Cobit

GOVERNANÇA CORPORATIVA DE TI
Unidade III
5 MODELOS E PRÁTICAS DE GOVERNANÇA CORPORATIVA DE TI
Você já deve ter percebido a sequência lógica deste livro-texto. Iniciamos abordando a governança
corporativa, incluindo todos os seus fundamentos e lastreando a base conceitual para abordarmos a
governança corporativa de TI. Na sequência, exploramos as definições de governança de TI com foco nos
seus motivadores, no seu histórico e nos seus fundamentos. Abordamos o ciclo da governança de TI, além
dos papéis, responsabilidades e funções, principalmente envolvendo o processo de tomada de decisão.
Agora vamos ver os modelos de governança corporativa de TI. Esses modelos apresentam um conjunto
de boas práticas que auxilia em um melhor governo da TI nas organizações. Começaremos pelo modelo de
governança utilizado no Center for Information Systems Research (CISR), do Massachusetts Institute of
Technology (MIT), apresentado por Weill e Ross (2006). Depois passaremos ao modelo estabelecido por
Fernandes e Abreu (2014) e, por último, mencionaremos o modelo descrito na norma ISO 38500:2018.
O modelo Cobit®, sem dúvidas o mais conhecido, será abordado mais adiante. Apresentaremos também
modelos que suportam a governança de TI nos mais diversos aspectos da área de TI: análise de negócios;
processos de TI; arquitetura de TI; projetos de TI; e serviços de TI.
5.1 Modelos e frameworks de governança de TI
5.1.1 Modelo e melhores práticas de governança de TI desenvolvidos pelo CISR do MIT

Boa parte do trabalho do CISR destinado à governança de TI pode ser observada em Weill e Ross (2006).
O trabalho se baseia na ideia de sistema de governo de TI como a especificação de direitos decisórios
e com um framework (modelo) composto de seis componentes básicos interligados e harmonizados:
estratégia e organização da empresa; arranjos de governança de TI; metas de desempenho do negócio;
organização da TI e comportamentos desejáveis; mecanismos de governança de TI; e métricas e
responsabilidades de TI. A figura a seguir apresenta esse modelo.
Estratégia e Metas de
organização da Arranjos de governança de TI desempenho do
empresa negócio
Mecanismos de governança de TI
Organização Métricas e
de TI e
comportamentos Decisões responsabilidades
desejáveis de TI de TI
Harmonizar o quê? Harmonizar como?
Figura 19 – Framework de governança de TI
Adaptada de: Weill e Ross (2006).
93
Unidade III
O primeiro componente do modelo é definido como estratégia e organização da empresa. Na

verdade, é onde tudo começa em matéria de governança de TI, compreendendo a visão de longo prazo
da empresa e os comportamentos desejáveis sob o aspecto corporativo. Nesse componente devem ser
incluídos todos os norteadores estratégicos empresariais do negócio.
O segundo componente, arranjos de governança de TI, é definido e está em conformidade com o

que foi acordado pelo primeiro componente. Nesse componente encontramos estruturada a Matriz de
Arranjos de Governança de TI da organização e apresentam-se os responsáveis pela tomada de decisão
em princípios de TI, a arquitetura de TI, a infraestrutura de TI, as necessidades de aplicação de negócio
e os investimentos de TI.
Ainda na parte superior do modelo, encontramos o terceiro componente, que é representado pelas
metas de desempenho do negócio. Aqui encontramos de forma clara metas e objetivos de desempenho
corporativos, que servirão de base para a criação de metas e objetivos de TI.
Agora, abordando a porção inferior do modelo, encontramos os desdobramentos mais concretos

para dentro da área de TI. Comecemos pelo quarto componente, que é a organização de TI e
comportamentos desejáveis. Esse componente é a forma de harmonizar os fundamentos estratégicos
do negócio dentro da área de TI, ou seja, organizando-a e definindo comportamentos harmonizados
com a governança corporativa.
O componente de número cinco é formado pelos mecanismos de governança de TI. Ele expressa a
forma como harmonizamos os arranjos de governança de TI definidos pela alta direção. Definimos aqui
estruturas organizacionais, processos e abordagens de comunicação.
O último componente é representado pelas métricas e responsabilidades de TI. Aqui ocorre o

desdobramento e a harmonização das metas de desempenho de negócio em métricas de TI, apontando
a atribuição de responsabilidades da TI, que contribui para a eficácia da governança de TI.
Weill e Ross (2006) apresentam o exemplo de um modelo de governança de TI implementado

na empresa JPMorgan Chase, do segmento financeiro nos Estados Unidos. Esse modelo com os seus
componentes pode ser visto a seguir:
94
Estratégia e organização Arranjos de Metas de desempenho

da empresa governança de TI do negócio
1. Constituir excelência em linhas de 1. O comitê executivo de tecnologia 1. Métricas distintas para cada
negócios individuais. e o conselho de tecnologia decidem: unidade de negócio.
princípios de TI e investimentos
2. Prover soluções integradas aos em TI. 2. Nova linguagem e cultura.
clientes.
2. O conselho de tecnologia e os 3. Retenção de clientes, venda
3. Melhorar a eficiência. parceiros de negócios decidem: cruzada, recrutamento.
4. Beneficiar-se de economia de estratégias e prioridades de TI, além
escala. dos padrões de TI.
5. Desenvolver a cultura "uma firma – 3. Os negócios decidem: necessidades
uma equipe". de aplicações.
6. Aumentar a transparência e a
responsabilidade.
Organização de TI e Mecanismos de Métricas e
comportamentos desejáveis governança de TI responsabilidades de TI
1. Desenvolver aplicações únicas para 1. CIO no comitê executivo. 1. Processo orçamentário do

as unidades de negócio. "encolher para crescer".
2. Vice-chairs no comitê executivo de
2. Criar uma infraestrutura tecnologia. 2. Métricas distintas para cada
compartilhada. unidade de negócio.
3. CIOs das unidade de negócio e
3. Simplificar a arquitetura líderes de infraestrtura formam o 3. ROI para os investimentos.
geral da firma para facilitar o conselho de tecnologia.
compartilhamento, a integração e a 4. Número reduzido de produtos
reutilização. 4. Conselhos de arquitetura e de TI utilizados e eliminação de
engenharia definem os padrões de produtos não aprovados.
4. Implementar padrões técnicos e tecnologia.
de gestão de princípios, incluindo o 5. Certificação na metododologia
Six Sigma. padrão de projetos.
Figura 20 – Modelo de governança de TI do JPMorgan Chase
Ainda segundo Weill e Ross (2006), as organizações que não implementam boas práticas de
governança de TI baseadas em estratégias, atribuição de direitos de decisão e estabelecimento de metas
e métricas têm seu sistema de governo de TI totalmente ineficaz.
Existem pelo menos sete sintomas de ineficácia desses sistemas. São eles:
• Sintoma 1: há pouca importância dada pela alta direção para os investimentos relacionados
à área de TI.
• Sintoma 2: a área de TI não atende às necessidades de negócios, prejudicando as estratégias corporativas.
• Sintoma 3: o processo de tomada de decisão em TI é lento, e os mecanismos utilizados são

inexistentes ou mal concebidos.
95
Unidade III
• Sintoma 4: não há clareza sobre como a área de TI é governada pela alta direção.
• Sintoma 5: os projetos de TI normalmente resultam em fracasso relacionado ao tempo e/ou custo.
• Sintoma 6: compreende processos de terceirização, como a solução rápida de problemas de TI.
• Sintoma 7: quando existe um sistema de governança, ele muda frequentemente, sem

qualquer controle.
Em contrapartida, para vencer a ineficácia no governo da área de TI é necessário combater aquilo

que causa esses sintomas, revisitando e concebendo de forma correta um sistema de governança de TI.
Os passos para essa governança eficaz da TI, baseados no modelo do CISR do MIT, podem ser vistos na
figura a seguir:
Passo 1 – Mapear matriz de arranjos de governança da organização.
– Verificar se as metas de desempenho do negócio estão sendo atingidas.

Passo 2 – Verificar a necessidade de ajustes na matriz de arranjos de governança
visando a melhoria do desempenho.
– Verificar a quantidade e eventuais sobreposições dos mecanismos

Passo 3 de governança de TI.
– Analisar a eficácia dos mecanismos de governança de TI.
Passo 4 – Reajustar matriz de arranjos de governança a partir da análise da "estratégia e

organização da empresa" e das "metas e desempenho do negócio".
Passo 5 – Promover e liderar ajustes na "organização da TI" e nas "métricas e

responsabilidades de TI".
Figura 21 – Passos para a governança de TI eficaz
5.1.2 Modelo baseado no ciclo de governança de TI
Fernandes e Abreu (2014) apresentam um modelo genérico construído a partir do ciclo de governança
de TI, que pode ser aplicado em qualquer empresa que deseja possuir um adequado sistema de governo
para a área de TI. A figura a seguir apresenta um esboço desse modelo com todos os seus componentes.
96
97
Adaptada de: Fernandes e Abreu (2014).
Riscos e compliance
Avaliação independente
Gestão da mudança organizacional
Figura 22 – Modelo genérico baseado no ciclo da governança de TI

Alinhamento estratégico Entrega do valor Gestão do desempenho Comunicação
Diretrizes
Diretrizes
Gerenciamento
de recursos
Clientes/usuários
Plano de TI -
Negócios
Comunicação e reporte de resultados

Resultados para o negócio
Operações de serviços Projetos
Estratégia do negócio
Resultados de TI
Estratégia de TI
Mecanismos
de decisão Portfólio Serviços
Priorização de TI
Orçamento Inovação
Plano de TI -
Investimentos
Internos
Fornecedores
Decisão Estrutura, processos,
Alinhamento Gestão do valor e do desempenho da TI
Priorização operações e gestão
Unidade III
O modelo é formado por componentes típicos de governança, que são: riscos e compliance; avaliação
independente; gestão da mudança organizacional; alinhamento estratégico; entrega de valor; gestão do
desempenho; comunicação; e gerenciamento de recursos.
Existem também os componentes de gestão e operacionais, que são: estratégia do negócio; estratégia
de TI; planos de TI; mecanismos de decisão; portfólio de TI; clientes e usuários; operações de serviços;
fornecedores; resultados da TI; resultados para o negócio; e comunicação e reporte de resultados.
Lembrete
O ciclo da governança de TI é formado pelos seguintes componentes:

alinhamento estratégico; tomada de decisão; estabelecimento de estruturas
e processos; e gerenciamento do valor e do desempenho.
Vamos começar mencionando os componentes típicos da governança de TI constantes no modelo.

