GOVERNANÇA DE

TECNOLOGIA DA
INFORMAÇÃO
Glauber Rogério
Barbieri Gonçalves
COBIT – Control Objectives
for Information and related
Technology
Objetivos de aprendizagem
Ao final deste texto, você deve apresentar os seguintes aprendizados:

„„ Descrever o framework COBIT.

„„ Reconhecer as principais vantagens do COBIT.
„„ Compreender a relevância do COBIT para a governança em TI nas
organizações.

Introdução
A transparência deixou de ser algo que tangencia as organizações para ser
necessária à manutenção da empresa no mercado, O relacionamento da
empresa com seus públicos exige cada vez mais atitudes transparentes,
e os gestores devem incorporar os conceitos da governança corporativa
para mapear suas ações e decisões.
O atendimento à governança corporativa garantirá a busca por
melhores resultados, o que inclui uma maior valorização da empresa,
agregando valor ao produto e à marca. Para que a governança seja
alcançada, as empresas também necessitam da governança em TI,
visto que a quantidade de informações a serem processadas cresce
em progressão geométrica.
A TI cada vez mais figura-se como suporte obrigatório para que a
organização alcance seus objetivos e metas. Para que a governança em
TI seja evidenciada e aplicada, necessita de ferramentas para sustentar a
grande carga de trabalho à qual estará submetida. Entre essas ferramen-
tas surgem os frameworks (conjunto de regras = etapas padronizadas
196 COBIT – Control Objectives for Information and related Technology

para a resolução de um ou vários problemas), que vêm para auxiliar as

organizações na criação de valor para TI.
Neste capítulo, você conhecerá o COBIT, seus princípios, estrutura,
implementação e capacidade de processos, aliados à governança em TI.

A governança em TI
Para introduzir o conceito de framework, cabe ressaltar a importância da
governança em TI para as organizações. Não se trata do meio, mas do fim no
que tange ao alcance dos objetivos e metas, devido à grande complexidade do
processamento de informações e grau de transparência exigido pelo mercado
das empresas. Mesmo empresas de pequeno porte, se não estiverem bem
estruturadas e planejadas, tendem a não permanecer no mercado. Hoje, a
velocidade de adaptação tem que ser muito grande, pois há uma exigência
para tal, estamos vivendo a era do nanossegundo. E a governança em TI
deve ficar em consonância com a governança corporativa para melhorar as
práticas empresariais focadas no melhor relacionamento da empresa com os
seus públicos.
Se os recursos fossem ilimitados, possivelmente a governança em TI não
fosse hoje como conhecemos, mas essa premissa não é verdadeira, os recursos
são limitados e devem cumprir com o planejado para serem realmente apro-
veitados ao máximo para maximizar os resultados esperados.
Nesse contexto, é a governança que dará o suporte necessário à empresa
para o cumprimento do planejamento estratégico definido pela alta direção
(Figura 1).

A norma técnica que estabelece um modelo para

a governança corporativa em TI é a norma ISO/IEC
38500 (INTERNATIONAL ORGANIZATION FOR
­STANDARDIZATION, 2015), disponível em:

https://goo.gl/RioYK1
 COBIT – Control Objectives for Information and related Technology 197

Figura 1. Tarefas organizacionais existentes em governança em TI.

Fonte: IT Governance Network (c2008-2018).

A norma pede que a governança em TI, na organização, seja composta de

três tarefas (INTERNATIONAL ORGANIZATION FOR STANDARDIZA-
TION, 2015). A primeira é mensurar o uso atual e futuro dos componentes
da TI, a segunda é planejar a implementação de projetos de TI para que
contemple os objetivos traçados pela organização, e a terceira é monitorar se
esses objetivos e metas estão sendo cumpridos de acordo com o investimento
feito na área.
Cabe ressaltar, caro leitor, os três itens a serem buscados pelos gestores de TI:

„„ Avaliar: planejar corretamente as necessidades atuais da empresa e

também as projeções de crescimento para que os investimentos cum-
pram com seu papel, que é a manutenção do nível de serviço desejado
pela organização.
„„ Dirigir: após o planejamento, os gestores responsáveis pela preparação e
implementação dos planos e políticas devem fazer cumprir o que foi alo-
cado de recursos para o correto direcionamento proposto pela alta direção.
198 COBIT – Control Objectives for Information and related Technology

„„ Monitorar: devem acompanhar todo o projeto com indicadores de de-

sempenho, para, assim, tomar ações de correção ou melhoria para que
a TI fique em conformidade com as necessidades da organização.

