Framework para Governanca de TI COBIT

CURSO DE PÓS-GRADUAÇÃO
“LATO SENSU” (ESPECIALIZAÇÃO) A DISTÂNCIA

MBA EXECUTIVO EM GOVERNANÇA DE
TECNOLOGIA DA INFORMAÇÃO
Framework para Governança de TI

(COBIT)
Paulo Henrique de Souza Bermejo

Rêmulo Maia Alves
Universidade Federal de Lavras - UFLA

Fundação de Apoio ao Ensino, Pesquisa e Extensão - FAEPE
Lavras – MG
2008
Parceria
Universidade Federal de Lavras - UFLA
Fundação de Apoio ao Ensino, Pesquisa e Extensão - FAEPE
Reitor
Antônio Nazareno Guimarães Mendes
Vice-Reitor
Elias Tadeu Fialho
Diretor da Editora
Marco Antônio Rezende Alvarenga
Pró-Reitor de Pós-Graduação
Joel Augusto Muniz
Pró-Reitor Adjunto de Pós-Graduação “Lato Sensu”
Marcelo Silva de Oliveira
Coordenação do curso
André Luiz Zambalde
Paulo Henrique de Souza Bermejo
Presidente do Conselho Deliberativo da FAEPE
Nadiel Massahud
Editoração
Centro de Editoração da FAEPE
Impressão
Gráfica Universitária/UFLA
Ficha Catalográfica Preparada pela Divisão de Processos Técnicos da
Biblioteca Central da UFLA
Framework para Governança de TI (COBIT)

Paulo Henrique de Souza Bermejo; Rêmulo Maia Alves
– Lavras: UFLA/FAEPE, 2008.
56 p.:il. – Curso de Pós-graduação “Lato Sensu” (Especialização) a Distância
– MBA EXECUTIVO EM GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO
Bibliografia:
1. Governança de TI. 2. Tecnologia da Informação. I. Universidade Federal de
Lavras. II. Fundação de Apoio ao Ensino, Pesquisa e Extensão. III. Título.
CDD-005.1
Nenhuma parte desta publicação pode ser reproduzida,

por qualquer meio, ou forma, sem a prévia autorização da FAEPE.
ÍNDICE
1 APRESENTAÇÃO ................................................................................................... 6
1.1 Introdução.......................................................................................................... 6
1.2 Estrutura do material ........................................................................................ .6
2 COBIT – Melhores Práticas para Governança de TI........................................... 8
2.1 Visão Geral......................................................................................................... 8

2.2 Estrutura do COBIT ............................................................................................ 9
2.3 Orientação ao negócio ..................................................................................... 13
2.4 Orientação a processos.................................................................................... 18
2.4.1 Planejamento e organização ...................................................................... 19
2.4.2 Aquisição e implementação ........................................................................ 26
2.4.3 Entrega e suporte ....................................................................................... 29
2.4.4 Monitoramento e avaliação......................................................................... 35
2.5 Abordagem de controle .................................................................................... 37
2.6 Orientação a medições .................................................................................... 39
2.6.1 Modelo de maturidade ................................................................................ 40
2.6.2 Medidas de resultado e indicadores de desempenho ................................ 44
2.7 Relacionamento entre os componentes do COBIT .......................................... 47
3 INTRODUÇÃO AO MODELO SWOT .................................................................... 51
3.1 Introdução ........................................................................................................ 51

3.1.1 Estrutura do framework .............................................................................. 52
3.1.2 Correlação entre os elementos em uma análise SWOT ............................. 53
3.2 Considerações finais ........................................................................................ 54
4 BIBLIOGRAFIA ..................................................................................................... 55
LISTA DE FIGURAS
Figura 1 Princípio básico do COBIT (Adaptado de ITGI, 2007)........................ 13

Figura 2 Definição de objetivos de TI e arquitetura de TI (Adaptado de ITGI,
2007)................................................................................................... 15
Figura 3 Gerenciando recursos de TI e alcançando objetivos de TI
(Adaptado de ITGI, 2007)................................................................... 17
Figura 4 Framework COBIT (Adaptado de ITGI, 2007).................................... 18
Figura 5 Modelo de controle (Adaptado de ITGI, 2007).................................... 37
Figura 6 Exemplo de maturidade para um processo de TI (Adaptado de
ITGI, 2007).......................................................................................... 41
Figura 7 Representação gráfica de maturidade para um processo de TI
(Adaptado de ITGI, 2007)................................................................... 42
Figura 8 Exemplo de relacionamento entre objetivos (Adaptado de ITGI,
2007)................................................................................................... 43
Figura 9 Exemplo de medidas de resultado para objetivos (Adaptado de
ITGI, 2007).......................................................................................... 44
Figura 10 Exemplo de indicadores de desempenho (Adaptado de ITGI, 2007) 44
Figura 11 Relacionamento entre objetivos e métricas (Adaptado de ITGI,
2007)................................................................................................... 45
Figura 12 Modelo de gerenciamento, controle, alinhamento e monitoramento
do COBIT (Adaptado de ITGI, 2007).................................................. 46
Figura 13 Cubo do COBIT (Adaptado de ITGI, 2007)......................................... 47
Figura 14 Inter-relação entre componentes do COBIT (Adaptado de ITGI,
2007)................................................................................................... 48
LISTA DE TABELAS
Tabela 1 Públicos-alvo do COBIT (Adaptado de ITGI 2007, p. 10).................. 11
Tabela 2 Relacionamento entre domínios da governança de TI e

componentes do Cobit (Adaptado de Kordel, 2004)........................... 12
Tabela 3 Descrição dos níveis de maturidade referenciados pelo COBIT

(Adaptado de ITGI, 2007)................................................................... 40
Tabela 4 Relacionamento entre componentes da análise SWOT (Adaptado

de Martins e Turrioni, 2002................................................................. 51
1
APRESENTAÇÃO
1.1 INTRODUÇÃO
Este texto acadêmico apresenta a governança de Tecnologia da Informação sob
o enfoque de modelos de melhores práticas, apresentando a estrutura geral e
diretrizes de aplicação do Control Objectives of Information and related Technology
(COBIT).
Além do COBIT, este material apresenta o modelo Strenghts Weakness
Opportunities Threats (SWOT), contemplando conceitos referentes aos componentes
do modelo e formulação de estratégias relacionadas à tecnologia da informação(TI).
O presente módulo consiste em um material de apoio para iniciação ao COBIT,
devendo ser complementado com o estudo do material original do modelo1 para um
entendimento mais amplo.
Para a aplicação dos conceitos apresentados neste material, sugere-se a
realização das atividades previstas no guia para implantação da Governança de TI
(parte 2), disponível em formato eletrônico através do Ambiente Virtual de
Aprendizagem (AVA). Além do COBIT e SWOT, esse guia contempla a utilização de
outras ferramentas, já apresentadas anteriormente, tais como o Balanced Scorecard,
e conceitos referentes ao planejamento estratégico de TI.
1.2 ESTRUTURA DO MATERIAL

O texto acadêmico está estruturado da seguinte forma:
O capítulo 1 traz uma apresentação geral e estrutura do texto, contemplando a
contextualização de modelos de melhores práticas na governança de TI.
O capítulo 2 apresenta uma visão geral do COBIT, descrevendo os principais
componentes do modelo e como tais componentes podem, juntos, auxiliar na
implantação de um ambiente de controle para a TI em uma organização.
1
O COBIT está disponível de forma gratuita no site www.isaca.org
Apresentação 7
O capítulo 3 descreve a importância de se analisar uma organização através de

uma análise SWOT, considerando fatores internos e externos. Serão abordados os
componentes de uma análise SWOT e como estes podem ser úteis para a
elaboração de estratégias adequadas à organização.
Além do conteúdo exposto acima, encontra-se disponível no Ambiente Virtual de
Aprendizagem a segunda parte do Guia de Implantação da Governança de TI. Este
guia estabelece etapas e templates necessários para, a partir dos resultados obtidos
na etapa 1 do projeto, estabelecer estratégias necessárias para a implantação da
governança e TI em uma organização.
2
COBIT – MELHORES
PRÁTICAS PARA
GOVERNANÇA DE TI
2.1 VISÃO GERAL
Frameworks de melhores práticas são essenciais para garantir que os recursos

de TI estejam alinhados com os objetivos de negócio das organizações e que os
serviços entregues através da tecnologia da informação satisfaçam a requisitos de
qualidade, custos, segurança etc.
Atualmente, a utilização de modelos de melhores práticas tem sido cada vez
mais direcionada por requisitos de negócio para melhorar o desempenho, prover
transparência, agregar valor e aumentar o controle sobre as atividades que envolvem
a TI.
Organizações procuram agregar valor através da tecnologia da informação, ao
mesmo tempo em que gerenciam riscos relacionados à TI cada vez mais complexos.
Nesse sentido, a utilização de frameworks de melhores práticas pode auxiliar as
organizações a não mais “reinventarem a roda”, uma vez que esses frameworks
reúnem práticas testadas e comprovadamente bem-sucedidas no mercado.
O crescimento na adoção de modelos de melhores práticas tem sido
direcionado pela necessidade do mercado em gerenciar de forma mais adequada a
qualidade e a confiabilidade da tecnologia da informação, além da necessidade de
responder a um número cada vez maior de requisitos contratuais e regulatórios, como
a lei Sarbanes-Oxley e o Acordo Basiléia II.
No entanto, é preciso estar atento aos perigos de uma interpretação e
implementação inadequadas desses modelos. Práticas potencialmente benéficas
podem se tornar custosas e desfocadas, caso sejam tratadas como guias puramente
técnicos. Para ser mais efetiva, as melhores práticas devem ser aplicadas
considerando-se o contexto de cada organização, focando em áreas nas quais a
utilização do modelo irá fornecer maiores benefícios à organização. Além disso, é
importante que a alta direção, gerentes de negócio, consultores externos e gerentes
COBIT – Melhores práticas para governança de TI 9
de TI estejam comprometidos e trabalhem juntos para garantir que as práticas

implantadas direcionarão para a criação de um ambiente de controle para a TI.
A implementação de melhores práticas deve ainda ser consistente com outros
métodos e práticas presentes na organização. É preciso ter em mente que modelos
de melhores práticas não são uma panacéia, e que a sua efetividade depende de
como são implantadas. Sendo assim, esses modelos são úteis quando aplicados
como um conjunto de princípios e como um ponto de partida para a construção de
procedimentos específicos ao contexto de cada organização.
2.2 Estrutura do COBIT

A necessidade de estimar o valor da tecnologia da informação (TI), o
gerenciamento dos riscos relacionados a TI e o aumento dos requisitos de controles
sobre informações são entendidos agora como elementos chave para as
organizações. Nesse sentido, valor, risco e controle relacionados à atividades de
tecnologia da informação constituem o centro da governança de TI.
A governança de TI é responsabilidade dos executivos e da alta direção, e
consiste de liderança, estrutura organizacional e processos que garantem que a
organização de TI sustenta e estende a estratégia e os objetivos organizacionais.
Além disso, governança de TI integra e institucionaliza boas práticas para
garantir que a tecnologia da informação suporte os objetivos de negócio, permitindo
que a organização tire proveito da sua informação e, com isso, maximize benefícios,
aproveitando oportunidades e ganhando vantagem competitiva.
A definição mostrada acima ressalta a dificuldade de se estabelecer controles
efetivos sobre a tecnologia da informação em uma organização. Muitas variáveis
devem ser consideradas, desde o comportamento das pessoas e o ambiente
organizacional até aspectos técnicos de alta complexidade relacionados à TI. Sendo
assim, a governança de TI não consiste em uma disciplina ou atividade isolada, mas
sim uma parte integral da organização, considerando:
alinhamento estratégico;
entrega de valor através da TI;
gerência de riscos;
gerência de recursos de TI;
medição de desempenho.
Em suma, a governança de TI, quando adequadamente implementada, consiste
em uma estrutura organizacional e um conjunto de processos que gerenciam e
controlam a tecnologia da informação na organização, possibilitando o alcance dos
objetivos organizacionais, através da agregação de valor e do balanceamento entre
riscos e retorno sobre a TI.
10 EDITORA - UFLA/ FAEPE – Framework para Governança de TI (COBIT)
Nesse sentido, o Control Objetives of Information and related Technology

