Escolar Documentos
Profissional Documentos
Cultura Documentos
VERSÃO 2023
Brasília
2022
Autores:
Ana Paula Morais, do Vale, Mestranda em Engenharia Elétrica, Associada do Capítulo Brasília
da ISACA.
Fernando César Campos Andrade, CISA, CISM, CGEIT, TOGAF – Diretor de Pesquisa do Capítulo
Brasília da ISACA.
João Souza Neto, PhD, CRISC, CDPSE, CGEIT, COBIT 2019 Trainer, COBIT 2019 Design &
Implementation, PMP, RMP – Presidente do Capítulo Brasília da ISACA.
Luiz Claudio Diogo Reis, CISA, CRISC, CDPSE, COBIT 5 & 2019 Acredited Instructor – Diretor de
Educação do Capítulo Brasília da ISACA.
Marcelo Gaspar Rodrigues Silva, CISA, CGEIT, ITIL® 4 Managing Professional, Digital
Transformation Expert by DTWI®, OKR Expert by DTWI®, Associada do Capítulo Brasília da
ISACA.
INTRODUÇÃO
Na elaboração do PETI e do PDTI, a primeira questão que se coloca é: “Qual é a nossa direção
para o próximo ano? São reuniões bem movimentadas, algumas mais organizadas, com
workshops e dinâmicas, por exemplo; outras mais na linha de um brainstorming entre os
gestores.
Para apoiar na discussão do direcionamento para 2023, o Think Tank CapBrasilia apresenta um
Guia para Direcionamento do PETI e PDTI – versão 2023. Este Guia foi elaborado por integrantes
da iniciativa Think Tank, sendo distribuído de forma livre e gratuita para toda a comunidade
envolvida com esse assunto, sejam organizações públicas ou privadas.
Para facilitar o preenchimento dos elementos dos fatores de desenho, a ISACA disponibilizou,
para os membros, uma planilha, acessível em:
Este documento está estruturado em quatro capítulos, além dessa introdução que apresenta a
motivação para estruturação do guia. O capítulo 1 apresenta uma breve descrição do PETI e do
PDTI, o capítulo 2, os onze fatores de desenho do COBIT 2019, o capítulo 3, um exemplo de
estratégia para 2023 e o Capítulo 4 traz com as considerações finais deste guia.
Esperamos que esse guia traga valor e seja útil em suas atividades profissionais.
CAPÍTULO 1. PETI E PDTI
O PETI (Plano Estratégico de TI) é um documento que define a estratégia de uso da tecnologia
da informação em uma organização. Esse documento organiza, estrutura e sistematiza como a
TI e suas soluções contribuirão para o alcance das metas organizacionais.
Normalmente, o PETI contém uma análise dos contextos interno e externo, os objetivos
estratégicos de TI que suportam o alcance dos objetivos estratégicos de negócio, indicadores
estratégicos de desempenho e de risco, matriz SWOT, visão de futuro, missão da TI, valores da
TI, entre outros.
As áreas de TI dos tipos Suporte e Fábrica (Vide Fator de Desenho #7), geralmente, dispensam o
PETI, pois suas áreas de TI estão subordinadas a uma Diretoria Administrativa ou Financeira, não
participando das decisões estratégicas da organização. Por outro lado, as áreas de TI dos tipos
Transformadora e Estratégica têm um papel fundamental na definição e condução das
estratégias organizacionais.
Já o PDTI (Plano Diretor de TI) é um documento tático, direcionado pelo PETI, que apresenta as
iniciativas que serão implementadas para o atendimento às necessidades das áreas clientes e
para o alcance dos objetivos corporativos/institucionais.
Opção Descrição
Para cada opção, o gestor responsável deverá indicar o grau de importância, sendo 1 menos
importante e 5 mais importante. Deve-se observar que o grau de importância de cada opção é
independente dos demais.
Além disso, lembre-se de diferenciar os níveis de importância, porque, se tudo for importante,
a quantidade de Objetivos priorizados na planilha torna a implementação impraticável.
Opção Importância (1 a 5)
Crescimento 4
Inovação 3
Custo 2
Cliente 3
Em complemento: para enriquecer a discussão, sugerimos incluir uma análise PESTEL
(P – Fatores políticos, E – Fatores econômicos, S – Fatores sociais, T – Fatores tecnológicos,
E – Fatores ecológicos e L – Fatores legais.
Referência: https://www.zendesk.com.br/blog/analise-pestel/
FATOR DE DESENHO #2 – Objetivos Corporativos
Como sua organização, possivelmente, tem objetivos estratégicos diferentes dos listados no
Framework COBIT2019, o trabalho do gestor deve-se resumir em avaliar a aderência de cada um
dos treze objetivos corporativos propostos pelo COBIT 2019 ao seu Plano Estratégico.
Como exemplo, vamos analisar o EG02 – Riscos de Negócios Gerenciados. O seu Plano
Estratégico aborda esse tema? Se você responder mais ou menos, teríamos aqui um nível de
importância 2 ou 3.
