidade e transformar o contexto
de forma controlada.
• Contexto (contexts): é formado pela cultura, pelos processos e pelas regras da organização que
influenciam na análise de negócio.
• Partes interessadas (stakeholders): são aqueles que precisam ter os seus requisitos atendidos.
• Necessidades (needs): pode ser um problema a ser resolvido ou uma oportunidade a ser aproveitada.
Changes
Needs Solutions
Stakeholders Contexts
Value
106
GOVERNANÇA CORPORATIVA DE TI
A segunda área de conhecimento é a análise da estratégia, que se preocupa com os cenários atuais
e o projeto para o futuro. Ela também contempla uma avaliação de riscos e a definição das estratégias
de mudanças, considerando os seus impactos e os motivos para a mudança.
A análise de requisitos e definição de desenho está relacionada às tarefas de exame dos requisitos
declarados com o objetivo deliberar quais capacidades uma solução potencial deve possuir para atender
às necessidades das partes interessadas. A análise de requisitos descreve a priorização e elaboração
progressiva dos requisitos das partes interessadas e da solução para permitir que a equipe da iniciativa
ou projeto implemente a solução que deverá atender à necessidade do negócio.
A avaliação da solução é a área de conhecimento que define as tarefas voltadas para a garantia de
atendimentos das necessidades do negócio por parte das soluções implementadas. Nessa área também
se verificam as limitações das soluções e da organização.
Ainda é importante acrescentar que o Babok® estabelece a análise de negócios a partir de cinco
perspectivas e, em cada uma delas, encontramos técnicas, tarefas e ferramentas recomendadas. As perspectivas
são: Business Intelligence (BI); Tecnologia da Informação (TI); gerenciamento de processos de negócio;
arquitetura de negócios; e ágil (IIBA, 2015).
Saiba mais
107
Unidade III
Continuando a nossa passagem pelos modelos que suportam a governança de TI, avancemos
agora conhecendo um pouco sobre o BPM CBOK®. Ele foi desenvolvido pela Association of Business
Process Management Professionals (ABPMP), que, traduzindo para o português, significa Associação
de Profissionais de Gerenciamento de Processos de Negócio. A ABPMP é uma associação profissional
sem fins lucrativos que atua de forma independente de fornecedores, orientada e conduzida por
profissionais e dedicada ao desenvolvimento dos conceitos de gerenciamento de processos de negócio
e suas práticas. Ela foi fundada em 2003 nos Estados Unidos e possui capítulos espalhados por todo o
mundo, inclusive no Brasil.
O BPM CBOK® é o Guia para o corpo comum de conhecimentos sobre BPM (Business Process
Management). Ele apresenta boas práticas e lições aprendidas e praticadas pelas organizações visando
auxiliar o profissional de gestão de processos de negócio (ABPMP, 2019). O guia fornece um documento
de consulta básica para os profissionais de processos de negócio. Sua finalidade principal é identificar e
fornecer uma visão geral das áreas de conhecimento que são geralmente reconhecidas e aceitas como
melhores práticas. Ele fornece links e referências para outras fontes de informação, que são parte do
corpo mais amplo de conhecimentos comuns de BPM (ABPMP, 2019).
Observação
O guia BPM CBOK® pode ser utilizado como uma referência para os profissionais de processos na
realização de suas tarefas de gerenciamento de processos de negócio. Ele está estruturado em áreas de
conhecimento, habilidades e técnicas (FERNANDES; ABREU, 2014).
• Segunda área de conhecimento: modelagem de processos. Essa área trata do conjunto crítico
de habilidades e processos que habilitam pessoas a compreender, comunicar, medir e gerenciar os
componentes primários de processos de negócio. Isso envolve a modelagem de processos, e não
apenas a sua diagramação.
