PROGRAMA DE PÓS-GRADUAÇÃO STRICTO SENSU

MESTRADO PROFISSIONAL EM
GOVERNANÇA, TECNOLOGIA E INOVAÇÃO

Orientadora: Prof.ª Dra. Luiza Beth Nunes Alonso

Mestrando: Daniel Miranda de Oliveira

FEVEREIRO/2023
 PROGRAMA DE PÓS-GRADUAÇÃO STRICTO SENSU

A IDENTIFICAÇÃO DE OPORTUNIDADES DE MELHORIA, NOS

PROCESSOS DE GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO,
COM AUDITORIAS BASEADAS NO FRAMEWORK COBIT

UM ESTUDO DE CASO NO SISTEMA SEBRAE

Projeto de pesquisa como requisito para

obtenção do grau de Mestre.
BANCA EXAMINADORA

Prof. Dr. Hercules Antônio do Prado (Coordenador) – UCB

Profª. Dra. Luiza Beth Nunes Alonso (Orientadora) – UCB

Prof. Dr. Souza Neto (Examinador Externo) - ISACA

DEDICATÓRIA E
AGRADECIMENTOS

Em seus muitos significados, a palavra dedicar

pode ser descrita como oferecer tributo. Sendo
assim, esse trabalho é tributado a Deus, aos
meus Pais, Avós e Tios, que de maneira ímpar,
contribuíram para minha formação não só
Ao Sebrae, acadêmica, mas também como pessoa.
Prof.ª Esp. Lara Ferraz,
Prof.º Me. Giovani Bonfim,
Prof.ª. Dra. Luiza Beth Nunes Alonso,
Prof.º. Dr. João Souza Neto,
Aos companheiros de Jornada
Prof.º. Hércules Prado. Wanderson Alves,
Rafael Quintino,
Maria Rezende e
Fábio Gomes
AGENDA

1. Motivação
2. Introdução
3. Organização Alvo
4. Problema
5. Objetivo Geral e Específicos
6. Justificativa;
7. Revisão Bibliográfica
8. Método
9. Execução das Pesquisa
10. Análise dos Resultados
11. Considerações Finais
MOTIVAÇÃO

• Prates e Ospina (2004) afirmam que não há mais dúvidas de que, para as
funções da administração – planejamento, organização, liderança e controle –
são de suma importância os sistemas que fornecem informações aos
administradores.
• Essa importância não só modificou a forma como a
tecnologia é encarada pelas empresas, mas também os
investimentos realizados em TI. Segundo pesquisa
realizada pela FGV (2022), ocorreu mais uma vez o
crescimento no quantitativo financeiro investido em
tecnologia pelas corporações. De uma forma global, em
1990, as empresas investiam 2,0% de seu faturamento
líquido em tecnologia; em 2012, esse percentual já era de
7,2% e agora ele se encontra na média de 8,7%.
MOTIVAÇÃO

A pesquisa ainda detalha os percentuais de investimento pelo comércio

(4,1%), indústria (5,0%) e serviços (12,4%), bem como a evolução da
quantidade de usuários consumidores de tecnologia em uma empresa que era
de 7% do quadro total em 1988, contra 94% do quadro no período atual, bem
como uma projeção de que o total de computadores em uso passará de 205
milhões em 2022 para 216 milhões em 2023, pelas empresas.

A boa governança de TI pode ajudar a apoiar o sucesso da organização em

atingir seus objetivos. Para descobrir até que ponto a governança de TI é
implementada, a governança de TI precisa ser auditada. (Morris William
Tangka, G., Tanny Liem, A., Yuan Mambu, J., 2020)
INTRODUÇÃO

• O sistema de pós-graduação brasileiro se organiza nas

seguintes modalidades de cursos: doutorado,
mestrado, especialização e aperfeiçoamento.
(GAZZOLA, 2003).

