CURSO DE PÓS-GRADUAÇÃO “LATO SENSU” (ESPECIALIZAÇÃO) A DISTÂNCIA MBA EXECUTIVO EM GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO

Framework para Governança de TI (COBIT)

Paulo Henrique de Souza Bermejo Rêmulo Maia Alves

Universidade Federal de Lavras - UFLA Fundação de Apoio ao Ensino, Pesquisa e Extensão - FAEPE Lavras – MG 2008

Parceria Universidade Federal de Lavras - UFLA Fundação de Apoio ao Ensino, Pesquisa e Extensão - FAEPE Reitor Antônio Nazareno Guimarães Mendes Vice-Reitor Elias Tadeu Fialho Diretor da Editora Marco Antônio Rezende Alvarenga Pró-Reitor de Pós-Graduação Joel Augusto Muniz Pró-Reitor Adjunto de Pós-Graduação “Lato Sensu” Marcelo Silva de Oliveira Coordenação do curso André Luiz Zambalde Paulo Henrique de Souza Bermejo Presidente do Conselho Deliberativo da FAEPE Nadiel Massahud Editoração Centro de Editoração da FAEPE Impressão Gráfica Universitária/UFLA Ficha Catalográfica Preparada pela Divisão de Processos Técnicos da Biblioteca Central da UFLA Framework para Governança de TI (COBIT) Paulo Henrique de Souza Bermejo; Rêmulo Maia Alves – Lavras: UFLA/FAEPE, 2008. 56 p.:il. – Curso de Pós-graduação “Lato Sensu” (Especialização) a Distância – MBA EXECUTIVO EM GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO Bibliografia: 1. Governança de TI. 2. Tecnologia da Informação. I. Universidade Federal de Lavras. II. Fundação de Apoio ao Ensino, Pesquisa e Extensão. III. Título. CDD-005.1 Nenhuma parte desta publicação pode ser reproduzida, por qualquer meio, ou forma, sem a prévia autorização da FAEPE.

ÍNDICE
1 APRESENTAÇÃO ................................................................................................... 6 1.1 Introdução.......................................................................................................... 6 1.2 Estrutura do material ........................................................................................ .6 2 COBIT – Melhores Práticas para Governança de TI........................................... 8 2.1 Visão Geral......................................................................................................... 8 2.2 Estrutura do COBIT ............................................................................................ 9 2.3 Orientação ao negócio ..................................................................................... 13 2.4 Orientação a processos.................................................................................... 18 2.4.1 Planejamento e organização ...................................................................... 19 2.4.2 Aquisição e implementação ........................................................................ 26 2.4.3 Entrega e suporte ....................................................................................... 29 2.4.4 Monitoramento e avaliação......................................................................... 35 2.5 Abordagem de controle .................................................................................... 37 2.6 Orientação a medições .................................................................................... 39 2.6.1 Modelo de maturidade ................................................................................ 40 2.6.2 Medidas de resultado e indicadores de desempenho ................................ 44 2.7 Relacionamento entre os componentes do COBIT .......................................... 47 3 INTRODUÇÃO AO MODELO SWOT .................................................................... 51 3.1 Introdução ........................................................................................................ 51 3.1.1 Estrutura do framework .............................................................................. 52 3.1.2 Correlação entre os elementos em uma análise SWOT ............................. 53 3.2 Considerações finais ........................................................................................ 54 4 BIBLIOGRAFIA ..................................................................................................... 55

LISTA DE FIGURAS
Figura 1 Figura 2 Princípio básico do COBIT (Adaptado de ITGI, 2007)........................ 13 Definição de objetivos de TI e arquitetura de TI (Adaptado de ITGI, 2007)................................................................................................... 15 Figura 3 Gerenciando recursos de TI e alcançando objetivos de TI (Adaptado de ITGI, 2007)................................................................... 17 Figura 4 Figura 5 Figura 6 Framework COBIT (Adaptado de ITGI, 2007).................................... 18 Modelo de controle (Adaptado de ITGI, 2007).................................... 37 Exemplo de maturidade para um processo de TI (Adaptado de ITGI, 2007).......................................................................................... 41 Figura 7 Representação gráfica de maturidade para um processo de TI (Adaptado de ITGI, 2007)................................................................... 42 Figura 8 Exemplo de relacionamento entre objetivos (Adaptado de ITGI, 2007)................................................................................................... 43 Figura 9 Exemplo de medidas de resultado para objetivos (Adaptado de ITGI, 2007).......................................................................................... 44 Figura 10 Figura 11 Exemplo de indicadores de desempenho (Adaptado de ITGI, 2007) 44 Relacionamento entre objetivos e métricas (Adaptado de ITGI, 2007)................................................................................................... 45 Figura 12 Modelo de gerenciamento, controle, alinhamento e monitoramento do COBIT (Adaptado de ITGI, 2007).................................................. 46 Figura 13 Figura 14 Cubo do COBIT (Adaptado de ITGI, 2007)......................................... 47 Inter-relação entre componentes do COBIT (Adaptado de ITGI, 2007)................................................................................................... 48