(COBIT) fornece às organizações boas práticas através de um modelo de referência,
que contempla domínios e processos, organizados em uma estrutura gerenciável e
lógica. Através do COBIT, as organizações podem obter uma sólida referência no
auxílio ao tratamento dos riscos, das necessidades de controle e dos assuntos
técnicos envolvendo a TI.
A primeira edição do COBIT foi lançada pela ISACF no ano de 1996. Em 1998,
foi lançada a segunda edição, que contemplava objetivos de controle2 adicionais e um
guia da implantação. A terceira edição, lançada pelo IT GOVERNANCE INSTITUTE
(ITGI) em 2000, incluía um guia gerencial e objetivos de controle adicionais. No ano
de 2005, o ITGI, publicou o COBIT 4.0, que foi o resultado de uma atualização
completa no modelo que, a partir daí, passou a demonstrar claramente o foco na
governança de TI. Atualmente, o COBIT encontra-se na versão 4.1, que inclui
algumas atualizações em relação à versão anterior.
A missão do COBIT, segundo o IT GOVERNANCE INSTITUTE, é: “Pesquisar,
desenvolver, publicar e promover um framework para governança de TI, que seja
atualizado, consistente e internacionalmente aceito. Tal framework pode ser utilizado
por organizações e para o uso no dia-a-dia de gerentes de negócio, profissionais de
TI e auditores”.
Algumas das principais características do COBIT são:
sua utilização parte dos requisitos de negócio;
tem sua orientação a processos, em que as atividades relacionadas à TI em
uma organização podem ser organizadas em um modelo de processos
geralmente aceito;
identifica os principais recursos de TI que devem ser potencializados em
uma organização;
define objetivos de controle a serem considerados em uma organização;
possibilita mapear objetivos de negócio em objetivos de TI, e vice-versa;
possibilita um alinhamento mais eficaz, baseando-se em um enfoque voltado
para o negócio;
fornece uma visão compreensível à alta administração sobre o que consiste
a tecnologia da informação na empresa;
estabelece clareza na propriedade e responsabilidade sobre processos.
Usualmente, a utilização do COBIT é justificada por uma ou mais das seguintes
situações:
2
Os objetivos de controle do COBIT consistem em requisitos de alto nível a serem considerados no
controle de cada processo de TI.
necessidade de governança de TI;

serviços entregues pela TI necessitam ser alinhados com os objetivos de
negócio;
processos de TI precisam ser padronizados e automatizados;
processos de TI precisam ser unificados;
necessidade de controle de qualidade sobre a TI;
necessidade de se ter uma abordagem estruturada para auditoria;
merges e aquisições de empresas estão causando impacto na TI;
necessidade de controle de custos sobre a TI;
outsourcing parcial ou total da TI;
necessidade de estabelecer conformidade com requisitos externos
(regulamentações, contratos externos etc.).
ocorrência de importantes mudanças na organização, nos objetivos de
negócio e nos processos, que afetam a TI.
Em qualquer tipo de organização, seja ela pública ou privada, auditores e
consultores externos são os principais públicos-alvo do COBIT. Dentro das
organizações, o COBIT dá suporte a diretores executivos, gerentes de negócio e de
TI e profissionais de segurança da informação, fornecendo as bases para a
implantação da governança de TI. A Tabela 1 apresenta os principais públicos-alvo
do COBIT, classificados em ordem de importância primária e secundária
(representadas respectivamente nas letras P e S). Os diretores executivos estão
representados na tabela através das seguintes siglas: Diretores executivos de
negócio (CEOs – Chief Executive Officers) e Diretor Executivo de Informação (CIO –
Chief Information Officer).
TABELA 1 Públicos-alvo do COBIT (Adaptado de ITGI , 2007)

projetos (PMO)
Administradore
desenvolvimen
Executivos de
de processos
Proprietários
Escritório de
gerência de
de negócio
Auditorias,
operações
segurança
Chefes de
Chefes de
análise de
Função
negócio
s de TI
risco e
CEOs
CFOs
CIOs
to
Importância S S P P P S S S S P
A Tabela 2 apresenta os domínios da governança de TI e os componentes

referenciados pelo COBIT relacionados a cada um desses domínios.
TABELA 2 Relacionamento entre domínios da governança de TI e componen-

tes do COBIT (Adaptado de Kordel, 2004)
Componente do COBIT
Domínio Objetivo do domínio
utilizado
Alinhamento DIRECIONAR Indicadores chave de objetivo
Construção de habilidades necessárias
para agregar valor aos negócios.
Entrega de valor CRIAR Indicadores chave de
desempenho
Entrega bem sucedida de valor aos
negócios. Processos COBIT
Gerência de riscos PROTEGER Fatores críticos de sucesso
Identificação e mitigação dos riscos para a Objetivos de controle
manutenção do valor entregue aos
Práticas de controle
negócios.
Gerência de AGIR Modelo de maturidade
recursos
Estabelecer e distribuir capacidades de TI Fatores críticos de sucesso
que satisfaçam às necessidades de
Objetivos de controle
negócio.
Práticas de controle
Medição de MONITORAR Modelo de maturidade
desempenho
Estabelecimento de um feedback para Guia de auditoria
direcionar esforços a um re-alinhamento
da TI, caso seja necessário.
Do ponto de vista do COBIT, tanto a governança corporativa3 quanto a

governança de TI4 estão intimamente relacionadas. Nesse sentido, a governança
corporativa sem um sistema de governança de TI torna-se inadequada, e vice-versa.
A tecnologia da informação pode estender e influenciar o desempenho da
organização, mas deve ser submetida a um sistema de governança. Por outro lado,
processos de negócio requerem informações vindas dos processos de TI, o que
implica em governar de forma adequada o relacionamento entre tais processos.
Neste contexto, segundo ITGI (2007), o ciclo Plan-Do-Check-Act (PDCA) torna-
se uma abordagem em evidência. Tanto as informações necessárias (requisito básico
para a governança corporativa) quanto as informações entregues (objetivo básico da
governança de TI) devem ser planejadas com indicadores mensuráveis
(Planejamento). Informações, e possivelmente sistemas de informação, necessitam
3
De forma resumida, pode-se entender por governança corporativa o sistema pelo qual uma
organização é governada e direcionada.
4
De forma resumida, pode-se entender a governança de TI como sendo o sistema pelo qual a
tecnologia da informação de uma organização é governada e controlada.
ser implementados, entregues e utilizados (DO). Os resultados obtidos a partir da

entrega e utilização da informação, por sua, vez, necessitam ser medidos em relação
aos indicadores estabelecidos na fase de planejamento (CHECK); a partir daí,
desvios precisam ser investigados e ações devem ser tomadas (ACT).
Diante de tal situação, o COBIT fornece uma abordagem estruturada que tem
como intuito auxiliar as organizações a otimizar o uso das informações, os
investimentos em TI , assegurar a entrega de serviços a partir da TI e estabelecer um
sistema de medição para verificar o desempenho de tecnologia da informação. Essa
abordagem é dividida em quatro focos: orientação a negócio, orientação a processos,
orientação a controle e orientação a medições.
A seguir, serão apresentadas cada uma dessas orientações.
2.3 Orientação ao negócio

A orientação ao negócio consiste na principal característica do COBIT e é
designada para ser empregada por provedores de serviços de TI, usuários e
auditores, mas também, principalmente, para fornecer um direcionamento consistente
para proprietários de processos de negócio e gerentes de negócio.
Nesse sentido, o COBIT baseia-se na seguinte premissa fundamental, descrita a
seguir, e representada pela Figura 1:
“Para fornecer as informações que uma organização
necessita para atingir seus objetivos, é necessário investir,
gerenciar e controlar recursos de TI através de um conjunto
estruturado de processos que forneçam os serviços
necessários para entregar estas informações desejadas.”
O gerenciamento e controle de informações são as bases do COBIT, e auxiliam

o alinhamento da TI com os requisitos de negócio.
FIGURA 1 Princípio básico do COBIT (Adaptado de ITGI, 2007)
Critérios de informação
Para satisfazer os objetivos de negócio, informações precisam atender a certos
critérios de controle, que o COBIT se refere como requisitos de negócio para
informações. Baseando-se em requisitos de qualidade, segurança e confiabilidade,
sete critérios distintos (porém complementares) são definidos:
eficácia ou efetividade: informações relevantes e pertinentes aos negócios
devem ser entregues de forma correta, utilizável, consistente e em tempo
hábil;
eficiência: fornecimento de informações considerando o uso ótimo (da forma
mais rápida, econômica e alinhada aos objetivos estratégicos da
organização) dos recursos;
confidencialidade: proteção de informações sensíveis de acesso não
autorizado;
integridade: precisão e completude de informações como também sua
validade de acordo com os valores e expectativas do negócio;
disponibilidade: informações devem estar disponíveis sempre que for
necessário;
conformidade: conformidade com leis, regulamentos e cláusulas contratuais
aos quais os processos de negócio estão sujeitos;
confiabilidade: fornecimento de informações adequadas para que a
empresa exercite suas responsabilidades.
Objetivos de negócio e objetivos de TI
Enquanto os critérios de informação fornecem um método genérico para a

definição dos requisitos de negócio, a definição de um conjunto genérico de objetivos
de negócio e de TI fornece uma base refinada e orientada ao negócio, que pode ser
utilizada para estabelecer requisitos de negócio e desenvolver métricas que permitam
a medição dos resultados obtidos, considerando os objetivos de negócio e de TI
estabelecidos.
Toda organização utiliza TI para habilitar iniciativas de negócio, e isso pode ser
representado através de objetivos de negócio e de TI. O COBIT fornece objetivos de
negócio e de TI genéricos e mostra como estes podem ser mapeados para os
critérios de informação. Esses exemplos genéricos podem ser úteis como um guia
para determinar os requisitos de negócio, objetivos e métricas específicos de cada
organização.
Uma vez que a tecnologia da informação serve para entregar, de forma bem
sucedida, serviços que dão suporte à estratégia da organização, deve haver um
entendimento claro do que é necessário entregar e de como entregar. A Figura 2
ilustra como a estratégia da organização deve ser traduzida em objetivos
relacionados a iniciativas e habilidades por tecnologia da informação (os objetivos de
negócio e de TI referenciados pelo COBIT). Esses objetivos devem direcionar para
uma definição clara dos objetivos de TI que, por sua vez, definem recursos e
capacidades de TI necessários para executar de forma bem sucedida a parte que
cabe à tecnologia da informação no cumprimento das estratégias da organização.
Definidos os objetivos, é preciso fazer com que eles sejam monitorados, para
assegurar que a atual entrega de serviços através da TI atenda às expectativas
estabelecidas. Isso é alcançado através de métricas, que são derivadas dos objetivos
e tratadas em um balanced scorecard5.
O COBIT fornece uma ligação entre objetivos de negócio, objetivos de TI,
processos de TI e critérios de informação. Estas ligações auxiliam a demonstrar o
escopo do COBIT e a relação deste com os direcionados de negócio de uma
organização.
A Figura 2 mostra o caminho pelo qual a estratégia da organização é traduzida
em um balanced scorecard, que servirá para medir o desempenho da arquitetura de
5
Para entendimento dos objetivos de TI e dos scorecards por parte do cliente, deve-se expressar
estes resultados em linguagem de fácil entendimento desses clientes.
TI, formada por processos de TI que entregam informação utilizando-se de

aplicações, infra-estrutura e pessoas.
FIGURA 2 Definição de objetivos de TI e arquitetura de TI (Adaptado de ITGI,

