AULA 3

GOVERNAÇA E ESTRATÉGIA DE
TI APLICADA AOS NEGÓCIOS

Profª Mariana O. Silva

CONVERSA INICIAL

Após entendermos os conceitos de planejamento estratégico de TI e de

governança, estudaremos especificamente um framework que auxilia as
empresas a alcançarem seus objetivos relacionados à governança e ao
gerenciamento de TI. Nesta aula veremos os conceitos relacionados ao
framework COBIT: os princípios; os níveis e como este framework auxilia a
organização no processo de governança.

CONTEXTUALIZANDO

Você se lembra da história de criação e evolução da empresa Amazon? Ela

iniciou sua trajetória com um site de venda de livros e passou a ser uma grande
empresa de varejo on-line. Porém, todo ano, durante as datas comemorativas,
como natal, dia das mães e dia dos pais, a empresa enfrentava grandes picos nos
acessos ao seu site de vendas, causando muitas vezes até mesmo a
indisponibilidade do serviço.
E como este exemplo se relaciona com a governança? Simples, a
estratégia de negócios é vender mais nas datas comemorativas, atrair os clientes
com promoções e descontos, certo? Para atingir este objetivo, a empresa deve ter
condições de vender, de forma on-line, o que anunciou. Por isto, a estratégia de
TI deve estar alinhada aos negócios, de modo a viabilizar a estrutura física para
suportar o tráfego de acessos nessas datas.

TEMA 1 – FRAMEWORK COBIT

Um framework não é uma metodologia, mas sim um guia de boas práticas,

com uma série de recursos que podem servir como modelo para a gestão de TI. A
governança e o gerenciamento de TI são parte da governaça corporativa, e
extremamente complexos de ser gerenciados. Por isto, membros de comitês de
governança necessitam de suporte para implementá-la. Nesse contexto, e com o
objetivo de auxiliar nesse processo, surgem os frameworks.
O COBIT (Control Objectives for Information and related Technology – em
português objetivos de controle para a informação e tecnologia) foi lançado em
1996 pela ISACA e sua útilma atualização foi divulgada em 2012, mais
precisamente na versão 5. Esse framework auxilia as organizações a otimizar os
investimentos em TI, maximizar o valor da organização e diminuir o risco

02
relacionado à informação, fornencendo também métricas para avaliação dos
resultados. Segundo a Isaca (2018), “O Cobit 5 permite que a TI seja governada e
gerida de forma holística abrangendo o negócio de ponta a ponta e a todas as
áreas responsáveis pelas funções de TI.”
Ainda, o COBIT busca a conexão e o alinhamento a outros frameworks,
como ITIL, TOGAF, PMBOK, PRINCE2, COSO e padrões ISO (em especial a
ISO/IEC 38500:2008 – Governança Corporativa da Tecnologia da Informação,
que foi estudada na Aula 1). Desde sua concepção, este framework passou por
diversas evoluções e mais recentemente incorporou outros dois frameworks, o Val
IT e o Risk IT. Na figura abaixo, podemos observar o histórico evolutivo do
COBIT.

Figura 1 – Evolução COBIT

Fonte: Elaborado com base em ISACA, 2018.

Segundo o COBIT 5, “a informação é um recurso chave para qualquer

empresa e a tecnologia tem um papel muito importante durante todo o seu ciclo
de vida” (ISACA, 2018). Dentre os objetivos do modelo, podemos citar, conforme
os preceitos de Fernandes e Abreu (2014):

03
  Ajuda as empresas a atingirem seus objetivos de governança e
gerenciamento da TI em âmbito corporativo, assim como a otimizarem
o valor da sua TI, balanceando os riscos versus os benefícios.
 Habilita a TI a ser gerenciada e governada de forma holística por
toda a empresa (incluindo áreas de negócio, áreas funcionais da TI e
partes interessadas internas e externas).
 Pode ser utilizado por empresas de qualquer natureza, mercado
ou tamanho.

Além dos objetivos citados, o COBIT também possui cinco princípios bem
fundamententados, que serão apresentados a seguir.

TEMA 2 – PRINCÍPIOS DO COBIT: PRINCÍPIOS 1 E 2

O framework COBIT 5 está sustentado por cinco princípios fundamentais,

conforme mostra a figura a seguir.

Figura 2 – Princípios do COBIT 5

Fonte: Elaborado com base em ISACA, 2018.