108
GOVERNANÇA CORPORATIVA DE TI
• Terceira área de conhecimento: análise de processos. Essa área está relacionada às atividades,
aos princípios e às técnicas utilizados para a compreensão dos processos de negócio. É nessa área
de conhecimento que se ratificam o momento e a necessidade de buscar uma visão real do atual
estado dos processos.
• Quarta área de conhecimento: desenho de processos. Trata da criação das especificações para
processos de negócio após a realização da sua análise, cobrindo desde as atividades e técnicas
mais essenciais até as atividades mais específicas, tal qual a simulação de cenários. É nessa área
de conhecimento que os princípios de desenho de processos de negócio são estabelecidos.
O modelo Togaf (The Open Group Architecture Framework) é um framework de arquitetura que
fornece métodos e ferramentas para auxiliar na aceitação, na produção e no uso de manutenção de uma
arquitetura empresarial. A princípio, era destinado apenas às questões de tecnologia da informação, mas
teve o seu escopo ampliado ao longo de sua evolução.
109
Unidade III
Observação
Um framework de arquitetura é uma estrutura básica ou um conjunto
de estruturas que pode ser usado para o desenvolvimento de uma gama de
arquiteturas de tipos diferentes, como arquitetura empresarial, de sistemas,
de aplicações, de dados, de processos etc.
A versão 9.2 (lançada em 2018) do Togaf é a mais atual. Segundo Togaf (2018), o modelo é composto
de sete partes:
Ao nível da modelagem, o Togaf não introduz qualquer notação, mas apenas um conjunto de
princípios e diretrizes. O modelo Togaf aplica-se para o projeto e implementação de arquiteturas
de negócio, de sistemas de informação e de tecnologia.
Segundo Fernandes e Abreu (2014), dentre os benefícios do modelo encontram-se: redução de custos
de desenvolvimento; mais portabilidade das aplicações; melhoria da interoperabilidade; redução da
complexidade da infraestrutura de TI; e flexibilidade para fazer, comprar ou terceirizar as soluções de TI.
A gestão de projetos é considerada uma das áreas internas de TI mais importantes, na qual
encontramos o uso de frameworks e metodologias bem conhecidas. Pelo menos três modelos são
bastante utilizados: PMBOK®, Prince2® e Scrum.
110
GOVERNANÇA CORPORATIVA DE TI
O guia PMBOK® foi elaborado pelo Project Management Institute (PMI) conjuntamente com
diversos profissionais e especialistas filiados. Teve sua primeira versão em 1996, uma segunda lançada
em 2000, a terceira em 2004 e a quarta em 2008. Em 2013 foi lançada a quinta versão, e em 2017 a
sexta. O principal objetivo desse método é delimitar um conjunto de conhecimentos em gestão de
projetos amplamente reconhecidos como “boa prática”, fornecendo vocabulário comum aos gerentes
de projetos, assim como um guia de processos, ferramentas e técnicas extremamente úteis na condução
dos projetos de uma organização.
O PMBOK® apresenta um projeto gerenciado por meio de um ciclo de vida entrelaçado com áreas de
conhecimento. O ciclo de vida do gerenciamento do projeto é o conjunto de processos que necessitam
ser seguidos para o bom gerenciamento do projeto. Ele se divide em cinco grandes grupos de processos
de gerenciamento, que são compostos de processos individuais e relacionados. Esses grupos são:
grupo de processos de iniciação; grupo de processos de planejamento; grupo de processos de execução; grupo
de processos de monitoramento e controle; e grupo de processos de encerramento.
Outro modelo interessante para o gerenciamento de projetos é o Prince2®. Ele foi desenvolvido em
1989 pelo Central Computer and Telecommunications Agency (CCTA), ligado ao governo britânico, a
partir de uma metodologia mais antiga em gerenciamento de projetos chamada Promptii, criada em
1975 pela empresa Simpact Systems Ltda. Em 1996, após o CCTA ser integrado ao Office of Government
Commerce (OGC), foi lançada uma melhoria dessa metodologia denominada Prince2®, que atualmente
se encontra em sua quinta edição, publicada em 2009, e é o padrão utilizado no governo britânico, além
de ser bastante difundida e reconhecida na Europa.