No Brasil, seguem informações sobre o ente máximo das normas técnicas: A ABNT é
o Foro Nacional de Normalização por reconhecimento da sociedade brasileira desde
a sua fundação, em 28 de setembro de 1940, e confirmado pelo governo federal por
meio de diversos instrumentos legais.
Entidade privada e sem fins lucrativos, a ABNT é membro fundador da International
Organization for Standardization (Organização Internacional de Normalização – ISO),
da Comisión Panamericana de Normas Técnicas (Comissão Pan-Americana de Normas
Técnicas – Copant) e da Asociación Mercosur de Normalización (Associação Mercosul
de Normalização – AMN). Desde a sua fundação, é também membro da International
Electrotechnical Commission (Comissão Eletrotécnica Internacional – IEC).
A ABNT é responsável pela produção das Normas Brasileiras (ABNT NBR), elaboradas
por seus Comitês Brasileiros (ABNT/CB), Organismos de Normalização Setorial (ABNT/
ONS) e Comissões de Estudo Especiais (ABNT/CEE).
Fonte: Associação Brasileira de Normas Técnicas (c2014).

COBIT 5
O Control Objectives for Information and Related Technology, ou sim-
plesmente COBIT, é um framework focado na governança em TI nas or-
ganizações. É desenvolvido pela Information Systems Audit and Control
Association (ISACA).

Acesse o link ou o código QR a seguir para saber

mais sobre o COBIT.

https://goo.gl/tUKFE8
 COBIT – Control Objectives for Information and related Technology 199

A ISACA é um organismo de classe mundial composto de várias empresas

de TI que efetua certificações de segurança, e auditoria de governança e risco
internacionalmente reconhecido.
O COBIT realiza a integração de outros frameworks publicados pelo insti-
tuto, caracterizando-se por ser um conjunto de boas práticas e recomendações
de governança em TI. Hoje em sua quinta versão, conta com uma arquitetura
formada por quatro domínios que auxiliam as organizações a criar valor
para as soluções de TI, mantendo a obtenção de resultados pelo investimento
destinado à TI nas empresas e otimizando a utilização dos recursos e os níveis
de governança planejados (Figura 2).
Foi concebido conforme as exigências do COSO – Committe of Sponsoring
Organisations of the Treadway Commission’s Internal Control – Integrated
Framework, padrão de controles internos adotado por organizações de todo
o mundo no que tange a gerenciamento e gestão de riscos.

Figura 2. COBIT 5 como framework da ISACA.

Fonte: Architecture Center (c2018).

Tem como objetivos centrais ofertar um framework abrangente para

otimizar o valor gerado pela TI nas organizações e permitir o gerenciamento
da TI de forma transparente e integrada, criando sinergia entre a TI e os
demais departamentos da empresa, focada no alcance das metas propostas
pela direção da empresa. A Figura 3 mostra a evolução do framework,
desde o começo, quando foi utilizado para auditoria e controles de TI, até
o momento atual, em que se alinha a outros padrões de mercado como
ITIL (Information Technology Infrastructure Library), ISO, Body Project
200 COBIT – Control Objectives for Information and related Technology

Management of Knowledge, PRINCE2 e The Open Group Architecture

Framework (TOGAF).

Figura 3. Gráfico demonstrando a evolução do framework.

Fonte: MindMeister (c2018).

Sendo assim, promove para as organizações um melhor gerenciamento

das informações, mantendo qualidade e segurança necessárias para gerar
conhecimento e os riscos sobre controle. Além disso, otimiza os custos e
deixa a empresa adequada com as leis, regulamentos e acordos nos quais está
inserida, atendendo, assim, a todos os stakeholders (partes interessadas) da
organização.

Princípios do COBIT
O COBIT é composto por cinco princípios, sobre os quais faremos uma breve
explicação (Figura 4).
 COBIT – Control Objectives for Information and related Technology 201

Figura 4. Princípios que compõem o COBIT 5.

Fonte: Bissong (2014).

Princípio 1: Atender às necessidades dos stakeholders

A empresa existe para criar valor aos públicos a ela relacionados (stakehol-
ders), como acionistas, fornecedores, clientes, colaboradores e a socie-
dade, entre outros. Criar valor significa obter resultados por intermédio
de recursos aplicados aos processos, controlando os riscos e atuando com
transparência.
Nesse princípio, o COBIT definirá quem receberá os benefícios, quem
assumirá os riscos e quais serão os recursos necessários (Figura 5).
202 COBIT – Control Objectives for Information and related Technology

Figura 5. Necessidades relacionadas ao princípio 1.