Primeiro o componente riscos e compliance, que está relacionado às questões de gestão de riscos
inerentes às ações de TI, bem como às regulamentações internas e externas que afetam a operação da
infraestrutura de TI da organização. Sobre os riscos, a ideia é que a governança de TI se preocupe com
o estabelecimento de um sistema de gestão de riscos, de forma que haja avalição, monitoramento e
resposta ao risco.
Temos como segundo componente típico a avaliação independente, que funciona como um
desdobramento do primeiro componente (riscos e compliance). Ele é de grande importância para
verificar se a área de TI está aderente às práticas, às políticas e aos padrões de mercado. O sistema de
governo de TI precisa estabelecer como se dará essa avaliação por meio, é claro, de uma empresa
de auditoria externa.
Observação
A ideia da auditoria externa da TI é verificar os controles corporativos

aplicados na área de TI.
O terceiro componente típico é a gestão da mudança organizacional. Esta surge da necessidade

de administrar as mudanças promovidas com a implementação da governança de TI. Sobre esse
componente, Fernandes e Abreu (2014) mencionam que a governança de TI traz consigo mudanças
na forma de fazer as coisas, não somente operacionais, mas, principalmente, na forma de gerenciar.
Os autores ainda complementam mencionando que o sucesso da implantação da governança de TI
depende fundamentalmente de um gerenciamento da mudança organizacional. O processo de mudança
gerado pela governança de TI é altamente influenciado por seis fatores: comunicação; visão; motivação;
competência; recursos; e plano de ação. A figura a seguir apresenta os resultados encontrados quando
não temos um desses fatores considerados.
98
Fatores considerados no processo de mudança

Efeito produzido
Comunicação Visão Motivação Competência Recursos Plano de ação
x x x x x x → Mudança consistente
x x x x x → Desconfiaça
x x x x x → Confusão
x x x x x → Mudança lenta
x x x x x → Ansiedade
x x x x x → Frustração
x x x x x → Indecisão
Figura 23 – Elementos da mudança organizacional e os efeitos produzidos
Adaptada de: Fernandes e Abreu (2014).
O quarto e o quinto componentes típicos são, respectivamente, alinhamento estratégico

e entrega de valor. Eles são de grande importância e caros para a governança de TI, e já foram
mencionados anteriormente.
Lembrete
O alinhamento estratégico é crítico para a concretização da entrega de
valor por parte da TI para os negócios, além de ser um dos processos mais
importantes da governança de TI.
O sexto componente típico é a gestão do desempenho, que está relacionado às formas de

medição e de uso de indicadores de governança de TI. Essas medições e indicadores estão relacionados
diretamente à TI e/ou relacionados diretamente aos negócios. Na primeira forma de indicadores
(relacionados diretamente à TI), medimos processos específicos de TI, como a quantidade de incidentes
ocorridos em um dia. Na segunda forma de indicadores (relacionados diretamente aos negócios),
medimos impactos diretos nas aplicações de negócio, por exemplo, o tempo de indisponibilidade de
uma aplicação em um mês.
Observação
Podemos utilizar diversas ferramentas para fazer a gestão desses
indicadores. Uma delas é o Balanced Scorecard (BSC), que nos ajuda a criar
um conjunto de indicadores balanceados nas perspectivas financeiras, do
cliente, dos processos internos, do aprendizado e do crescimento.
O sétimo componente típico da governança de TI é a comunicação, considerado um dos mais críticos

dentro da governança e da gestão. Fernandes e Abreu (2014) mencionam que a comunicação é importante
para transmitir o valor entregue pela TI ao negócio por meio do seu desempenho. Os autores apresentam
o dashboard como uma ferramenta gráfica que comunica, por meio de painéis, os indicadores desejados
pelos usuários.
99
Unidade III
O quadro a seguir apresenta temas de interesse a serem colocados em dashboards de governança de

TI e os indicadores e informações que podem ser inseridos.
Quadro 21 – Temas e indicadores de dashboards de governança de TI
Temas principais Indicadores/informações

Retorno do investimento do projeto, atendimento a metas de negócios e
Criação de valor outros benefícios qualitativos.
Cumprimento das demandas no portfólio de TI.
Alinhamento de TI
Indicadores de resultados e de progresso do BSC.
Satisfação dos clientes e usuários Índice de satisfação dos clientes e usuários por serviço.
Disponibilidade de aplicações e serviços de TI.
Eficiência do atendimento e suporte aos usuários.
Entrega de projetos nos prazos acordados com os gestores.
Excelência operacional e Produtividade da TI.
níveis de serviço
Índices de qualidade do desenvolvimento.
Índices de qualidade dos serviços de TI.
Custos dos serviços.
Índice de conformidade com regulamentos internos e externos.
Compliance
Índice de conformidade da avaliação independente.
Principais riscos de TI para o negócio (probabilidade e impacto).
Riscos da TI para o negócio
Montante de exposição ao risco.
Curva S do projeto.
Projetos prioritários de TI
Status do projeto.
Índice de cumprimento do orçamento de TI para a unidade de negócio.
Gerenciamento de recursos e
portfólio de TI Alocação de recursos pelo portfólio de TI.
Disciplina orçamentária.
Demanda Percentual de backlog em relação à demanda total.
Indicadores de treinamento e capacitação do pessoal.
Potencial de futuro
Pessoal certificado.
Indicadores de qualidade dos fornecedores.
Capacidade de recursos computacionais para a expansão do negócio.
Prontidão
Maturidade dos processos de TI.
Razão de terceiros sobre o total de pessoal empregado.
Indicadores de inovação para os processos de negócio.
Inovação Indicadores de inovação tecnológica.
Inovação em TI.
Adaptado de: Fernandes e Abreu (2014).
Completando os componentes típicos da governança de TI, encontramos o gerenciamento de

recursos. Ele consiste na administração de todos os recursos de TI envolvendo o portfólio como um
todo, incluindo os investimentos relacionados à TI.
100
Saiba mais
Para conhecer um pouco mais sobre o modelo baseado no ciclo da

governança de TI, leia o capítulo 3 do livro a seguir:
FERNANDES, A. A.; ABREU, V. F. Implantando a governança de TI. Rio de

Janeiro: Brasport, 2014.
5.1.3 Modelo baseado na norma ISO 38500:2018
A International Organization for Standardization (ISO) conjuntamente com a International

Electrotechnical Commission (IEC) lançou, em 2008, a primeira edição da sua norma para governança
corporativa de TI. A princípio, ela foi baseada no padrão australiano conhecido como AS 8015, que
estabeleceu, em 2015, os padrões para governança corporativa da Tecnologia da Informação e da
Comunicação para as empresas da Austrália.
A ISO/IEC lançou uma segunda edição dessa norma em 2015, que foi publicada pela ABNT em 2018 com
pequenas alterações quando comparadas à versão de 2008. O objetivo principal da ISO 38500:2018 é
trazer um conjunto de princípios que, associados a tarefas, trazem as práticas de governança de TI para
as organizações de qualquer porte, públicas ou privadas. Essa norma integra uma família de padrões da
ISO dedicada apenas à governança e à gestão de TI. O quadro a seguir apresenta essa família de normas
da ISO para governança e gestão de TI.
Quadro 22 – Família de normas de gestão e governança de TI da ISO
Norma Escopo
38500 Governança de TI.
38501 Guia de implementação da governança de TI.
38502 Framework de governança de TI.
38503 Avaliação da governança de TI.
38504 Princípios básicos de governança de TI.
38505-1 Aplicações da governança de dados.
38505-2 Gerenciamento e governança de dados.
38506 Governança de investimentos de TI.
38507 Implicações da governança no uso da inteligência artificial.
A norma ISO 38500:2018 funciona como uma “mãe” das outras normas e promove o uso eficiente e
eficaz da TI, garantindo a confiança dos stakeholders na TI. Ela também traz um conjunto de informações
e orientações para aqueles que exercem o governo da TI em uma empresa.
101
Unidade III
A figura a seguir apresenta o desenho do modelo de governança de TI estabelecido pela norma com
os seus componentes fundamentais. O modelo consiste primariamente na execução de três tarefas
de governança de TI, que são: avaliar; dirigir; e monitorar. Essas tarefas sofrem pressões externas das
autoridades da organização (alta direção e conselho de administração), das obrigações regulatórias
(por exemplo, a SOX), das necessidades de negócio (novas aplicações que atendam às necessidades de
negócio) e das expectativas das partes interessadas (entrega do valor) e do negócio, de forma geral
(ABNT, 2018).
Fonte de
autoridade
Obrigações Expectativas das

regulatórias A estrutura partes interessadas
de governança
Pressões do Necessidades
negócio do negócio
Avaliar
Dirigir Monitorar
Propostas e planos
Estratégias e
políticas
Desempenho e
conformidade
Gerentes
Sistemas de gerenciamento do uso da TI
Figura 24 – Modelo da governança de TI da ISO 38500:2018
Adaptada de: ABNT (2018).
A tríade avaliar-dirigir-monitorar está diretamente relacionada ao sistema de gerenciamento da TI

(ABNT, 2018).
• Na tarefa dirigir são estabelecidas estratégias e políticas que influenciam a gestão de TI, bem como
toda orientação para implementá-las, garantindo que o uso da TI atenda aos objetivos do negócio.
• Na tarefa avaliar ocorre um processo de análise do uso da TI no que tange a planos e propostas
construídos a partir das informações oriundas da gerência da TI.
• Na tarefa monitorar são aferidos o desempenho e a conformidade da TI, bem como o atendimento
das políticas e o desempenho em relação aos planos projetados.
102
5.1.4 Princípios e práticas da norma ISO 38500:2018
A norma ISO 38500:2018 estabelece um conjunto de princípios que apresentam comportamentos

que auxiliam no processo de tomada de decisão em TI. Os princípios são:
• Princípio 1 (responsabilidade): apresenta a necessidade de estabelecer papéis, responsabilidade

e exercício de autoridade no governo da área de TI, bem como a sua comunicação clara.
• Princípio 2 (estratégia): apresenta a necessidade de existência de uma estratégia de TI totalmente

alinhada às estratégias de negócios, atendendo necessidades atuais e futuras.
• Princípio 3 (aquisição): apresenta a importância de voltar a atenção da governança da TI para

os processos de aquisição, inclusive de contratação de terceiros.
• Princípio 4 (desempenho): apresenta a necessidade de medir sempre e constantemente o

desempenho da TI, comparando o executado com o planejado.
• Princípio 5 (conformidade): apresenta a necessidade de atender aos requisitos regulatórios, de

conformidade e de compliance dentro da área de TI.
• Princípio 6 (comportamento humano): apresenta a necessidade da gestão adequada das pessoas

dentro da área de TI, bem como a consideração de questões de ordem humana na execução
das tarefas.
Assim, a partir dos princípios e das tarefas do ciclo avaliar-dirigir-monitorar, estabelece-se um

conjunto de práticas. O quadro a seguir apresenta algumas dessas práticas, dispostas como uma matriz,
relacionando linhas (tarefas) e colunas (princípios).
Quadro 23 – Modelo da governança de TI da ISO 38500:2018
Comportamento
Responsabilidade Estratégia Aquisição Desempenho Conformidade humano
Práticas de
Práticas de Práticas de Práticas de Práticas de
Práticas de avalição avalição
avalição avalição avalição avalição
Avaliar considerando considerando
considerando considerando considerando considerando
o princípio da o princípio do
o princípio da o princípio o princípio do o princípio da
responsabilidade. comportamento
estratégia. da aquisição. desempenho. conformidade. humano.
Práticas Práticas Práticas Práticas Práticas de direção
Práticas de direção de direção de direção de direção de direção considerando
Dirigir considerando considerando considerando considerando considerando o princípio do
o princípio da o princípio da o princípio o princípio do o princípio da comportamento
responsabilidade. estratégia. da aquisição. desempenho. conformidade. humano.
Práticas de
Práticas de Práticas de Práticas de Práticas de Práticas de monitoração
monitoração monitoração monitoração monitoração monitoração
Monitorar considerando
considerando considerando considerando considerando considerando o princípio do
o princípio da o princípio da o princípio o princípio do o princípio da comportamento
responsabilidade. estratégia. da aquisição. desempenho. conformidade. humano.
Adaptado de: ABNT (2018).
103
Unidade III
Saiba mais
Para conhecer as práticas de governança, adquira:
ABNT. NBR ISO/IEC 38500: tecnologia da informação – governança da