Fernandes e Abreu (2014) afirmam que o Prince2®, de modo similar ao PMBOK®, tem como base
a experiência de gerentes e equipes de projetos nos seus erros, acertos e sucesso. Os autores ainda
mencionam que a ideia do Prince2® é fornecer um método que:
O Prince2® é composto por dois livros que orientam o uso da metodologia, do modelo de processos
e da lista de atividades por processo. Os livros são: Managing successful projects using Prince2®; e
111
Unidade III
Directing sucessful projects using Prince2®. A metodologia é constituída de oito processos, que são
divididos em atividades. Os processos da metodologia são:
Já os métodos ágeis para o gerenciamento de projetos surgiram após o Manifesto Ágil, que teve
início na década de 1990. O Manifesto Ágil é um documento que reúne as principais práticas e técnicas
desse modelo ágil para desenvolvimento de projetos de software. O Manifesto Ágil é uma espécie de
declaração de todos os princípios que servem de base para o desenvolvimento ágil de software e possui
quatro aspectos fundamentais:
A partir da criação do Manifesto Ágil, começaram a aparecer várias outras propostas referentes a
métodos ou metodologias ágeis, e, entre elas, está o Scrum, método ágil mais usado na área de TI.
Observação
Em sua essência, a maioria dos métodos ágeis (inclusive o Scrum)
procura mitigar o risco inerente ao desenvolvimento de software sob
diversos aspectos.
O Scrum foi apresentado por Jeff Sutherland, John Scumniotales e Jeff McKenna, que conceberam,
documentaram e implementaram o Scrum na empresa Easel Corporation em 1993. Em 1995, Ken
Schwaber formalizou a definição de Scrum e ajudou a implantá-lo no desenvolvimento de softwares
ágeis em todo o mundo. Em 2000, Ken Schwaber implantou a metodologia na empresa Patient Keeper
e, nos anos seguintes, lançou três livros, sendo o primeiro deles Agile software development with Scrum.
112
GOVERNANÇA CORPORATIVA DE TI
Uma característica importante do Scrum é forçar as pessoas a seguirem uma sequência de passos
predefinida, com pouca flexibilidade para mudança. A abordagem do Scrum visa o oposto ao modelo
em cascata, iniciando-se na análise assim que alguns requisitos estiverem disponíveis. O projeto Scrum
começa com uma visão composta por requisitos e funcionalidades, que concretizam uma lista de tarefas
denominada product backlog. As prioridades dos itens desse documento determinam o quanto de valor
cada item gera para o negócio.
Depois de priorizados os itens, antes de cada iteração (sprint), a equipe se reúne para dizer quantos
itens é possível entregar em um sprint, que, segundo Schwaber, deve durar cerca de trinta dias como boa
prática. Quando cada iteração termina, o que foi desenvolvido é apresentado ao cliente (product owner)
em uma reunião, e, antes do início da próxima iteração, é feita uma reunião de retrospectiva, em que é
possível extrair lições aprendidas.
Já mencionamos que a área de TI não é mais considerada uma simples provedora de infraestrutura.
Em seu processo evolutivo, a TI cada vez mais tem sido considerada uma área prestadora de serviços.
Dentro desse contexto, a figura do usuário foi perdendo espaço para a figura do cliente, mesmo que
seja interno à corporação. Desse modo, foi perdendo força a ideia de gerenciamento de infraestrutura
de TI, de modo que as empresas foram assimilando a ideia do gerenciamento de serviços de TI. Até os
frameworks e as boas práticas de TI, antes relacionados à infraestrutura, deram espaço aos modelos de
gestão de serviços de TI.
Assim, é possível encontrar uma série de boas práticas na gestão de serviços de TI. Elas encontram‑se
agrupadas em frameworks e modelos bem conhecidos no mercado. Dentre eles, destacam-se o
Information Technology Infrastructure Library (Itil®) e a ISO 20000.