LISTA DE TABELAS
Tabela 1 Tabela 2 Públicos-alvo do COBIT (Adaptado de ITGI 2007, p. 10).................. 11 Relacionamento entre domínios da governança de TI e componentes do Cobit (Adaptado de Kordel, 2004)........................... 12 Descrição dos níveis de maturidade referenciados pelo COBIT (Adaptado de ITGI, 2007)................................................................... 40 Relacionamento entre componentes da análise SWOT (Adaptado de Martins e Turrioni, 2002................................................................. 51

Tabela 3

Tabela 4

descrevendo os principais componentes do modelo e como tais componentes podem. 1. este material apresenta o modelo Strenghts Weakness Opportunities Threats (SWOT). já apresentadas anteriormente. esse guia contempla a utilização de outras ferramentas. O presente módulo consiste em um material de apoio para iniciação ao COBIT. disponível em formato eletrônico através do Ambiente Virtual de Aprendizagem (AVA). contemplando a contextualização de modelos de melhores práticas na governança de TI.1 APRESENTAÇÃO 1. auxiliar na implantação de um ambiente de controle para a TI em uma organização. O capítulo 2 apresenta uma visão geral do COBIT. e conceitos referentes ao planejamento estratégico de TI.org . Para a aplicação dos conceitos apresentados neste material. contemplando conceitos referentes aos componentes do modelo e formulação de estratégias relacionadas à tecnologia da informação(TI). devendo ser complementado com o estudo do material original do modelo1 para um entendimento mais amplo. Além do COBIT. sugere-se a realização das atividades previstas no guia para implantação da Governança de TI (parte 2).1 INTRODUÇÃO Este texto acadêmico apresenta a governança de Tecnologia da Informação sob o enfoque de modelos de melhores práticas. tais como o Balanced Scorecard. 1 O COBIT está disponível de forma gratuita no site www.isaca. juntos.2 ESTRUTURA DO MATERIAL O texto acadêmico está estruturado da seguinte forma: O capítulo 1 traz uma apresentação geral e estrutura do texto. Além do COBIT e SWOT. apresentando a estrutura geral e diretrizes de aplicação do Control Objectives of Information and related Technology (COBIT).

encontra-se disponível no Ambiente Virtual de Aprendizagem a segunda parte do Guia de Implantação da Governança de TI. Além do conteúdo exposto acima. estabelecer estratégias necessárias para a implantação da governança e TI em uma organização. considerando fatores internos e externos.Apresentação 7 O capítulo 3 descreve a importância de se analisar uma organização através de uma análise SWOT. a partir dos resultados obtidos na etapa 1 do projeto. Este guia estabelece etapas e templates necessários para. Serão abordados os componentes de uma análise SWOT e como estes podem ser úteis para a elaboração de estratégias adequadas à organização. .

O crescimento na adoção de modelos de melhores práticas tem sido direcionado pela necessidade do mercado em gerenciar de forma mais adequada a qualidade e a confiabilidade da tecnologia da informação. as melhores práticas devem ser aplicadas considerando-se o contexto de cada organização. Além disso. além da necessidade de responder a um número cada vez maior de requisitos contratuais e regulatórios. Práticas potencialmente benéficas podem se tornar custosas e desfocadas.2 COBIT – MELHORES PRÁTICAS PARA GOVERNANÇA DE TI 2. focando em áreas nas quais a utilização do modelo irá fornecer maiores benefícios à organização. custos. a utilização de frameworks de melhores práticas pode auxiliar as organizações a não mais “reinventarem a roda”. Atualmente. No entanto. caso sejam tratadas como guias puramente técnicos. é preciso estar atento aos perigos de uma interpretação e implementação inadequadas desses modelos. é importante que a alta direção. como a lei Sarbanes-Oxley e o Acordo Basiléia II. prover transparência. ao mesmo tempo em que gerenciam riscos relacionados à TI cada vez mais complexos. Organizações procuram agregar valor através da tecnologia da informação. consultores externos e gerentes . agregar valor e aumentar o controle sobre as atividades que envolvem a TI. a utilização de modelos de melhores práticas tem sido cada vez mais direcionada por requisitos de negócio para melhorar o desempenho. Para ser mais efetiva. uma vez que esses frameworks reúnem práticas testadas e comprovadamente bem-sucedidas no mercado. segurança etc. Nesse sentido. gerentes de negócio.1 VISÃO GERAL Frameworks de melhores práticas são essenciais para garantir que os recursos de TI estejam alinhados com os objetivos de negócio das organizações e que os serviços entregues através da tecnologia da informação satisfaçam a requisitos de qualidade.