2007)
Recursos de TI
A organização de TI trata os objetivos da organização através de um conjunto
definido de processo que utilizam habilidades de pessoas e infra-estrutura tecnológica
para executar aplicações automatizadas de negócio fornecendo, assim, informações
úteis à organização. Tais recursos, juntamente com os processos de TI, constituem
uma arquitetura organizacional para a TI, como mostra a Figura 2.
Para responder aos requisitos de negócio relacionados a tecnologia da
informação, uma organização precisa investir em recursos necessários para: (1) criar
uma capacidade técnica (por exemplo, um Enterprise Recourse Planning (ERP)); (2)
suportar a capacidade do negócio (por exemplo, a implementação de uma cadeia de
valor); (3) alcançar um resultado esperado (por exemplo, aumentar as vendas e o
retorno financeiro).
Os recursos de TI identificados pelo COBIT podem ser definidos como:

aplicações: são sistemas automatizados ou procedimentos manuais que
processam informação;
informação: são os dados, incluindo informações de entrada para processos,

informações processadas e saídas de processos, que são utilizados pelo
negócio;
infra-estrutura: consiste na tecnologia, tais como hardware, sistemas

operacionais, banco de dados, e facilidades, tais como ambiente físico para
abrigar servidores. A infra-estrutura habilita o processamento das aplicações;
pessoas: são as pessoas requeridas para planejar, organizar, adquirir,

implementar, entregar, dar suporte, monitorar e avaliar os sistemas de
informação e os serviços. Tais pessoas podem ser colaboradores internos ou
terceirizados.
A Figura 3 exemplifica como os objetivos de TI influenciam a maneira como os

recursos de TI precisam ser gerenciados pelos processos para atingir os objetivos
estabelecidos. Nesta figura, os objetivos da organização para a TI – requisitos de
governança (que são alinhamento estratégico, entrega de valor, gerência de riscos,
etc.) e resultados de negócio (por exemplo, resultados financeiros esperados ou
número de vendas) direcionam recursos de TI (pessoas, informação, aplicação e
infra-estrutura). Tais recursos, por sua vez, são gerenciados pelos processos de TI
que precisam atender aos objetivos de tecnologia da informação.
FIGURA 3 Gerenciando recursos de TI e alcançando objetivos de TI (Adaptado

de ITGI, 2007)
2.4 Orientação a processos

O COBIT define as atividades relacionadas a TI através de um modelo genérico
de 34 processos organizados em quatro domínios: Planejamento e organização,
Aquisição e implementação, Entrega de Suporte e Monitoramento e avaliação.
De acordo com o COBIT, qualquer serviço entregue pela TI e todo serviço
fornecido para os processos de negócio necessitam ser integrados em um ciclo de
vida de serviço de TI, representados pelos quatro domínios referenciados pelo
COBIT.
A Figura 4 apresenta a organização dos processos de TI definidos pelo COBIT e
a relação destes com critérios de informação e recursos de TI.
Objetivos de negócio
Governança de TI
COBIT
INFORMAÇÃO
Efetividade
Eficiência
Confidencialidade
MONITORAÇÃO E Integridade PLANEJAMENTO E
AVALIAÇÃO Disponibilidade ORGANIZAÇÃO
Conformidade
Confiabilidade
RECURSOS DE TI
ENTREGA E AQUISIÇÃO E
SUPORTE IMPLEMENTAÇÃO
Pessoas
Aplicações
Infra-estrutura
Informação
FIGURA 4 Framework COBIT (Adaptado de ITGI, 2007)

Ao longo dos quatro domínios, o COBIT identifica 34 processos de TI que são

geralmente utilizados. Tais processos podem ser utilizados para verificar a
completude de atividades e responsabilidades. No entanto, não é necessário aplicar
todos os processos referenciados pelo COBIT, deve-se ter a prudência de aplicá-los
conforme as necessidades específicas de cada organização.
Para cada um dos 34 processos de TI, o COBIT estabelece a ligação com
objetivos de negócio e de TI. Além disso, são fornecidas informações sobre como os
objetivos relacionados podem ser medidos, quais são as atividades e principais
entregas do processo e quais agentes devem ser responsabilizados pelo processo.
Em suma, cada um dos processos do COBIT traz as seguintes informações:
objetivos de controle;
critérios de informação afetados pelo processo;
recursos de TI utilizados pelo processo;
foco do processo na governança de TI;
entradas e saídas do processo;
um diagrama de responsabilidades, denominado RACI chart6;
objetivos e métricas relacionados ao processo.
A seguir, serão descritas as principais características dos quatro domínios do

COBIT
2.4.1 Planejamento e organização

Este domínio cobre estratégias e táticas que estabelecem a melhor maneira
como a TI poderá contribuir para o alcance dos objetivos de negócio. O planejamento
e organização abrange as seguintes questões gerenciais:
a TI e os objetivos estratégicos estão alinhados?
a organização está utilizando os recursos de TI de forma ótima?
6
Os diagramas RACI definem o que e para quem as responsabilidades e atividades do processo
deverão ser delegadas. Para cada processo, o COBIT define um diagrama contendo um conjunto de
atividades e os níveis de envolvimento para cada uma dessas atividades. Esses níveis encontram-se
divididos em quatro categorias (Prestador de contas (Accountable), Responsável (Responsible),
Consultado (Consulted) e Informado (Informed)) e são distribuídos a diferentes cargos de uma
organização. De acordo com o COBIT, entender os papéis e responsabilidades para cada processo
é fator fundamental para a governança de TI. Nos diagramas RACI fornecidos pelo COBIT, a pessoa
que deve prestar contas (Accountable) deverá indicar direções a autorizar atividades relacionadas
ao processo. O atributo “responsável” (Responsibility) é atribuído à pessoa que executa as
atividades. Os outros dois atributos – consultado (Consulted) e informado (Informed) asseguram o
envolvimento de pessoas necessárias para dar suporte à execução do processo.
a organização como um todo entende os objetivos de TI?

os riscos relacionados à TI são entendidos e gerenciados?
a qualidade dos sistemas de TI é apropriada para as necessidades de
negócio?
Para tratar tais questões, o COBIT define 10 objetivos de controle, que serão
descritos a seguir.
PO1 - Definir um plano estratégico em TI
O plano estratégico de TI é necessário para gerenciar e direcionar os recursos
de TI alinhados com as estratégias e prioridades de negócio. O pessoal da TI e os
stakeholders são responsáveis por assegurar que o valor máximo seja obtido a partir
do portfólio de projetos e de serviços. O plano estratégico melhora o entendimento
dos stakeholders em relação às limitações e oportunidades da TI, avalia a
desempenho atual, identifica as capacidades e as necessidades de recursos
humanos e torna claro o nível de investimento requerido. A estratégia e as prioridades
do negócio são refletidas no portfólio de projetos e executadas pelos planos táticos de
TI, que especificam objetivos concisos, planos de ação e tarefas que são entendidas
e aceitas tanto pela TI quanto pela alta administração.
Objetivos de controle detalhados:
PO1.1 – Gerenciamento do valor da TI;
PO1.2 – Alinhamento da TI aos negócios;
PO1.3 – Avaliação das capacidades e desempenho atuais;
PO1.4 – Plano estratégico de TI;
PO1.5 – Planos táticos de TI;
PO1.6 – Gerenciamento de portfólio de TI;
PO2 – Definir a arquitetura da informação.
Os sistemas de informação criam e atualizam regularmente o modelo de
informação dos negócios e define os sistemas apropriados para otimizar o uso de tais
informações. Isto engloba o desenvolvimento de um dicionário de dados corporativo
com regras sintáticas dos dados da organização, esquema de classificação de dados
e níveis de segurança.O processo de definição da arquitetura de informação aumenta
a qualidade de tomada de decisões gerenciais através de garantias de fornecimento
de informações confiáveis e seguras, e possibilita a racionalização de recursos de
sistemas de informação para atingir, de forma apropriada, as estratégias de negócio.
Este processo de TI é também necessário para aumentar a confiabilidade através de
integridade e segurança dos dados, além de aumentar a efetividade e o controle do
compartilhamento de informação através de diversas aplicações, unidades de
negócio e organizações.

PO2.1 – Modelo de arquitetura de informação empresarial;
PO2.2 – Dicionário de dados empresarial e regras sintáticas de dados;
PO2.3 – Esquema de classificação de dados;
PO2.4 – Gerenciamento de integridade de dados;
PO3 – Determinar a direção tecnológica.
A função dos serviços que fornecem informação à organização determina a

direção tecnológica para auxiliar os negócios. Isto requer a criação de um plano de
infra-estrutura tecnológica e um comitê (grupo) de arquitetura que indicará e gerirá de
forma clara e realista as expectativas sobre o que as diversas tecnologias disponíveis
podem oferecer em termos de produtos, serviços e mecanismos de entrega. Planos
que estabelecem direções tecnológicas são regularmente atualizados e englobam
aspectos como a arquitetura de sistemas, direção tecnológica, planos de aquisição,
padrões, estratégias de migração e contingências. Isto habilita respostas em tempo
hábil para mudanças em um ambiente competitivo, economias em escala para
equipes envolvidas em trabalhos relacionados a sistemas de informação e
investimentos, bem como aumenta a interoperabilidade de plataformas e aplicações.
PO3.1 – Planejamento da direção tecnológica;
PO3.2 – Plano de infra-estrutura tecnológica;
PO3.3 – Monitorar tendências futuras e regulamentações;
PO3.4 – Padrões tecnológicos;
PO3.5 – Comitês (grupo) de arquitetura de TI;
PO4 - Definir os processos de TI, organização e relacionamentos.
Uma organização de TI é definida levando-se em consideração os requisitos de

pessoal, de habilidades, funções, autoridades, papéis e responsabilidades e
supervisão. Essa organização deve estar inserida em um framework de processos de
TI que garanta transparência e controle tanto quanto o envolvimento dos executivos
seniores e gerentes de negócio.
Um comitê de estratégia garante à gerência uma visão geral da TI e um ou mais
comitês diretores (steering committees), no qual a TI e os responsáveis pelas
decisões de negócio participam, determinam a priorização dos recursos de TI,
alinhada com as necessidades do negócio. Processos, políticas administrativas e
procedimentos são definidos para todas as funções, em especial para as de controle,
qualidade, gerência de riscos, segurança da informação, posse de dados e sistemas
e segregação de responsabilidades. Para garantir suporte adequado aos requisitos

de negócio, a tecnologia da informação deve estar envolvida em processos de
tomada de decisão relevantes para a organização.
PO4.1 – Definição de um framework de processos de TI;
PO4.2 – Estabelecimento de comitê para estratégias de TI;
PO4.3 – Estabelecimento de um comitê diretor de TI;
PO4.4 – Distribuição organizacional das funções de TI;
PO4.5 – Estabelecimento de estrutura organizacional de TI;
PO4.6 – Estabelecimento de papéis e responsabilidades;
PO4.7 – Responsabilidades pela garantia de qualidade da TI;
PO4.8 – Comprometimento com riscos, segurança e conformidade;
PO4.9 – Estabelecimento de posse de dados e sistemas;
PO4.10 – Supervisão;
PO4.11 – Separação de responsabilidades;
PO4.12 – Avaliação da equipe de TI;
PO4.13 – Definir e identificar pessoas envolvidas com a TI;
PO4.14 – Estabelecimento de políticas e procedimentos para o pessoal
contratado;
PO4.15 – Estabelecimento e manutenção relacionamentos entre a TI e a
organização como um todo;
PO5 – Gerenciar investimentos em TI.
Um framework é estabelecido e mantido para gerenciar programas de

investimentos em TI. Este framework engloba os custos, benefícios, priorizações
dentro do orçamento estabelecido, processo formal de orçamento e gerenciamento
de acordo com o orçamento. No processo de gerência dos investimentos em TI, os
stakeholders são consultados para identificarem e controlarem, dentro do contexto
dos planos estratégicos e táticos, os custos totais e os benefícios associados a tais
custos e, caso seja necessário, iniciam ações corretivas. O processo de gerência dos
investimentos em TI fomenta parcerias entre as equipes de TI e de negócios;
possibilita o uso eficiente e eficaz dos recursos de TI; e provê transparência e
responsabilidade em relação aos custos totais de propriedade (Total Cost of
Ownership - TCO), obtenção de benefícios por parte dos negócios e um melhor
retorno sobre os investimento em TI.