O Itil® é o modelo mais apropriado aos profissionais, possuindo um esquema de certificação que
promove um itinerário no conhecimento das boas práticas de gestão de serviços de TI. A ISO 20000
é mais apropriada para as empresas, porque comprova que o seu sistema de gestão de serviços de TI
está de acordo com as melhores práticas de mercado. Não obstante, há outras normas que também
promovem o uso de boas práticas de gestão de serviços de TI, tais como o Modelo Capability Maturity
Model – Integration for Services (CMMI-SVC), criado pelo Software Engineering Institute (SEI), e o
Microsoft Operations Framework (MOF), criado pela Microsoft.
O Itil® é um framework para gerenciamento de serviços de TI apresentado por meio de boas práticas
contidas em uma biblioteca de livros. Não é uma regra rígida, mas a definição de recomendações para
uma eficiente e eficaz gestão de serviços de TI. Ele foi desenvolvido na década de 1980 no Reino Unido
pela Agência Central de Computadores e Comunicações como um método que objetivava o governo da
infraestrutura de tecnologia da informação em departamentos e órgãos públicos do Reino Unido.
A sua primeira versão consistia em 31 livros, que mencionavam aspectos importantes da provisão
de serviços de TI com foco muito forte em infraestrutura, mais especificamente em planejamento e
contingência. Essa versão também se referia fortemente à manutenção e operação dos recursos
de infraestrutura de TI. Sua segunda versão surgiu em 2000, quando o modelo foi completamente
113
Unidade III
reformulado e passou a ter apenas sete livros. Nessa versão, uma das principais características era a forte
aderência ao modelo PDCA (Plan, Do, Check, Action) e suas práticas de melhoria contínua em processos.
A partir dessa segunda versão, o Itil® foi bastante disseminado como conjunto de boas práticas
em gerenciamento de serviços de TI. No entanto, o mercado, de modo geral, considerava o conjunto
de livros um pouco “desconectado”, fazendo com que os especialistas em TI voltassem a sua atenção
apenas para os livros de “suporte ao serviço” e de “entrega de serviço”.
É de se destacar que em 2001 foi fundado o Fórum de Gerenciamento de Serviços de TI, conhecido
pelo seu acrônimo em inglês ITSMF (Information Technology Service Management Forum). Seu objetivo
era promover e desenvolver o gerenciamento de serviços de TI no mundo por meio da troca constante
de informações e compartilhamento de experiências.
Em 2007 foi lançada uma nova versão da Itil®, agora a versão 3. Contendo cinco livros abordando uma
visão completa dos processos do gerenciamento de serviços de TI na forma de um ciclo denominado “ciclo
de vida do serviço”. Essa nova versão tem um número de livros inferior à versão anterior, não obstante
sendo mais denso em conteúdo. Em 2011 a versão 3 passou por alguns aprimoramentos, ampliando um
pouco o seu escopo e produzindo a Itil® V.3 Edição 2011. Em 2019 foi lançada a versão 4 da Itil®.
O Itil® 4 é a versão mais atualizada do framework que trouxe muitas novidades, como, por exemplo,
o alinhamento aos modelos Lean e Ágil. Outro conceito importante estabelecido pela atualização do
modelo foi a criação das quatro dimensões do gerenciamento de serviços e o Sistema de Valor de
Serviços (SVS).
3 4
Parceiros e Fluxos de valor
fornecedores e processos
Fatores Fatores
Fatores legais tecnológicos
Cada dimensão é afetada
por múltiplos fatores
114
GOVERNANÇA CORPORATIVA DE TI
Os fatores externos são: fatores políticos; fatores econômicos; fatores sociais; fatores tecnológicos;
fatores legais; e fatores ambientais. A depender da organização, seu ramo de atuação, seu porte e
localização geográfica, podemos encontrar fatores que exercem maior ou menor influência. Outro
detalhe interessante na figura, que esboça as quatro dimensões do gerenciamento de serviços, é a
parte central. Lá encontramos o valor dos produtos e serviços, que é visto a partir de cada uma das
perspectivas (dimensões). Além das quatro dimensões do gerenciamento de serviços, temos o SVS como
um elemento de destaque. Ele é composto de: princípios orientadores; governança; cadeia de valor do
serviço; práticas; e melhoria contínua.