Fonte: Kolb (2014a).

As necessidades viram objetivos e metas da estratégia corporativa, e são

bem aderentes ao conceito de alinhamento estratégico de TI e do negócio
em si.
O COBIT aplica o conceito de cascata, a fim de, assim, colocar os objetivos
em ordem lógica para viabilizar seu atingimento. Desse modo, são alcançados
os objetivos pela sua definição tangível, pois ela alinha o conhecimento do
COBIT com o conhecimento do negócio, permanecendo, então, o objetivo
comum entre as áreas (Figura 6).
 COBIT – Control Objectives for Information and related Technology 203

Figura 6. Objetivos de áreas segundo o COBIT.

Fonte: Redbelt (2017).

Princípio 2: Cobrir a organização de ponta a ponta

Este segundo princípio diz respeito a deixar toda a organização amparada pela
integração da governança corporativa em TI dentro da governança corpora-
tiva. Integrando, nela, todos os processos e funções requeridos, a TI deve ser
visualizada como um grande ativo da empresa. O nível gerencial assume o
papel de responsável por esse alinhamento (Figura 7).
204 COBIT – Control Objectives for Information and related Technology

Figura 7. Necessidades relacionadas ao princípio 2.

Fonte: Kolb (2014b).

O objetivo central é a criação de valor, quando os facilitadores de go-

vernança (recursos organizacionais usados na governança, como princí-
pios, estruturas, processos e práticas) são correlacionados com o escopo da
governança (local de aplicação da governança) e os papéis, as atividades
e o relacionamento que são a base (mostra quem, como e o que faz cada
participante dentro do escopo).

Princípio 3: Aplicar um framework único e integrado

Esse é o fundamento da integração, ser uma solução única e globalizada, pois
incorpora as demais na busca pela governança transparente em TI, ou seja, o
COBIT figura-se como integrador para governança e gestão (Figura 8).
 COBIT – Control Objectives for Information and related Technology 205

Figura 8. Mapeamento do CoBIT® 5.

Fonte: Swart (c2018).

Princípio 4: Possibilitar uma abordagem holística

A abordagem holística dentro da organização significa que o projeto deve
abranger a empresa como um todo, áreas não podem ser deixadas de lado. O
COBIT apoiará a governança e gestão em TI por intermédio de sete viabiliza-
dores (fatores que individual e coletivamente influenciarão o funcionamento
da governança) (Ver Quadro 1 e Figura 9).

Quadro 1. Fatores que influenciam o funcionamento da governança.

Viabilizadores Explanação

Princípios, políticas São os itens que traduzem o funcionamento

e frameworks desejado à organização.
Processos São os processos descritos de uma forma prática,
utilizados para atingir as metas e os objetivos
propostos.
Estruturas organizacionais Representam como a organização está
organizada em níveis de decisão e execução.
(Continua)
206 COBIT – Control Objectives for Information and related Technology

(Continuação)

Quadro 1. Fatores que influenciam o funcionamento da governança.

Viabilizadores Explanação

Cultura, ética e São a base para a formatação da TI. Têm

comportamento que focar no mesmo objetivo.

Informação A informação deve ser única, protegida e ter

ampla circulação dentro da empresa para
o bom funcionamento da governança.

Serviços, infraestrutura Incluem todos os recursos de TI que

e aplicações fornecem serviços à organização.

Pessoas, habilidades São chave para o sucesso da governança,

e competências principalmente na tomada de decisão.

Fonte: Adaptado de ISACA (c2018b).

Figura 9. Necessidades relacionadas ao princípio 4.

Fonte: Bakshi (2017).

Esses viabilizadores têm, em conjunto, algumas dimensões para que

forneçam uma estrutura simples que permita o gerenciamento na busca de
resultados bem-sucedidos.
As dimensões são os stakeholders (todos os públicos a serem contemplados
com a governança e a transparência), os objetivos (que devem ser alcançados e
 COBIT – Control Objectives for Information and related Technology 207

criar valor à organização), o ciclo de vida (pois cada viabilizador é planejado,

executado e monitorado para manter a melhoria contínua), e as boas práticas
(papel fundamental para a governança, pois são mensuradas também seguindo
o fluxo da melhoria contínua).
Tudo isso é gerenciado e acompanhado pela gestão, por exemplo, se as
necessidades foram atingidas, se os objetivos foram alcançados, se o ciclo
ainda está acontecendo, se as boas práticas realmente estão sendo seguidas
ou se deve se fazer alguma intervenção para melhorar algum processo.