• Em sua forma Profissional, um mestrado, busca

estabelecer um indivíduo capacitado para pesquisa,
desenvolvimento e inovação (P&D&I), sendo capaz de
atuar como multiplicador, repassando seus
conhecimentos para os demais profissionais no seu
campo de atuação. (GAZZOLA, 2003).
INTRODUÇÃO

• Segundo Cestari Filho (2011), as decisões sobre os investimentos em TI são

tratadas nas reuniões de planejamento estratégico pelo conselho
administrativo da empresa. A TI deixou de ser tratada por técnicos e passou
a ser incorporada na estratégia da empresa para alcançar seus objetivos.
• Dessa forma, sendo suporte para o alcance dos
objetivos do negócio e integrante da estratégia, é justo
que a tecnologia seja alvo de prestação de contas,
ações de gestão para garantia do alcance das metas,
bem como avaliação e assessoria por uma função de
auditoria interna independente, para oferecer clareza e
confiança, além de promover e facilitar a melhoria
contínua, por meio de investigação rigorosa e
comunicação perspicaz, conforme preconiza o IIA - The
Institute of Internal Auditors (2020).
 INTRODUÇÃO

• Radovanović, D., Radojević, T., Lučić, D., Šarac, M.

(2020) afirmam que a governança de TI e a auditoria de
sistemas de informação são como um imperativo para o
sucesso dos negócios. Para melhorar o gerenciamento
de TI de acordo com os requisitos regulatórios, as
organizações estão usando estruturas de melhores
práticas para facilitar o trabalho.

• Um desses frameworks de governança de TI é o Cobit,

que fornece diretrizes sobre o que pode ser feito em uma
organização em termos de atividades de controle,
medição e documentação de processos e operações.
INTRODUÇÃO

Fonte: Cobit Framework, 2012

INTRODUÇÃO

Fonte: Cobit Framework, 2012

INTRODUÇÃO

Fonte: Cobit Framework, 2012

ORGANIZAÇÃO ALVO

• Integrante do Sistema S, o Serviço Brasileiro de Apoio

às Micro e Pequenas Empresas - Sebrae é constituído
sob a forma de um serviço social autônomo, cuja
competência é planejar, coordenar e orientar programas
técnicos, projetos e atividades de apoio às micro e
pequenas empresas;

• Tais projetos devem estar em conformidade com as

políticas nacionais de desenvolvimento, particularmente
as relativas às áreas industrial, comercial e tecnológica
(Decreto nº 99.570, 1990). Presente em todos os estados
da Federação, denomina-se Sistema Sebrae, a Unidade
Nacional Coordenadora e as 27 unidades estaduais.
 ORGANIZAÇÃO ALVO

• A proposta orçamentária aprovada pela Portaria SEPEC-ME

Nº 14.812-2021, definiu os recursos financeiros do Sistema
Sebrae para 2022 na da ordem de R$ 4.555.976.142,00
(quatro bilhões e quinhentos e cinquenta e cinco milhões e
novecentos e setenta e seis mil e cento e quarenta e dois
reais).
• O Planejamento Pluri Anual da entidade, define que no mínimo 2% do orçamento do
Sebrae Nacional e das unidades estaduais, (R$ 91.751.832,41), deve ser investido
em tecnologia da informação, no tocante a bens tangíveis e intangíveis, como
recursos de infra, softwares, treinamentos, processos e outros, uma vez que,
segundo o regimento interno do Sebrae, as áreas de tecnologia tem a missão de
disponibilizar tecnologias da informação e comunicação, sistemas corporativos de
gestão, atendimento e relacionamento, para responder aos desafios da presença
digital do SEBRAE.
ORGANIZAÇÃO ALVO – MAPA ESTRATÉGICO
PROBLEMA DA PESQUISA

Como identificar oportunidades de melhoria,

nos processos de governança de tecnologia da
informação e por consequência no ambiente de
TI, por meio de auditorias, utilizando o
framework COBIT, no Sistema Sebrae?
OBJETIVO GERAL

Identificar oportunidades de melhoria, nos

processos de Governança de Tecnologia, por meio
de auditorias, utilizando o framework COBIT.
OBJETIVOS ESPECÍFICOS

a) Compreender os processos de Governança de Tecnologia e Auditoria no

Sistema Sebrae;
b) Desdobrar os objetivos estratégicos do Sebrae em objetivos de TI, conforme
o framework COBIT orienta;
c) Identificar os processos prioritários de TI que suportam os objetivos de TI,
conforme o framework COBIT orienta;
d) Aplicar o COBIT 5 PAM (Process Assessment Model) em uma auditoria de
tecnologia para identificar oportunidades de melhoria nos processos de
governança de tecnologia do Sistema Sebrae;
e) Analisar os dados e apresentar os resultados
JUSTIFICATIVA