possibilitando o alcance dos objetivos organizacionais. Em suma. gerência de riscos. entrega de valor através da TI. mas sim uma parte integral da organização. A definição mostrada acima ressalta a dificuldade de se estabelecer controles efetivos sobre a tecnologia da informação em uma organização. gerência de recursos de TI. Sendo assim. aproveitando oportunidades e ganhando vantagem competitiva. permitindo que a organização tire proveito da sua informação e. governança de TI integra e institucionaliza boas práticas para garantir que a tecnologia da informação suporte os objetivos de negócio. considerando: alinhamento estratégico. quando adequadamente implementada. a governança de TI. desde o comportamento das pessoas e o ambiente organizacional até aspectos técnicos de alta complexidade relacionados à TI. e consiste de liderança. Nesse sentido. A governança de TI é responsabilidade dos executivos e da alta direção. o gerenciamento dos riscos relacionados a TI e o aumento dos requisitos de controles sobre informações são entendidos agora como elementos chave para as organizações. Além disso. e que a sua efetividade depende de como são implantadas. . medição de desempenho. com isso. É preciso ter em mente que modelos de melhores práticas não são uma panacéia. risco e controle relacionados à atividades de tecnologia da informação constituem o centro da governança de TI. a governança de TI não consiste em uma disciplina ou atividade isolada.2 Estrutura do COBIT A necessidade de estimar o valor da tecnologia da informação (TI). consiste em uma estrutura organizacional e um conjunto de processos que gerenciam e controlam a tecnologia da informação na organização. maximize benefícios. valor. esses modelos são úteis quando aplicados como um conjunto de princípios e como um ponto de partida para a construção de procedimentos específicos ao contexto de cada organização. Sendo assim. através da agregação de valor e do balanceamento entre riscos e retorno sobre a TI. A implementação de melhores práticas deve ainda ser consistente com outros métodos e práticas presentes na organização. estrutura organizacional e processos que garantem que a organização de TI sustenta e estende a estratégia e os objetivos organizacionais.COBIT – Melhores práticas para governança de TI 9 de TI estejam comprometidos e trabalhem juntos para garantir que as práticas implantadas direcionarão para a criação de um ambiente de controle para a TI. Muitas variáveis devem ser consideradas. 2.

organizados em uma estrutura gerenciável e lógica.10 EDITORA . das necessidades de controle e dos assuntos técnicos envolvendo a TI. publicou o COBIT 4. é: “Pesquisar.1. Através do COBIT. Atualmente.0. A terceira edição. possibilita mapear objetivos de negócio em objetivos de TI. incluía um guia gerencial e objetivos de controle adicionais. Usualmente. que contemplava objetivos de controle2 adicionais e um guia da implantação. baseando-se em um enfoque voltado para o negócio. possibilita um alinhamento mais eficaz. . o COBIT encontra-se na versão 4. consistente e internacionalmente aceito. tem sua orientação a processos. passou a demonstrar claramente o foco na governança de TI. que seja atualizado. Tal framework pode ser utilizado por organizações e para o uso no dia-a-dia de gerentes de negócio. define objetivos de controle a serem considerados em uma organização. publicar e promover um framework para governança de TI. identifica os principais recursos de TI que devem ser potencializados em uma organização. e vice-versa. A missão do COBIT. profissionais de TI e auditores”. estabelece clareza na propriedade e responsabilidade sobre processos. desenvolver. as organizações podem obter uma sólida referência no auxílio ao tratamento dos riscos. Algumas das principais características do COBIT são: sua utilização parte dos requisitos de negócio. No ano de 2005. que foi o resultado de uma atualização completa no modelo que. A primeira edição do COBIT foi lançada pela ISACF no ano de 1996. que inclui algumas atualizações em relação à versão anterior.UFLA/ FAEPE – Framework para Governança de TI (COBIT) Nesse sentido. fornece uma visão compreensível à alta administração sobre o que consiste a tecnologia da informação na empresa. que contempla domínios e processos. o Control Objetives of Information and related Technology (COBIT) fornece às organizações boas práticas através de um modelo de referência. a partir daí. foi lançada a segunda edição. Em 1998. a utilização do COBIT é justificada por uma ou mais das seguintes situações: 2 Os objetivos de controle do COBIT consistem em requisitos de alto nível a serem considerados no controle de cada processo de TI. o ITGI. segundo o IT GOVERNANCE INSTITUTE. em que as atividades relacionadas à TI em uma organização podem ser organizadas em um modelo de processos geralmente aceito. lançada pelo IT GOVERNANCE INSTITUTE (ITGI) em 2000.

