GUIA PARA DIRECIONAMENTO PETI E PDTI

VERSÃO 2023

Brasília
2022
Autores:

Ana Paula Morais, do Vale, Mestranda em Engenharia Elétrica, Associada do Capítulo Brasília
da ISACA.

Fernando César Campos Andrade, CISA, CISM, CGEIT, TOGAF – Diretor de Pesquisa do Capítulo
Brasília da ISACA.

João Souza Neto, PhD, CRISC, CDPSE, CGEIT, COBIT 2019 Trainer, COBIT 2019 Design &
Implementation, PMP, RMP – Presidente do Capítulo Brasília da ISACA.

Luiz Claudio Diogo Reis, CISA, CRISC, CDPSE, COBIT 5 & 2019 Acredited Instructor – Diretor de
Educação do Capítulo Brasília da ISACA.

Marcelo Gaspar Rodrigues Silva, CISA, CGEIT, ITIL® 4 Managing Professional, Digital
Transformation Expert by DTWI®, OKR Expert by DTWI®, Associada do Capítulo Brasília da
ISACA.
INTRODUÇÃO

Na elaboração do PETI e do PDTI, a primeira questão que se coloca é: “Qual é a nossa direção
para o próximo ano? São reuniões bem movimentadas, algumas mais organizadas, com
workshops e dinâmicas, por exemplo; outras mais na linha de um brainstorming entre os
gestores.

Para apoiar na discussão do direcionamento para 2023, o Think Tank CapBrasilia apresenta um
Guia para Direcionamento do PETI e PDTI – versão 2023. Este Guia foi elaborado por integrantes
da iniciativa Think Tank, sendo distribuído de forma livre e gratuita para toda a comunidade
envolvida com esse assunto, sejam organizações públicas ou privadas.

A essência desse guia direcionador é o modelo de desenho de um sistema de Governança do

COBIT 2019, que é baseado em onze fatores de desenho, conforme previsto na arquitetura do
framework. Além destes fatores, esse guia traz referências complementares para agregar valor
ao enriquecer a avaliação de cada tópico dos fatores de desenho.

Para facilitar o preenchimento dos elementos dos fatores de desenho, a ISACA disponibilizou,
para os membros, uma planilha, acessível em:

https://store.isaca.org/s/store#/store/browse/detail/a2S4w000004Ko9BEAS. Essa planilha

auxilia na construção de modelos baseados no COBIT 2019.

Este documento está estruturado em quatro capítulos, além dessa introdução que apresenta a
motivação para estruturação do guia. O capítulo 1 apresenta uma breve descrição do PETI e do
PDTI, o capítulo 2, os onze fatores de desenho do COBIT 2019, o capítulo 3, um exemplo de
estratégia para 2023 e o Capítulo 4 traz com as considerações finais deste guia.

Esperamos que esse guia traga valor e seja útil em suas atividades profissionais.
CAPÍTULO 1. PETI E PDTI

O PETI (Plano Estratégico de TI) é um documento que define a estratégia de uso da tecnologia
da informação em uma organização. Esse documento organiza, estrutura e sistematiza como a
TI e suas soluções contribuirão para o alcance das metas organizacionais.

Este documento referencia o Plano Estratégico Corporativo/Institucional e instrumentaliza o

diálogo TI-Negócio.

Normalmente, o PETI contém uma análise dos contextos interno e externo, os objetivos
estratégicos de TI que suportam o alcance dos objetivos estratégicos de negócio, indicadores
estratégicos de desempenho e de risco, matriz SWOT, visão de futuro, missão da TI, valores da
TI, entre outros.

As áreas de TI dos tipos Suporte e Fábrica (Vide Fator de Desenho #7), geralmente, dispensam o
PETI, pois suas áreas de TI estão subordinadas a uma Diretoria Administrativa ou Financeira, não
participando das decisões estratégicas da organização. Por outro lado, as áreas de TI dos tipos
Transformadora e Estratégica têm um papel fundamental na definição e condução das
estratégias organizacionais.

Já o PDTI (Plano Diretor de TI) é um documento tático, direcionado pelo PETI, que apresenta as
iniciativas que serão implementadas para o atendimento às necessidades das áreas clientes e
para o alcance dos objetivos corporativos/institucionais.