Uma mudança interessante que veio com o Itil® 4 foi a ideia de cocriação de valor, que apresenta a
ideia de criação de valor envolvendo o cliente. Assim, temos prestadores de serviços e consumidores de
serviços, juntos, gerando valor, ou seja cocriando valor um para o outro.
• Modelo altamente flexível, de fácil adoção e prescrito para qualquer porte de empresa.
• Modelo que contribui com a aderência aos requisitos da norma ISO 20000.
6 MODELO COBIT®
Conhecer um pouco sobre as versões 4.1 e 5 é fundamental para a compreensão da versão 2019
(mais atual). Devemos também considerar que algumas poucas empresas ainda utilizam algo da
versão 4.1 e da versão 5, devido à versão 2019 ser um pouco recente e ainda não estar completamente
consolidada no mercado. Mais adiante vamos abordar a versão mais atual, que é a 2019, com todos os
seus conceitos, estruturas de processos, objetivos de governança, dentre todas as temáticas inerentes a
essa nova edição.
115
Unidade III
Para entendermos bem o contexto em que se deu o surgimento e o sucesso do framework Cobit®,
precisamos primeiro considerar a evolução da governança corporativa nas empresas. Também devemos
levar em conta a ação da Information Systems Audit and Control Association (Isaca), que mantém o
Cobit® e a sua estrutura de certificação.
Lembrete
A partir deste cenário e com a constatação de existência de fraudes financeiras nas corporações
ao longo do processo evolutivo da governança corporativa, surge, em 1985, nos Estados Unidos, uma
organização chamada Committee of Sponsoring Organizations of the Treadway Commission (Coso).
O Coso funcionou inicialmente como um auxiliar da Nacional Commission on Fraudulent Financial
Reporting (Comissão Nacional sobre Fraudes em Relatórios Financeiros), mas depois se consolidou como
emissora de recomendações sobre controle interno de governança corporativa.
O sucesso dos trabalhos do Coso foi tão grande que em 1992 as suas recomendações foram
convertidas em um documento chamado Internal Control – Integrated Framework (Controles
Internos – Um Modelo Integrado). Mais adiante e até os dias de hoje esse documento é chamado
de Modelo Coso, considerado referência em controles internos corporativos. Paralelamente a
esses fatos, ganha força no mundo da tecnologia uma entidade fundada no final da década de 1960
chamada de Isaca. O foco dessa entidade foi inicialmente formar profissionais voltados para
auditoria de sistemas. No entanto, o seu escopo de atuação foi aumentando, e outras formações
profissionais foram agregadas ao portfólio da Isaca.
116
GOVERNANÇA CORPORATIVA DE TI
Hoje, a Isaca conta com mais de 200 capítulos (filiais) espalhados em pelo menos 180 países no
mundo, além de ter mais de 140 mil associados. Assim, incluindo trabalhos voltados para a auditoria em
sistemas, a Isaca tem grande atuação voltada para certificações em privacidade de dados, cybersecurity,
segurança da informação, riscos em TI, além de governança de TI.
Foi nesse ambiente fortemente influenciado por práticas de controle interno corporativo que a
Isaca desenvolveu, em 1994, o modelo Cobit®. Ele foi formado a partir do Modelo Coso, além de vários
padrões internacionais e práticas de gestão de TI oriundas de diversas instituições que trabalham com
modelos de administração da TI. O Cobit® em sua primeira versão foi oficialmente lançado em 1996.