PO5.1 – Estabelecimento de um framework de gerência financeira;
PO5.2 – Implantar processos de tomada de decisão para estabelecer
priorizações dentro do orçamento;
PO5.3 – Implantação de práticas para estabelecer orçamentos;
PO5.4 – Implantação de um gerenciamento de custos;
PO5.5 – Gerenciamento de benefícios;
PO6 – Comunicar metas e diretiva gerenciais.
A gerência desenvolve um framework de controle para a TI e define e comunica

as políticas estabelecidas dentro deste framework. Um programa progressivo de
comunicação é implementado para articular, dentre outros aspectos, a missão,
objetivos de serviço, políticas e procedimentos etc., que são aprovados e subsidiados
pela gerência de uma organização. A comunicação auxilia no alcance dos objetivos
de TI e assegura o entendimento e a conscientização dos riscos envolvidos nos
negócios e na TI. O processo de comunicação de metas e diretivas gerenciais
também garante monitoração de regras relevantes e regulamentações.
PO6.1 – Definição de políticas e controles para a TI;
PO6.2 – Definição de um framework para tratamento de riscos e controles
relacionados à TI;
PO6.3 – Gerenciamento de políticas de TI;
PO6.4 – Implantação de políticas, padrões e procedimentos;
PO6.5 – Comunicação dos objetivos e diretivas de TI;
PO7 – Gerenciar recursos humanos de TI.
Recursos humanos são contratados e gerenciados na organização para a

criação e entrega de serviços de TI que são utilizados pelos negócios. Para tanto, é
preciso definir práticas que suportem recrutamento, treinamento, avaliação de
desempenho, promoção e desligamento de pessoas.
O processo de gerência de recursos humanos é fundamental para as
organizações, na medida em que as pessoas são importantes ativos e a governança,
juntamente com os controles internos, são altamente dependentes da motivação e da
competências das pessoas que trabalham na organização.

PO7.1 – Criação de processos de recrutamento e manutenção de pessoal;
PO7.2 – Monitoramento de competências pessoais;
PO7.3 – Definição dos papéis das equipes;
PO7.4 – Treinamento de pessoal;
PO7.5 – Dependência entre indivíduos;
PO7.6 – Estabelecimento de procedimentos de verificação de experiência
profissional;
PO7.7 – Avaliação de desempenho de colaboradores;
PO7.8 – Estabelecimento de procedimentos de mudança de cargo e
desligamento de colaboradores;
PO8 – Gestão de qualidade.
Um sistema de gestão de qualidade inclui processos e padrões testados para
desenvolvimento e aquisição de recursos de TI. Para tanto, é necessário executar o
planejamento, implementação e manutenção do sistema de gestão de qualidade
através do fornecimento de requisitos claros de qualidade, além de procedimentos e
padrões. Requisitos de qualidade são estabelecidos e comunicados através de
indicadores alcançáveis e que possam ser quantificados. A melhoria contínua é
alcançada por monitoração, análise e ações para controle de desvios nos critérios de
qualidade e pela comunicação dos resultados aos stakeholders. A gestão de
qualidade é essencial para assegurar que a TI esteja agregando valor ao negócio,
processos de melhoria contínua e transparência para stakeholders.
PO8.1 – Estabelecimento e manutenção de um sistema de gestão de

qualidade;
PO8.2 – Identificação e manutenção de padrões e práticas de qualidade
para os processos de TI;
PO8.3 – Adoção e manutenção de padrões para aquisição e desenvolvi-
mento de recursos e serviços de TI;
PO8.4 – Foco no cliente;
PO8.5 – Estabelecimento de processos de melhoria contínua;
PO8.6 – Mensuração de qualidade, monitoração e revisão;
PO9 – Avaliar e gerenciar riscos de TI.
Um framework de gestão de riscos deve ser criado e mantido a fim de

documentar os níveis de risco de TI, as estratégias de mitigação desses riscos e os
riscos residuais. Através do processo de avaliação e gerência de riscos de TI
qualquer impacto potencial nos objetivos da organização, causado por eventos não
planejados deve ser identificado e analisado. O resultado da avaliação é
compreensível para os stakeholders e expresso em termos financeiros, habilitando-
os, assim, a direcionar os riscos a níveis toleráveis pela organização.
PO9.1 – Estabelecimento de um framework de gestão de riscos em TI;
PO9.2 – Contextualização dos riscos;
PO9.3 – Identificação de eventos;
PO9.4 – Avaliação de risco;
PO9.5 – Resposta aos riscos;
PO9.6 – Manutenção e monitoração do plano de ação;
PO10 – Gerenciar projetos.
Um framework para gerenciamento de programas e projetos deve ser

estabelecido para gerenciar todos os projetos relacionados à TI, garantindo a correta
priorização e coordenação de projetos dessa natureza. Este framework inclui, dente
outras especificações, a avaliação de recursos necessários, definição de entregas,
fases e atividades, plano de testes, riscos envolvidos e revisões pós-implantação.
Esta abordagem reduz o risco de custos inesperados e projetos cancelados, melhora
a comunicação entre fornecedor e clientes, assegura a qualidade nas entregas do
projeto, e maximiza a contribuição da TI em programas de investimentos.

PO10.1 – Implantação e manutenção de framework de gestão de
programas;
PO10.2 – Implantação e manutenção de um framework de gestão de
projetos;
PO10.3 – Estabelecimento de abordagens de gerenciamento de projetos;
PO10.4 – Obtenção de comprometimento dos stakeholders nos projetos de
TI;
PO10.5 – Documentação de escopo dos projetos;
PO10.6 – Adoção de procedimentos para aprovação de iniciação de
projeto;
PO10.7 – Estabelecimento de um plano integrado para o projeto dos
Objetivos de Controle;
PO10.8 – Definição de recursos, papéis e responsabilidades para o projeto;

PO10.9 – Gestão de riscos de projeto;
PO10.10 – Plano de qualidade de projeto;
PO10.11 – Controle de mudanças de projeto;
PO10.12 – Planejamento dos métodos de segurança do projeto (controles
internos e requisitos de segurança);
PO10.13 – Monitoramento e medição de desempenho de projetos;
PO10.14 – Fechamento de projeto.
2.4.2 Aquisição e implementação

Para executar as estratégias de TI, soluções relacionadas a este recurso
necessitam ser identificadas, desenvolvidas e adquiridas, bem como implementadas
e integradas aos processos de negócio. Além disso, mudanças e manutenções de
sistemas já existentes são tratadas por este domínio, para assegurar que as soluções
tecnológicas continuem a atender aos objetivos de negócio. O domínio de aquisição e
implementação abrange as seguintes questões:
Novos projetos têm o potencial de entregar soluções que atendam aos objetivos
de negócio?
Novos projetos serão entregues no prazo e dentro do orçamento?
Novos sistemas irão trabalhar de forma adequada quando implantados?
Mudanças serão feitas sem que haja interrupção das operações de negócio?
descritos a seguir.
AI1 – Identificar soluções automatizadas
A necessidade de novas aplicações ou funções requer análise antes da
aquisição ou criação de soluções, para assegurar que os requisitos de negócios
sejam atendidos de forma efetiva e eficaz. O processo de identificação de soluções
automatizadas cobre os aspectos referentes à definição das necessidades,
consideração de recursos alternativos, análise de viabilidade tecnológica e
econômica, análise de risco e de custo/benefício e decisões sobre desenvolver
internamente ou adquirir soluções. Todas essas atividades habilitam a organização a
minimizar os custos com aquisição e implementação de soluções, além de assegurar
que tais soluções habilitem a organização a alcançar os objetivos de negócio.
AI1.1 – Definição e manutenção de requisitos tecnológicos e funcionais de

negócio;
AI1.2 – Documentação da análise de riscos;
AI1.3 – Estudo de viabilidade e formulação de cursos alternativos de ação;
AI1.4 – Decisão e aprovação de requisitos e viabilidade;
AI2 – Adquirir e manter software.
Aplicações são disponibilizadas de acordo com os requisitos de negócio. O
processo de aquisição e manutenção de software cobre os aspectos relacionados ao
projeto de aplicações, inclusão de controles e requisitos de segurança em aplicações
e o desenvolvimento e configuração de acordo com padrões. Essas atividades
permitem as organizações a suportarem de maneira adequada os processos de
negócio através das aplicações de software corretas.
AI2.1 – Especificação de alto nível para aplicações de software;
AI2.2 – Projeto detalhado de aplicações de software;
AI2.3 – Controles e auditoria em aplicações;
AI2.4 – Segurança e disponibilidade de aplicações;
AI2.5 – Configuração e implantação de softwares adquiridos;
AI2.6 – Estabelecimento de procedimentos para atualizações em sistemas
existentes;
AI2.7 – Estabelecimento de padrões para desenvolvimento de aplicações
de software;
AI2.8 – Garantia de qualidade de software;
AI2.9 – Gestão de requisitos de software;
AI2.10 – Desenvolvimento de estratégias e planos para manutenção de
aplicações de software;
AI3 – Adquirir e manter infra-estrutura tecnológica.
Organizações têm processos para aquisição, implementação e atualização de

infra-estrutura tecnológica. Isto requer uma abordagem planejada para aquisição,
manutenção e proteção da infra-estrutura, de acordo com as estratégias de TI,
assegurando que exista um suporte adequado da TI aos negócios.
AI3.1 – Plano de aquisição de infra-estrutura tecnológica;

AI3.2 – Assegurar proteção e disponibilidade de recursos de infra-estrutura
de TI;
AI3.3 – Manutenção de infra-estrutura;
AI3.4 – Estabelecimento de ambientes de desenvolvimento e teste;
AI4 – Habilitar operação e uso.
O processo de habilitação de operação e uso de infra-estruturas de TI requer a
produção de documentações e manuais técnicos para usuários, além do fornecimento
de treinamento para assegurar o uso adequado de aplicações e infra-estruturas de TI
AI4.1 – Desenvolvimento de planos para documentação de aspectos
técnicos e operacionais de infra-estruturas;
AI4.2 – Transferência de conhecimento para gestão de negócios;
AI4.3 – Transferência de conhecimento para usuários;
AI4.4 – Transferência de conhecimento para grupos de operação e suporte;
AI5 – Adquirir recursos de TI.
Recursos de TI, incluindo pessoas, hardware, software e serviços precisam ser
adquiridos. Isto requer a definição e execução de procedimentos de aquisição,
seleção de fornecedores, estabelecimento de contratos e a aquisição propriamente
dita. Essas atividades asseguram que a organização possua todos os recursos de TI
necessários, de forma eficiente, no tempo necessário e a custos adequados.
AI5.1 – Controle de aquisições;
AI5.2 – Gestão de contratos de fornecimento;
AI5.3 – Seleção de fornecedores;
AI5.4 – Aquisição de recursos de TI;
AI6 – Gerir mudanças.
Todas as mudanças, incluindo manutenção de emergência e correções,
relacionadas com infra-estrutura e aplicações no ambiente produtivo são formalmente
geridas de maneira controlada. Antes da implantação efetiva, as mudanças (incluindo
os procedimentos, processos, serviços e sistemas) devem ser registradas, avaliadas
e autorizadas. Após a implantação, devem-se revisar as mudanças em relação ao
planejamento feito anteriormente. Estas atividades de revisão asseguram a mitigação
dos riscos que possam impactar negativamente a estabilidade ou integridade do
ambiente produtivo da organização.
AI6.1 – Estabelecimento de padrões e procedimentos para mudanças;