TI para a organização. Rio de Janeiro: ABNT, 2018.
5.2 Modelos que suportam a governança de TI
5.2.1 A relação entre modelos de governança de TI e de suporte à governança de TI
Os modelos e frameworks comentados até agora são utilizados para o governo da área de TI. Eles
estabelecem uma forte ligação entre as áreas de negócios, a alta direção e a área de TI, apresentando, em
uma visão macro, como a tecnologia da informação e as suas estratégias devem ser dirigidas, avaliadas
e monitoradas em uma visão mais executiva.
Os princípios e as práticas apresentados como boas práticas por esses modelos devem ser desdobrados
na TI como um todo no nível de gestão. É justamente nesse desdobramento que começa o trabalho
dos modelos de suporte à governança de TI, adentrando cada contexto específico de TI (serviços de TI,
projetos de TI, terceirizações em TI, aplicações de TI, processos de TI, qualidade de software, análise de
negócios de TI, gestão de dados, dentre outros).
Observação
Podemos nos referir a esses contextos específicos como “subáreas” de TI

ou áreas internas de TI. Assim, temos a área interna de serviços de TI, a área
interna de projetos de TI etc.
O quadro a seguir apresenta uma relação desses modelos de melhores práticas, bem como o seu
escopo específico dentro dos contextos da TI, ou seja, nas áreas internas da TI.
Quadro 24 – Modelos de suporte à governança de TI
Modelos Escopo do modelo

Business Analysis Body of Knowledge Guia de conhecimento para a prática de análise de negócio.
(Babok®)
Business Process Management Body Corpo de conhecimento para o gerenciamento de processos de negócio.
of Knowledge (BPM CBOK®)
The Open Group Architecture Modelo que trata o desenvolvimento e a evolução de arquiteturas de TI.
Framework (Togaf®)
Projects in Controlled Environments Metodologia de gerenciamento de projetos.
(Prince2®)
104
Modelos Escopo do modelo

Project Management Body Of Base de conhecimento em gestão de projetos.
Knowledge (PMBOK®)
Information Technology Serviços de TI, segurança da informação, gerenciamento da
Infrastructure Library (Itil®) infraestrutura, gestão de ativos e aplicativos etc.
Capability Maturity Model Integration Desenvolvimento de produtos e projetos de sistemas e software.
(CMMI®)
Melhoria de Processos do Software Modelo brasileiro para a melhoria do processo de software.
Brasileiro (MPS.br)
Trata dos princípios e guias para o gerenciamento de riscos para as
ISO 31000:2018 organizações.
Norma abordando requisitos e melhores práticas para o gerenciamento
ISO 20000:2018 de serviços de TI.
ISO 27001:2013 e ISO 27002:2013 Requisitos e código de prática para a gestão da segurança da informação.
eSourcing Capability Model (eSCM®) Outsorcing em serviços que usam TI de forma intensiva.
Organizational Project Management Modelo de maturidade para o gerenciamento de projetos.
Maturity Model (OPM3)
Scrum Método ágil para o gerenciamento de projetos.
Balanced Scorecard (BSC) Metodologia de planejamento e gestão da estratégia.
Six Sigma Metodologia para melhoria da qualidade de processos.
Statement on Auditing Standards Regras de auditoria para empresas de serviços.
(SAS) No. 70
5.2.2 Modelo Babok®
Comecemos agora a mencionar alguns modelos destacados anteriormente. Comecemos pelo

Babok®, que foi criado em 2005 pelo Instituto Internacional de Análise de Negócios, também
conhecido como IIBA, com versões publicadas em 2005 (versão 1.4), 2006 (versão 1.6) e 2009 (versão 2.0).
A versão 3 foi lançada em 2015, acompanhada de uma extensão para métodos ágeis.
Além do Babok®, o IIBA mantém uma série de publicações voltadas para análise e estratégia
relacionadas à tecnologia da informação e de dados. O IIBA foi criado em outubro de 2003 em Toronto
(Canadá) com o objetivo de apoiar a emergente comunidade de análise de negócios, por meio de
iniciativas como a criação e o desenvolvimento da consciência e do reconhecimento da contribuição do
analista de negócios.
Observação
É perceptível um grande crescimento do IIBA no Brasil. Já são sete

capítulos (filiais) situados em São Paulo, Rio de Janeiro, Belo Horizonte,
Porto Alegre, Curitiba, Brasília e Recife.
A ideia do Babok® é apresentar a análise de negócios como um conjunto de tarefas e técnicas

utilizadas para servir como ligação entre as partes interessadas no intuito de compreender a estrutura,
as políticas e as operações de uma organização, e para recomendar soluções que permitam que a
organização alcance seus objetivos (IIBA, 2015).
105
Unidade III
Essa análise de negócios é composta por seis elementos principais. São eles:
• Mudanças (changes): é a ação que ocorre para atender à necessidade e transformar o contexto
de forma controlada.
• Soluções (solutions): é o resultado da análise que vai resolver o problema ou aproveitar a

oportunidade.
• Contexto (contexts): é formado pela cultura, pelos processos e pelas regras da organização que
influenciam na análise de negócio.
• Valor (value): é formado pelos benefícios que são entregues às pessoas.
• Partes interessadas (stakeholders): são aqueles que precisam ter os seus requisitos atendidos.
• Necessidades (needs): pode ser um problema a ser resolvido ou uma oportunidade a ser aproveitada.
Os elementos principais podem ser vistos a seguir:
Changes
Needs Solutions
Stakeholders Contexts
Value
Figura 25 – Elementos da análise de negócios
Adaptada de: IIBA (2015).
O Babok® apresenta um conjunto de práticas geralmente aceitas no campo de análise de negócios,

não se tratando de uma imposição para todos os casos, mas de um conjunto de técnicas inovadoras que
pode agregar valor à análise de negócio. Essas práticas estão distribuídas em seis áreas de conhecimento:
106
planejamento e monitoramento da análise de negócios; análise da estratégia; elicitação e colaboração;

gerenciamento do ciclo de vida dos requisitos; análise de requisitos e definição de desenho; e avaliação
da solução (IIBA, 2015).
A primeira área de conhecimento é o planejamento e monitoramento da análise de negócios, que

tem como objetivo planejar a abordagem, as atividades e a comunicação da análise de negócios, além de
conduzir a análise das partes interessadas e gerenciar o desempenho da análise de negócios.
A segunda área de conhecimento é a análise da estratégia, que se preocupa com os cenários atuais
e o projeto para o futuro. Ela também contempla uma avaliação de riscos e a definição das estratégias
de mudanças, considerando os seus impactos e os motivos para a mudança.
A elicitação e colaboração é a terceira área de conhecimento e, ao pé da letra, significa “trazer à

tona”, “expor”. É considerada uma área-chave porque expõe os requisitos das partes interessadas por
meio de: brainstorming; análise documental; grupos focais; análise de interface; entrevistas; observação;
prototipagem; workshop de requisitos; pesquisa; e questionário.
A quarta área de conhecimento trata do gerenciamento do ciclo de vida dos requisitos,

preocupando-se com o rastreamento, com a manutenção e com a priorização dos requisitos. Aqui
ocorre a administração eficiente dos requisitos a partir de um ciclo de vida.
A análise de requisitos e definição de desenho está relacionada às tarefas de exame dos requisitos
declarados com o objetivo deliberar quais capacidades uma solução potencial deve possuir para atender
às necessidades das partes interessadas. A análise de requisitos descreve a priorização e elaboração
progressiva dos requisitos das partes interessadas e da solução para permitir que a equipe da iniciativa
ou projeto implemente a solução que deverá atender à necessidade do negócio.
A avaliação da solução é a área de conhecimento que define as tarefas voltadas para a garantia de
atendimentos das necessidades do negócio por parte das soluções implementadas. Nessa área também
se verificam as limitações das soluções e da organização.
Ainda é importante acrescentar que o Babok® estabelece a análise de negócios a partir de cinco
perspectivas e, em cada uma delas, encontramos técnicas, tarefas e ferramentas recomendadas. As perspectivas
são: Business Intelligence (BI); Tecnologia da Informação (TI); gerenciamento de processos de negócio;
arquitetura de negócios; e ágil (IIBA, 2015).
Saiba mais
Para conhecer um pouco mais sobre o Babok®, leia:
IIBA. Babok®: a guide to the business analysis body of knowledge. 3. ed.

Pickering: IIBA, 2015.
107
Unidade III
5.2.3 Modelo BPM CBOK®
Continuando a nossa passagem pelos modelos que suportam a governança de TI, avancemos
agora conhecendo um pouco sobre o BPM CBOK®. Ele foi desenvolvido pela Association of Business
Process Management Professionals (ABPMP), que, traduzindo para o português, significa Associação
de Profissionais de Gerenciamento de Processos de Negócio. A ABPMP é uma associação profissional
sem fins lucrativos que atua de forma independente de fornecedores, orientada e conduzida por
profissionais e dedicada ao desenvolvimento dos conceitos de gerenciamento de processos de negócio
e suas práticas. Ela foi fundada em 2003 nos Estados Unidos e possui capítulos espalhados por todo o
mundo, inclusive no Brasil.
O BPM CBOK® é o Guia para o corpo comum de conhecimentos sobre BPM (Business Process
Management). Ele apresenta boas práticas e lições aprendidas e praticadas pelas organizações visando
auxiliar o profissional de gestão de processos de negócio (ABPMP, 2019). O guia fornece um documento
de consulta básica para os profissionais de processos de negócio. Sua finalidade principal é identificar e
fornecer uma visão geral das áreas de conhecimento que são geralmente reconhecidas e aceitas como
melhores práticas. Ele fornece links e referências para outras fontes de informação, que são parte do
corpo mais amplo de conhecimentos comuns de BPM (ABPMP, 2019).
Observação
Uma disciplina emergente como o BPM encontra grupos diferentes

que utilizam a linguagem de maneiras distintas e que resultam em
definições conflitantes sobre os termos, o que pode causar confusão sobre
diversos termos.
O guia BPM CBOK® pode ser utilizado como uma referência para os profissionais de processos na
realização de suas tarefas de gerenciamento de processos de negócio. Ele está estruturado em áreas de
conhecimento, habilidades e técnicas (FERNANDES; ABREU, 2014).
• Primeira área de conhecimento: gerenciamento de processos de negócio. Trata dos conceitos

fundamentais de BPM. Um dos maiores ganhos que essa área de conhecimento traz para a
comunidade profissional internacional é o estabelecimento formal de que BPM é uma disciplina
de gestão, e não apenas uma tecnologia de software (BPMS).
• Segunda área de conhecimento: modelagem de processos. Essa área trata do conjunto crítico
de habilidades e processos que habilitam pessoas a compreender, comunicar, medir e gerenciar os
componentes primários de processos de negócio. Isso envolve a modelagem de processos, e não
apenas a sua diagramação.
108
• Terceira área de conhecimento: análise de processos. Essa área está relacionada às atividades,
aos princípios e às técnicas utilizados para a compreensão dos processos de negócio. É nessa área
de conhecimento que se ratificam o momento e a necessidade de buscar uma visão real do atual
estado dos processos.
• Quarta área de conhecimento: desenho de processos. Trata da criação das especificações para
processos de negócio após a realização da sua análise, cobrindo desde as atividades e técnicas
mais essenciais até as atividades mais específicas, tal qual a simulação de cenários. É nessa área
de conhecimento que os princípios de desenho de processos de negócio são estabelecidos.
• Quinta área de conhecimento: gerenciamento de desempenho de processos. Trata das definições

de formas de monitoria e gerenciamento do desempenho dos processos. Além disso, estabelece
que seu monitoramento deve estar relacionado ao controle efetivo das operações corporativas e
o seu alinhamento em relação aos objetivos da organização.
• Sexta área de conhecimento: transformação de processos. Trata da transformação dos processos