contratos externos etc. TABELA 1 Públicos-alvo do COBIT (Adaptado de ITGI . necessidade de se ter uma abordagem estruturada para auditoria. com requisitos externos ocorrência de importantes mudanças na organização. Auditorias. 2007) Escritório de gerência de projetos (PMO) S Administradore s de TI Chefes de desenvolvimen to Executivos de negócio Proprietários de processos de negócio Função CEOs CFOs Importância S S P P P S S S P A Tabela 2 apresenta os domínios da governança de TI e os componentes referenciados pelo COBIT relacionados a cada um desses domínios. gerentes de negócio e de TI e profissionais de segurança da informação. seja ela pública ou privada. necessidade de estabelecer conformidade (regulamentações. análise de risco e segurança Chefes de operações CIOs . fornecendo as bases para a implantação da governança de TI. necessidade de controle de qualidade sobre a TI. classificados em ordem de importância primária e secundária (representadas respectivamente nas letras P e S). processos de TI precisam ser unificados. merges e aquisições de empresas estão causando impacto na TI. Em qualquer tipo de organização. outsourcing parcial ou total da TI. nos objetivos de negócio e nos processos. A Tabela 1 apresenta os principais públicos-alvo do COBIT. serviços entregues pela TI necessitam ser alinhados com os objetivos de negócio. Dentro das organizações.COBIT – Melhores práticas para governança de TI 11 necessidade de governança de TI. Os diretores executivos estão representados na tabela através das seguintes siglas: Diretores executivos de negócio (CEOs – Chief Executive Officers) e Diretor Executivo de Informação (CIO – Chief Information Officer). que afetam a TI. auditores e consultores externos são os principais públicos-alvo do COBIT. processos de TI precisam ser padronizados e automatizados. o COBIT dá suporte a diretores executivos.). necessidade de controle de custos sobre a TI.

caso seja necessário. e possivelmente sistemas de informação. Medição de desempenho Modelo de maturidade Guia de auditoria Do ponto de vista do COBIT. pode-se entender por governança corporativa o sistema pelo qual uma organização é governada e direcionada. processos de negócio requerem informações vindas dos processos de TI. o que implica em governar de forma adequada o relacionamento entre tais processos. Gerência de recursos AGIR Estabelecer e distribuir capacidades de TI que satisfaçam às necessidades de negócio. tanto a governança corporativa3 quanto a governança de TI4 estão intimamente relacionadas. 2004) Domínio Alinhamento Objetivo do domínio DIRECIONAR Construção de habilidades necessárias para agregar valor aos negócios. MONITORAR Estabelecimento de um feedback para direcionar esforços a um re-alinhamento da TI. e vice-versa. De forma resumida. mas deve ser submetida a um sistema de governança.12 EDITORA . pode-se entender a governança de TI como sendo o sistema pelo qual a tecnologia da informação de uma organização é governada e controlada. necessitam 3 De forma resumida. Por outro lado. Nesse sentido. A tecnologia da informação pode estender e influenciar o desempenho da organização. Componente do COBIT utilizado Indicadores chave de objetivo Entrega de valor CRIAR Entrega bem sucedida de valor aos negócios.UFLA/ FAEPE – Framework para Governança de TI (COBIT) TABELA 2 Relacionamento entre domínios da governança de TI e componentes do COBIT (Adaptado de Kordel. o ciclo Plan-Do-Check-Act (PDCA) tornase uma abordagem em evidência. a governança corporativa sem um sistema de governança de TI torna-se inadequada. 4 . Neste contexto. Indicadores chave de desempenho Processos COBIT Fatores críticos de sucesso Objetivos de controle Práticas de controle Modelo de maturidade Fatores críticos de sucesso Objetivos de controle Práticas de controle Gerência de riscos PROTEGER Identificação e mitigação dos riscos para a manutenção do valor entregue aos negócios. segundo ITGI (2007). Tanto as informações necessárias (requisito básico para a governança corporativa) quanto as informações entregues (objetivo básico da governança de TI) devem ser planejadas com indicadores mensuráveis (Planejamento). Informações.

mas também. e representada pela Figura 1: “Para fornecer as informações que uma organização necessita para atingir seus objetivos.COBIT – Melhores práticas para governança de TI 13 ser implementados. serão apresentadas cada uma dessas orientações. gerenciar e controlar recursos de TI através de um conjunto estruturado de processos que forneçam os serviços necessários para entregar estas informações desejadas. A seguir. 2. desvios precisam ser investigados e ações devem ser tomadas (ACT). entregues e utilizados (DO). Diante de tal situação. principalmente. para fornecer um direcionamento consistente para proprietários de processos de negócio e gerentes de negócio. por sua. . o COBIT fornece uma abordagem estruturada que tem como intuito auxiliar as organizações a otimizar o uso das informações. a partir daí. Essa abordagem é dividida em quatro focos: orientação a negócio. Nesse sentido.” O gerenciamento e controle de informações são as bases do COBIT.3 Orientação ao negócio A orientação ao negócio consiste na principal característica do COBIT e é designada para ser empregada por provedores de serviços de TI. usuários e auditores. os investimentos em TI . é necessário investir. assegurar a entrega de serviços a partir da TI e estabelecer um sistema de medição para verificar o desempenho de tecnologia da informação. vez. e auxiliam o alinhamento da TI com os requisitos de negócio. necessitam ser medidos em relação aos indicadores estabelecidos na fase de planejamento (CHECK). orientação a controle e orientação a medições. descrita a seguir. o COBIT baseia-se na seguinte premissa fundamental. Os resultados obtidos a partir da entrega e utilização da informação. orientação a processos.