2.1 Princípio 1: Satisfazer necessidades das partes interessadas

Um dos principais objetivos de uma empresa é criar valor para seus

stakeholders (partes interessadas). Este objetivo deve ser buscado por meio de
entrega de benefícios e da otimização de riscos e custos.

04
Figura 3 – Necessidades das partes

Fonte: Elaborado com base em ISACA, 2018.

Segundo a ISACA (2018):

Cada stakeholder tem sua própria visão de valor, fator que dificulta a
governança. Com o objetivo de sanar esta dificuldade, o COBIT
apresenta um mecanismo utilizado para traduzir as necessidades dos
stakeholders em metas de negócio, metas de TI relacionadas e metas
habilitadoras, denominado Cascata de Metas (COBIT 5 Goals
Cascade).

Esta cascata está ligada às necessidades das partes interessadas,

traduzidas em metas genéricas, atingíveis e customizadas, metas relacionadas à
TI e metas dos habilitadores de TI. Esse sistema de metas em cascata está
ilustrado na figura a seguir.

05
Figura 4 – Necessidades das partes

Fonte: Elaborado com base em ISACA, 2018.

2.2 Princípio 2: Cobrir a empresa de ponta a ponta

O COBIT não foca somente na TI, e sim na governança e gerenciamento

de TI, onde quer que esteja. Isto implica, por exemplo, na integração do COBIT
(direcionado para governança de TI), com outros padrões de mercado,
direcionados para gestão de projetos, como por exemplo o PMBOK e o PRINCE,
além de cobrir todos os serviços de TI (internos e externos). Cobrir a empresa de
ponta a ponta gera um sistema de governança, que é formado pelos seguintes
componentes, conforme os preceitos de Fernandes e Abreu (2014):

 Habilitadores da governança: recursos organizacionais utilizados

para a governança, como princípios, frameworks, estruturas, processos
e práticas, através dos (ou para os) quais são conduzidas ações e
atingidos objetivos;

06
  Escopo da governança: área que será efetivamente governada
(desde um ativo tangível ou intangível até uma entidade ou mesmo a
empresa inteira;
 Papéis, atividades e relacionamentos: definem as partes
interessadas envolvidas, o que elas fazem e como devem interagir
dentro do escopo do sistema de governança.

Figura 5 – Criação de valor

Fonte: Elaborado com base em ISACA, 2018.

TEMA 3 – PRINCÍPIOS DO COBIT: PRINCÍPIOS 3, 4 e 5

O terceiro princípio trata da aplicação de um framework integrado único.

Segundo a ISACA (2008):

o COBIT 5 é um modelo único e integrado porque:

 Alinha-se com outros padrões e modelos mais recentes,
permitindo assim que a organização use o COBIT 5 como o principal
integrador do modelo de governança e gestão.
 Integra todo o conhecimento previamente disperso nos diversos
modelos da ISACA. A ISACA vem pesquisando a principal área de
governança corporativa há muitos anos e criou modelos tais como
COBIT, Val IT, Risk IT, BMIS, a publicação Board Briefing on IT
Governance, e ITAF para prestar orientação e assistência às
organizações. O COBIT 5 integra todo este conhecimento.

A figura abaixo exemplifica esta integração.

07
Figura 6 – Integração de conhecimento

Fonte: Elaborado com base em ISACA, 2018.

O quarto princípio visa permitir uma visão holística. De acordo com a

ISACA (2018),

Habilitadores são fatores que, individualmente e em conjunto,

influenciam se algo irá funcionar - neste caso, a governança e a gestão
corporativas da TI. Os habilitadores são orientados pela cascata de
objetivos, ou seja, objetivos de TI em níveis mais alto definem o que os
diferentes habilitadores deverão alcançar.

O COBIT 5 descreve sete categorias de habilitadores de TI, listadas a

seguir de acordo com os conceitos ilustrados por Fernandes e Abreu (2014):

1. Princípios, políticas e estruturas que auxiliam a traduzir comportamentos

desejados em um guia prático para o dia a dia.
2. Processos que descrevem práticas e atividades para atingir objetivos
específicos e também apoiam o atingimento das metas globais
relacionadas à TI.
3. Estruturas organizacionais, entidades de tomada de decisões-chave em
uma empresa.
4. Cultura, ética e comportamento dos envolvidos, geralmente muito
subestimados como fatores críticos de sucesso para as atividades de
governança e gerenciamento.

08
 5. Informação gerada e utilizada pela empresa, que a mantém em
funcionamento e que, no nível operacional, é parte integrante do seu
produto principal.
6. Serviços, infraestrutura e aplicações que apoiam a organização com
processamento e serviços de TI.
7. Pessoas, habilidades e competências presentes nas pessoas e
requeridas para a execução das atividades relacionadas ao escopo em
questão.