Por outro lado, se para o EG09 - Otimização dos custos dos processos de negócios, o seu Plano
Estratégico dá grande importância, aqui poderia ser atribuído o nível 5, pois essa é uma
preocupação constante das organizações para sobreviver em um mercado altamente
competitivo.
Portanto, esse não é um Fator de Desenho complicado. Basta avaliar a importância dos objetivos
corporativos olhando para o seu Plano Estratégico 2023.
Valor Importância (1 a 5)
EG01 - Portfólio de
produtos e serviços 4
competitivos
EG04 - Qualidade da
5
informação financeira
EG06 - Continuidade e
disponibilidade dos serviços 2
de negócio
EG07 - Qualidade da
1
informação gerencial
EG08 - Otimização da
funcionalidade dos
3
processos internos de
negócios
EG10 - Habilidades,
motivação e produtividade 4
do pessoal
EG12 - Programas de
transformação digital 2
gerenciados
O terceiro fator de desenho aborda as categorias de cenários de riscos. Esse é, sem sombra de
dúvidas, o fator de desenho que gera mais dificuldades. Para facilitar o entendimento,
relacionamos abaixo as 19 categorias de cenários de risco. Essas categorias são oriundas do Guia
COBIT 5 para Risco.
Para cada categoria de cenário de risco, deve-se estimar um valor de 1 a 5 para o impacto (sendo
5, alto impacto) e para a Probabilidade (sendo 5, alta probabilidade).
Aqui deve-se fazer uma estimativa do impacto e da probabilidade de cada categoria de risco
em 2023.
Portfólio de produtos e
4 2
serviços competitivos
Riscos de negócios
3 3
gerenciados
Qualidade da informação
5 3
financeira
Continuidade e
disponibilidade dos serviços 2 4
de negócio
Qualidade da informação
1 3
gerencial
Otimização da
funcionalidade dos
3 3
processos internos de
negócios
Habilidades, motivação e
4 2
produtividade do pessoal
Programas de
transformação digital 2 3
gerenciados
Inovação de produtos e
3 5
negócios
FATOR DE DESENHO #4 – Questões de TI
1 – Não é um problema
2 – É um problema
3 – É um grande problema
A chamada Shadow IT é o recurso das áreas de negócio que querem soluções para “ontem” e
que, na pressa, pecam no planejamento e desenvolvimento de soluções com requisitos de
segurança necessários, por exemplo. O resultado disso é que não há criação de valor, pois a
solução criada “nas sombras” não atende requisitos de otimização de riscos, continuidade,
disponibilidade, manutenibilidade nem segurança da informação.
O olhar aqui deve ser para a realidade que a organização vive atualmente, neste último trimestre
de 2022.
Valor Importância (1 a 3)
Neste fator de desenho, você terá somente duas opções: Alto e Normal. Assim, você deverá
atribuir um percentual de importância para cada uma delas, observando que a soma das duas
deverá ser 100%. Veja o exemplo abaixo.
Para esse fator de desenho, deve-se fazer uma estimativa do cenário de ameaças para 2023.
Alto 75%
Normal 25%
O sexto fator de desenho aborda a importância dos requisitos de compliance para a organização.
No caso de órgãos públicos e de empresas que atuam em mercados regulados como o
financeiro, o percentual de Alto, normalmente, é elevado.
Aqui você tem três opções: Alto, Normal e Baixo. Você deverá atribuir um percentual de
importância para cada uma delas, observando que a soma das três deverá ser 100%. Veja o
exemplo abaixo.
Neste fator de desenho, deve-se fazer uma estimativa de como as questões de compliance
ocuparão a agenda corporativa em 2023.
Alto 80%
Normal 20%
Baixo 0%
O sétimo fator de desenho aborda a importância do papel da TI. Para isso, o COBIT 2019 propõe
um modelo com quatro opções: Suporte, Fábrica, Transformadora e Estratégica. Você deverá
atribuir um percentual de importância para cada uma delas, observando que a soma deverá dar
exatamente 100%. Veja o exemplo abaixo.
É importante observar que mesmo que sua TI seja eminentemente estratégica (ou de outro
tipo), sempre haverá funções ou áreas com características distintas. Deve ser feita uma avaliação
global da área de TI da organização.
Tipos de TI:
Tipo Suporte - A TI não é crucial para a execução e continuidade dos processos e serviços de
negócios nem para sua inovação.
Tipo Transformadora - A IT é vista como uma direcionadora para inovar processos e serviços de
negócios. Neste momento, no entanto, não há uma dependência crítica da TI para a execução e
continuidade dos processos de negócios e serviços.
Este fator de desenho deve considerar não a TI de hoje, mas a TI que queremos para 2023. Essa
projeção deve ser realista e viável.