regulamentos e cláusulas contratuais aos quais os processos de negócio estão sujeitos. Baseando-se em requisitos de qualidade. integridade: precisão e completude de informações como também sua validade de acordo com os valores e expectativas do negócio.14 EDITORA . confidencialidade: proteção de informações sensíveis de acesso não autorizado. informações precisam atender a certos critérios de controle. eficiência: fornecimento de informações considerando o uso ótimo (da forma mais rápida. confiabilidade: fornecimento de informações adequadas para que a empresa exercite suas responsabilidades. sete critérios distintos (porém complementares) são definidos: eficácia ou efetividade: informações relevantes e pertinentes aos negócios devem ser entregues de forma correta. econômica e alinhada aos objetivos estratégicos da organização) dos recursos. disponibilidade: informações devem estar disponíveis sempre que for necessário. que o COBIT se refere como requisitos de negócio para informações. utilizável. 2007) Critérios de informação Para satisfazer os objetivos de negócio.UFLA/ FAEPE – Framework para Governança de TI (COBIT) FIGURA 1 Princípio básico do COBIT (Adaptado de ITGI. conformidade: conformidade com leis. segurança e confiabilidade. . consistente e em tempo hábil.

por sua vez. objetivos e métricas específicos de cada organização. deve haver um entendimento claro do que é necessário entregar e de como entregar. Esses objetivos devem direcionar para uma definição clara dos objetivos de TI que. Estas ligações auxiliam a demonstrar o escopo do COBIT e a relação deste com os direcionados de negócio de uma organização. Toda organização utiliza TI para habilitar iniciativas de negócio. considerando os objetivos de negócio e de TI estabelecidos. . definem recursos e capacidades de TI necessários para executar de forma bem sucedida a parte que cabe à tecnologia da informação no cumprimento das estratégias da organização. e isso pode ser representado através de objetivos de negócio e de TI. que servirá para medir o desempenho da arquitetura de 5 Para entendimento dos objetivos de TI e dos scorecards por parte do cliente. que são derivadas dos objetivos e tratadas em um balanced scorecard5. A Figura 2 ilustra como a estratégia da organização deve ser traduzida em objetivos relacionados a iniciativas e habilidades por tecnologia da informação (os objetivos de negócio e de TI referenciados pelo COBIT). objetivos de TI. Isso é alcançado através de métricas. A Figura 2 mostra o caminho pelo qual a estratégia da organização é traduzida em um balanced scorecard. Definidos os objetivos. é preciso fazer com que eles sejam monitorados. O COBIT fornece uma ligação entre objetivos de negócio. a definição de um conjunto genérico de objetivos de negócio e de TI fornece uma base refinada e orientada ao negócio. para assegurar que a atual entrega de serviços através da TI atenda às expectativas estabelecidas. serviços que dão suporte à estratégia da organização. Uma vez que a tecnologia da informação serve para entregar. Esses exemplos genéricos podem ser úteis como um guia para determinar os requisitos de negócio. processos de TI e critérios de informação.COBIT – Melhores práticas para governança de TI 15 Objetivos de negócio e objetivos de TI Enquanto os critérios de informação fornecem um método genérico para a definição dos requisitos de negócio. O COBIT fornece objetivos de negócio e de TI genéricos e mostra como estes podem ser mapeados para os critérios de informação. deve-se expressar estes resultados em linguagem de fácil entendimento desses clientes. de forma bem sucedida. que pode ser utilizada para estabelecer requisitos de negócio e desenvolver métricas que permitam a medição dos resultados obtidos.

informações úteis à organização. constituem uma arquitetura organizacional para a TI. assim. uma organização precisa investir em recursos necessários para: (1) criar uma capacidade técnica (por exemplo. um Enterprise Recourse Planning (ERP)). Os recursos de TI identificados pelo COBIT podem ser definidos como: aplicações: são sistemas automatizados ou procedimentos manuais que processam informação. (3) alcançar um resultado esperado (por exemplo. 2007) Recursos de TI A organização de TI trata os objetivos da organização através de um conjunto definido de processo que utilizam habilidades de pessoas e infra-estrutura tecnológica para executar aplicações automatizadas de negócio fornecendo. a implementação de uma cadeia de valor).UFLA/ FAEPE – Framework para Governança de TI (COBIT) TI. FIGURA 2 Definição de objetivos de TI e arquitetura de TI (Adaptado de ITGI. (2) suportar a capacidade do negócio (por exemplo. aumentar as vendas e o retorno financeiro). Tais recursos. juntamente com os processos de TI. formada por processos de TI que entregam informação utilizando-se de aplicações. Para responder aos requisitos de negócio relacionados a tecnologia da informação.16 EDITORA . . como mostra a Figura 2. infra-estrutura e pessoas.