O PDTI detalha o cronograma das implementações, os recursos envolvidos, as interações entre

as iniciativas, os ricos envolvidos, indicadores e metas de avanço e de orçamento, entre outros.
CAPÍTULO 2. FATORES DE DESENHO DO COBIT 2019

FATOR DE DESENHO #1 – Arquétipos de Estratégia Corporativa

Para este fator, as opções são:

Opção Descrição

A organização tem foco em crescimento

Crescimento/Aquisição
(receitas)

A organização tem foco na oferta de produtos e

Inovação/Diferenciação
serviços inovadores para seus clientes

A organização tem foco na minimização de custos

Liderança em Custo
no curto prazo

Serviços ao A organização tem foco no fornecimento de

Cliente/Estabilidade serviços estáveis orientados ao cliente

Para cada opção, o gestor responsável deverá indicar o grau de importância, sendo 1 menos
importante e 5 mais importante. Deve-se observar que o grau de importância de cada opção é
independente dos demais.

Dica importante: Na hora de responder, sugerimos focar na palavra-chave de cada opção: 1)

Crescimento, 2) Inovação, 3) Custo e 4) Cliente.

Além disso, lembre-se de diferenciar os níveis de importância, porque, se tudo for importante,
a quantidade de Objetivos priorizados na planilha torna a implementação impraticável.

Finalmente, tenha o olhar para a estratégia corporativa/institucional do ano 2023.

Exemplo do Fator de Desenho #1

Opção Importância (1 a 5)

Crescimento 4

Inovação 3

Custo 2

Cliente 3
Em complemento: para enriquecer a discussão, sugerimos incluir uma análise PESTEL
(P – Fatores políticos, E – Fatores econômicos, S – Fatores sociais, T – Fatores tecnológicos,
E – Fatores ecológicos e L – Fatores legais.

Referência: https://www.zendesk.com.br/blog/analise-pestel/
FATOR DE DESENHO #2 – Objetivos Corporativos

O segundo fator de desenho deve abordar os objetivos estratégicos da organização. Novamente,

devemos indicar, para cada objetivo, o seu grau de importância, sendo 1 menos importante e 5
mais importante.

Como sua organização, possivelmente, tem objetivos estratégicos diferentes dos listados no
Framework COBIT2019, o trabalho do gestor deve-se resumir em avaliar a aderência de cada um
dos treze objetivos corporativos propostos pelo COBIT 2019 ao seu Plano Estratégico.

Como exemplo, vamos analisar o EG02 – Riscos de Negócios Gerenciados. O seu Plano
Estratégico aborda esse tema? Se você responder mais ou menos, teríamos aqui um nível de
importância 2 ou 3.

Por outro lado, se para o EG09 - Otimização dos custos dos processos de negócios, o seu Plano
Estratégico dá grande importância, aqui poderia ser atribuído o nível 5, pois essa é uma
preocupação constante das organizações para sobreviver em um mercado altamente
competitivo.

Portanto, esse não é um Fator de Desenho complicado. Basta avaliar a importância dos objetivos
corporativos olhando para o seu Plano Estratégico 2023.

Exemplo do Fator de Desenho #2

Valor Importância (1 a 5)

EG01 - Portfólio de
produtos e serviços 4
competitivos

EG02 - Riscos de negócios

3
gerenciados

EG03 - Conformidade com

2
leis e regulamentos externos

EG04 - Qualidade da
5
informação financeira

EG05 - Cultura de serviço

2
orientada ao cliente

EG06 - Continuidade e
disponibilidade dos serviços 2
de negócio
 EG07 - Qualidade da
1
informação gerencial

EG08 - Otimização da
funcionalidade dos
3
processos internos de
negócios

EG09 - Otimização dos

custos dos processos de 3
negócios

EG10 - Habilidades,
motivação e produtividade 4
do pessoal

EG11 - Conformidade com

2
políticas internas

EG12 - Programas de
transformação digital 2
gerenciados

EG13 - Inovação de produtos

3
e negócios

Em complemento: sugerimos uma releitura e discussão em equipe do Plano Estratégico

Corporativo/Institucional e do Plano de Negócios da organização, se for o caso.
FATOR DE DESENHO #3 – Perfil de Risco

O terceiro fator de desenho aborda as categorias de cenários de riscos. Esse é, sem sombra de
dúvidas, o fator de desenho que gera mais dificuldades. Para facilitar o entendimento,
relacionamos abaixo as 19 categorias de cenários de risco. Essas categorias são oriundas do Guia
COBIT 5 para Risco.

Para cada categoria de cenário de risco, deve-se estimar um valor de 1 a 5 para o impacto (sendo
5, alto impacto) e para a Probabilidade (sendo 5, alta probabilidade).

Para exemplificar, vamos analisar a categoria 2 - Gestão do ciclo de vida de programas e

projetos. A pergunta que você tem que se fazer é: há muitos riscos associados à gestão de
programas e projetos da minha organização? Se a sua gestão de projetos é imatura, a
probabilidade de riscos relacionados se materializarem é alta. Quanto ao impacto, pense no
nível dos investimentos realizados em programas e projetos na sua organização. Se o nível for
alto, naturalmente, os impactos serão altos.