corporativos de maneira disciplinada e planejada. O objetivo dessa abordagem é assegurar que
os processos continuem suportando os objetivos do negócio e que sua evolução seja tratada de
forma planejada e estruturada por métodos conhecidos e largamente adotados pelo mercado, tais
como Seis Sigma, Lean, TQM, SCOR, VCOR, custeio baseado em atividades, APQC e outros.
• Sétima área de conhecimento: organização de gerenciamento de processos. Trata das mudanças

estruturais decorrentes da aplicação da gestão por processos no ambiente corporativo. Caracteriza
claramente como é uma organização centrada em processos, descrevendo sua estrutura,
organização, gerenciamento e medição a partir dos seus processos primários.
• Oitava área de conhecimento: gerenciamento de processos corporativos – EPM. Trata da

grande necessidade de maximizar resultados dos processos de negócio de acordo com as
estratégias do negócio.
• Nona área de conhecimento: tecnologias de gerenciamento de processos de negócio. Tratam

das tecnologias que facilitam a aplicação prática da disciplina de BPM e, dessa forma, apresentam
a arquitetura comum aos produtos encontrados no mercado atual, bem como as características
específicas que os caracterizam formalmente como ferramentas de execução, monitoria e
gerenciamento de processos, ou Business Process Management Systems/Suites (BPMS).
5.2.4 Modelo Togaf
O modelo Togaf (The Open Group Architecture Framework) é um framework de arquitetura que
fornece métodos e ferramentas para auxiliar na aceitação, na produção e no uso de manutenção de uma
arquitetura empresarial. A princípio, era destinado apenas às questões de tecnologia da informação, mas
teve o seu escopo ampliado ao longo de sua evolução.
109
Unidade III
Observação
Um framework de arquitetura é uma estrutura básica ou um conjunto
de estruturas que pode ser usado para o desenvolvimento de uma gama de
arquiteturas de tipos diferentes, como arquitetura empresarial, de sistemas,
de aplicações, de dados, de processos etc.
A versão 9.2 (lançada em 2018) do Togaf é a mais atual. Segundo Togaf (2018), o modelo é composto
de sete partes:
• Parte 1 (introdução): apresenta os conceitos-chave de arquitetura empresarial de alto nível.

• Parte 2: método de desenvolvimento de arquitetura. Apresenta a metodologia para
desenvolvimento de arquiteturas, que é composta de um roteiro em etapas.
• Parte 3: Guia ADM (Architecture Development Method) e técnicas. Apresenta a coleção de guias
de orientação e técnicas disponíveis para aplicar o Togaf e o método ADM.
• Parte 4: framework de conteúdo de arquitetura. Descreve o metamodelo estruturado para
artefatos de arquitetura, o uso de componentes reutilizáveis da arquitetura e uma visão geral dos
entregáveis típicos de arquitetura.
• Parte 5: contínuo empresarial e ferramentas. Discute taxonomias apropriadas, assim como
ferramentas para categorizar e armazenar as saídas das atividades de arquitetura dentro de
uma empresa.
• Parte 6: modelos de referência Togaf. Fornece uma seleção de modelos de arquitetura de referência.
• Parte 7: framework de capacidade de arquitetura. Discute a organização, os processos, as
habilidades, os papéis e as responsabilidades requeridas para estabelecer e operar uma função de
arquitetura dentro de uma empresa.
Ao nível da modelagem, o Togaf não introduz qualquer notação, mas apenas um conjunto de
princípios e diretrizes. O modelo Togaf aplica-se para o projeto e implementação de arquiteturas
de negócio, de sistemas de informação e de tecnologia.
Segundo Fernandes e Abreu (2014), dentre os benefícios do modelo encontram-se: redução de custos
de desenvolvimento; mais portabilidade das aplicações; melhoria da interoperabilidade; redução da
complexidade da infraestrutura de TI; e flexibilidade para fazer, comprar ou terceirizar as soluções de TI.
5.2.5 Modelos para a gestão de projetos de TI
A gestão de projetos é considerada uma das áreas internas de TI mais importantes, na qual
encontramos o uso de frameworks e metodologias bem conhecidas. Pelo menos três modelos são
bastante utilizados: PMBOK®, Prince2® e Scrum.
110
O guia PMBOK® foi elaborado pelo Project Management Institute (PMI) conjuntamente com
diversos profissionais e especialistas filiados. Teve sua primeira versão em 1996, uma segunda lançada
em 2000, a terceira em 2004 e a quarta em 2008. Em 2013 foi lançada a quinta versão, e em 2017 a
sexta. O principal objetivo desse método é delimitar um conjunto de conhecimentos em gestão de
projetos amplamente reconhecidos como “boa prática”, fornecendo vocabulário comum aos gerentes
de projetos, assim como um guia de processos, ferramentas e técnicas extremamente úteis na condução
dos projetos de uma organização.
O PMBOK® apresenta um projeto gerenciado por meio de um ciclo de vida entrelaçado com áreas de
conhecimento. O ciclo de vida do gerenciamento do projeto é o conjunto de processos que necessitam
ser seguidos para o bom gerenciamento do projeto. Ele se divide em cinco grandes grupos de processos
de gerenciamento, que são compostos de processos individuais e relacionados. Esses grupos são:
grupo de processos de iniciação; grupo de processos de planejamento; grupo de processos de execução; grupo
de processos de monitoramento e controle; e grupo de processos de encerramento.
As áreas de conhecimento do PMBOK® são: gerenciamento da integração do projeto; gerenciamento

do escopo do projeto; gerenciamento do cronograma do projeto; gerenciamento dos custos do projeto;
gerenciamento da qualidade do projeto; gerenciamento de recursos do projeto; gerenciamento das
comunicações do projeto; gerenciamento de riscos do projeto; gerenciamento de aquisições do projeto;
e gerenciamento de stakeholders.
Outro modelo interessante para o gerenciamento de projetos é o Prince2®. Ele foi desenvolvido em
1989 pelo Central Computer and Telecommunications Agency (CCTA), ligado ao governo britânico, a
partir de uma metodologia mais antiga em gerenciamento de projetos chamada Promptii, criada em
1975 pela empresa Simpact Systems Ltda. Em 1996, após o CCTA ser integrado ao Office of Government
Commerce (OGC), foi lançada uma melhoria dessa metodologia denominada Prince2®, que atualmente
se encontra em sua quinta edição, publicada em 2009, e é o padrão utilizado no governo britânico, além
de ser bastante difundida e reconhecida na Europa.
Fernandes e Abreu (2014) afirmam que o Prince2®, de modo similar ao PMBOK®, tem como base
a experiência de gerentes e equipes de projetos nos seus erros, acertos e sucesso. Os autores ainda
mencionam que a ideia do Prince2® é fornecer um método que:
• tenha repetibilidade em todos os projetos;

• possa ser difundido por meio de treinamentos;
• deixe claro o que se espera de membros de uma equipe de projetos;
• gere proatividade na gestão de projetos, mas que não deixe de considerar mudanças repentinas
em consequência de eventos inesperados;
• facilite o planejamento, o controle e a comunicação em um projeto.
O Prince2® é composto por dois livros que orientam o uso da metodologia, do modelo de processos
e da lista de atividades por processo. Os livros são: Managing successful projects using Prince2®; e
111
Unidade III
Directing sucessful projects using Prince2®. A metodologia é constituída de oito processos, que são
divididos em atividades. Os processos da metodologia são:
• processo DP – dirigindo um projeto;

• processo SU – instalando um projeto;
• processo IP – iniciando um projeto;
• processo SB – gerenciando os limites de um projeto;
• processo CS – controlando um estágio;
• processo MP – gerenciando a entrega do produto;
• processo CP – encerrando um projeto;
• processo PL – planejamento.
Já os métodos ágeis para o gerenciamento de projetos surgiram após o Manifesto Ágil, que teve
início na década de 1990. O Manifesto Ágil é um documento que reúne as principais práticas e técnicas
desse modelo ágil para desenvolvimento de projetos de software. O Manifesto Ágil é uma espécie de
declaração de todos os princípios que servem de base para o desenvolvimento ágil de software e possui
quatro aspectos fundamentais:
• As pessoas mais do que as ferramentas e procedimentos.

• O correto funcionamento do software mais do que a documentação bastante abrangente.
• A colaboração com as necessidades do cliente mais do que a negociação com os contratos.
• A capacidade de adaptação às mudanças mais do que seguir o plano que foi estabelecido.
A partir da criação do Manifesto Ágil, começaram a aparecer várias outras propostas referentes a
métodos ou metodologias ágeis, e, entre elas, está o Scrum, método ágil mais usado na área de TI.
Observação
Em sua essência, a maioria dos métodos ágeis (inclusive o Scrum)
procura mitigar o risco inerente ao desenvolvimento de software sob
diversos aspectos.
O Scrum foi apresentado por Jeff Sutherland, John Scumniotales e Jeff McKenna, que conceberam,
documentaram e implementaram o Scrum na empresa Easel Corporation em 1993. Em 1995, Ken
Schwaber formalizou a definição de Scrum e ajudou a implantá-lo no desenvolvimento de softwares
ágeis em todo o mundo. Em 2000, Ken Schwaber implantou a metodologia na empresa Patient Keeper
e, nos anos seguintes, lançou três livros, sendo o primeiro deles Agile software development with Scrum.
112
Uma característica importante do Scrum é forçar as pessoas a seguirem uma sequência de passos
predefinida, com pouca flexibilidade para mudança. A abordagem do Scrum visa o oposto ao modelo
em cascata, iniciando-se na análise assim que alguns requisitos estiverem disponíveis. O projeto Scrum
começa com uma visão composta por requisitos e funcionalidades, que concretizam uma lista de tarefas
denominada product backlog. As prioridades dos itens desse documento determinam o quanto de valor
cada item gera para o negócio.
Depois de priorizados os itens, antes de cada iteração (sprint), a equipe se reúne para dizer quantos
itens é possível entregar em um sprint, que, segundo Schwaber, deve durar cerca de trinta dias como boa
prática. Quando cada iteração termina, o que foi desenvolvido é apresentado ao cliente (product owner)
em uma reunião, e, antes do início da próxima iteração, é feita uma reunião de retrospectiva, em que é
possível extrair lições aprendidas.
5.2.6 Modelos para a gestão de serviços de TI
Já mencionamos que a área de TI não é mais considerada uma simples provedora de infraestrutura.
Em seu processo evolutivo, a TI cada vez mais tem sido considerada uma área prestadora de serviços.
Dentro desse contexto, a figura do usuário foi perdendo espaço para a figura do cliente, mesmo que
seja interno à corporação. Desse modo, foi perdendo força a ideia de gerenciamento de infraestrutura
de TI, de modo que as empresas foram assimilando a ideia do gerenciamento de serviços de TI. Até os
frameworks e as boas práticas de TI, antes relacionados à infraestrutura, deram espaço aos modelos de
gestão de serviços de TI.
Assim, é possível encontrar uma série de boas práticas na gestão de serviços de TI. Elas encontram‑se
agrupadas em frameworks e modelos bem conhecidos no mercado. Dentre eles, destacam-se o
Information Technology Infrastructure Library (Itil®) e a ISO 20000.
O Itil® é o modelo mais apropriado aos profissionais, possuindo um esquema de certificação que
promove um itinerário no conhecimento das boas práticas de gestão de serviços de TI. A ISO 20000
é mais apropriada para as empresas, porque comprova que o seu sistema de gestão de serviços de TI
está de acordo com as melhores práticas de mercado. Não obstante, há outras normas que também
promovem o uso de boas práticas de gestão de serviços de TI, tais como o Modelo Capability Maturity
Model – Integration for Services (CMMI-SVC), criado pelo Software Engineering Institute (SEI), e o
Microsoft Operations Framework (MOF), criado pela Microsoft.
O Itil® é um framework para gerenciamento de serviços de TI apresentado por meio de boas práticas
contidas em uma biblioteca de livros. Não é uma regra rígida, mas a definição de recomendações para
uma eficiente e eficaz gestão de serviços de TI. Ele foi desenvolvido na década de 1980 no Reino Unido
pela Agência Central de Computadores e Comunicações como um método que objetivava o governo da
infraestrutura de tecnologia da informação em departamentos e órgãos públicos do Reino Unido.
A sua primeira versão consistia em 31 livros, que mencionavam aspectos importantes da provisão
de serviços de TI com foco muito forte em infraestrutura, mais especificamente em planejamento e
contingência. Essa versão também se referia fortemente à manutenção e operação dos recursos
de infraestrutura de TI. Sua segunda versão surgiu em 2000, quando o modelo foi completamente
113
Unidade III
reformulado e passou a ter apenas sete livros. Nessa versão, uma das principais características era a forte
aderência ao modelo PDCA (Plan, Do, Check, Action) e suas práticas de melhoria contínua em processos.
A partir dessa segunda versão, o Itil® foi bastante disseminado como conjunto de boas práticas
em gerenciamento de serviços de TI. No entanto, o mercado, de modo geral, considerava o conjunto
de livros um pouco “desconectado”, fazendo com que os especialistas em TI voltassem a sua atenção
apenas para os livros de “suporte ao serviço” e de “entrega de serviço”.
É de se destacar que em 2001 foi fundado o Fórum de Gerenciamento de Serviços de TI, conhecido
pelo seu acrônimo em inglês ITSMF (Information Technology Service Management Forum). Seu objetivo
era promover e desenvolver o gerenciamento de serviços de TI no mundo por meio da troca constante
de informações e compartilhamento de experiências.
Em 2007 foi lançada uma nova versão da Itil®, agora a versão 3. Contendo cinco livros abordando uma
visão completa dos processos do gerenciamento de serviços de TI na forma de um ciclo denominado “ciclo
de vida do serviço”. Essa nova versão tem um número de livros inferior à versão anterior, não obstante
sendo mais denso em conteúdo. Em 2011 a versão 3 passou por alguns aprimoramentos, ampliando um
pouco o seu escopo e produzindo a Itil® V.3 Edição 2011. Em 2019 foi lançada a versão 4 da Itil®.
O Itil® 4 é a versão mais atualizada do framework que trouxe muitas novidades, como, por exemplo,
o alinhamento aos modelos Lean e Ágil. Outro conceito importante estabelecido pela atualização do
modelo foi a criação das quatro dimensões do gerenciamento de serviços e o Sistema de Valor de
Serviços (SVS).
As quatro dimensões do gerenciamento de serviços são: organizações e pessoas; informação e