2007) . monitorar e avaliar os sistemas de informação e os serviços. gerência de riscos. banco de dados. infra-estrutura: consiste na tecnologia.) e resultados de negócio (por exemplo. FIGURA 3 Gerenciando recursos de TI e alcançando objetivos de TI (Adaptado de ITGI. etc. que são utilizados pelo negócio. entregar. Tais recursos. resultados financeiros esperados ou número de vendas) direcionam recursos de TI (pessoas. adquirir. informação. pessoas: são as pessoas requeridas para planejar. são gerenciados pelos processos de TI que precisam atender aos objetivos de tecnologia da informação. A infra-estrutura habilita o processamento das aplicações.COBIT – Melhores práticas para governança de TI 17 informação: são os dados. organizar. aplicação e infra-estrutura). tais como ambiente físico para abrigar servidores. dar suporte. Tais pessoas podem ser colaboradores internos ou terceirizados. A Figura 3 exemplifica como os objetivos de TI influenciam a maneira como os recursos de TI precisam ser gerenciados pelos processos para atingir os objetivos estabelecidos. incluindo informações de entrada para processos. e facilidades. os objetivos da organização para a TI – requisitos de governança (que são alinhamento estratégico. implementar. por sua vez. tais como hardware. sistemas operacionais. informações processadas e saídas de processos. entrega de valor. Nesta figura.

2007) . Entrega de Suporte e Monitoramento e avaliação. representados pelos quatro domínios referenciados pelo COBIT.UFLA/ FAEPE – Framework para Governança de TI (COBIT) 2.18 EDITORA . A Figura 4 apresenta a organização dos processos de TI definidos pelo COBIT e a relação destes com critérios de informação e recursos de TI. Aquisição e implementação. qualquer serviço entregue pela TI e todo serviço fornecido para os processos de negócio necessitam ser integrados em um ciclo de vida de serviço de TI.4 Orientação a processos O COBIT define as atividades relacionadas a TI através de um modelo genérico de 34 processos organizados em quatro domínios: Planejamento e organização. De acordo com o COBIT. Objetivos de negócio Governança de TI COBIT INFORMAÇÃO Efetividade Eficiência Confidencialidade Integridade Disponibilidade Conformidade Confiabilidade MONITORAÇÃO E AVALIAÇÃO PLANEJAMENTO E ORGANIZAÇÃO ENTREGA E SUPORTE RECURSOS DE TI Pessoas Aplicações Infra-estrutura Informação AQUISIÇÃO E IMPLEMENTAÇÃO FIGURA 4 Framework COBIT (Adaptado de ITGI.

Nos diagramas RACI fornecidos pelo COBIT. critérios de informação afetados pelo processo. deve-se ter a prudência de aplicá-los conforme as necessidades específicas de cada organização. Para cada um dos 34 processos de TI. um diagrama de responsabilidades. entradas e saídas do processo. Consultado (Consulted) e Informado (Informed)) e são distribuídos a diferentes cargos de uma organização. serão descritas as principais características dos quatro domínios do COBIT 2. recursos de TI utilizados pelo processo. Para cada processo. entender os papéis e responsabilidades para cada processo é fator fundamental para a governança de TI.4. O planejamento e organização abrange as seguintes questões gerenciais: a TI e os objetivos estratégicos estão alinhados? a organização está utilizando os recursos de TI de forma ótima? 6 Os diagramas RACI definem o que e para quem as responsabilidades e atividades do processo deverão ser delegadas. denominado RACI chart6. o COBIT estabelece a ligação com objetivos de negócio e de TI.COBIT – Melhores práticas para governança de TI 19 Ao longo dos quatro domínios.1 Planejamento e organização Este domínio cobre estratégias e táticas que estabelecem a melhor maneira como a TI poderá contribuir para o alcance dos objetivos de negócio. a pessoa que deve prestar contas (Accountable) deverá indicar direções a autorizar atividades relacionadas ao processo. cada um dos processos do COBIT traz as seguintes informações: objetivos de controle. Tais processos podem ser utilizados para verificar a completude de atividades e responsabilidades. o COBIT define um diagrama contendo um conjunto de atividades e os níveis de envolvimento para cada uma dessas atividades. O atributo “responsável” (Responsibility) é atribuído à pessoa que executa as atividades. Responsável (Responsible). A seguir. Em suma. objetivos e métricas relacionados ao processo. . Além disso. o COBIT identifica 34 processos de TI que são geralmente utilizados. são fornecidas informações sobre como os objetivos relacionados podem ser medidos. foco do processo na governança de TI. No entanto. não é necessário aplicar todos os processos referenciados pelo COBIT. Os outros dois atributos – consultado (Consulted) e informado (Informed) asseguram o envolvimento de pessoas necessárias para dar suporte à execução do processo. quais são as atividades e principais entregas do processo e quais agentes devem ser responsabilizados pelo processo. De acordo com o COBIT. Esses níveis encontram-se divididos em quatro categorias (Prestador de contas (Accountable).