A relação entre os habilitadores pode ser observada na figura a seguir.

Figura 7 – Relação entre habilidades

Fonte: Elaborado com base em ISACA, 2018.

O COBIT 5 faz questão de diferenciar a governança do gerenciamento

(gestão). É disso que trata o quinto princípio Para o framework:

A governança garante que as necessidades, condições e opções das

partes interessadas sejam avaliadas a fim de determinar objetivos
corporativos acordados e equilibrados; definindo a direção através de
priorizações e tomadas de decisão; e monitorando o desempenho e a
conformidade com a direção e os objetivos estabelecidos. A gestão é
responsável pelo planejamento, desenvolvimento, execução e
monitoramento das atividades em consonância com a direção definida
pelo órgão de governança a fim de atingir os objetivos corporativos.

A ISACA afirma que, na maioria dos casos, a governança é de

responsabilidade do conselho de administração, sob a liderança do presidente
enquanto a gestão fica a cargo da diretoria executiva, sob a liderança do diretor
executivo (CEO).

09
 O domínio de governança abrange os processos avaliar, dirigir e monitorar,
enquanto a gestão engloba os seguintes processos:

 alinhar, planejar e organizar;

 construir, adquirir e implementar;
 entregar, serviços e suporte;
 monitorar, avaliar e analisar.

A seguir, vamos estudar uma visão geral da estrutura do modelo, focando

em cada um dos seus princípios.

TEMA 4 – MODELO DE REFERÊNCIA DE PROCESSOS DO COBIT 5

O modelo de referência de processo do COBIT 5 divide os processos de

governança e gestão de TI da organização em dois domínios de processos
principais. Cada domínio contém diversos processos. Na figura a seguir, temos
um exemplo de cada um deles e também de sua interação.

Figura 8 – Processos em interação

Fonte: Elaborado com base em ISACA, 2018.

A Governança é constituída pelo domínio Avaliar, Dirigir e Monitorar

(Evaluate, Direct and Monitor), que abrange práticas de avaliação, direção e
monitoração. Relaciona-se ás normas ISO/IEC 38500 (Governança Corporativa
de TI) e 31000 (Gestão de Riscos).
010
 A Gestão apresenta quatro domínios, que serão definidos a seguir
segundo os preceitos de Fernandes e Abreu (2014). Primeiro, temos o domínio
Alinhar, Planejar e Organizar (Align, Plan and Organise – APO), com
abrangência estratégica e tática. Esse domínio “identifica as formas através das
quais a TI pode contribuir melhor para o atendimento dos objetivos de negócio,
envolvendo planejamento, comunicação e gerenciamento em diversas
perspectivas”. Este domínio está relacionado com o PMBOK e o PRINCE2, por
exemplo.
O segundo domínio da gestão é o Construir, Adquirir e Implementar
(Build, Acquire and Implement – BAI). Ele “cobre identificação, desenvolvimento
e/ou aquisição de soluções de TI para executar a estratégia de TI estabelecida,
assim como a sua implementação e integração junto aos processos de negócio”.
Está relacionado com a ISO/IEC 20000 (gerenciamento de qualidade de serviços
de TI) e o framework ITIL (boas práticas para gerenciamento de serviços de TI),
entre outros padrões de mercado. Além de estar relacionado com o
desenvolvimento e aquisição de novos recursos de TI, também se encarrega de
sua manutenção. “Mudanças e manutenções em sistemas existentes também
estão cobertas por este domínio, para assegurar a continuidade dos respectivos
ciclos de vida.”
O próximo domínio, Entregar, Servir e Suportar (Deliver, Service and
Support – DSS), está relacionado ao framework ITIL e à ISO/IEC Série 27000
(Sistema de Gestão de Segurança da Informação), entre outros padrões de
mercado. Além disso, ele (Fernandes; Abreu, 2014):

cobre a entrega propriamente dita dos serviços requeridos, incluindo

gerenciamento de segurança e continuidade, reparo de equipamentos
e demais itens relacionados, suporte aos serviços para os usuários,
gestão dos dados e da infraestrutura operacional.

O último domínio, Monitorar, Avaliar e Medir (Monitor, Evaluate and

Assess – MEA) está relacionado com a ISO/IEC Série 27000 e (Fernandes;
Abreu, 2014):

visa assegurar a qualidade dos processos de TI, assim como a sua

governança e conformidade com os objetivos de controle, através de
mecanismos regulares de acompanhamento, monitoração de controles
internos e de avaliações internas e externas.