tecnologia; parceiros e fornecedores; e fluxo de valor e processos. A figura a seguir apresenta esse
modelo de quatro dimensões, que se configuram como perspectivas relevantes na gestão de serviços de
TI e são influenciadas por fatores externos.
Fatores Fatores
políticos econômicos
1 2
Organizações Informação e
e pessoas tecnologia
Produtos
e serviços
Fatores Fatores
ambientais Valor sociais
3 4
Parceiros e Fluxos de valor
fornecedores e processos
Fatores Fatores
Fatores legais tecnológicos
Cada dimensão é afetada
por múltiplos fatores
Figura 26 – Modelo de quatro dimensões
Adaptada de: Axelos (2019).
114
Os fatores externos são: fatores políticos; fatores econômicos; fatores sociais; fatores tecnológicos;
fatores legais; e fatores ambientais. A depender da organização, seu ramo de atuação, seu porte e
localização geográfica, podemos encontrar fatores que exercem maior ou menor influência. Outro
detalhe interessante na figura, que esboça as quatro dimensões do gerenciamento de serviços, é a
parte central. Lá encontramos o valor dos produtos e serviços, que é visto a partir de cada uma das
perspectivas (dimensões). Além das quatro dimensões do gerenciamento de serviços, temos o SVS como
um elemento de destaque. Ele é composto de: princípios orientadores; governança; cadeia de valor do
serviço; práticas; e melhoria contínua.
Uma mudança interessante que veio com o Itil® 4 foi a ideia de cocriação de valor, que apresenta a
ideia de criação de valor envolvendo o cliente. Assim, temos prestadores de serviços e consumidores de
serviços, juntos, gerando valor, ou seja cocriando valor um para o outro.
As principais características do modelo Itil® são:
• Modelo não proprietário, que independe da plataforma de infraestrutura tecnológica.
• Modelo altamente flexível, de fácil adoção e prescrito para qualquer porte de empresa.
• Modelo fornecedor de boas e melhores práticas no gerenciamento de serviços de TI.
• Modelo utilizado em milhares de empresas no mundo.
• Modelo que contribui com a aderência aos requisitos da norma ISO 20000.
6 MODELO COBIT®
Vamos agora adentrar o modelo de governança de TI mais conhecido mundialmente: Cobit®.

A ideia é apresentar o contexto histórico em que o modelo foi construído, além da sua evolução e
uma apresentação geral sobre as versões 4.1 e 5. Será necessário também apresentar alguns conceitos
frequentemente vistos no framework Cobit®.
Conhecer um pouco sobre as versões 4.1 e 5 é fundamental para a compreensão da versão 2019
(mais atual). Devemos também considerar que algumas poucas empresas ainda utilizam algo da
versão 4.1 e da versão 5, devido à versão 2019 ser um pouco recente e ainda não estar completamente
consolidada no mercado. Mais adiante vamos abordar a versão mais atual, que é a 2019, com todos os
seus conceitos, estruturas de processos, objetivos de governança, dentre todas as temáticas inerentes a
essa nova edição.
115
Unidade III
6.1 Histórico e introdução ao Cobit®
6.1.1 Contexto histórico do Cobit®
Para entendermos bem o contexto em que se deu o surgimento e o sucesso do framework Cobit®,
precisamos primeiro considerar a evolução da governança corporativa nas empresas. Também devemos
levar em conta a ação da Information Systems Audit and Control Association (Isaca), que mantém o
Cobit® e a sua estrutura de certificação.
Sobre a evolução da governança corporativa, já intensamente vista neste livro-texto, percebemos

que a sua chegada e o seu despertar se deram a partir de um processo evolutivo, que vem desde o
estabelecimento do capitalismo, passando pelo gigantismo das empresas e auxiliado pelo desenvolvimento
da administração como ciência. Também observamos que, recentemente, por volta da década de 1990,
os marcos da governança corporativa fomentaram a valorização de princípios para a formação de um
sistema de governo eficiente para as empresas.
Lembrete
Os marcos recentes da governança corporativa são: ativismo de

Robert Monks; Relatório Cadbury; princípios da OCDE; e surgimento da
Lei Sarbanes-Oxley.
Esses princípios (equidade, conformidade, transparência e prestação de contas) formavam

praticamente a base para o estabelecimento de comportamentos desejáveis em todas as áreas do
ambiente organizacional. Também se verifica que esses princípios encaminharam um entendimento de
governança corporativa como uma estrutura de controles.
A partir deste cenário e com a constatação de existência de fraudes financeiras nas corporações
ao longo do processo evolutivo da governança corporativa, surge, em 1985, nos Estados Unidos, uma
organização chamada Committee of Sponsoring Organizations of the Treadway Commission (Coso).
O Coso funcionou inicialmente como um auxiliar da Nacional Commission on Fraudulent Financial
Reporting (Comissão Nacional sobre Fraudes em Relatórios Financeiros), mas depois se consolidou como
emissora de recomendações sobre controle interno de governança corporativa.
O sucesso dos trabalhos do Coso foi tão grande que em 1992 as suas recomendações foram
convertidas em um documento chamado Internal Control – Integrated Framework (Controles
Internos – Um Modelo Integrado). Mais adiante e até os dias de hoje esse documento é chamado
de Modelo Coso, considerado referência em controles internos corporativos. Paralelamente a
esses fatos, ganha força no mundo da tecnologia uma entidade fundada no final da década de 1960
chamada de Isaca. O foco dessa entidade foi inicialmente formar profissionais voltados para
auditoria de sistemas. No entanto, o seu escopo de atuação foi aumentando, e outras formações
profissionais foram agregadas ao portfólio da Isaca.
116
Hoje, a Isaca conta com mais de 200 capítulos (filiais) espalhados em pelo menos 180 países no
mundo, além de ter mais de 140 mil associados. Assim, incluindo trabalhos voltados para a auditoria em
sistemas, a Isaca tem grande atuação voltada para certificações em privacidade de dados, cybersecurity,
segurança da informação, riscos em TI, além de governança de TI.
Foi nesse ambiente fortemente influenciado por práticas de controle interno corporativo que a
Isaca desenvolveu, em 1994, o modelo Cobit®. Ele foi formado a partir do Modelo Coso, além de vários
padrões internacionais e práticas de gestão de TI oriundas de diversas instituições que trabalham com
modelos de administração da TI. O Cobit® em sua primeira versão foi oficialmente lançado em 1996.
Sobre a relação entre o Cobit® e o Coso, o ITGI (2007, p. 7) menciona que:
A governança de TI integra e institucionaliza boas práticas para garantir

que a área de TI da organização suporte os objetivos de negócios. A governança
de TI habilita a organização a obter todas as vantagens de sua informação,
maximizando os benefícios, capitalizando as oportunidades e ganhando em
poder competitivo. Esses resultados requerem um modelo para controle
de TI que se adeque e dê suporte ao Coso (“Committe of Sponsoring
Organisations of the Treadway Commission’s Internal Control – Integrated
Framework”), um modelo para controles internos amplamente aceito para
governança e gerenciamento de riscos empresariais, e outros modelos
similares. As organizações devem satisfazer os requisitos de qualidade,
guarda e segurança de suas informações, bem como de todos seus bens.
Os executivos devem também otimizar o uso dos recursos de TI disponíveis,
incluindo os aplicativos, informações, infraestrutura e pessoas. Para cumprir
essas responsabilidades, bem como atingir seus objetivos, os executivos
devem entender o estágio atual de sua arquitetura de TI e decidir que
governança e controles ela deve prover. O Control Objectives for Information
and related Technology (Cobit®) fornece boas práticas através de um
modelo de domínios e processos e apresenta atividades em uma estrutura
lógica e gerenciável. As boas práticas do Cobit® representam o consenso
de especialistas. Elas são fortemente focadas mais nos controles e menos
na execução. Essas práticas irão ajudar a otimizar os investimentos em TI,
assegurar a entrega dos serviços e prover métricas para julgar quando as
coisas saem erradas.
6.1.2 Evolução do Cobit®
Até os dias de hoje, chegamos a sete versões do Cobit® criadas ao longo do seu processo evolutivo.
Quando ele foi criado em 1994, o seu foco era auditoria, devido às fortes influências da Isaca e do Coso
na formação do framework, bem como em seus processos, objetivos e práticas.
117
Unidade III
A segunda versão do Cobit® sofreu uma influência ainda maior do Coso e teve um viés muito forte
em controles. Ela foi lançada pela Isaca em 1998 e começou a dar ênfase na ideia de objetivos de
controle como fatores críticos de sucesso para o sistema de governo da TI.
A terceira versão foi lançada em 2000 com foco no gerenciamento da TI. Nesse dado momento
da evolução da Cobit®, o framework sofre grandes influências dos modelos de gestão de TI (Itil®, por
exemplo). É também a partir dessa versão que a Isaca cria o Instituto de Governança de TI, conhecido
como ITGI®. O ITGI® funcionou até a versão 5 do framework como uma divisão da Isaca, responsável por
administrar o Cobit®.
O Cobit® 4 foi lançado em 2005 e, em 2007, sofreu uma atualização com a versão 4.1. O foco dessas
versões foi, de fato, a governança de TI de forma geral e a aderência às normas e regulamentações como
a Lei Sarbanes-Oxley, por exemplo. Também nessa versão encontramos um forte alinhamento do Cobit®
com inúmeros padrões modernos de gestão de TI, abrangendo projetos, serviços, processos, segurança
da informação, dentre outros.
Observação
A versão 4.1 do Cobit® foi criada de forma a mapear completamente

todos os requisitos do Coso e da Lei Sarbanes-Oxley.
Em 2012 a Isaca lança o Cobit® na sua versão 5. Ela recebeu forte influência da norma ISO 38500:2008,
estabelecendo as diferenças entre governança e gestão (até então um conceito pouco claro na versão 4.1).
O Cobit® 5 também trouxe o conceito inovador de habilitadores, além de apresentar guias profissionais
para segurança da informação, risco, garantia, avaliação e implementação.
Saiba mais
Para conhecer um pouco mais sobre a versão 5 do Cobit®, leia o Sumário