AI6.2 – Avaliação de impactos, priorização e autorização de mudanças;
AI6.3 – Definição de procedimentos para tratamento de mudanças de
emergências;
AI6.4 – Acompanhamento de mudanças;
AI6.5 – Finalização e documentação de mudanças;
AI7 – Instalar e autorizar soluções e mudanças.
Novos sistemas precisam ser colocados em operação assim que seu
desenvolvimento for finalizado. Isso requer testes apropriados em um ambiente
dedicado, a definição de instruções de implantação e migração, planejamento para
liberação, a promoção para o ambiente de produção da empresa e, por último, a
revisão pós-implantação. Esse processo garante que sistemas em operação estejam
alinhados com as expectativas e objetivos da organização.
AI7.1 – Treinamento de usuários;
AI7.2 – Plano de teste;
AI7.3 – Plano de implantação;
AI7.4 – Definir o ambiente de teste;
AI7.5 – Migração de sistemas e de dados;
AI7.6 – Testes de mudanças;
AI7.7 –Teste final de aceitação;
AI7.8 – Promoção para o ambiente de produção;
AI7.9 – Revisão pós-implantação.
2.4.3 Entrega e suporte

Este domínio trata das atuais entregas dos serviços, o que inclui entrega de
serviços, gerenciamento de segurança e continuidade, suporte aos serviços e
gerenciamento de dados e recursos operacionais. As principais questões referentes a
este domínio são:
Os serviços de TI estão sendo entregues de acordo com as prioridades do
negócio?
Os custos referentes à TI são otimizados?
Os colaboradores da organização estão aptos a utilizarem sistemas de TI de

forma segura e produtiva?
Existem adequada confidencialidade, integridade e disponibilidade das
informações?
descritos a seguir.
DS1- Definir e Gerenciar os Níveis de Serviço.
A comunicação efetiva entre a gerência de TI e os clientes em relação aos
serviços necessários é possibilitada pela definição e documentação dos serviços que
serão fornecidos, bem como dos níveis de tais serviços. Esse processo também inclui
monitoramento e entregas de relatórios que fornecem informações sobre o
cumprimento dos acordos estabelecidos. O processo de definir e gerenciar acordos
de nível de serviço permite o alinhamento entre os serviços de TI e os requisitos de
negócio relacionados a estes serviços
DS1.1 – Definição de um framework de gerenciamento de nível de serviço;
DS1.2 - Definição dos serviços;
DS1.3 – Definição de acordos de níveis de serviços;
DS1.4 – Definição de acordos de níveis de operações;
DS1.5 - Monitoramento e confecção de relatórios sobre os níveis de serviço
alcançados;
DS1.6 - Revisão dos acordos de nível de serviço e dos contratos;
DS2 – Gestão de serviços terceirizados.
A necessidade de garantir que serviços terceirizados (fornecedores, vendedores
e parceiros) estejam alinhados aos requisitos de negócio requer um processo efetivo
de que se tenha uma definição clara dos papéis, responsabilidades e expectativas,
que são estabelecidas através acordos e de processos e revisão e monitoramento
destes acordos. Uma gerência efetiva de serviços terceirizados minimiza os riscos de
negócio associados com não comprometimento de fornecedores.
DS2.1 – Identificação dos relacionamentos com fornecedores;
DS2.2 – Gestão de relacionamentos com fornecedores;
DS2.3 – Gestão de riscos relacionados a fornecedores;
DS2.4 – Monitoração de desempenho de fornecedores;
DS3 – Gerir desempenho e capacidade.
A necessidade de gerir desempenho e capacidade de recursos de TI requer um

processo para revisar periodicamente o atual desempenho e capacidade de recursos
de TI. O processo de gestão de desempenho e capacidade inclui prognóstico de
necessidades futuras, baseando-se em cargas de trabalho, requisitos de
armazenamento de dados e de contingências. Este processo provê garantias que

recursos de informação necessários para suportar os requisitos de negócio estejam
disponíveis continuamente.
DS3.1 – Planejamento de desempenho e capacidade;
DS3.2 – Avaliação de desempenho e capacidade atuais;
DS3.3 – Avaliação de desempenho e capacidade futuras;
DS3.4 – Disponibilidade de recursos de TI;
DS3.5 – Monitoração e documentação de resultados;
DS4 - Garantia de continuidade de serviço.
A necessidade de manter a continuidade de serviços de TI requer que sejam
desenvolvidos, mantidos e testados planos de continuidade de TI, que utilizem
backups externos e que forneçam planos de treinamento contínuos e periódicos. Um
processo efetivo de continuidade de serviços minimiza a probabilidade e o impacto de
uma interrupção nos serviços principais de TI, que suportam as principais funções e
processos de negócio.
DS4.1 – Estabelecimento de um framework de continuidade de TI;
DS4.2 – Desenvolvimento de planos de continuidade de TI;
DS4.3 - Levantamento de recursos críticos de TI;
DS4.4 - Manutenção do Plano de Continuidade de TI;
DS4.5 - Teste do Plano de Continuidade de TI;
DS4.6 -Treinamento em relação ao Plano de Continuidade de TI;
DS4.7 - Distribuição do Plano de Continuidade de TI;
DS4.8 – Definição de planos para recuperação e retomada de serviços;
DS4.9 - Armazenamento externo de backups;
DS4.10 - Revisão pós retomada de serviços de TI;
DS5 – Garantir segurança de sistemas.
A necessidade de manter a integridade da informação e proteger ativos de TI

requer um processo de gestão de segurança. O processo de garantir a segurança de
sistemas inclui o estabelecimento e manutenção de papéis e responsabilidades,
políticas, padrões e procedimento relacionados à segurança. A gestão de segurança
também inclui monitoramento, testes periódicos e implantação de ações corretivas
frente a incidentes e ameaças. Uma gestão de segurança efetiva protege todos ativos
de TI para minimizar o impacto nos negócios por vulnerabilidades de segurança e
incidentes.

DS5.1 – Gestão de segurança de TI;
DS5.2 – Definição do plano de segurança de TI;
DS5.3 – Gestão de identificações de usuários a atividades em sistemas de
TI;
DS5.4 – Gestão de contas de usuários em sistemas;
DS5.5 – Testes de segurança, vigilância e monitoração;
DS5.6 – Definição de incidentes de segurança;
DS5.7 – Proteção de tecnologias de segurança;
DS5.8 – Gestão de chaves criptográficas;
DS5.9 – Prevenção, detecção e correção de softwares maliciosos;
DS5.10 – Segurança de rede;
DS5.11 – Tratamento de trocas de dados sensíveis;
DS6 – Identificar e alocar custos.
A necessidade de um sistema claro e equilibrado para alocação de custos em TI
requer medições precisas dos custos de TI e acordo com usuários e clientes. O
processo de identificação e alocação de cursos inclui procedimentos de identificação,
alocação e comunicação dos custos que envolvem a TI para clientes e usuários de
serviços de TI. Um sistema justo de alocação habilita a organização a tomarem
decisões sábias em relação ao uso de serviços de TI.
DS6.1 – Definição de serviços;
DS6.2 – Identificação e alocação dos custos de TI;
DS6.3 – Definição de custos e cobrança;
DS6.4 – Manutenção de modelo de custos;
DS7 – Educar e treinar usuários.
Educar de forma efetiva os usuários de sistemas de TI, incluindo pessoas dentro
do setor de TI, requer a identificação das necessidades de treinamento para cada
grupo de usuários. Além disso, para identificar as necessidades, o processo de
educação e treinamento de usuários inclui a definição e execução de uma estratégia
para treinamento e medição de resultados. Um programa de treinamento efetivo
aumenta o uso efetivo das tecnologias através de redução dos erros dos usuários,
aumentando a produtividade e a conformidade com controles relevantes, como
medição de segurança dos usuários.
DS7.1 – Identificação de necessidades de educação e treinamento;

DS7.2 – Treinamento e educação;
DS7.3 – Avaliação de treinamento recebido;
DS8 - Gerenciar o Service Desk e incidentes.
Respostas rápidas e efetivas a pedidos de usuário requerem uma central de
serviços (service desk) e um processo de gerência de incidentes. O processo de
gerência de service desk e incidentes inclui o estabelecimento de uma central de
serviços que executa registro, escalonamento de incidentes, análise e resolução. Os
benefícios do estabelecimento deste processo incluem aumento de produtividade
através da rápida resolução de chamadas de clientes.
DS8.1 - Service Desk;
DS8.2 - Registro das chamadas de usuários;
DS8.3 - Escalonamento de incidentes;
DS8.4 - Encerramento de incidentes;
DS8.5 - Documentação e análise de tendências em relação ao service desk
e incidentes;
DS9 - Gerência de configuração.
Garantir a integridade nas configurações de hardware e software requer a
implantação e manutenção de um repositório de configuração confiável e completo. O
processo de gerência de configuração inclui o levantamento inicial de informações de
configuração, estabelecimento de bases de dados, verificação, auditoria e atualização
de configurações, quando necessário. Uma gerência de configuração efetiva
proporciona maior disponibilidade de sistema e minimiza o tempo de resolução de
incidentes
DS9.1 - Estabelecer repositório de configuração;
DS9.2 - Identificação e manutenção de itens de configuração;
DS9.3 - Revisão de integridade de configuração;
DS10 - Gerenciamento de problemas.
O gerenciamento efetivo de problemas requer a identificação e a classificação

dos problemas, análise das causas e a resolução. O processo de gerenciamento de
problemas também inclui a formulação de recomendações para melhorias,
manutenção de registros de problemas e revisão do status das ações corretivas. Um
processo efetivo de gerenciamento de problemas maximiza a disponibilidade do
sistema, melhora os níveis de serviço, reduz custos e melhora a satisfação dos
clientes.

DS10.1 - Identificação e classificação dos problemas;
DS10.2 - Rastreamento e resolução de problemas;
DS10.3 - Fechamento de problemas;
DS10.4 - Integração das gerências de configuração, incidentes e
problemas;
DS11- Gestão de dados.
A gestão efetiva de dados requer identificar requisitos de dados. O processo de
gerência de dados inclui o estabelecimento de procedimentos efetivos para gerir
bibliotecas de mídia, backups e recuperação de dados e descarte de dados. Este
processo auxilia no fornecimento de qualidade e disponibilidade de dados
necessários para os processos de negócio.
DS11.1 – Requisitos do negócio para gestão de dados;
DS11.2 – Definição de arranjos para armazenamento e retenção de dados;
DS11.3 – Definição de sistema de gestão de biblioteca de mídia;
DS11.4 – Descarte de recursos de TI;
DS11.5 – Backup e restauração;
DS11.6 – Requisitos de segurança para gestão de dados;
DS12 – Gestão de ambiente físico.
A proteção de computadores e pessoas requer a existência de ambientes físicos
bem projetados e bem gerenciados. O processo de gestão de ambientes físicos inclui
a definição de requisitos para a definição de localidades, seleção de localidades
apropriadas e projeto de processos para monitoramento de fatores ambientais. Uma
gestão efetiva de ambientes físicos reduz interrupções de processos de negócio
provocadas por danos em equipamentos e pessoas.
DS12.1 – Definição de áreas e layout;
DS12.2 – Medidas de segurança física;
DS12.3 – Definição de procedimento para determinar o acesso físico a
ambientes;
DS12.4 – Proteção contra fatores ambientais;
DS12.5 – Gestão de facilidades físicas;
DS13 – Gestão de operações.
Processamento completo e exato de dados requer gestão efetiva de
procedimentos de processamento de dados e manutenção preventiva de hardware. O
processo de gestão de operações inclui a definição de políticas operacionais para um

gerenciamento efetivo para o processamento, proteção de dados sensíveis,
monitoramento de desempenho da infra-estrutura a assegurar manutenção preventiva
de hardware. Uma gestão efetiva de operações auxilia a manutenção da integridade
de dados e reduz custos operacionais.
DS13.1 – Definição de procedimentos operacionais e instruções;
DS13.2 – Organizar escalonamento dos processos e atividades;
DS13.3 – Monitoração de infra-estrutura;
DS13.4 – Tratamento de documentos sensíveis e dispositivos de saída;
DS13.5 – Manutenção preventiva de hardware.
2.4.4 Monitoramento e avaliação