Até os dias de hoje, chegamos a sete versões do Cobit® criadas ao longo do seu processo evolutivo.
Quando ele foi criado em 1994, o seu foco era auditoria, devido às fortes influências da Isaca e do Coso
na formação do framework, bem como em seus processos, objetivos e práticas.
117
Unidade III
A segunda versão do Cobit® sofreu uma influência ainda maior do Coso e teve um viés muito forte
em controles. Ela foi lançada pela Isaca em 1998 e começou a dar ênfase na ideia de objetivos de
controle como fatores críticos de sucesso para o sistema de governo da TI.
A terceira versão foi lançada em 2000 com foco no gerenciamento da TI. Nesse dado momento
da evolução da Cobit®, o framework sofre grandes influências dos modelos de gestão de TI (Itil®, por
exemplo). É também a partir dessa versão que a Isaca cria o Instituto de Governança de TI, conhecido
como ITGI®. O ITGI® funcionou até a versão 5 do framework como uma divisão da Isaca, responsável por
administrar o Cobit®.
O Cobit® 4 foi lançado em 2005 e, em 2007, sofreu uma atualização com a versão 4.1. O foco dessas
versões foi, de fato, a governança de TI de forma geral e a aderência às normas e regulamentações como
a Lei Sarbanes-Oxley, por exemplo. Também nessa versão encontramos um forte alinhamento do Cobit®
com inúmeros padrões modernos de gestão de TI, abrangendo projetos, serviços, processos, segurança
da informação, dentre outros.
Observação
Em 2012 a Isaca lança o Cobit® na sua versão 5. Ela recebeu forte influência da norma ISO 38500:2008,
estabelecendo as diferenças entre governança e gestão (até então um conceito pouco claro na versão 4.1).
O Cobit® 5 também trouxe o conceito inovador de habilitadores, além de apresentar guias profissionais
para segurança da informação, risco, garantia, avaliação e implementação.
Saiba mais
No ano de 2019, a Isaca lança uma nova versão do Cobit® e deixa de utilizar uma numeração
sequencial de versões, utilizando agora as novas edições de acordo com o ano de lançamento. Assim,
chega ao mercado corporativo o Cobit® 2019, apresentado agora como um modelo para governança
corporativa de informações e tecnologia, utilizando o acrônimo Egit, que significa Enterprise Governance
of Information and Technology.
118
GOVERNANÇA CORPORATIVA DE TI
Saiba mais
Uma segunda característica do Cobit® é a utilização de métricas e indicadores. Estes são utilizados
não apenas para a área de TI de uma forma macro, mas também para práticas, processos e recursos de
TI. Os indicadores e métricas apresentados pelo Cobit® permitem medir a aderência da TI às estratégias
de negócio e, assim, propiciar a entrega de valor.
A forma integrada e única que o framework se apresenta pode ser compreendida como uma
terceira característica do Cobit®. Percebemos essa característica por meio dos outros modelos, que são
referenciados nas contínuas versões do Cobit® implementadas ao longo de anos pela Isaca.
119
Unidade III
O modelo Cobit® é um dos mais completos encontrados na área da TI. Dessa forma, encontramos
aplicabilidade nas mais diversas oportunidades dentro das empresas. Dentre as aplicações, Fernandes e
Abreu (2014) mencionam:
Ainda é possível citar inúmeros benefícios alcançados por meio da aplicação do Cobit® nas
organizações. Fernandes e Abreu (2014, p. 226) mencionam os seguintes benefícios:
Lançada em 2007, a versão 4.1 tem o seu foco na governança de TI e aprimora a sua versão anterior,
sendo totalmente aderente às regulamentações de mercado e ao controle interno preconizado pelo
Coso. O Cobit® 4.1 apresenta como principais características: foco no negócio; orientação a processos;
orientação por métricas; e fundamentação em controles.