Executivo do Information Systems Audit and Control Association (Isaca).
ISACA. Cobit® 5: a business framework for the governance and

management of enterprise IT. Rolling Meadows: Isaca, 2012.
No ano de 2019, a Isaca lança uma nova versão do Cobit® e deixa de utilizar uma numeração
sequencial de versões, utilizando agora as novas edições de acordo com o ano de lançamento. Assim,
chega ao mercado corporativo o Cobit® 2019, apresentado agora como um modelo para governança
corporativa de informações e tecnologia, utilizando o acrônimo Egit, que significa Enterprise Governance
of Information and Technology.
118
Saiba mais
Sobre a versão 2019 do Cobit®, leia o capítulo 1 (introdução) do

seguinte material:
ISACA. Cobit® 2019: introduction and methodology. Rolling Meadows:

Isaca, 2019.
O próximo quadro apresenta um resumo da evolução do Cobit®.
Quadro 25 – Evolução do Cobit®
Ano do lançamento Versão Foco

1996 1 – Auditoria em TI.
1998 2 – Controle interno para a TI.
2000 3 – Gerenciamento da TI.
2005 4 – Governança de TI.
2007 4.1 – Governança de TI.
2012 5 – Governança e gestão.
2019 2019 – Governança corporativa de informação e tecnologia.
6.1.3 Características do Cobit®
Ao consultar o framework Cobit®, percebemos diversas características. Apresentaremos algumas

bem atuais, constatadas não só na versão de 2019, mas também na versão 5, e algumas referências da
versão 4.1. A seguir apresentaremos pelo menos quatro dessas características.
A primeira característica do Cobit® é a orientação para os negócios. O Cobit® é um framework

que estabelece um diálogo entre as áreas de negócios e a área de TI, por isso, é comum dizer que ele
é um modelo totalmente orientado ao negócio. Isso se dá por meio da valorização do alinhamento
estratégico da TI, que visa desdobrar objetivos corporativos em objetivos concretos para a área de TI.
Tudo isso concorre para o atendimento das necessidades e dos requisitos das partes interessadas.
Uma segunda característica do Cobit® é a utilização de métricas e indicadores. Estes são utilizados
não apenas para a área de TI de uma forma macro, mas também para práticas, processos e recursos de
TI. Os indicadores e métricas apresentados pelo Cobit® permitem medir a aderência da TI às estratégias
de negócio e, assim, propiciar a entrega de valor.
A forma integrada e única que o framework se apresenta pode ser compreendida como uma
terceira característica do Cobit®. Percebemos essa característica por meio dos outros modelos, que são
referenciados nas contínuas versões do Cobit® implementadas ao longo de anos pela Isaca.
119
Unidade III
Uma quarta característica bem interessante é o estabelecimento de processos e de objetivos. Por

exemplo, na versão 4.1, o Cobit® apresenta 34 processos. Já na versão 5 encontramos 37 processos.
E, ao analisarmos a versão 2019, encontramos 40 processos que são chamados de objetivos de
governança e gestão.
6.1.4 Aplicação e benefícios do Cobit®
O modelo Cobit® é um dos mais completos encontrados na área da TI. Dessa forma, encontramos
aplicabilidade nas mais diversas oportunidades dentro das empresas. Dentre as aplicações, Fernandes e
Abreu (2014) mencionam:
• Avaliação de processos da área de TI a partir dos processos e objetivos de governança definidos no

Cobit®, de forma a encontrar forças e fraquezas, permitindo a implementação de melhorias que
atendam às necessidades de negócio.
• Implementação de auditorias relacionadas aos riscos operacionais da TI de forma a mensurar a

probabilidade de ocorrência de eventos adversos e a severidade dos impactos mapeados.
• Estabelecimento de modularidade na implementação da governança de TI, dando ênfase a

processos, práticas e objetivos de governança/gestão mais específicos e importantes em detrimento
de outros que não possuem tanta importância.
• Possibilidade de realizar um benchmarking, permitindo comparações com padrões internacionais

praticados pelo mercado.
• Estabelecimento de processos de qualificação de fornecedores de produtos e serviços de TI.
Ainda é possível citar inúmeros benefícios alcançados por meio da aplicação do Cobit® nas
organizações. Fernandes e Abreu (2014, p. 226) mencionam os seguintes benefícios:
Responsabilidades e protocolos de comunicação bastante claros, tornando a

circulação de informações mais direta e precisa entre os grupos interessados.
Visão clara acerca da situação atual dos processos de TI e de seus pontos de

vulnerabilidade.
Redução da exposição a riscos (obviamente, caso sejam tomadas ações de

melhoria preventivas em relação aos pontos negativos dos processos).
Maior solidez e assertividade no planejamento encadeado das ações de

melhoria, devido ao entendimento das dependências entre os processos e
dos recursos necessários a serem envolvidos.
Alta visibilidade, por parte de todos os níveis da organização, acerca do

impacto dos esforços de melhoria nos processos de negócio, através das
medições de resultados e dos indicadores de desempenho.
120
Redução de custos operacionais e de propriedade do acervo de TI (aplicativos

e infraestrutura).
Melhoria da imagem perante os clientes, através do aumento do grau de

satisfação e da confiabilidade em relação aos serviços de TI.
6.2 Cobit® 4.1 e Cobit® 5
6.2.1 Cobit® 4.1
Lançada em 2007, a versão 4.1 tem o seu foco na governança de TI e aprimora a sua versão anterior,
sendo totalmente aderente às regulamentações de mercado e ao controle interno preconizado pelo
Coso. O Cobit® 4.1 apresenta como principais características: foco no negócio; orientação a processos;
orientação por métricas; e fundamentação em controles.
Segundo o ITGI (2007), essa versão tem por princípio que os requisitos de negócios direcionem os
investimentos nos recursos de TI, que, por sua vez, são utilizados pelos processos de TI para gerar a
informação organizacional requisitada pelo negócio. A figura a seguir apresenta esses princípios básicos
do Cobit® 4.1.
Requisitos de
os quais negócios direcionam
respondem a investimentos em
Informação Cobit® Recursos

organizacional de TI
para entregar usados por

Processos
de TI
Figura 27 – Princípios básicos do Cobit® 4.1
Fonte: ITGI (2007, p. 12).
O Cobit® 4.1 é muito focado em processos, e eles são dispostos em quatro domínios que objetivam
ações de planejamento, construção, processamento e monitoramento. A estrutura de processos é a base
do framework nessa versão, que tem os seus domínios apresentados a seguir:
121
Unidade III
Os quatro domínios inter-relacionados do Cobit®

Planejar e organizar
Adquirir Entregar
e implementar e suportar
Monitorar e avaliar
Figura 28 – Domínios de processos do Cobit® 4.1
Fonte: ITGI (2007, p. 14).
6.2.2 Estrutura do Cobit® 4.1
A estrutura do Cobit® 4.1 apresenta-se com um conjunto de três componentes fundamentais:

requisitos de negócios; processos de TI; e recursos de TI. A figura a seguir apresenta os componentes do
Cobit® 4.1 na forma de um cubo. Os processos, conforme já mencionados, integram a base do modelo,
cobrindo as atividades-padrão de uma área de TI. Eles são 34, divididos em quatro domínios: planejar e
organizar (PO); adquirir e implementar (AI); entregar e suportar (ES); e monitorar e avaliar (MA).
O domínio planejar e organizar cobre as estratégias e táticas da corporação, preocupando-se na

forma como a TI pode contribuir para que o negócio alcance os seus objetivos. O domínio adquirir e
implementar abrange a identificação, desenvolvimento e/ou aquisição de soluções de TI para executar
a estratégia de TI estabelecida. O domínio entregar e suportar trata da entrega dos serviços solicitados,
do gerenciamento da segurança e da continuidade, e do gerenciamento de dados e recursos operacionais.
O domínio monitorar e avaliar aborda o gerenciamento do desempenho, o monitoramento do controle
interno, a aderência regulatória e a governança.
Requisitos de negócios
de
d e i a i a lida de ade ade ade
i v ida ciênc den rida ibilid rmid abilid
c
t fi g n
Efe Efi Con Inte ispo Confo Confi
D
Pessoas
Infraestrutura
Domínios
Informações
Aplicativos
Processos de TI
Processos
I
Atividades d eT
u rsos
Re c
Figura 29 – Estrutura do Cobit® 4.1
Fonte: ITGI (2007, p. 27).
122
Os processos do Cobit® 4.1 com seus respectivos códigos podem ser vistos a seguir:
Quadro 26 – Processos do Cobit®
Domínio Código Processo

PO1 Definir um plano estratégico de TI.
PO2 Definir a arquitetura da informação.
PO3 Determinar o direcionamento tecnológico.
Planejar e organizar
PO4 Definir processos, organização e relacionamentos de TI.

PO5 Gerenciar o investimento de TI.
PO6 Comunicar as diretrizes e expectativas da diretoria.
PO7 Gerenciar os recursos humanos de TI.
PO8 Gerenciar a qualidade.
PO9 Avaliar e gerenciar os riscos de TI.
PO10 Gerenciar projetos.
AI1 Identificar soluções automatizadas.
Adquirir e implementar
AI2 Adquirir e manter software aplicativo.

AI3 Adquirir e manter infraestrutura de tecnologia.
AI4 Habilitar operação e uso.
AI5 Adquirir recursos de TI.
AI6 Gerenciar mudanças.
AI7 Instalar e homologar soluções e mudanças.
ES1 Definir e gerenciar níveis de serviços.
ES2 Gerenciar serviços terceirizados.
ES3 Gerenciar o desempenho e a capacidade.
ES4 Assegurar a continuidade dos serviços.
ES5 Assegurar a segurança dos sistemas.
Entregar e suportar
ES6 Identificar e alocar custos.

ES7 Educar e treinar os usuários.
ES8 Gerenciar a central de serviço e os incidentes.
ES9 Gerenciar a configuração.
ES10 Gerenciar problemas.
ES11 Gerenciar os dados.
ES12 Gerenciar o ambiente físico.
ES13 Gerenciar as operações.
MA1 Monitorar e avaliar o desempenho de TI.
Monitorar e
MA2 Monitorar e avaliar os controles internos.

avaliar
MA3 Assegurar a conformidade com requisitos externos.