1. A boa governança de TI pode ajudar a apoiar o sucesso da

organização em atingir seus objetivos. Para descobrir até que
ponto a governança de TI é implementada, a governança de TI
precisa ser auditada. (Morris William Tangka, G., Tanny Liem, A.,
Yuan Mambu, J., 2020)
2. Assegurar que o uso da tecnologia da informação (TI) agregue
valor ao negócio, com riscos aceitáveis (TCU,2012);
3. A necessidade de prestação de contas (CGU, 2011);
4. Responder ao risco de desalinhamento entre os objetivos
estratégicos e os objetivos de tecnologia no Sebrae (PNGRE-
SEBRAE, 2021);
JUSTIFICATIVA

5. Testar a viabilidade do modelo COBIT 5 para a aplicação no

descobrimento de oportunidades no ambiente tecnológico do
Sistema Sebrae;
6. Fornecer um estudo de caso em nível de Brasil para a comunidade
científica;
PESQUISA BIBLIOGRÁFICA

Para a revisão bibliográfica, foram realizadas pesquisas

na base Scopus sobre o tema Auditoria, utilizando o
COBIT, conforme a seguinte sentença:

TITLE-ABS-KEY ( COBIT AND AUDIT ) AND ( LIMIT-

TO ( EXACTKEYWORD , "COBIT" ) OR LIMIT-TO
( EXACTKEYWORD , "IT Audit" ) OR LIMIT-TO
( EXACTKEYWORD , "COBIT 5" ) )
PESQUISA BIBLIOGRÁFICA

A pesquisa resultou na recuperação de 51 registros, distribuídos em articles,

conference paper e Book Chapter:

Fonte: Scopus (2023).

PESQUISA BIBLIOGRÁFICA

Com relação às áreas de estudo, as 6 (seis) maiores concentrações foram

encontradas em Ciências da Computação, Engenharias, Ciência da
Decisão, Negócios/Gestão e Contabilidade, Matemática e Ciências Sociais

Fonte: Scopus (2023).

PESQUISA BIBLIOGRÁFICA – Artigos mais citados

AUTORES TEMA Nº DE CITAÇÕES

Von Solms, B. (2005)
Spremić, M., Zmirak, Z.,
Kraljevic, K. (2008)
Information Security
governance: COBIT or ISO 97
17799 or both?
IT and business process
performance management:
Case study of ITIL 30
implementation in finance
service industry

Radovanović, D., Radojević, IT audit in accordance with

17
T., Lučić, D., Šarac, M. (2020) Cobit standard

IT control in the australian

Liu, Q., Ridley, G. (2005)
Krisanthi, G.A.T., Sukarsa,
I.M., Agung Bayupati, I.P.
(2014)
public sector: An international 16
comparison
Governance audit of
application procurement 15
using COBIT framework
 PESQUISA BIBLIOGRÁFICA – Artigos Mais Novos

AUTORES TEMA
Manaf, K., Subaeki, B., Solihin, H.H., (...), Digital Report Application Audit Using The COBIT 5
Hidayat, S., Laluma, R.H. (2021) Framework
Morris William Tangka, G., Tanny Liem, Information Technology Governance Audit Using the
A., Yuan Mambu, J. (2020) COBIT 5 Framework at XYZ University
The Influence of Information Technology Governance
Ilham, M., Eliyana, A., Usman, I. (2020) Audit Using Cobit 5 For The Development Public
Library: (Case Study: Public Library In East Java )
Records and document management in the IT
governance frameworks: Best practices and
standardization (COBIT framework) | [La gestión
Eito-Brun, R., Aliaga, C.C. (2020)
documental en los modelos de gobernanza TIC:
Presencia y visibilidad de la normativa internacional
en el modelo de referencia COBIT]
Lieharyani, D.C.U., Putra, P.G.A.P., Audit conformity for higher education using good
Ginardi, R.V.H., Sukmono, R.A. (2020) university governance (Gug) principle
PESQUISA BIBLIOGRÁFICA – Breve Análise