Todos os processos de TI precisam ser regularmente avaliados em relação à
qualidade e conformidade com requisitos de controle. O domínio de monitoramento e
avaliação trata da gestão de desempenho, monitoramento interno. Conformidade com
regulamentos e governança. As principais questões que tratam deste domínio são:
O desempenho da TI é medido para detecção de problemas, antes que estes
aconteçam?
A gerência assegura que controles internos são efetivos e eficientes?
O desempenho da TI pode ser relacionado aos objetivos de negócio?
Existem controles para confidencialidade, integridade e disponibilidade?
descritos a seguir.
ME1 – Monitorar e avaliar desempenho de TI
Uma gestão efetiva de desempenho de TI requer um processo de monitoração.
O processo de monitorar e avaliar o desempenho da TI inclui a definição de
indicadores relevantes de desempenho, documentação sistemática e ações
adequadas para tratamento de desvios de desempenho. O monitoramento é
necessário para garantir que as coisas certas estão sendo feitas e estão alinhadas
com os objetivos e políticas da organização.
ME1.1 – Estabelecimento de uma abordagem de monitoração;
ME1.2 – Definição e coleta de dados da monitoração;
ME1.3 – Estabelecimento de métodos de monitoração;
ME1.4 – Avaliação de desempenho;
ME1.5 – Fornecimento de relatórios para a alta direção e executivos;
ME1.6 – Identificar ações corretivas;

ME2 – Monitorar e avaliar controle interno.
Estabelecer um programa de controle interno para TI requer um processo de
monitoração bem definido. O processo de monitoramento e avaliação de controles
internos inclui o monitoramento e documentação de exceções aos controles, ou seja,
situações onde tais controles não são válidos, resultados de auto-avaliação e
revisões de serviços terceirizados. Um importante benefício desse processo inclui o
fornecimento de garantias de eficiência operacional e conformidade com leis e
regulamentações.
ME2.1 – Monitoramento dos controles internos;
ME2.2 – Executar revisões de supervisão;
ME2.3 – Identificar exceções aos controles;
ME2.4 – Controlar processos de auto-avaliação;
ME2.5 – Fornecimento de garantia de controle interno;
ME2.6 – Controle interno de fornecimentos;
ME2.7 – Identificar ações corretivas;
ME3 – Garantir conformidade com regulamentações externas.
Assegurar conformidade com requisitos externos requer o estabelecimento de
um processo capaz de identificar requisitos de conformidade, avaliá-los e responder a
tais requisitos, obtendo a garantia de que esses requisitos serão cumpridos por parte
da TI.
ME3.1 – Identificação de legislações, regulamentações externas e critérios
de conformidade com requisitos contratuais;
ME3.2 – Otimização de respostas para requisitos externos;
ME3.3 – Avaliação de conformidades com requisitos externos;
ME3.4 – Assegurar conformidade;
ME3.5 – Integração da produção de relatórios sobre a TI com critérios de
conformidade;
ME4 – Prover governança de TI.
Implantar um framework de governança efetivo inclui definição de estruturas

organizacionais, processos, lideranças, papéis e responsabilidades para garantir que
investimentos em TI sejam alinhados e entregues de acordo com estratégias e
objetivos de negócios.

ME4.1 – Implantação de um framework de governança de TI;
ME4.2 – Alinhamento estratégico;
ME4.3 – Entrega de valor a partir da TI;
ME4.4 – Gestão de recursos;
ME4.5 – Gestão de riscos;
ME4.6 – Medição de desempenho;
ME4.7 – Obtenção de garantia de conformidade da TI.
2.5 Abordagem de controle

O COBIT define objetivos de controle para todos os 34 processos de TI.
Controles são definidos como políticas, procedimentos, práticas e estruturas
organizacionais, que são designados a promover segurança no alcance dos objetivos
de negócio e na prevenção, detecção e correção de eventos indesejados.
Os objetivos de controle do COBIT fornecem um conjunto completo de
requisitos de alto nível a serem considerados no controle de cada processo de TI. Em
suma, os objetivos de controle podem ser descritos como:
são ações gerenciais com o objetivo de aumentar o valor e reduzir os riscos
dos processos de TI;
consistem em políticas, procedimentos, práticas e estruturas
organizacionais;
são designados a promoverem segurança no alcance dos objetivos de
negócio e na prevenção, detecção e correção de eventos indesejáveis.
Ao implantar objetivos de controle relativos a cada processo de TI relevante para
a organização, deve-se considerar as seguintes orientações:
selecione os objetivos de controle aplicáveis, considerando as
características peculiares de cada organização;
escolha como implementar os controles, considerando abrangência,
critérios de automatização e freqüência de cada controle;
entenda os riscos de não aplicar cada controle selecionado.
A Figura 5 apresenta um modelo padrão que explica o princípio de

funcionamento de um controle. Quando a temperatura ambiente (padrão) é
estabelecida para um sistema de calefação (processo), este sistema irá checar
constantemente (comparação) a temperatura ambiente (informação de controle) e irá
sinalizar (agir) sobre o sistema de calefação para que este forneça mais ou menos
calor.
FIGURA 5 Modelo de controle (Adaptado de ITGI, 2007)
Cada um dos 34 processos referenciados pelo COBIT possui uma descrição e

um número de objetivos de controle. De forma resumida, tais objetivos de controle
constituem em características de um projeto bem gerenciado.
Os objetivos de controle são identificados pela sigla correspondente ao domínio
do processo, seguido do número do processo e do número do objetivo de controle.
Por exemplo, o objetivo de controle número 10 do processo número 10 do domínio
Planejamento e organização é identificado como PO10.10 Plano de qualidade do
projeto.
Além dos objetivos de controle, cada processo do COBIT possui requisitos de
controle genéricos, que são identificados como PCn, em que n é o número do
controle do processo. Tais controles devem ser considerados juntamente com os
objetivos de controle para se ter uma visão completa dos controles relacionados a
cada processo. Os controles de processo referenciados pelo COBIT são:
PC1 Metas e objetivos do processo. Define e comunica objetivos e metas
para uma execução efetiva de cada processo de TI, além de assegurar que
esses processos sejam ligados aos objetivos de negócio e sejam
suportados por métricas consistentes;
PC2 Propriedade de processo. Atribui um proprietário para o processo.

Define de forma clara as responsabilidades e papéis para o proprietário do
processo. Esse controle inclui responsabilidades para o desenho de
processos, interação com outros processos, resultados do processo,
medição de desempenho e identificação de oportunidades de melhoria;
PC3 Repetitividade do processo. Controle responsável por garantir que um
processo pode ser repetido ao longo do tempo e produzir sempre os
resultados esperados;
PC4 Papéis e responsabilidades. Define atividades-chave e entregas de
cada processo. Esse controle estabelece papéis e responsabilidades para a
execução das atividades-chave do processo;
PC5. Políticas, planos e procedimentos. Define e comunica como as
políticas, planos e procedimentos que direcionam o processo são
documentados, revisados, mantidos, aprovados, comunicados e utilizados.
Esse controle atribui responsabilidades para cada uma das atividades
descritas acima, além de assegurar que as políticas, planos e
procedimentos são acessíveis, corretos, entendidos e atualizados;
PC6 Melhoria de desempenho de processo. Identifica um conjunto de
métricas que fornecem, controlam os resultados e o desempenho do
processo. Esse controle estabelece metas que refletem os indicadores de
desempenho que habilitam o alcance dos objetivos estabelecidos para o
processo. Define como as informações relativas ao processo podem ser
obtidas e as compara com as metas estabelecidas; quando desvios são
encontrados, ações corretivas devem ser estabelecidas.
Controles bem estabelecidos reduzem os riscos, aumentam a probabilidade de
entregar valor e a eficiência dos processos. O COBIT fornece exemplos ilustrativos7
de: (i) Entradas e saídas genéricas; (ii) Atividades e orientações sobre
responsabilidades em diagramas RACI; (iii) Objetivos chave para atividades; (iv)
métricas.
2.6 Orientação a medições

Uma necessidade básica para toda organização é entender o status dos
sistemas de TI e decidir qual o nível de controle e gerenciamento deve ser provido.
Nesse sentido, para decidir os níveis de controle e gerenciamento sobre a tecnologia
da informação, as organizações devem-se fazer o seguinte questionamento: Onde
7
De acordo com o COBIT, esses controles não são prescritivos ou completos, devendo servir de
inspiração para o estabelecimento de controles específicos para cada organização.
queremos chegar? Os custos de se chagar a este ponto são justificados em termos

de benefícios?
Obter uma visão objetiva do desempenho da organização não é uma tarefa fácil.
O que deve ser medido e como será medido? Essa é a questão-chave para a criação
de uma visão adequada do desempenho da TI na organização.
As organizações precisam medir onde estão, onde as melhorias são
necessárias e implementar um conjunto de práticas e recursos para monitorar estas
melhorias. O COBIT trata essas questões fornecendo um conjunto de orientações
que abrange:
- Modelos de maturidade que habilitam a execução de benchmarking e a
identificação de capacidades que precisam ser melhoradas;
- Métricas relacionadas a desempenho e objetivo para processos de TI, que
demonstram como processos atendem objetivos de negócio e de TI. Tais métricas
são utilizadas para a medição dos processos internos baseando-se nos princípios do
Balanced Scorecard (BSC);
- Objetivos de atividades, que possibilitam um desempenho efetivo dos
processos.
A seguir, serão detalhadas cada uma dessas orientações referenciadas pelo
COBIT para a medição dos processos de TI.
2.6.1 Modelo de maturidade

Atualmente, as organizações necessitam cada vez mais considerar a efetividade
do gerenciamento da TI. Para tanto, é necessário o desenvolvimento de níveis de
controle e gerenciamento apropriados sobre a tecnologia da informação,
considerando um balanceamento entre custos e benefícios e as seguintes questões:
O quê os nossos concorrentes estão fazendo, e como nossa organização está
em relação a eles?
Quais são as boas práticas do mercado e como nós estamos em relação a tais
práticas?
Baseado nessas comparações, pode-se dizer que estamos fazendo o
suficiente?
Como podemos identificar o que é necessário ser feito para alcançar um nível
adequado de controle e gerenciamento dos processos de TI?
Responder a tais questões não é uma tarefa fácil. Organizações freqüentemente
executam benchmarks e auto-avaliações para saber o que precisa ser feito e como
fazer. Partindo dos processos referenciados pelo COBIT, proprietários de processos
podem utilizar objetivos de controle para executar benchmarks de forma incremental,
atendendo a três necessidades da organização:
medição de onde a organização está;

decidir para onde se deve ir;
medir o progresso das melhorias em relação aos objetivos estabelecidos.
Modelos de maturidade para gerenciamento e controle de processos de TI são
baseados em um método de avaliar a organização, de forma que esta pode ser
ranqueada a partir de um nível de maturidade. Esta abordagem é derivada de um
modelo de maturidade proposto pelo Software Engineering Institute (SEI), que é
utilizado para avaliar a maturidade de desenvolvimento de software.
No COBIT, um modelo de maturidade é definido para cada um dos 34
processos de TI, fornecendo uma escala de medição incremental, que vai de 0 (não
existente) até 5 (otimizado), a Tabela 3 descreve estes níveis. Através desse modelo,
pode-se identificar:
o atual desempenho da organização (Onde se está atualmente);
o atual status do mercado (Comparação com o mercado);
as metas da organização em termos de melhorias (Onde a organização
deseja estar).
TABELA 3 Descrição dos níveis de maturidade referenciados pelo COBIT