Segundo o ITGI (2007), essa versão tem por princípio que os requisitos de negócios direcionem os
investimentos nos recursos de TI, que, por sua vez, são utilizados pelos processos de TI para gerar a
informação organizacional requisitada pelo negócio. A figura a seguir apresenta esses princípios básicos
do Cobit® 4.1.
Requisitos de
os quais negócios direcionam
respondem a investimentos em
O Cobit® 4.1 é muito focado em processos, e eles são dispostos em quatro domínios que objetivam
ações de planejamento, construção, processamento e monitoramento. A estrutura de processos é a base
do framework nessa versão, que tem os seus domínios apresentados a seguir:
121
Unidade III
Adquirir Entregar
e implementar e suportar
Monitorar e avaliar
Domínios
Informações
Aplicativos
Processos de TI
Processos
I
Atividades d eT
u rsos
Re c
122
GOVERNANÇA CORPORATIVA DE TI
Os processos do Cobit® 4.1 com seus respectivos códigos podem ser vistos a seguir:
123
Unidade III
O terceiro componente da estrutura do Cobit® 4.1 é formado pelos recursos de TI, que são a base
para a execução dos processos de TI. Os recursos de TI descritos no Cobit® 4.1 são: aplicativos (sistemas
automatizados utilizados pelo usuário); informações (conjunto de dados estruturados que geram valor
para o usuário); infraestrutura (conjunto de recursos tecnológicos que possibilitam o processamento de
aplicativos); e pessoas.
6.2.3 Cobit® 5
O Cobit® teve a sua versão 5 lançada em 2012 como um modelo para governança e gestão de TI. Ele
apresenta algumas diferenças quando comparado com a versão 4.1, e os benefícios obtidos por meio de
sua implementação são maiores. Dentre eles, a Isaca (2012) menciona:
• Atingimento de metas estratégicas e entrega de benefícios de negócio por meio do efetivo uso da
TI, gerando assim ganho de valor dos investimentos em TI.
124
GOVERNANÇA CORPORATIVA DE TI
• Guia profissional para segurança da informação (Cobit® 5 for Information Security): guia
essencial nas operações diárias das empresas mencionando questões de segurança da informação.
• Guia profissional para risco (Cobit® 5 for Risk): guia de orientação específica sobre os
riscos de TI.
• Guia profissional para garantia (Cobit® 5 for Assurance): guia centrado na garantia,
fornecendo orientações mais detalhadas e práticas para os profissionais de certificação e outras
partes interessadas em todos os níveis da empresa sobre como utilizar o Cobit® 5 para suportar as
atividades de garantia de TI.
125
Unidade III
Cobit® 5
Cobit® 5
Cobit® 5 Outros guias de
Habilitador
Habilitador Processos habilitadores
Informação
O Cobit® 5 é estruturado a partir de cinco princípios, que podem ser vistos a seguir:
1. Atender às
necessidades
das partes
interessadas
5. Distinguir a 2. Cobrir a
governança da empresa de
gestão ponta a ponta
Princípios do
Cobit® 5
4. Permitir 3. Aplicar um
uma abordagem framework único
holística e integrado
apresenta a cascata de objetivos, que auxilia no desdobramento de objetivos corporativos de alto nível
em objetivos de TI, e estes, por sua vez, em práticas para a área de TI. A figura a seguir apresenta a
cascata de objetivos do Cobit® 5.
Influencia
Desdobra em Apêndice D
Desdobra em Apêndice B
Objetivos de TI Figura 6
Desdobra em Apêndice C
Objetivos de habilitador
O quarto princípio apresenta o Cobit® por meio de uma abordagem holística de habilitadores, como
componentes interligados. O Cobit® 5 apresenta sete habilitadores que ajudam a atingir objetivos
estratégicos da organização. Esses são considerados também componentes do Cobit® 5 e podem ser
vistos a seguir:
127
Unidade III
6. Serviços, 7. Pessoas,
5. Informação infraestrutura e habilidades e
aplicativos competências
Recursos
O quinto e último princípio apresenta as diferenças entre governança e gestão, colocando as duas
disciplinas de formas completamente diferentes. Esse princípio pode ser verificado inclusive no modelo
dos processos do Cobit® 5, que é composto de um domínio de governança (avaliar; dirigir; monitorar) e
quatro domínios de gestão (planejar; construir; entregar; monitorar).