Autores pesquisados trabalharam a aplicabilidade do COBIT nas seguintes situações:

1. A governança de TI e a auditoria de sistemas de informação como um imperativo para o sucesso

dos negócios;
2. A auditoria dos sistemas de informação realizada para verificar o nível de prontidão da
organização na gestão da governança de Tecnologia da Informação (TI);
3. Auditoria de aplicativos para apoio ao processamento de valores, focando nos domínios de
suporte;
4. A necessidade de Auditorias de Tecnologia em Bibliotecas Públicas, focadas em domínios de
planejamento e entrega de serviços;
5. A boa governança de TI pode apoiar o sucesso da organização em atingir seus objetivos e para
descobrir até que ponto a governança de TI é implementada, essa precisa ser auditada;
PESQUISA BIBLIOGRÁFICA – Breve Análise

Autores pesquisados trabalharam a aplicabilidade do COBIT nas seguintes situações:

6. Gerenciamento e medida sistemática da qualidade do desempenho de TI em empresas bem

sucedidas ;
7. As organizações têm à sua disposição diferentes normas que orientam a governança, gestão dos
serviços e sistemas de informação, podendo usar esses padrões como base para definir seus próprios
processos internos e compará-los com as melhores práticas do setor;
8. Associação às práticas de Segurança para sua boa governança;
METODOLOGIA

Para o presente estudo serão utilizadas pesquisas exploratórias, o referencial bibliográfico, dados primários obtidos
por questionários eletrônicos, dados secundários obtidos de leis, políticas e normas, cujos dados serão processados
e analisados de forma quantitativa e qualitativa para posterior apresentação e discussão.

03
02
Tratamento e
01 Coleta de dados por meio de
Interpretação dos dados,
questionário digital, aplicado
Levantamento por meio de análises
aos Gestores de Tecnologia do
bibliográfico e análise de quantitativas e
Sistema Sebrae, com base
livros, artigos científicos qualitativas, bem como
nos objetivos de controle de TI
e estudos, bem como de apresentação dos
priorizados conforme o COBIT
leis, políticas e resultados.
e seu processo de avaliação
regulamentos aplicáveis
de capacidade – PAM
à instituição alvo.
(Process assessment Model)
 EXECUÇÃO DA PESQUISA

Planejamento Estratégico Sebrae Objetivos de Negócio do COBIT - BSC

a) Cultura de serviços orientada ao cliente

a) Ampliar a cobertura e efetividade do (06);
atendimento;

b) Respostas rápidas para um ambiente

b) Prover tecnologia adequada para de negócios em mudanças (08);
constante evolução digital;

c) Tomada de decisão estratégica com

c) Desenvolver a gestão com base em base na informação (09) e Otimização
inovação, informação e das funcionalidades do processo de
conhecimento. negócio (11)
EXECUÇÃO DA PESQUISA
EXECUÇÃO DA PESQUISA

Mapa de Riscos Estratégicos

a) Elencar Riscos Prioritários: “Plano estratégico de TI incompatível com as

necessidades atuais e futuras da organização”. (PNGRE - Sebrae, 2022);
b) Identificar Objetivo de Negócio: “Garantir que o Plano estratégico de TI seja
compatível com as necessidades atuais e futuras da organização”, ou seja o
alinhamento entre TI e Negócio;
c) Conectando o objetivo de negócio com os objetivos de TI:
EXECUÇÃO DA PESQUISA
EXECUÇÃO DA PESQUISA
 EXECUÇÃO DA PESQUISA

d) Identificar
os processos e
avaliar o nível
de capacidade
 EXECUÇÃO DA PESQUISA

d) Identificar
os processos e
avaliar o nível
de capacidade
 EXECUÇÃO DA PESQUISA

Processo Priorizados

a) EDM01 - Garantir a Definição e Manutenção do Framework de Governança:

Implementada uma abordagem consistente, integrada e alinhada com a abordagem de
governança corporativa e que se pode garantir que as decisões de TI são tomadas em
linha com as estratégias e objetivos corporativos, garantir que os processos de TI são
acompanhados de forma eficiente e transparente, conformidade verificada aos requisitos
legais e regulatórios, alcance dos requisitos de governança aos membros do Conselho de
Administração;

b) APO01 - Gerenciar a Estrutura de Gestão de TI: Garantir que a instituição tenha como
prover uma abordagem de gerenciamento consistente para permitir que os requisitos de
governança corporativa sejam cumpridos, cobrindo processos de gestão, estruturas
organizacionais, papéis e responsabilidades, atividades confiáveis e repetíveis e
habilidades e competências;
 EXECUÇÃO DA PESQUISA

c) APO12 – Gerenciar Riscos: Garantir que que seja possível Integrar o gerenciamento do
risco organizacional relacionado a TI com o risco organizacional em geral, e balancear os
custos e benefícios do gerenciamento do risco organizacional relacionado a TI;

d) APO13 – Gerenciar Segurança: Garantir que é possível manter o impacto e a ocorrência de

incidentes de segurança da informação dentro dos níveis de apetite de risco da organização

e) DSS05 – Gerenciar Serviços de Segurança: Garantir que é possível minimizar o impacto

de vulnerabilidades e incidentes operacionais de segurança da informação para o negócio;
 EXECUÇÃO DA PESQUISA

Avaliação de Capacidade
COBIT 5 – PAM (Process Assessement Model) by ISO 15504

N = Não Alcançado -> Há pouca ou nenhuma evidência de obtenção do atributo

definido no processo avaliado, ou seja, 0 a 15% de realização.

P = Alcançado Parcialmente -> Há alguma evidência de uma abordagem e

alguma conquista do atributo definido no processo avaliado. Alguns aspectos da
conquista do atributo podem ser imprevisíveis, ou seja, >15% a 50% de
realização.
 EXECUÇÃO DA PESQUISA

Avaliação de Capacidade
COBIT 5 – PAM (Process Assessement Model) by ISO 15504

L = Amplamente Alcançado -> Há evidências de uma abordagem sistemática e

realização significativa do atributo definido no processo avaliado. Algumas
fragilidades relacionadas a esse atributo podem existir no processo avaliado, ou seja,
>50% a 85% de realização.

F = Totalmente Alcançado -> Há evidências de uma abordagem completa e

sistemática para, e cumprimento total, dos objetivos definidos atributo no processo
avaliado. Não existem deficiências significativas relacionadas a esse atributo no
processo avaliado, ou seja, >85% a 100% de realização.
 EXECUÇÃO DA PESQUISA

Avaliando: DSS05 – Gerenciar Serviços de Segurança

a) A segurança de Redes e comunicações atende às

necessidades de negócios? ( ) N = Não Alcançado
b) As informações processadas, armazenadas e
( ) P = Alcançado Parcialmente
( ) L = Amplamente Alcançado
transmitidas por dispositivos de comunicação são
( ) F = Totalmente Alcançado
protegidas?
c) Todos os usuários são identificados de maneira única e
têm direitos de acesso de acordo com sua função na N - (0 a 15% de realização)
organização? P - (>15% a 50% de realização)
L - (>50% a 85% de realização)
d) Medidas físicas foram implementadas para proteger as
F - (>85% a 100% de realização)
informações de acesso não autorizado, danos e
interferência durante o processamento, armazenamento
ou transmissão?
e) As informações eletrônicas são devidamente protegidas
quando armazenadas, transmitidas ou destruídas?
EXECUÇÃO DA PESQUISA
 ANÁLISE DO RESULTADOS

Tomando os resultados da Paraíba para exemplificar o processo, temos as seguintes

respostas: PROCESSO ITEM ESTADO NIVEL
EDM01 EDM01_1 PB P
EDM01 EDM01_2 PB L
EDM01 EDM01_3 PB P
APO01 APO01_1 PB L
APO01 APO01_2 PB L
APO12 APO12_1 PB L
APO12 APO12_2 PB P
APO12 APO12_3 PB P
APO12 APO12_4 PB P
APO13 APO13_1 PB P
APO13 APO13_2 PB P
APO13 APO13_3 PB P
DSS05 DSS05_1 PB P
DSS05 DSS05_2 PB L
DSS05 DSS05_3 PB L
DSS05 DSS05_4 PB L
 ANÁLISE DOS RESULTADOS