(Adaptado de ITGI, 2007)
Nível Descrição
0 Não existente Completa falta de um processo reconhecível
1 Inicial Existem evidências de que a organização reconhece a necessidade
de estabelecimento do processo. No entanto, tal processo não se
encontra padronizado, ao invés disso, existe uma abordagem adhoc,
aplicada de acordo com a visão de cada indivíduo
2 Repetitivo, mas intuitivo O processo encontra-se desenvolvido a ponto de estabelecer
procedimentos similares que são seguidos por diferentes pessoas que
executam a mesma atividade. Não existe treinamento formal ou
procedimentos para comunicação de procedimentos. Nesse nível,
existe um alto grau de confiança no conhecimento das pessoas,
podendo ocorrer erros.
3 Processo definido Procedimentos referentes ao processo são padronizados e
documentados e existem atividades de comunicação e treinamento.
No entanto, não existem procedimentos relacionados a controle, o
que aumenta a probabilidade de ocorrerem desvios. O processo não é
sofisticado, mas os procedimentos executados são documentados,
comunicados e treinados com os colaboradores.
4 Gerenciado e mensurável Existem procedimentos de monitoramento e medição de
conformidade com padrões estabelecidos. Além disso, ações
corretivas são executadas quando ocorrem os desvios. O processo
encontra-se constantemente em melhoria e fornecem boas práticas à
organização. Ferramentas e recursos de automação são utilizados de
forma limitada.
5 Otimizado Baseando-se em resultados de procedimentos de melhoria contínua e
em bechmarking com concorrentes, são utilizados recursos de
tecnologia da informação para automatizar workflows, fazendo com
que a organização se adapte facilmente a mudanças.
Os atributos relacionados aos níveis de maturidade listam as características de

gerenciamento dos processos de TI e descrevem como estas evoluem de um
processo não existente (nível 0) para um processo otimizado (nível 5). Tais atributos
são:
consciência e comunicação;
políticas, planos e procedimentos;
ferramentas e automação;
habilidades e experiência;
responsabilidades;
estabelecimento e medição de objetivos.
Os níveis de maturidade são estabelecidos como perfis para os processos de TI.

Através de tais perfis pode-se descrever o estado presente e o estado futuro
(desejado) de um processo. No entanto, ao utilizar o modelo de maturidade do
COBIT, deve-se ter em mente que esse não deve ser utilizado como um modelo
rígido, onde não se pode mover para níveis superiores sem antes cumprir todas as
condições de níveis anteriores. Ao contrário do modelo proposto pelo SEI, o modelo
de maturidade do COBIT não tem a intenção de medir níveis de forma precisa. Os
resultados de medições de maturidade através do modelo proposto pelo COBIT
resultarão em um perfil, em que condições relevantes de vários níveis de maturidade
serão atendidas, como mostra a Figura 6.
0,7
0,6
0,5
0,4
0,3 Maturidade
0,2
0,1
0
Nível 1 Nível 2 Nível 3 Nível 4 Nível 5
FIGURA 6 Exemplo de maturidade para um processo de TI (Adaptado de ITGI,

2007)
Esta situação ocorre porque, ao avaliar a maturidade dos processos através do

modelo do COBIT, em muitos casos, determinados pontos estarão posicionados em
diferentes níveis, caso não estejam completos ou suficientes para a organização.
Essas deficiências podem ser tratadas em melhorias futuras. Por exemplo,
determinadas partes do processo podem estar bem definidas, ao passo que outras
podem estar incompletas.
Dada esta característica do modelo, para tornar os resultados mais claros e
úteis, pode-se utilizar o gráfico exposto na Figura 7.
FIGURA 7 Representação gráfica de maturidade para um processo de TI

(Adaptado de ITGI, 2007)
A vantagem de se utilizar um modelo de maturidade está na facilidade em

posicionar a organização em uma escala e avaliar o que deve ser envolvido caso seja
necessária uma melhoria de desempenho. A escala inclui o nível 0 porque, em certos
casos, é possível que o processo não exista na organização. A escala de 0 a 5
baseia-se em um modelo simples de maturidade e é capaz de mostrar como um
processo evolui de não existente para otimizado.
No entanto, maturidade de processo não é o mesmo que desempenho de
processo. A maturidade requerida para um processo, determinada pelos objetivos de
negócio e de TI, pode não ser a mesma em toda a organização. Já a medição de
desempenho, que será tratada na próxima seção, é essencial para determinar o
desempenho da organização em relação aos processos de TI.
2.6.2 Medidas de resultado e indicadores de desempenho

Objetivos e métricas são definidos no COBIT em três níveis:
objetivos e métricas de TI que definem o quê os especialistas no negócio
da organização esperam da TI e como mensurar tais expectativas;
objetivos e métricas relacionados a processos, que definem quais
processos de TI precisam entregar para suportar os objetivos de TI e como
mensurar este suporte;
objetivos e métricas relacionados a atividades, que estabelecem o que
precisa acontecer dentro do processo para que se alcance o desempenho
desejado e como mensurar tal alcance.
Os objetivos são definidos de modo que um objetivo de negócio irá determinar

um determinado número de objetivos de TI para suportá-lo. Sendo assim, os objetivos
de TI auxiliam na definição de um conjunto de objetivos de processo, que, por sua
vez, irá requerer um conjunto de atividades que estabelecem objetivos relacionados.
A Figura 8 fornece exemplos de relacionamento entre objetivos de negócio, TI,
processo e atividade.
Objetivo de Objetivo de TI Objetivo de

negócio Processo
Manter Assegurar que Detectar e
liderança e os sistemas eliminar
reputação da possam resistir acessos não
empresa a ataques autorizados
Assegurar que Detectar e Entender requisitos

os sistemas eliminar de segurança,
possam resistir acessos não vulnerabilidades e
a ataques autorizados ameaças
Objetivo de TI Objetivo de Objetivo de

Processo Atividade
FIGURA 8 Exemplo de relacionamento entre objetivos (Adaptado de ITGI, 2007)
Para controlar tais objetivos, o COBIT estabelece um conjunto de métricas. Os

termos KGI (Indicadores-chave de objetivo) e KPI (indicadores chave de
desempenho), tratados em versões anteriores do COBIT, foram substituídos na
versão 4.1 por dois tipos de métricas associadas aos objetivos:
Medidas de resultado, anteriormente referenciadas como indicadores chave de
objetivo, que indicam se tal objetivo foi ou não alcançado. Sendo assim, esta métrica
só pode ser utilizada após ter ocorrido um fato (por exemplo, após o fechamento do
balanço de uma empresa ou após o término de um projeto);
Indicadores de desempenho, anteriormente referenciados como Indicadores
chave de desempenho, que indicam se um objetivo será ou não alcançado. Esta
métrica deve ser utilizada antes da ocorrência de um resultado (como, por exemplo, o
final de um projeto, ou, antes do fechamento do balanço financeiro mensal de uma
empresa). A utilidade desse tipo de métrica está em dar uma visão de como a
organização está desempenhando as atividades para alcançar os resultados
esperados (que podem ser medidos pelos indicadores de resultado).
A Figura 9 ilustra um exemplo de possíveis medidas de resultados para um
conjunto de objetivos de negócio, TI, processo e atividade.
FIGURA 9 Exemplo de medidas de resultado para objetivos (Adaptado de ITGI,

2007)
Apesar de haver distinção entre os dois tipos de métricas descritos acima, no

COBIT estes conceitos não são rígidos. As medidas de resultado indicadas no nível
inferior tornam-se indicadores de desempenho do nível superior. Tomando como
exemplo a situação indicada na Figura 9, um indicador de resultado que trata de
detecção e resolução de acesso não autorizado também indicará a necessidade de
recuperação e resistência de serviços de TI frente a ataques. Sendo assim, uma
medição de resultado torna-se indicador de desempenho do objetivo indicado no nível
superior. A Figura 10 ilustra um exemplo de como medidas de resultado tornam-se
métricas de desempenho.
FIGURA 10 Exemplo de indicadores de desempenho (Adaptado de ITGI, 2007)

Desta maneira, as métricas fornecidas são tanto medidas de resultado como

indicadores de desempenho para objetivos, processos e atividades. A Figura 11
ilustra o relacionamento entre objetivos de negócio, TI, processo e atividade com as
métricas estabelecidas. Do lado superior esquerdo para o lado superior direito, os
objetivos são expostos. Abaixo desses objetivos, encontram-se as medidas de
resultado para cada objetivo. Estas métricas são também indicadores de
desempenho do objetivo estabelecido no nível superior.
FIGURA 11 Relacionamento entre objetivos e métricas (Adaptado de ITGI,

2007)
2.7 Relacionamento entre os componentes do COBIT
Como ressaltado em seções anteriores, o COBIT une requisitos de negócio para

informação e governança aos objetivos de TI. O modelo de processo estabelecido
pelo COBIT possibilita, através dos objetivos de controle, gerenciar e controlar de
maneira adequada as atividades e recursos de TI. Além disso, tais atividades e
recursos podem ser monitorados através de métricas. A Figura 12 ilustra como isso
acontece.
FIGURA 12 Modelo de gerenciamento, controle, alinhamento e monitoramento

do COBIT (Adaptado de ITGI, 2007)
Os três componentes do COBIT mencionados em seções anteriores –

processos de TI, requisitos de informação e recursos de TI – formam um cubo que
ilustra a função de TI em uma organização. As três dimensões desse cubo são
ilustradas na Figura 13.
FIGURA 13 Cubo do COBIT (Adaptado de ITGI, 2007)
Por fim, tais componentes se relacionam para prover governança de TI em uma

organização. A Figura 14 ilustra como os objetivos de negócio são relacionados em
objetivos, processos e TI que, por sua vez, são divididos em atividades, medidos por
indicadores de desempenho, medidas de resultado e modelos de maturidades e
controlados por objetivos de controle.
Figura 14 inter-relação entre componentes do COBIT (Adaptado de ITGI, 2007)

3
INTRODUÇÃO AO
MODELO SWOT
3.1 INTRODUÇÃO
Especialistas em negócios caracterizam o atual ambiente de negócios como
sendo de alta velocidade e hiper competitivo. Essa constatação significa que o
cenário pode mudar devido ao rápido desenvolvimento tecnológico e mudanças no
comportamento de concorrentes, consumidores, reguladores, fornecedores, entre
outros. Neste novo cenário de negócios, consumidores esperam cada vez mais das
organizações; concorrentes introduzem rapidamente novos produtos, inovam em
canais de distribuição e copiam inovações um dos outros. Empresas redesenham
suas fronteiras de mercado na medida em que globalizam suas operações em
resposta ao ambiente competitivo. Nesse contexto mudança – ou mudança acelerada
– é o termo chave para entender a nova realidade de negócios que as organizações
enfrentam (AKHTER, 2002).
Situações de mudanças aceleradas requerem um dinamismo na criação de
estratégias que sejam realmente competitivas. Estratégias consagradas no passado
não garantem a sobrevivência no futuro, uma vez que o ambiente competitivo
encontra-se em constante transição (MARTINS e TURRIONI 2002).
Toda organização é confrontada com uma variedade de fatores internos e
externos que por um lado podem ser um fator de estímulo, mas que por outro podem
implicar do forma negativa no alcance dos objetivos e em uma diminuição de
desempenho de uma empresa (HOUBEN et al. 1999).
Diante dessa situação, considera-se como primeiro passo para a formulação de
estratégias eficazes, a identificação e avaliação desses fatores internos e externos.
Um bom desempenho da organização pode ser resultado da interação
adequada da organização com o seu ambiente. Tal ambiente pode ser de natureza
interna ou externa à organização. Ainda, considera-se necessário concentrar os
objetivos da empresa à luz de suas forças e, ao mesmo tempo, eliminar ou reverter

as fraquezas. Nesse sentido responder a forças e fraquezas internas pode constituir-
se em um componente essencial para o planejamento estratégico das organizações.
No entanto, o sucesso pode não advir somente a partir de fatores internos. O
sucesso é fruto da combinação de forças e fraquezas internas com oportunidades e
ameaças externas (HOUBEN et al., 1999).
O reconhecimento de forças e fraquezas internas e de oportunidades e
ameaças externas constitui a base do framework SWOT, que constitui na avaliação
de pontos fortes (Strenghts) pontos fracos (Weaknesses), oportunidades
(Opportunities) e ameaças (Threats). Conforme já mencionado nesse trabalho, esse
framework, concebido por Kenneth R. Andrews, na década de 1960, e foi responsável
por fundamentar a área de estratégia (Collis e Montgomery, 1995). Por meio desse
framework pode-se realizar a análise SWOT, que constitui-se em um meio efetivo
para a formulação de estratégias.
A seguir, serão descritas as principais características do framework SWOT.
3.1.1 Estrutura do framework