Uma categoria interessante é a 17 - Inovação baseada em tecnologia. A pergunta aqui é: a

adoção de novas tecnologias traz muitos riscos ao meu ambiente? Se você tem procedimentos
adequados para recepcionar novas tecnologias, essa probabilidade será baixa.

Aqui deve-se fazer uma estimativa do impacto e da probabilidade de cada categoria de risco
em 2023.

Exemplo do Fator de Desenho #3

Valor Impacto (1 a 5) Probabilidade (1 a 5)

Portfólio de produtos e
4 2
serviços competitivos

Riscos de negócios
3 3
gerenciados

Conformidade com leis e

2 1
regulamentos externos

Qualidade da informação
5 3
financeira

Cultura de serviço orientada

2 1
ao cliente

Continuidade e
disponibilidade dos serviços 2 4
de negócio
 Qualidade da informação
1 3
gerencial

Otimização da
funcionalidade dos
3 3
processos internos de
negócios

Otimização dos custos dos

3 5
processos de negócios

Habilidades, motivação e
4 2
produtividade do pessoal

Conformidade com políticas

2 4
internas

Programas de
transformação digital 2 3
gerenciados

Inovação de produtos e
3 5
negócios
FATOR DE DESENHO #4 – Questões de TI

O quarto fator de desenho aborda questões relacionadas à informação e tecnologia (I&T) na

organização. Esse fator de desenho é muito importante porque mostra os pontos de dor que a
área de TI vive, não só na visão dos gestores de TI, mas, também, dos gestores de negócio.

Para cada questão de I&T, deve-se definir um valor entre 1 e 3, sendo:

1 – Não é um problema

2 – É um problema

3 – É um grande problema

Para exemplificar, vamos analisar a questão 18 - Áreas de negócios implementando suas

próprias soluções de informação com pouco ou nenhum envolvimento da área de TI da
organização. Em algumas organizações, isso é um grande problema - valor 3!

A chamada Shadow IT é o recurso das áreas de negócio que querem soluções para “ontem” e
que, na pressa, pecam no planejamento e desenvolvimento de soluções com requisitos de
segurança necessários, por exemplo. O resultado disso é que não há criação de valor, pois a
solução criada “nas sombras” não atende requisitos de otimização de riscos, continuidade,
disponibilidade, manutenibilidade nem segurança da informação.

O olhar aqui deve ser para a realidade que a organização vive atualmente, neste último trimestre
de 2022.

Exemplo do Fator de Desenho #4

Valor Importância (1 a 3)

Frustração entre as unidades de TI de toda

a organização, com a área de TI devido a
3
uma percepção de baixa contribuição para
o valor do negócio.

Frustração entre as áreas de negócios (o

cliente da TI) e a área de TI por causa de
iniciativas fracassadas ou uma percepção 3
de baixa contribuição para o valor do
negócio.

Incidentes significativos relacionados à

Informação & Tecnologia como perda de
dados, violações de segurança, falhas de 2
projetos e erros de aplicativos, vinculados
à área de TI.
Problemas de prestação de serviço pelo(s)
1
terceirizado(s) de TI.

Falhas em atender aos requisitos

regulatórios ou contratuais relacionados à 2
TI.

Achados regulares de auditoria ou outros

relatórios de avaliação sobre desempenho
2
da TI insatisfatório ou problemas de
qualidade ou de serviço de TI.

Gastos substanciais de TI ocultos e

suspeitos, isto é, gastos de I&T por parte
de outras áreas fora do controle dos
1
mecanismos normais de decisão de
investimentos em I&T e dos orçamentos
aprovados.

Duplicações ou sobreposições entre várias

iniciativas ou outras formas de desperdício 3
de recursos.

Recursos de TI insuficientes, equipe com

habilidades inadequadas ou stress ou 3
insatisfação.

Mudanças ou projetos habilitados por TI

que falham frequentemente em atender às
2
necessidades de negócios e são entregues
com atraso ou acima do orçamento.

Relutância por parte do Conselho de

Administração ou Diretoria Executiva em
2
se envolver com a TI ou falta de patrocínio
da alta administração para a TI.

Modelo operacional de TI complexo e/ou

mecanismos de decisão pouco claros para 2
decisões relacionadas a TI.

Custo excessivamente alto de TI; 3

FATOR DE DESENHO #5 – Cenário de Ameaças

O quinto fator de desenho aborda a importância do cenário de ameaças para a organização. É

importante que as ameaças sejam entendidas em um contexto amplo e abrangente, incluindo,
não só ameaças de segurança cibernética, mas ameaças da concorrência, ameaças regulatórias,
dentre outras.