Ao consolidarmos os dados por processos, temos a seguinte visão, respeitando a escala

supracitada, proposta pelo PAM:

NIVEL DE
ESTADO PROCESSO N P L F FINAL
CAPACIDADE

PB EDM01 - 2 1 - P 0

PB APO01 - - 2 - L 1

PB APO12 - 3 1 - P 0

PB APO13 - 3 - - P 0

PB DSS05 - 1 4 - L 1
 ANÁLISE DOS RESULTADOS

Ao consolidarmos os dados por processos, para todo Brasil, temos a seguinte visão,
respeitando a escala supracitada, proposta pelo PAM:

P – Parcialmente L - Amplamente F - Totalmente

PROCESSO3 N - Não Alcançado
Alcançando Alcançado Alcançado

EDM01 0 18 10 0
APO01 0 12 16 0
APO12 0 25 3 0
APO13 0 19 9 0
DSS05 0 11 17 0
N - Não P - Alcançando L - Amplamente F - Totalmente NIVEL DE
PROCESSO FINAL CAPACIDADE
Alcançado Parcialmente Alcançado Alcançado

EDM01 0 64% 36% 0 P 0

APO01 0 43% 57% 0 L 1

APO12 0 89% 11% 0 P 0

APO13 0 68% 32% 0 P 0

DSS05 0 39% 61% 0 L 1

 ANÁLISE DOS RESULTADOS

Resultado Brasil - Consolidado

Parcialmente Alcançados Amplamente Alcançados

Nível 0 Nível 1

EDM01 - Garantir a Definição e APO01 - Gerenciar a Estrutura

Manutenção do Framework de de Gestão de TI
Governança
DSS05 - Gerenciar Serviços de
APO12 - Gerenciar Riscos Segurança

APO13 - Gerenciar a Segurança

 ANÁLISE DOS RESULTADOS

Resultado Por Região – Consolidado x Investimento

CONSIDERAÇÕES FINAIS

a) Implementar ou revisar seus modelos estratégico de tomada de decisão para

garantir que a TI esteja alinhada com os requisitos das partes interessadas, do
ambiente interno e externo da organização, visando incorporar um sistema de
governança de TI com plena operação na entidade, evitando situações como a
dificuldade da percepção do valor de TI, dificuldade da percepção do retorno dos
investimentos em TI e duplicação ou sobreposição das iniciativas ou desperdício de
recursos;

b) Implementar ou rever suas práticas de gestão de risco, uma vez que essas podem
diminuir a possibilidade de materialização de prejuízos e diminuir o tempo de
resposta em face de sua ocorrência. É recomendável a implementação ou revisão
das ações para identificação, tratamento e monitoramento dos riscos, em face da
possibilidade de paralização do ambiente tecnológico e por consequência das
atividades de negócio;
CONSIDERAÇÕES FINAIS

c) Revisão do Gerenciamento de Segurança, na tentativa de manter o impacto e a

ocorrência de incidentes de segurança da informação dentro dos níveis de apetite de
risco da organização, definindo-se requisitos, soluções, políticas e planos de segurança
compatíveis com as necessidades do negócio;

d) Estudar a possibilidade de realizar um comparativo das ações de tecnologia por

unidade da federação e o comportamento com relação a forma como os investimentos
de tecnologia são realizados e a quantidade de atendimentos realizados, pode ser um
fator de sucesso no equilíbrio dos níveis de capacidade, uma vez que é possível
perceber que as regiões com maior índice de investimento conseguem, aparentemente,
entregar níveis maiores de capacidade
CONSIDERAÇÕES FINAIS

As recomendações descritas acima comprovam

que oportunidades de melhoria podem ser
geradas em auditorias com base no framework
COBIT e no futuro, um comparativo com outras
entidades do Sistema S como APEX, ABDI,
SESC, SENAC, SESI, SENAI, SESCOOP e
ADAPS podem aumentar o nível de resultado do
método aqui trabalhado.
OBRIGADO

Não existe
crescimento
sem mudança.
Mude e
Evolua!!!