MA4 Prover governança de TI.
Adaptado de: ITGI (2007).
123
Unidade III
O segundo componente da estrutura são os critérios da informação, também conhecidos como

requisitos de negócios. Eles apresentam o critério adequado que as informações precisam atender para
que os usuários da TI tenham o valor esperado entregue. O próximo quadro apresenta esses critérios e
uma pequena descrição.
Quadro 27 – Critérios de informação
Critério de informação Descrição

Remete à informação importante para os processos de negócio entregues no tempo e
Efetividade modo corretos, consistente e utilizável.
Eficiência Define a entrega da informação com o uso mais produtivo possível dos recursos.
Relaciona-se à segurança de informações no que tange ao aspecto confidencialidade
Confidencialidade para evitar a divulgação indevida.
Remete à fidedignidade, inteireza e totalidade da informação além da sua validade
Integridade quando comparada aos requisitos de negócios solicitados.
Trata-se da disponibilidade da informação quando exigida pelo processo de negócio
Disponibilidade hoje e no futuro.
Está relacionada ao cumprimento de questões de compliance que os processos de
Conformidade negócios estão sujeitos.
Confiabilidade Remete à entrega da informação apropriada solicitada pelo negócio.
Adaptado de: ITGI (2007).
O terceiro componente da estrutura do Cobit® 4.1 é formado pelos recursos de TI, que são a base
para a execução dos processos de TI. Os recursos de TI descritos no Cobit® 4.1 são: aplicativos (sistemas
automatizados utilizados pelo usuário); informações (conjunto de dados estruturados que geram valor
para o usuário); infraestrutura (conjunto de recursos tecnológicos que possibilitam o processamento de
aplicativos); e pessoas.
6.2.3 Cobit® 5
O Cobit® teve a sua versão 5 lançada em 2012 como um modelo para governança e gestão de TI. Ele
apresenta algumas diferenças quando comparado com a versão 4.1, e os benefícios obtidos por meio de
sua implementação são maiores. Dentre eles, a Isaca (2012) menciona:
• Apresentação de uma visão clara dos habilitadores de TI e suas vulnerabilidades.
• Maior assertividade na tomada de decisão, a partir de processos definidos, estruturados e

controlados.
• Gerenciamento de informações com alta qualidade para suportar as decisões de negócios.
• Atingimento de metas estratégicas e entrega de benefícios de negócio por meio do efetivo uso da
TI, gerando assim ganho de valor dos investimentos em TI.
124
• Redução da exposição aos riscos relacionados com a TI.
• Aperfeiçoamento e equilíbrio dos custos de serviços de TI.
• Manutenção da conformidade com leis, regulamentos, acordos contratuais e políticas.
• Aumento significativo da visibilidade a todos os níveis da organização em decorrência dos esforços

de melhoria implantados pelos processos.
• Maior solidez no planejamento estratégico.
A família de produtos do Cobit® 5 é composta de:
• Cobit® 5: visão geral do framework contendo de forma resumida princípios, habilitadores, e

passos e diretrizes para o seu uso.
• Guia habilitador de processos (Cobit® 5 Enabling Process): guia de referência detalhado do

habilitador de processos.
• Guia habilitador de informações (Cobit® 5 Enabling Information): guia que explica

detalhadamente o modelo de informação e fornece exemplos de entidades de informação
totalmente elaboradas.
• Guia profissional de implementação (Cobit® 5 Implementation): fornece uma abordagem de

boas práticas para a implementação da governança de TI com base no ciclo de vida de melhoria
contínua devendo ser adaptado às necessidades específicas da empresa.
• Guia profissional para segurança da informação (Cobit® 5 for Information Security): guia
essencial nas operações diárias das empresas mencionando questões de segurança da informação.
• Guia profissional para risco (Cobit® 5 for Risk): guia de orientação específica sobre os
riscos de TI.
• Guia profissional para garantia (Cobit® 5 for Assurance): guia centrado na garantia,
fornecendo orientações mais detalhadas e práticas para os profissionais de certificação e outras
partes interessadas em todos os níveis da empresa sobre como utilizar o Cobit® 5 para suportar as
atividades de garantia de TI.
• Guia profissional de programa de avaliação (Cobit® 5 Assessment Program): guia para

avaliação dos processos de TI.
A figura a seguir apresenta a família de produtos do Cobit® 5.
125
Unidade III
Cobit® 5
Guias de habilitadores do Cobit® 5
Cobit® 5
Cobit® 5 Outros guias de
Habilitador
Habilitador Processos habilitadores
Informação
Guias de profissionais do Cobit® 5

Cobit® 5 para Cobit® 5
Cobit® 5 Cobit® 5 Outros guias
Segurança da para Garantia
Implementação para Risco profissionais
Informação (Assurance)
Ambiente colaborativo online do Cobit® 5
Figura 30 – Família de produtos Cobit® 5
Fonte: Isaca (2012, p. 13).
6.2.4 Estrutura do Cobit® 5
O Cobit® 5 é estruturado a partir de cinco princípios, que podem ser vistos a seguir:
1. Atender às
necessidades
das partes
interessadas
5. Distinguir a 2. Cobrir a
governança da empresa de
gestão ponta a ponta
Princípios do
Cobit® 5
4. Permitir 3. Aplicar um
uma abordagem framework único
holística e integrado
Figura 31 – Princípios do Cobit® 5
O primeiro princípio menciona o atendimento às necessidades das partes interessadas, a fim de

equilibrar a realização de benefícios, a otimização do risco e a utilização de recursos. Por isso, o Cobit®
126
apresenta a cascata de objetivos, que auxilia no desdobramento de objetivos corporativos de alto nível
em objetivos de TI, e estes, por sua vez, em práticas para a área de TI. A figura a seguir apresenta a
cascata de objetivos do Cobit® 5.
Direcionadores das partes interessadas

(ambiente, evolução tecnológica etc.)
Influencia
Necessidades das partes interessadas
Realização de Otimização Otimização

benefícios do risco dos recursos
Desdobra em Apêndice D
Objetivos corporativos Figura 5
Desdobra em Apêndice B
Objetivos de TI Figura 6
Desdobra em Apêndice C
Objetivos de habilitador
Figura 32 – Cascata de objetivos do Cobit® 5
O segundo princípio trata da cobertura de ponta a ponta da organização, integrando a governança

de TI à governança corporativa. A ideia desse princípio é fazer o Cobit® 5 ir além da função de TI,
considerando as tecnologias relacionadas como ativos da organização.
O terceiro princípio menciona a aplicação de um framework único e integrado, provendo as

orientações de melhores práticas para a TI. Considerando esse princípio, o Cobit® relaciona-se a diversos
outros modelos, tendo as suas práticas desdobradas para as outras áreas internas da TI.
O quarto princípio apresenta o Cobit® por meio de uma abordagem holística de habilitadores, como
componentes interligados. O Cobit® 5 apresenta sete habilitadores que ajudam a atingir objetivos
estratégicos da organização. Esses são considerados também componentes do Cobit® 5 e podem ser
vistos a seguir:
127
Unidade III
3. Estruturas 4. Cultura, ética e

2. Processos organizacionais comportamento
1. Princípios, políticas e frameworks
6. Serviços, 7. Pessoas,
5. Informação infraestrutura e habilidades e
aplicativos competências
Recursos
Figura 33 – Habilitadores do Cobit® 5
O quinto e último princípio apresenta as diferenças entre governança e gestão, colocando as duas
disciplinas de formas completamente diferentes. Esse princípio pode ser verificado inclusive no modelo
dos processos do Cobit® 5, que é composto de um domínio de governança (avaliar; dirigir; monitorar) e
quatro domínios de gestão (planejar; construir; entregar; monitorar).
Necessidades do negócio
Governança
Avaliar
Dirigir Feedback da gestão Monitorar
Gestão
Planejar Construir Entregar Monitorar

(APO) (BAI) (DSS) (MEA)
Figura 34 – Domínios de processos do Cobit® 5
128
O Cobit® 5 apresenta 37 processos agrupados nesses domínios, conforme pode ser visto a seguir:
Processos de governança corporativa de TI
Avaliar, dirigir e monitorar
EDM01 garantir EDM05 garantir
a definição e EDM02 garantir EDM03 garantir EDM04 garantir transparência
manutenção a fiscalização de a otimização do a otimização dos para as partes
do modelo de benefícios risco recursos
governança interessadas
Alinhar, planejar e organizar Monitorar,

AP001 gerenciar APO03 gerenciar APO06 gerenciar
avaliar e
a estrutura de APO02 gerenciar arquitetura da APO04 gerenciar APO05 gerenciar orçamento e APO07 gerenciar analisar
gestão de TI a estratégia organização inovação portfólio custos recursos humanos
MEA01 monitorar,
APO09 gerenciar avaliar e analisar
APO08 gerenciar contratos de APO10 gerenciar APO11 gerenciar APO12 gerenciar APO13 gerenciar desempenho e
relacionamentos prestação de fornecedores qualidade riscos segurança conformidade
serviços
Construir, adquirir e implementar

BAI01 gerenciar BAI02 gerenciar BAI03 gerenciar BAI04 gerenciar BAI05 gerenciar BAI07 gerenciar
programas e definição de identificação e disponibilidade e capacidade BAI06 gerenciar aceitação e
desenvolvimento de mudança mudanças transição da MEA02 monitorar,
projetos requisitos capacidade avaliar e analisar o
de soluções organizacional mudança
sistema de controle
interno
BAI08 gerenciar BAI09 gerenciar BAI10 gerenciar
conhecimento ativos configuração
Entrega, serviço e suporte

DSS02 gerenciar DSS06 gerenciar MEA03 monitorar,
DSS05 gerenciar avaliar e analisar
DSS01 gerenciar solicitações e DSS03 gerenciar DSS04 gerenciar serviços de controles do
operações incidentes de problemas continuidade processo de conformidade com
serviços segurança negócio requisitos externos
Processos para gestão corporativa de TI
Figura 35 – Processos do Cobit® 5
O Cobit® 5 também apresenta um guia de implementação da governança de TI baseado em um

ciclo de vida. Ele é formado por três elementos: gestão do programa; capacitação da mudança; e ciclo
de vida de melhoria contínua. A próxima figura apresenta esse ciclo de vida de implementação com
suas sete fases.
129
Unidade III
? 1. Q u ai s
inâmica são o
s e ssa d s di
m o rec
n te i on
ma cia In ad
á pro iciar o
ore
mo efic s?
Co gra
ra ma
isa
7.
A nal Est
r o d abele
e c
nte mu sejo d er
Ma dan e
Definir punidades
2
s
ça
. On
e oport
l á?
benefício
Rec
e n on
rar ece hecer
de es
mos
nito r
impleme
ss a
Mo nalisa de a idade
no va r
ens
6. Já chega
equipe d ção
Formar e
ra
Gestão do programa
tamos ag
a gir
roblema
abordags
Incorpo
(anel externo)
Avaliaroo
Operar e
Realizar
estad
medir
atual
nta
Capacitação da mudança
ora?
a
(anel intermediário)
s
sta ir
Im
o e efin
alv do
Ciclo de vida de melhoria contínua
ple
D
me
o
me ias
(anel interno)
Op
ad r
lho
nta
ult ca
Construir
o
r
era
es ni
melhorias
aç de
o r omu
re
Ex
ão
nt ia
ec
us
me gu
Identificar
ut
ar?
5. C
ar
ar
ple r o
os papéis das
est
o
mo
op
im ni
os
partes
fi
rem
c
lan
De
he
ue
ga
eq
rem
os d
lá? On
Planejar o programa 3.
4 . O qu
e precisa ser feito?
Figura 36 – Ciclo de vida de implementação do Cobit® 5
O quadro a seguir apresenta o detalhamento das fases do ciclo de vida de implementação do Cobit® 5.
Quadro 28 – Ciclo de vida de implementação do Cobit® 5
Fase Indagação Ação
1 Quais são os Reconhecimento e aceitação da necessidade de uma