Importância
Valor
(100%)
Suporte 0%
Fábrica 10%
Transformadora 30%
Estratégica 60%
FATOR DE DESENHO #8 – Modelo de Provimento da TI
O oitavo fator de desenho aborda o modelo de provimento da TI. Há três opções possíveis:
Terceirização, Nuvem e Desenvolvimento Interno. Você deverá atribuir um percentual de
importância para cada uma delas, observando que a soma deverá dar exatamente 100%. Veja o
exemplo abaixo. No setor público brasileiro, há um percentual elevado de terceirização e,
ultimamente, tem crescido o número de soluções em Nuvem.
Este fator de desenho deve considerar não a distribuição atual de modelos de provimento, mas
a distribuição queremos para 2023. Essa projeção deve ser realista e viável.
Importância
Valor
(100%)
Terceirização 60%
Nuvem 20%
Desenvolvimento
20%
Interno
FATOR DE DESENHO #9 – Métodos de Implementação da TI
O nono fator de desenho aborda métodos de implementação de TI. Há três opções possíveis:
Métodos Ágeis, DevOps e Tradicional. Novamente, você deverá atribuir um percentual de
importância para cada uma delas, observando que a soma deverá dar exatamente 100%. Veja o
exemplo abaixo.
Este fator de desenho deve considerar não a distribuição atual de métodos de implementação,
mas a distribuição queremos para 2023. Essa projeção deve ser realista e viável.
Importância
Valor
(100%)
DevOps 5%
Tradicional 35%
FATOR DE DESENHO #10 – Estratégia de Adoção de Tecnologia da TI
No setor público brasileiro, na Administração Direta, prevalece a Adoção Tardia, isso se deve às
barreiras inerentes ao modelo organizacional destes órgãos que, de certa forma, limita a sua
capacidade de inovação. Já na Administração Indireta, dada a relevância da adoção de novas
tecnologias em determinados setores, algumas organizações se enquadram como exemplos da
estratégia Pioneiro.
Este fator de desenho deve considerar não o modelo atual de adoção de tecnologia, mas o
modelo de adoção que queremos para 2023. Essa projeção deve ser realista e viável.
Importância
Valor
(100%)
Pioneiro 10%
Seguidor 30%
O décimo primeiro fator de desenho aborda o porte da organização. Há duas opções: Grande e
Pequeno/Médio. Esta classificação tem como critério o número de colaboradores; se for maior
que 250, é Grande. Essa informação deve ser registrada na aba Canvas da planilha para a
avaliação final.
Valor
Grande
Pequeno/Médio
CAPÍTULO 3. ESTRATÉGIA PARA 2023
A última aba da planilha apresenta o nível de importância para cada um dos 40 Objetivos do
COBIT 2019. A sugestão é que você selecione os 5 ou 6 Objetivos com maior pontuação positiva
para definir sua estratégia. Segue um exemplo para explicar como exprimir a estratégia para
2023.
Exemplo:
Estratégia para 2023: Aprimorar a gestão de riscos estratégica, tendo como referência o COSO
2017. Criar uma Declaração de Apetite a Risco e promover a discussão de riscos no âmbito das
definições estratégicas; aprimorar e/ou criar a estruturação da arquitetura corporativa, definido
a arquitetura dos principais negócios, discutindo arquitetura de sistemas de informação,
arquitetura de dados, entre outras; em 2023, teremos um acirramento da concorrência devido
ao retorno de uma atividade econômica mais vigorosa, pós-pandemia. Será necessário termos
uma gestão de custos efetiva, que aponte as áreas problemáticas para que possamos atuar de
forma eficiente, garantindo que os produtos da organização continuem competitivos; A gestão
do conhecimento é essencial em diversas atividades integradas como, por exemplo, DevSecOps
e Gerenciamento de Serviços de TI. De forma a garantir que as diversas equipes tenham acesso
a informações atualizadas íntegras, é preciso promover, em 2023, a gestão do conhecimento,
aprimorando mecanismos de classificação de informações, gestão de bases de conhecimento,
curadoria de conhecimento, entre outros; aprimorar o processo corporativo de monitoramento
de desempenho e conformidade, de maneira a melhorar a visibilidade dos processos e a
verificação de que os resultados planejados estão sendo alcançados. Deve ser dado foco nesse
monitoramento, pois se ele não for satisfatório, em 2023, você navegará às cegas!
CAPÍTULO 4. CONSIDERAÇÕES FINAIS
Este guia tem como objetivo apresentar as diretrizes para o direcionamento do PETI e PDTI com
base nos fatores de desenho do COBIT 2019. Este documento não é definitivo e deve ser
aprimorado a partir de sua utilização em estudos de caso nas organizações.
Como dito anteriormente, esta é uma iniciativa pioneira da Diretoria e dos associados do
Capítulo Brasília da ISACA que, de forma voluntária, dispuseram o seu tempo para construção e
compartilhamento de conhecimento com a comunidade de I&T no Brasil.