Neste fator de desenho, você terá somente duas opções: Alto e Normal. Assim, você deverá
atribuir um percentual de importância para cada uma delas, observando que a soma das duas
deverá ser 100%. Veja o exemplo abaixo.

Para esse fator de desenho, deve-se fazer uma estimativa do cenário de ameaças para 2023.

Exemplo do Fator de Desenho #5

Valor Importância (100%)

Alto 75%

Normal 25%

Em complemento: no caso de ameaças cibernéticas, recomendamos consultar o MITTRE

ATT&CK, https://attack.mitre.org/
FATOR DE DESENHO #6 – Requisitos de Compliance

O sexto fator de desenho aborda a importância dos requisitos de compliance para a organização.
No caso de órgãos públicos e de empresas que atuam em mercados regulados como o
financeiro, o percentual de Alto, normalmente, é elevado.

Aqui você tem três opções: Alto, Normal e Baixo. Você deverá atribuir um percentual de
importância para cada uma delas, observando que a soma das três deverá ser 100%. Veja o
exemplo abaixo.

Neste fator de desenho, deve-se fazer uma estimativa de como as questões de compliance
ocuparão a agenda corporativa em 2023.

Exemplo do Fator de Desenho #6

Valor Importância (100%)

Alto 80%

Normal 20%

Baixo 0%

Em complemento: cada organização deve identificar leis, regulamentos, contratos e requisitos

de compliance a que está sujeita, dependendo da sua área de atuação (setor financeiro, saúde,
educação, público etc.). No caso de órgãos públicos, há diversos Decretos e Instruções
Normativas aplicáveis ao contexto da organização.
FATOR DE DESENHO #7 – Papel da TI

O sétimo fator de desenho aborda a importância do papel da TI. Para isso, o COBIT 2019 propõe
um modelo com quatro opções: Suporte, Fábrica, Transformadora e Estratégica. Você deverá
atribuir um percentual de importância para cada uma delas, observando que a soma deverá dar
exatamente 100%. Veja o exemplo abaixo.

É importante observar que mesmo que sua TI seja eminentemente estratégica (ou de outro
tipo), sempre haverá funções ou áreas com características distintas. Deve ser feita uma avaliação
global da área de TI da organização.

Tipos de TI:

Tipo Suporte - A TI não é crucial para a execução e continuidade dos processos e serviços de
negócios nem para sua inovação.

Tipo Fábrica - Quando a TI falha, há um impacto imediato na execução e continuidade dos

processos de negócios e serviços. No entanto, a TI não é vista como uma impulsionadora para
inovar processos e serviços de negócios.

Tipo Transformadora - A IT é vista como uma direcionadora para inovar processos e serviços de
negócios. Neste momento, no entanto, não há uma dependência crítica da TI para a execução e
continuidade dos processos de negócios e serviços.

Tipo Estratégica - A TI estratégica é essencial para a execução e inovação dos processos e

serviços de negócios da organização.

Este fator de desenho deve considerar não a TI de hoje, mas a TI que queremos para 2023. Essa
projeção deve ser realista e viável.

Exemplo do Fator de Desenho #7

Importância
Valor
(100%)

Suporte 0%

Fábrica 10%

Transformadora 30%

Estratégica 60%
FATOR DE DESENHO #8 – Modelo de Provimento da TI

O oitavo fator de desenho aborda o modelo de provimento da TI. Há três opções possíveis:
Terceirização, Nuvem e Desenvolvimento Interno. Você deverá atribuir um percentual de
importância para cada uma delas, observando que a soma deverá dar exatamente 100%. Veja o
exemplo abaixo. No setor público brasileiro, há um percentual elevado de terceirização e,
ultimamente, tem crescido o número de soluções em Nuvem.

Este fator de desenho deve considerar não a distribuição atual de modelos de provimento, mas
a distribuição queremos para 2023. Essa projeção deve ser realista e viável.

Exemplo do Fator de Desenho #8

Importância
Valor
(100%)

Terceirização 60%

Nuvem 20%

Desenvolvimento
20%
Interno
FATOR DE DESENHO #9 – Métodos de Implementação da TI

O nono fator de desenho aborda métodos de implementação de TI. Há três opções possíveis:
Métodos Ágeis, DevOps e Tradicional. Novamente, você deverá atribuir um percentual de
importância para cada uma delas, observando que a soma deverá dar exatamente 100%. Veja o
exemplo abaixo.