de forma apropriada. PO1. PO1. . unidades de negócio e organizações. que serão descritos a seguir. PO1. Isto engloba o desenvolvimento de um dicionário de dados corporativo com regras sintáticas dos dados da organização.3 – Avaliação das capacidades e desempenho atuais. avalia a desempenho atual. além de aumentar a efetividade e o controle do compartilhamento de informação através de diversas aplicações. e possibilita a racionalização de recursos de sistemas de informação para atingir. Objetivos de controle detalhados: PO1.1 – Gerenciamento do valor da TI. Este processo de TI é também necessário para aumentar a confiabilidade através de integridade e segurança dos dados.UFLA/ FAEPE – Framework para Governança de TI (COBIT) a organização como um todo entende os objetivos de TI? os riscos relacionados à TI são entendidos e gerenciados? a qualidade dos sistemas de TI é apropriada para as necessidades de negócio? Para tratar tais questões.5 – Planos táticos de TI. o COBIT define 10 objetivos de controle.4 – Plano estratégico de TI. PO1. PO1.6 – Gerenciamento de portfólio de TI. O pessoal da TI e os stakeholders são responsáveis por assegurar que o valor máximo seja obtido a partir do portfólio de projetos e de serviços. que especificam objetivos concisos. esquema de classificação de dados e níveis de segurança.O processo de definição da arquitetura de informação aumenta a qualidade de tomada de decisões gerenciais através de garantias de fornecimento de informações confiáveis e seguras. A estratégia e as prioridades do negócio são refletidas no portfólio de projetos e executadas pelos planos táticos de TI. PO1 .2 – Alinhamento da TI aos negócios. Os sistemas de informação criam e atualizam regularmente o modelo de informação dos negócios e define os sistemas apropriados para otimizar o uso de tais informações.20 EDITORA . O plano estratégico melhora o entendimento dos stakeholders em relação às limitações e oportunidades da TI. planos de ação e tarefas que são entendidas e aceitas tanto pela TI quanto pela alta administração. identifica as capacidades e as necessidades de recursos humanos e torna claro o nível de investimento requerido. as estratégias de negócio. PO2 – Definir a arquitetura da informação.Definir um plano estratégico em TI O plano estratégico de TI é necessário para gerenciar e direcionar os recursos de TI alinhados com as estratégias e prioridades de negócio.

segurança da informação.4 – Gerenciamento de integridade de dados. posse de dados e sistemas . Isto habilita respostas em tempo hábil para mudanças em um ambiente competitivo. economias em escala para equipes envolvidas em trabalhos relacionados a sistemas de informação e investimentos. organização e relacionamentos.3 – Esquema de classificação de dados. padrões. PO3. Um comitê de estratégia garante à gerência uma visão geral da TI e um ou mais comitês diretores (steering committees). PO3.1 – Planejamento da direção tecnológica. direção tecnológica. no qual a TI e os responsáveis pelas decisões de negócio participam.Definir os processos de TI. PO4 .3 – Monitorar tendências futuras e regulamentações. estratégias de migração e contingências. determinam a priorização dos recursos de TI. de habilidades.1 – Modelo de arquitetura de informação empresarial. autoridades. PO2.2 – Dicionário de dados empresarial e regras sintáticas de dados. PO3 – Determinar a direção tecnológica.2 – Plano de infra-estrutura tecnológica. serviços e mecanismos de entrega. papéis e responsabilidades e supervisão. PO2. em especial para as de controle. PO3. Planos que estabelecem direções tecnológicas são regularmente atualizados e englobam aspectos como a arquitetura de sistemas.COBIT – Melhores práticas para governança de TI 21 Objetivos de controle detalhados: PO2. alinhada com as necessidades do negócio.5 – Comitês (grupo) de arquitetura de TI. gerência de riscos. funções. PO3. Processos. Objetivos de controle detalhados: PO3. Uma organização de TI é definida levando-se em consideração os requisitos de pessoal. PO2. Isto requer a criação de um plano de infra-estrutura tecnológica e um comitê (grupo) de arquitetura que indicará e gerirá de forma clara e realista as expectativas sobre o que as diversas tecnologias disponíveis podem oferecer em termos de produtos. Essa organização deve estar inserida em um framework de processos de TI que garanta transparência e controle tanto quanto o envolvimento dos executivos seniores e gerentes de negócio.4 – Padrões tecnológicos. políticas administrativas e procedimentos são definidos para todas as funções. planos de aquisição. qualidade. bem como aumenta a interoperabilidade de plataformas e aplicações. A função dos serviços que fornecem informação à organização determina a direção tecnológica para auxiliar os negócios.