Princípio 5: Separar a governança da gestão

Neste momento, devem ser separadas gestão de governança, para que as duas
sejam atingidas. A governança, para assegurar que as necessidades sejam aten-
didas, ou seja, obrigação da alta direção da empresa para garantir os recursos
necessários, tudo bem planejado. A gestão, por sua vez, para certificar que as
atividades alinhadas com a direção estratégica estabelecida pela governança
sejam planejadas, construídas, executadas e monitoradas. Veremos mais sobre
governança e gestão no modelo de referência do COBIT.

Modelo de referência de processos do COBIT 5

Aqui, o COBIT subdivide os 37 processos de TI nas duas áreas – governança
e gestão –, as quais são divididas em domínios de processos, conforme mostra
a Figura 10.

Figura 10. Processos de TI nas áreas de governança e gestão.

Fonte: Malcher Jr. (2017).
208 COBIT – Control Objectives for Information and related Technology

A governança tem um domínio de “avaliar, dirigir e monitorar” (EDM)

com cinco processos de governança os quais ditam as responsabilidades da
alta direção para a utilização dos recursos de TI.
Ficam cobertos os processos de uso do framework de governança, o estabe-
lecimento das responsabilidades, os fatores de risco e recursos e a transparência
exigida por todos os stakeholders.
Já o processo de gestão contém quatro domínios de acordo com as áreas de
responsabilidade de planejar, criar, executar e monitorar (PBRM), explicados
no Quadro 2.

Quadro 2. Quatro domínios de acordo com as áreas de responsabilidade.

Domínio Explanação

APO – Alinhar, Planejar Diz respeito à forma como a TI contribuirá

e Organizar melhor com o alcance dos objetivos do negócio.
Aqui encontram-se os processos referentes à
estratégia e às táticas de TI e os gerenciamentos
(orçamento, qualidade, riscos e segurança).

BAI – Construir, Adquirir Refere-se a operacionalizar a estratégia

e Implementar montada em TI, cuida do gerenciamento da
disponibilidade e capacidade, das mudanças
organizacionais, transição de processos, enfim,
auxilia a tornar a TI um ativo da organização.

DSS – Entregar, Trata da entrega dos serviços para atendimento

Servir e Suportar aos objetivos da organização. O domínio
tem poder de gerenciar processos, garantir
a segurança da informação, ou seja,
controlar os processos do negócio.

MEA – Monitorar, Mensura o desempenho dos processos de TI,

Avaliar e Medir avaliando a conformidade com os objetivos
e com os requisitos externos, garantindo
a transparência e a criação de valor.

Fonte: Adaptado de ISACA (c2018b).

 COBIT – Control Objectives for Information and related Technology 209

Veja o quadro-resumo na Figura 11.

Figura 11. Resumos dos processos gerenciais de TI.

Fonte: Veras (2015).

Esses processos são desdobrados em práticas de governança ou práticas

de gestão, que perfazem os objetivos do COBIT. Os processos, por sua vez,
seguem estruturas e modelos baseados na metodologia de projetos.
Enfim, a governança em TI e a governança corporativa podem auxiliar
muito as organizações na criação de valor, permitindo que as informações
gerem conhecimento por meio de boas práticas e transparência. Sem isso, as
organizações encontram barreiras no seu crescimento.
210 COBIT – Control Objectives for Information and related Technology

A ISACA dispõe de um guia de implementação do

COBIT 5, que é baseado em um ciclo de melhoria
contínua. O conteúdo é bastante importante para
que o COBIT tenha aderência dentro da organização,
é documento indispensável para que o framework
funcione adequadamente. O guia é apoiado por um
conjunto de ferramentas de implementação que
contém uma variedade de recursos. Acesse o site
da ISACA (c2018a) e obtenha maiores informações,
ainda mais se gostar e for exercer papel de gestor ou
facilitador dentro de uma organização. Disponível em:

https://goo.gl/TA6yP4

ARCHITECTURE CENTER. COBIT5-logo. London, c2018. Disponível em: <https://archi-

tecture-center.com/images/course-logo/COBIT5-logo.jpg>. Acesso em: 16 fev. 2018.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. Conheça a ABNT. Rio de Janeiro:
ABNT, c2014. Disponível em: <http://www.abnt.org.br/abnt/conheca-a-abnt>. Acesso
em: 29 jan. 2018.
BAKSHI, S. Portfolio, program and project management using COBIT 5. [S.l.]: ISACA, 2017.
Disponível em: <http://www.isaca.org/COBIT/focus/Pages/portfolio-program-and-­
project-management-using-cobit-5.aspx>. Acesso em: 31 jan. 2018.
BISSONG, J. COBIT 5 key principles. [S.l.]: ISACA COBIT5 Fundermentals, 2014. Disponível
em: <http://jobenoncobit5.blogspot.com.br/2014/01/cobit-5-key-principles.html>.
Acesso em: 16 fev. 2018.
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO/IEC 38500:2015. Geneva:
ISO, 2015. Disponível em: <https://www.iso.org/standard/62816.html>. Acesso em:
30 jan. 2018.
ISACA. COBIT 5 publications directory. [S.l.], c2018a. Disponível em: <http://www.isaca.
org/COBIT/Pages/Product-Family.aspx>. Acesso em: 31 jan. 2018.
ISACA. What is COBIT 5? [S.l.], c2018b. Disponível em: <http://www.isaca.org/cobit/
pages/default.aspx>. Acesso em: 31 jan. 2018.
 COBIT – Control Objectives for Information and related Technology 211

IT GOVERNANCE NETWORK. Implementing the ISO 38500 standard for corporate gover-
nance. [S.l.], c2008-2018. Disponível em: <http://www.itgovernance.co.za/3/index.
php/ict-governance/88-it-governance/161-implementing-the-iso-38500-standard-­
for-corporate-governance>. Acesso em: 16 fev. 2018.
KOLB, J. J. Cobit 5: princípio 1. [S.l.]: Compartilhando, 2014a. Disponível em: <http://
jkolb.com.br/wp-content/uploads/2014/11/Cobit-5-princ%C3%ADpio-1.png>. Acesso
em: 16 fev. 2018.
KOLB, J. J. Cobit 5: princípio 2. [S.l.]: Compartilhando, 2014b. Disponível em: <http://
jkolb.com.br/wp-content/uploads/2014/11/Cobit-5-princ%C3%ADpio-2.png>. Acesso
em: 16 fev. 2018.
MALCHER JR., J. Necessidades do negócio. [S.l.], 2017. Disponível em: <http://josemalcher.
net/wp-content/uploads/2017/02/image11-1.png>. Acesso em: 31 jan. 2018.
MINDMEISTER. Governance of enterprise IT. San Francisco, c2018. Disponível em:
<https://www.mindmeister.com/generic_files/get_file/7568876?filetype=image_
file&img=22974780&cb=80b221>. Acesso em: 16 fev. 2018.
REDBELT. Visão geral da cascata de objetivos do COBIT 5. São Paulo, 2017. Disponível
em: <https://www.redbelt.com.br/blog/wp-content/uploads/2017/11/Bobit-5-2.
jpg>. Acesso em: 16 fev. 2018.
SWART, D. COBIT 5 mapping. [S.l.]: Pinterest, c2018. Disponível em: <https://br.pinterest.
com/pin/480126010250017229/>. Acesso em: 16 fev. 2018.
VERAS, M. Governança de TI corporativa. [S.l.], 2015. Disponível em: <http://manoelveras.
com.br/blog/wp-content/uploads/2015/04/image004.png>. Acesso em: 31 jan. 2018.

Leituras recomendadas
ANTÓNIO, N. S. Estratégia organizacional: do posicionamento ao movimento. 2. ed.
Lisboa: Sílabo, 2006.
BRASIL. Conheça seu direito. Brasília, DF, c2018. Disponível em: <http://www.acesso-
ainformacao.gov.br/assuntos/conheca-seu-direito>. Acesso em: 30 jan. 2018.
BRASIL. Lei nº 12.527, de 18 de novembro de 2011. Brasília, DF, 2011. Disponível em: <http://
www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm>. Acesso em: 30
jan. 2018.
BRASIL. Planalto. Presidência da República. Brasília, DF, c2018. Disponível em: <http://
www2.planalto.gov.br/>. Acesso em: 30 jan. 2018.
TRANSPARENCY International. Berlin, c2017. Disponível em: <https://www.transpa-
rency.org/>. Acesso em: 30 jan. 2018.