De acordo com Martins e Turrioni (2002), embora o campo de estudo de
estratégia tenha se desenvolvido e crescido em muitas direções, trabalhos recentes
continuam a utilizar o modelo SWOT como peça central para a criação das
estratégias.
Para a implantação de uma análise SWOT deve-se analisar os seguintes pontos
em uma organização (Boar, 2001; Martins e Turrioni, 2002; Collis e Montgomery,
1995):
Forças: consiste na determinação dos pontos fortes da organização. Algumas
questões básicas que podem ser utilizadas para esse levantamento são:
Há alguma vantagem inigualável ou distinta que faz sua organização se
destacar? Que faz com que os clientes escolham sua organização ao invés da
concorrente?
Há algum produto ou serviços que o concorrente não pode imitar (agora e no
futuro)?
Fraquezas: consiste na determinação das fraquezas de sua organização, não
somente de seu ponto de vista, mas também, o mais importante, de seus clientes.
Embora possa ser difícil para a organização reconhecer suas fraquezas, é melhor
encarar a realidade, sem procrastinar, aproveitando a oportunidade de sabê-las e ter
condições de tratá-las. Algumas questões básicas que podem ser utilizadas para
esse levantamento são:
Introdução ao modelo SWOT 53
Existem operações ou procedimentos que podem ser melhorados?

No que ou por que seus concorrentes operam melhor que a sua
organização?
Existe algo inoperante da qual sua empresa deveria estar ciente?
Seus concorrentes têm um determinado segmento de mercado
conquistado?
Oportunidades: consiste na determinação de como a organização pode
continuar a crescer dentro de seu mercado. Afinal, oportunidades estão em todo
lugar, tais como mudanças na tecnologia, política governamental, padrões sociais.
Questões que podem auxiliar nesse levantamento:
Onde e quais são as oportunidades atrativas dentro do seu mercado?
Existe alguma nova tendência surgindo dentro do mercado?
Quais as perspectivas futuras da sua empresa que possam vir a descrever
novas oportunidades?
Ameaças: consiste na identificação de ameaças, consideradas como fatores
internos ou externos da organização que estão ou poderão sair de controle. É vital
estar preparado e enfrentar as ameaças durante situações de turbulência. Questões
que podem auxiliar nesse levantamento:
O que o seu concorrente está fazendo que está suprimindo seu
desenvolvimento organizacional?
Existe alguma mudança na demanda do consumidor, que pede por novas
exigências de seus produtos e serviços?
As mudanças tecnológicas estão afetando sua posição dentro do mercado?
3.1.2 Correlação entre os elementos em uma análise SWOT

Segundo Martins e Turrioni (2002), a maior contribuição da análise SWOT está
em cruzar os fatores externos e internos, criando uma matriz estratégica formada por
quatro contribuições, a saber: (a) MAXI-MAXI (Forças e Oportunidades); (b) MAXI-
MINI (Forças e Ameaças); (c) MINI-MAXI (Fraquezas e Oportunidades); e (d) MINI-
MINI (Fraquezas e Ameaças). Essa relação é apresentada na Tabela 4.
TABELA 4 Relacionamento entre componentes da análise SWOT (Adaptado de

Martins e Turrioni, 2002)
Forças Fraquezas
Oportunidades MAXI-MAXI MINI-MAXI
Ameaças MAXI-MINI MINI-MINI
O detalhamento das correlações na análise SWOT é apresentado a seguir:

MAXI-MAXI (Forças e Oportunidades): essa combinação mostra as
forças e oportunidades da organização. Na essência, uma organização deve se
esforçar em maximizar suas forças para capitalizar em novas oportunidades.
MAXI-MINI (Forças e Ameaças): essa combinação mostra as forças da
organização na consideração de ameaças de competidores. Na essência, uma
organização deve se esforçar para utilizar suas forças para aparar ou minimizar
suas ameaças.
MINI-MAXI (Fraquezas e Oportunidades): essa combinação mostra as
fraquezas da organização no arranjo com as oportunidades. É um esforço para
conquistar e reforçar as fraquezas da organização fazendo o máximo possível
em qualquer nova oportunidade.
MINI-MINI (Fraquezas e Ameaças): essa combinação mostra as fraquezas
da organização em comparação com as correntes ameaças externas. Isto é
mais definitivamente uma estratégia defensiva para minimizar as fraquezas
internas da organização e evitar ameaças externas.
3.2 Considerações finais

A abordagem de fatores internos e internos tem sido amplamente utilizada para a
descrição de estratégias consistentes com os objetivos da organização. Na medida
em que procura conciliar fatores internos e externos, a análise SWOT permite que as
organizações tratem de forma adequada cenários caracterizados por mudanças
aceleradas. Em suma, pode-se concluir que a utilização de análise SWOT:
permite a gestão permanente das capacidades internas, o conhecimento do

valor humano presente na empresa, a visão clara de como o mercado,
objetivo final, enxerga a sua participação como agente competitivo;
possibilita uma flexibilidade, velocidade e capacidade de alinhar o
comportamento de toda a organização em torno de um fim específico;
permite uma antecipação dos resultados futuros, por meio do
estabelecimento de hipóteses estratégicas traçadas com base nos cenários
externos e internos e na visão de futuro da organização.
4
BIBLIOGRAFIA
AKHTER, Syed H. Strategic planning, hypercompetition, and knowledge

management. Business Horizons, v.46, n.1, 19-24. 2003.
Boar, B. H. (2001), The Art of Strategic Planning for Information Technology. New
York: John Wiley, 2 edição.
COLLIS, David J. e MONTGOMERY, Cynthia A., (1995) Competing on resources:

strategy in the 1990s. In: ZACK, Michael H. (ed.) Knowledge and Strategy: resources
for the knowledge-based economy. Woburn, MA: Butterworth-Heinemann, p. 25-40,
1999.
HOUBEN, G., LENIE, K., VANHOOF, K., A knowledge-based SWOT-analysis system

as an instrument for strategic planning in small and medium sized enterprises.
Decision Support Systems 26_1999.125–135.
ITGI. Information Technology Governance Institute. COBIT 4.1: Framework, Control

objectives, Management guidelines, Maturity models. Rolling Meadows: ITGI, 2007.
ITGI. Information Technology Governance Institute. COBIT Mapping: Mapping of NIST

SP800-53 Rev 1 With COBIT 4.1. Rolling Meadows: ITGI, 2007.
ITGI. Information Technology Governance Institute. IT Governance Implementation

Guide using COBIT and ValIT. Rolling Meadows: ITGI, 2007.
Lee,S.F, KO,A.S.O., Building balanced scorecard with SWOT analysis, and

implementing “Sun Tzu’s The Art of Business Management Strategies” on QFD
methodology - Managerial Auditing Journal, pp 68-76, 2000.
Martins, R., F., Turrioni, J., B., Análise SWOT e Balanced Scorecard: Uma
Abordagem Sistemática e Holística para Formulação da Estratégia. XXII Encontro
Nacional de Engenharia de Produção. Curitiba. 2002.
Paulo: ZACK, Michael H. (1999), Knowledge and Strategy: resources for the
knowledge-based economy. Woburn, MA: Butterworth-Heinemann, 300p, 1999.

Framework para Governanca de TI COBIT

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Framework para Governanca de TI COBIT

Uploaded by

Copyright:

Available Formats

CURSO DE PÓS-GRADUAÇÃO

“LATO SENSU” (ESPECIALIZAÇÃO) A DISTÂNCIA

Framework para Governança de TI

Paulo Henrique de Souza Bermejo

Universidade Federal de Lavras - UFLA

Framework para Governança de TI (COBIT)

Nenhuma parte desta publicação pode ser reproduzida,

2.1 Visão Geral......................................................................................................... 8

3 INTRODUÇÃO AO MODELO SWOT .................................................................... 51

3.1 Introdução ........................................................................................................ 51

Figura 1 Princípio básico do COBIT (Adaptado de ITGI, 2007)........................ 13

Tabela 1 Públicos-alvo do COBIT (Adaptado de ITGI 2007, p. 10).................. 11

Tabela 2 Relacionamento entre domínios da governança de TI e

Tabela 3 Descrição dos níveis de maturidade referenciados pelo COBIT

Tabela 4 Relacionamento entre componentes da análise SWOT (Adaptado

1.2 ESTRUTURA DO MATERIAL

O capítulo 3 descreve a importância de se analisar uma organização através de

2.1 VISÃO GERAL

Frameworks de melhores práticas são essenciais para garantir que os recursos

de TI estejam comprometidos e trabalhem juntos para garantir que as práticas

2.2 Estrutura do COBIT

Nesse sentido, o Control Objetives of Information and related Technology

necessidade de governança de TI;

TABELA 1 Públicos-alvo do COBIT (Adaptado de ITGI , 2007)

A Tabela 2 apresenta os domínios da governança de TI e os componentes

TABELA 2 Relacionamento entre domínios da governança de TI e componen-

Do ponto de vista do COBIT, tanto a governança corporativa3 quanto a

ser implementados, entregues e utilizados (DO). Os resultados obtidos a partir da

2.3 Orientação ao negócio

O gerenciamento e controle de informações são as bases do COBIT, e auxiliam

FIGURA 1 Princípio básico do COBIT (Adaptado de ITGI, 2007)

Objetivos de negócio e objetivos de TI

Enquanto os critérios de informação fornecem um método genérico para a

TI, formada por processos de TI que entregam informação utilizando-se de

FIGURA 2 Definição de objetivos de TI e arquitetura de TI (Adaptado de ITGI,

Os recursos de TI identificados pelo COBIT podem ser definidos como:

informação: são os dados, incluindo informações de entrada para processos,

infra-estrutura: consiste na tecnologia, tais como hardware, sistemas

pessoas: são as pessoas requeridas para planejar, organizar, adquirir,

A Figura 3 exemplifica como os objetivos de TI influenciam a maneira como os

FIGURA 3 Gerenciando recursos de TI e alcançando objetivos de TI (Adaptado

2.4 Orientação a processos

FIGURA 4 Framework COBIT (Adaptado de ITGI, 2007)

Ao longo dos quatro domínios, o COBIT identifica 34 processos de TI que são

A seguir, serão descritas as principais características dos quatro domínios do

2.4.1 Planejamento e organização

a organização como um todo entende os objetivos de TI?

Objetivos de controle detalhados:

A função dos serviços que fornecem informação à organização determina a

Uma organização de TI é definida levando-se em consideração os requisitos de

e segregação de responsabilidades. Para garantir suporte adequado aos requisitos

Um framework é estabelecido e mantido para gerenciar programas de

Objetivos de controle detalhados:

A gerência desenvolve um framework de controle para a TI e define e comunica

Recursos humanos são contratados e gerenciados na organização para a

Objetivos de controle detalhados:

PO8.1 – Estabelecimento e manutenção de um sistema de gestão de

Um framework de gestão de riscos deve ser criado e mantido a fim de

Um framework para gerenciamento de programas e projetos deve ser

Objetivos de controle detalhados:

PO10.8 – Definição de recursos, papéis e responsabilidades para o projeto;

2.4.2 Aquisição e implementação

AI1.1 – Definição e manutenção de requisitos tecnológicos e funcionais de