Necessidades do negócio
Governança
Avaliar
Gestão
128
GOVERNANÇA CORPORATIVA DE TI
O Cobit® 5 apresenta 37 processos agrupados nesses domínios, conforme pode ser visto a seguir:
Processos de governança corporativa de TI
Avaliar, dirigir e monitorar
EDM01 garantir EDM05 garantir
a definição e EDM02 garantir EDM03 garantir EDM04 garantir transparência
manutenção a fiscalização de a otimização do a otimização dos para as partes
do modelo de benefícios risco recursos
governança interessadas
129
Unidade III
? 1. Q u ai s
inâmica são o
s e ssa d s di
m o rec
n te i on
ma cia In ad
á pro iciar o
ore
mo efic s?
Co gra
ra ma
isa
7.
A nal Est
r o d abele
e c
nte mu sejo d er
Ma dan e
Definir punidades
2
s
ça
. On
e oport
l á?
benefício
Rec
e n on
rar ece hecer
de es
mos
nito r
impleme
ss a
Mo nalisa de a idade
no va r
ens
6. Já chega
equipe d ção
Formar e
ra
Gestão do programa
tamos ag
a gir
roblema
abordags
Incorpo
(anel externo)
Avaliaroo
Operar e
Realizar
estad
medir
atual
nta
Capacitação da mudança
ora?
a
(anel intermediário)
s
sta ir
Im
o e efin
alv do
Ciclo de vida de melhoria contínua
ple
D
me
o
me ias
(anel interno)
Op
ad r
lho
nta
ult ca
Construir
o
r
era
es ni
melhorias
aç de
o r omu
re
Ex
ão
nt ia
ec
us
me gu
Identificar
ut
ar?
5. C
ar
ar
ple r o
os papéis das
est
o
mo
op
im ni
os
partes
fi
rem
c
lan
De
he
ue
ga
eq
rem
os d
lá? On
Planejar o programa 3.
4 . O qu
e precisa ser feito?
O quadro a seguir apresenta o detalhamento das fases do ciclo de vida de implementação do Cobit® 5.
130
GOVERNANÇA CORPORATIVA DE TI
Exemplo de aplicação
Resumo
131
Unidade III
Exercícios
Estratégia e Metas de
organização da Arranjos de governança de TI desempenho do
empresa negócio
Mecanismos de governança de TI
Organização Métricas e
de TI e
comportamentos Decisões responsabilidades
desejáveis de TI de TI
A) I, apenas.
B) II, apenas.
C) III, apenas.
D) I e III, apenas
E) I, II e III.
I – Afirmativa correta.
II – Afirmativa incorreta.
Justificativa: segundo Weill e Ross (2006), no componente intitulado arranjos de governança de TI,
deve estar presente o que chamamos de matriz de arranjos de governança de TI da organização, na qual
estão estabelecidos os responsáveis pela tomada de decisão, a arquitetura de TI, a infraestrutura de TI,
os requisitos de aplicação de negócio e as necessidades de investimentos de TI.
Questão 2. Considere as ações indicadas a seguir, relativas às etapas a serem feitas para obtermos
eficácia na governança de TI.
Ação 1. Verificar se as metas de desempenho estão sendo alcançadas e ver se devem ser feitas
alterações na matriz de arranjos de governança da organização.
133
Unidade III
Análise da questão
Com base em Weill e Ross (2006), a ordem correta com que as ações devem ser praticadas é a
mostrada a seguir:
Ação 1. Verificar se as metas de desempenho estão sendo alcançadas e ver se devem ser feitas
alterações na matriz de arranjos de governança da organização.
134