direcionadores? implementação ou iniciativa de implementação.
Uma avaliação do estado atual é realizada, e os
2 Onde estamos agora? problemas ou deficiências são identificados.
Uma meta de melhoria é definida, seguida por uma
3 Onde queremos estar? análise mais detalhada.
Planeja soluções práticas por meio da definição de
4 O que precisa ser feito? projetos apoiados por estudos de casos justificáveis.
As soluções propostas são implementadas na forma de
5 Como chegaremos lá? práticas diárias.
Concentra-se na operação sustentável dos habilitadores
6 Já chegamos lá? novos ou aperfeiçoados e no monitoramento do
atingimento dos benefícios esperados.
O sucesso da iniciativa como um todo é analisado,
Como manteremos essa novos requisitos para a governança ou gestão de TI
7 dinâmica? da organização são identificados e a necessidade de
melhoria contínua é reforçada.
Adaptado de: Isaca (2012, p. 39).
130
Exemplo de aplicação
Considerando o ciclo de implementação do Cobit® 5, pesquise quais seriam as principais necessidades

para implementar a governança de TI.
Resumo
Nesta unidade adentramos de vez os modelos de governança de TI e os

modelos que suportam a governança de TI nas organizações.
Iniciamos apresentando o modelo de governança utilizado pelo CISR

do MIT, que tem um foco muito grande no processo de tomada de decisão,
incluindo as decisões a serem tomadas, os decisores e os mecanismos de
tomada de decisão. Apresentamos as tarefas do processo decisório em TI
como fundamental para a eficácia da governança de TI. Continuando a
apresentação dos modelos de governança, apresentamos um framework
fundamentado no ciclo da governança de TI, composto por: riscos e
compliance; avaliação independente; gestão da mudança organizacional;
alinhamento estratégico; entrega de valor; gestão do desempenho;
comunicação; e gerenciamento de recursos.
Complementando os modelos de governança de TI, apresentamos as

práticas contidas na norma ISO 38500:2018. Essas práticas relacionam os
princípios (responsabilidade, estratégia, aquisição, desempenho, conformidade
e comportamento humano) às tarefas do ciclo avaliar‑dirigir‑monitorar.
Ainda apresentamos os modelos que suportam a governança de TI, com
ênfase em análise de negócios, processo de TI, arquitetura de TI, projetos de
TI e serviços de TI.
Finalizando a unidade introduzimos o framework Cobit®, apresentando-o

como o modelo de governança de TI mais conhecido no mundo. Vimos
o seu contexto histórico, evolução, características, aplicação e benefícios.
Concluímos esta unidade apresentando de forma geral as versões 4.1 e 5
do Cobit®.
131
Unidade III
Exercícios
Questão 1. Na figura a seguir, temos um modelo esquemático de governança de TI.
Estratégia e Metas de
organização da Arranjos de governança de TI desempenho do
empresa negócio
Mecanismos de governança de TI
Organização Métricas e
de TI e
comportamentos Decisões responsabilidades
desejáveis de TI de TI
Figura 37 – Modelo esquemático de governança de TI
Com base no modelo da figura e nos seus conhecimentos, avalie as afirmativas.
I – No componente intitulado estratégia e organização da empresa, devem estar presentes as

bases que constituem as estratégias da empresa no seu ramo de atuação.
II – No componente intitulado metas de desempenho do negócio, deve estar presente o que

chamamos de matriz de arranjos de governança de TI da organização, na qual estão estabelecidos
os responsáveis pela tomada de decisão, a arquitetura de TI, a infraestrutura de TI, os requisitos de
aplicação de negócio e as necessidades de investimentos em TI.
III – No componente intitulado organização da TI e comportamentos desejáveis, devem estar

presentes os modos como as bases estratégicas do negócio precisam ser antagonizadas na área de TI.
É correto o que se afirma em:
A) I, apenas.
B) II, apenas.
C) III, apenas.
D) I e III, apenas
E) I, II e III.
Resposta correta: alternativa A.

132
Análise das afirmativas
I – Afirmativa correta.
Justificativa: segundo Weill e Ross (2006), no componente intitulado estratégia e organização da

empresa, temos o início da governança de TI. Nele, entendemos a visão de longo prazo da empresa,
observamos os comportamentos desejáveis no âmbito corporativo e verificamos os norteadores
estratégicos empresariais do negócio.
II – Afirmativa incorreta.
Justificativa: segundo Weill e Ross (2006), no componente intitulado arranjos de governança de TI,
deve estar presente o que chamamos de matriz de arranjos de governança de TI da organização, na qual
estão estabelecidos os responsáveis pela tomada de decisão, a arquitetura de TI, a infraestrutura de TI,
os requisitos de aplicação de negócio e as necessidades de investimentos de TI.
III – Afirmativa incorreta.
Justificativa: segundo Weill e Ross (2006), o componente intitulado organização da TI e

comportamentos desejáveis refere-se ao modo de harmonizar os fundamentos estratégicos do negócio
na área de TI.
Questão 2. Considere as ações indicadas a seguir, relativas às etapas a serem feitas para obtermos
eficácia na governança de TI.
Ação 1. Verificar se as metas de desempenho estão sendo alcançadas e ver se devem ser feitas
alterações na matriz de arranjos de governança da organização.
Ação 2. Observar se há sobreposição de mecanismos de governança de TI e avaliar a eficácia de

tais mecanismos.
Ação 3. Analisar a matriz de arranjos de governança da organização.
Ação 4. Promover ajustes na organização da área da TI e nas suas métricas e responsabilidades.
Ação 5. Avaliar a organização da empresa e o desempenho do negócio e examinar se há necessidade

de realização de ajustes na matriz de arranjos de governança da organização.
133
Unidade III
A ordem correta com que as ações devem ser praticadas é:
A) ação 1, ação 2, ação 3, ação 4 e ação 5.
B) ação 3, ação 1, ação 2, ação 5 e ação 4.
C) ação 2, ação 1, ação 3, ação 5 e ação 4.
D) ação 1, ação 3, ação 2, ação 4 e ação 5.
E) ação 5, ação 3, ação 2, ação 4 e ação 1.
Resposta correta: alternativa B.
Análise da questão
Com base em Weill e Ross (2006), a ordem correta com que as ações devem ser praticadas é a
mostrada a seguir:
Ação 3. Analisar a matriz de arranjos de governança da organização.
Ação 1. Verificar se as metas de desempenho estão sendo alcançadas e ver se devem ser feitas
alterações na matriz de arranjos de governança da organização.
Ação 2. Observar se há sobreposição de mecanismos de governança de TI e avaliar a eficácia de

tais mecanismos.
Ação 5. Avaliar a organização da empresa e o desempenho do negócio e examinar se há necessidade

de realização de ajustes na matriz de arranjos de governança da organização.
Ação 4. Promover ajustes na organização da área da TI e nas suas métricas e responsabilidades.
134

Cobit

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Cobit

Enviado por

Direitos autorais:

Formatos disponíveis

GOVERNANÇA CORPORATIVA DE TI

5.1.1 Modelo e melhores práticas de governança de TI desenvolvidos pelo CISR do MIT

Harmonizar o quê? Harmonizar como?

Figura 19 – Framework de governança de TI

Adaptada de: Weill e Ross (2006).

O primeiro componente do modelo é definido como estratégia e organização da empresa. Na

O segundo componente, arranjos de governança de TI, é definido e está em conformidade com o

Agora, abordando a porção inferior do modelo, encontramos os desdobramentos mais concretos

O último componente é representado pelas métricas e responsabilidades de TI. Aqui ocorre o

Weill e Ross (2006) apresentam o exemplo de um modelo de governança de TI implementado

Estratégia e organização Arranjos de Metas de desempenho

1. Desenvolver aplicações únicas para 1. CIO no comitê executivo. 1. Processo orçamentário do

Harmonizar o quê? Harmonizar como?

Figura 20 – Modelo de governança de TI do JPMorgan Chase

Adaptada de: Weill e Ross (2006).

• Sintoma 2: a área de TI não atende às necessidades de negócios, prejudicando as estratégias corporativas.

• Sintoma 3: o processo de tomada de decisão em TI é lento, e os mecanismos utilizados são

• Sintoma 5: os projetos de TI normalmente resultam em fracasso relacionado ao tempo e/ou custo.

• Sintoma 6: compreende processos de terceirização, como a solução rápida de problemas de TI.

• Sintoma 7: quando existe um sistema de governança, ele muda frequentemente, sem

Em contrapartida, para vencer a ineficácia no governo da área de TI é necessário combater aquilo

Passo 1 – Mapear matriz de arranjos de governança da organização.

– Verificar se as metas de desempenho do negócio estão sendo atingidas.

– Verificar a quantidade e eventuais sobreposições dos mecanismos

Passo 4 – Reajustar matriz de arranjos de governança a partir da análise da "estratégia e

Passo 5 – Promover e liderar ajustes na "organização da TI" e nas "métricas e

Figura 21 – Passos para a governança de TI eficaz

Adaptada de: Weill e Ross (2006).

5.1.2 Modelo baseado no ciclo de governança de TI

Figura 22 – Modelo genérico baseado no ciclo da governança de TI

Comunicação e reporte de resultados

O ciclo da governança de TI é formado pelos seguintes componentes:

Vamos começar mencionando os componentes típicos da governança de TI constantes no modelo.

A ideia da auditoria externa da TI é verificar os controles corporativos

O terceiro componente típico é a gestão da mudança organizacional. Esta surge da necessidade

Fatores considerados no processo de mudança

Figura 23 – Elementos da mudança organizacional e os efeitos produzidos

Adaptada de: Fernandes e Abreu (2014).

O quarto e o quinto componentes típicos são, respectivamente, alinhamento estratégico

O sexto componente típico é a gestão do desempenho, que está relacionado às formas de

O sétimo componente típico da governança de TI é a comunicação, considerado um dos mais críticos

O quadro a seguir apresenta temas de interesse a serem colocados em dashboards de governança de

Quadro 21 – Temas e indicadores de dashboards de governança de TI

Temas principais Indicadores/informações

Adaptado de: Fernandes e Abreu (2014).

Completando os componentes típicos da governança de TI, encontramos o gerenciamento de

Para conhecer um pouco mais sobre o modelo baseado no ciclo da

FERNANDES, A. A.; ABREU, V. F. Implantando a governança de TI. Rio de

5.1.3 Modelo baseado na norma ISO 38500:2018

A International Organization for Standardization (ISO) conjuntamente com a International

Quadro 22 – Família de normas de gestão e governança de TI da ISO

Obrigações Expectativas das

Sistemas de gerenciamento do uso da TI

Figura 24 – Modelo da governança de TI da ISO 38500:2018

Adaptada de: ABNT (2018).

A tríade avaliar-dirigir-monitorar está diretamente relacionada ao sistema de gerenciamento da TI

5.1.4 Princípios e práticas da norma ISO 38500:2018

A norma ISO 38500:2018 estabelece um conjunto de princípios que apresentam comportamentos

• Princípio 1 (responsabilidade): apresenta a necessidade de estabelecer papéis, responsabilidade

• Princípio 2 (estratégia): apresenta a necessidade de existência de uma estratégia de TI totalmente

• Princípio 3 (aquisição): apresenta a importância de voltar a atenção da governança da TI para

• Princípio 4 (desempenho): apresenta a necessidade de medir sempre e constantemente o

• Princípio 5 (conformidade): apresenta a necessidade de atender aos requisitos regulatórios, de

• Princípio 6 (comportamento humano): apresenta a necessidade da gestão adequada das pessoas