011
TEMA 5 – O MODELO DE CAPACIDADE DE PROCESSOS

O modelo de avaliação da capacidade dos processos do COBIT é

baseado no padrão de Avaliação de Processo – Engenharia de Software
(ISO/IEC 15504). Este modelo tem seis níveis. De acordo com a ISACA (2018),
“Cada nível de capacidade só pode ser atingido quando o nível anterior tiver sido
plenamente alcançado”. Estes níveis são descritos abaixo conforme definido
pelo framework:

 0 - Processo Incompleto - O processo não foi implementado ou não

atingiu seu objetivo. Neste nível, há pouca ou nenhuma evidência de
qualquer atingimento sistemático do objetivo do processo.
 1 - Processo Executado (um atributo) - O processo implementado
atinge seu objetivo.
 2 - Processo Gerenciado (dois atributos) - O processo realizado
descrito acima agora é implementado de forma administrativa
(planejado, monitorado e ajustado) e seus produtos do trabalho são
adequadamente estabelecidos, controlados e mantidos.
 3 - Processo Estabelecido (dois atributos) - O processo controlado
descrito acima agora é implementado utilizando um processo definido
capaz de atingir seus resultados.
 4 - Processo Previsível (dois atributos) - O processo criado descrito
acima opera agora dentro dos limites definidos para produzir seus
resultados.
 5 - Processo Otimizado (dois atributos) - O processo previsível descrito
acima é continuamente melhorado visando o atingimento dos objetivos
corporativos pertinentes, atuais ou previstos.
Para avaliar os atributos de processo, utiliza-se uma escala oriunda da
ISO/IEC 15504, na qual:

 N (não alcançado): há pouca ou nenhuma evidência de realização do

atributo de processo no processo avaliado (0% a 15% de realização);
 P (parcialmente alcançado): há alguma evidência de realização do
atributo de processo no processo avaliado. Alguns aspectos da realização
do atributo podem ser imprevisíveis (15% a 50% de realização);
 L (largamente alcançado): há evidência de uma realização significativa do
atributo de processo no processo avaliado. Algumas fraquezas
relacionadas a este atributo podem existir no processo avaliado (50% a
85% de realização);
 F (totalmente alcançado): há evidência de uma realização completa do
atributo de processo no processo avaliado. Não há deficiências
significativas associadas a este atributo no processo avaliado (85% a
100% de realização);

012
FINALIZANDO

Vale lembrar dos questionamentos feitos no início desta aula em relação à

empresa Amazon e ao retorno da aplicacão dos processos de governança nos
negócios. Afinal, a governança mudou o rumo dos processos da Amazon, fazendo
com que o alinhamento estratégico de TI com o negócio suportasse o aumento de
vendas, alavancando o negócio, que iniciou como um site de vendas web e se
tornou uma empresa provedora de serviços na nuvem. O CobiT 5 “não concentra
o seu foco apenas na área de TI, sim na governança e no gerenciamento da
informação e da tecnologia relacionadas onde quer que estejam, cobrindo a
empresa de ponta a ponta” (Fernandes, Abreu; 2014).
Nesta aula, foi possível conhecer o COBIT, seus objetivos, princípios e
processos. Além disso, aprendemos a medir e classificar esses processos em
níveis. Para Fernandes e Abreu (2014), este framework pode ser considerado
“um integrador entre os principais frameworks do mercado, em suas versões
mais atualizadas, uma vez que sua arquitetura é simples e serve como uma
fonte consistente e integrada de diretrizes para a utilização desses modelos.”

013
REFERÊNCIAS

FERNANDES, A. A.; ABREU, V. F. de. Implantando a Governança de TI: da

estratégia à gestão dos processos e serviços. 4. ed. Rio de Janeiro: Brasport,
2014.

ISACA. Cobit 5 Framework. Disponível em:

<https://www.isaca.org/COBIT/Pages/COBIT-5-Framework-product-page.aspx>.
Acesso em: 17 jan. 2018.

MOLINARO, L.F.R.; RAMOS, K.H.C. Gestão de tecnologia da informação:

Governança de TI – arquitetura e alinhamento entre sistemas de informação e o
negócio. 1. ed. Rio de Janeiro: LTC, 2011

WEILL, P.; ROSS, J. W. Governança de TI: Tecnologia da Informação. São

Paulo: Makron Books, 2006.

014