Ultimamente, tem-se observado valores elevados na opção Métodos Ágeis e um crescimento

discreto em DevOps.

Este fator de desenho deve considerar não a distribuição atual de métodos de implementação,
mas a distribuição queremos para 2023. Essa projeção deve ser realista e viável.

Exemplo do Fator de Desenho #9

Importância
Valor
(100%)

Métodos Ágeis 60%

DevOps 5%

Tradicional 35%
FATOR DE DESENHO #10 – Estratégia de Adoção de Tecnologia da TI

O décimo fator de desenho aborda a estratégia de adoção de tecnologia. Há três opções

possíveis: Pioneiro, Seguidor e Adoção Tardia. Você deverá atribuir um percentual de
importância para cada uma delas, observando que a soma deverá dar exatamente 100%. Veja o
exemplo abaixo.

No setor público brasileiro, na Administração Direta, prevalece a Adoção Tardia, isso se deve às
barreiras inerentes ao modelo organizacional destes órgãos que, de certa forma, limita a sua
capacidade de inovação. Já na Administração Indireta, dada a relevância da adoção de novas
tecnologias em determinados setores, algumas organizações se enquadram como exemplos da
estratégia Pioneiro.

Este fator de desenho deve considerar não o modelo atual de adoção de tecnologia, mas o
modelo de adoção que queremos para 2023. Essa projeção deve ser realista e viável.

Exemplo do Fator de Desenho #10

Importância
Valor
(100%)

Pioneiro 10%

Seguidor 30%

Adoção Tardia 60%

FATOR DE DESENHO #11 – Porte da Organização

O décimo primeiro fator de desenho aborda o porte da organização. Há duas opções: Grande e
Pequeno/Médio. Esta classificação tem como critério o número de colaboradores; se for maior
que 250, é Grande. Essa informação deve ser registrada na aba Canvas da planilha para a
avaliação final.

Este fator de desenho considera o porte da organização em 2022.

Fator de Desenho #11

Valor

Grande

Pequeno/Médio
CAPÍTULO 3. ESTRATÉGIA PARA 2023

A última aba da planilha apresenta o nível de importância para cada um dos 40 Objetivos do
COBIT 2019. A sugestão é que você selecione os 5 ou 6 Objetivos com maior pontuação positiva
para definir sua estratégia. Segue um exemplo para explicar como exprimir a estratégia para
2023.

Exemplo:

Objetivos selecionados: EDM03, APO03, APO06, BAI08, MEA01.

Estratégia para 2023: Aprimorar a gestão de riscos estratégica, tendo como referência o COSO
2017. Criar uma Declaração de Apetite a Risco e promover a discussão de riscos no âmbito das
definições estratégicas; aprimorar e/ou criar a estruturação da arquitetura corporativa, definido
a arquitetura dos principais negócios, discutindo arquitetura de sistemas de informação,
arquitetura de dados, entre outras; em 2023, teremos um acirramento da concorrência devido
ao retorno de uma atividade econômica mais vigorosa, pós-pandemia. Será necessário termos
uma gestão de custos efetiva, que aponte as áreas problemáticas para que possamos atuar de
forma eficiente, garantindo que os produtos da organização continuem competitivos; A gestão
do conhecimento é essencial em diversas atividades integradas como, por exemplo, DevSecOps
e Gerenciamento de Serviços de TI. De forma a garantir que as diversas equipes tenham acesso
a informações atualizadas íntegras, é preciso promover, em 2023, a gestão do conhecimento,
aprimorando mecanismos de classificação de informações, gestão de bases de conhecimento,
curadoria de conhecimento, entre outros; aprimorar o processo corporativo de monitoramento
de desempenho e conformidade, de maneira a melhorar a visibilidade dos processos e a
verificação de que os resultados planejados estão sendo alcançados. Deve ser dado foco nesse
monitoramento, pois se ele não for satisfatório, em 2023, você navegará às cegas!
CAPÍTULO 4. CONSIDERAÇÕES FINAIS

Este guia tem como objetivo apresentar as diretrizes para o direcionamento do PETI e PDTI com
base nos fatores de desenho do COBIT 2019. Este documento não é definitivo e deve ser
aprimorado a partir de sua utilização em estudos de caso nas organizações.

Como dito anteriormente, esta é uma iniciativa pioneira da Diretoria e dos associados do
Capítulo Brasília da ISACA que, de forma voluntária, dispuseram o seu tempo para construção e
compartilhamento de conhecimento com a comunidade de I&T no Brasil.

Em caso de dúvidas, consultas ou esclarecimentos adicionais, acesse nosso perfil no LinkedIn:

ISACA Capítulo Brasília.