7 – Responsabilidades pela garantia de qualidade da TI. PO4. processo formal de orçamento e gerenciamento de acordo com o orçamento. Este framework engloba os custos. PO4. priorizações dentro do orçamento estabelecido.UFLA/ FAEPE – Framework para Governança de TI (COBIT) e segregação de responsabilidades.9 – Estabelecimento de posse de dados e sistemas. Objetivos de controle detalhados: PO4. segurança e conformidade. iniciam ações corretivas. PO4. Um framework é estabelecido e mantido para gerenciar programas de investimentos em TI. No processo de gerência dos investimentos em TI. PO4. PO4.TCO).2 – Estabelecimento de comitê para estratégias de TI. benefícios.10 – Supervisão. os custos totais e os benefícios associados a tais custos e. a tecnologia da informação deve estar envolvida em processos de tomada de decisão relevantes para a organização. PO4. dentro do contexto dos planos estratégicos e táticos.8 – Comprometimento com riscos. PO4. PO4. obtenção de benefícios por parte dos negócios e um melhor retorno sobre os investimento em TI. . O processo de gerência dos investimentos em TI fomenta parcerias entre as equipes de TI e de negócios. e provê transparência e responsabilidade em relação aos custos totais de propriedade (Total Cost of Ownership . os stakeholders são consultados para identificarem e controlarem. possibilita o uso eficiente e eficaz dos recursos de TI.15 – Estabelecimento e manutenção relacionamentos entre a TI e a organização como um todo.14 – Estabelecimento de políticas e procedimentos para o pessoal contratado. PO4.1 – Definição de um framework de processos de TI.13 – Definir e identificar pessoas envolvidas com a TI. PO4. PO4.5 – Estabelecimento de estrutura organizacional de TI. PO4.6 – Estabelecimento de papéis e responsabilidades.22 EDITORA . PO4.4 – Distribuição organizacional das funções de TI. PO5 – Gerenciar investimentos em TI. caso seja necessário. Para garantir suporte adequado aos requisitos de negócio.3 – Estabelecimento de um comitê diretor de TI.12 – Avaliação da equipe de TI. PO4.11 – Separação de responsabilidades.

O processo de gerência de recursos humanos é fundamental para as organizações. PO6 – Comunicar metas e diretiva gerenciais. objetivos de serviço.2 – Definição de um framework para tratamento de riscos e controles relacionados à TI.5 – Gerenciamento de benefícios.1 – Definição de políticas e controles para a TI. PO6.4 – Implantação de um gerenciamento de custos. Um programa progressivo de comunicação é implementado para articular. políticas e procedimentos etc. na medida em que as pessoas são importantes ativos e a governança. Para tanto.3 – Gerenciamento de políticas de TI. PO5. O processo de comunicação de metas e diretivas gerenciais também garante monitoração de regras relevantes e regulamentações. PO6.4 – Implantação de políticas. treinamento. . é preciso definir práticas que suportem recrutamento. PO6. PO5. dentre outros aspectos.5 – Comunicação dos objetivos e diretivas de TI. juntamente com os controles internos. PO5.COBIT – Melhores práticas para governança de TI 23 Objetivos de controle detalhados: PO5. padrões e procedimentos. que são aprovados e subsidiados pela gerência de uma organização. A comunicação auxilia no alcance dos objetivos de TI e assegura o entendimento e a conscientização dos riscos envolvidos nos negócios e na TI.1 – Estabelecimento de um framework de gerência financeira. PO6. são altamente dependentes da motivação e da competências das pessoas que trabalham na organização. PO7 – Gerenciar recursos humanos de TI. promoção e desligamento de pessoas. Recursos humanos são contratados e gerenciados na organização para a criação e entrega de serviços de TI que são utilizados pelos negócios. PO5.3 – Implantação de práticas para estabelecer orçamentos. A gerência desenvolve um framework de controle para a TI e define e comunica as políticas estabelecidas dentro deste framework. Objetivos de controle detalhados: PO6. a missão. avaliação de desempenho..2 – Implantar processos de tomada de decisão para estabelecer priorizações dentro do orçamento.

5 – Estabelecimento de processos de melhoria contínua. A melhoria contínua é alcançada por monitoração. Requisitos de qualidade são estabelecidos e comunicados através de indicadores alcançáveis e que possam ser quantificados. monitoração e revisão.8 – Estabelecimento de procedimentos de mudança de cargo e desligamento de colaboradores.2 – Monitoramento de competências pessoais.1 – Criação de processos de recrutamento e manutenção de pessoal. .3 – Adoção e manutenção de padrões para aquisição e desenvolvimento de recursos e serviços de TI.7 – Avaliação de desempenho de colaboradores. PO7.2 – Identificação e manutenção de padrões e práticas de qualidade para os processos de TI. PO7.6 – Mensuração de qualidade. A gestão de qualidade é essencial para assegurar que a TI esteja agregando valor ao negócio. PO8.UFLA/ FAEPE – Framework para Governança de TI (COBIT) Objetivos de controle detalhados: PO7. processos de melhoria contínua e transparência para stakeholders. análise e ações para controle de desvios nos critérios de qualidade e pela comunicação dos resultados aos stakeholders.4 – Foco no cliente. Para tanto.3 – Definição dos papéis das equipes. é necessário executar o planejamento. além de procedimentos e padrões. PO8. PO7.5 – Dependência entre indivíduos. Um sistema de gestão de qualidade inclui processos e padrões testados para desenvolvimento e aquisição de recursos de TI. PO8.24 EDITORA . PO7. PO8 – Gestão de qualidade.1 – Estabelecimento e manutenção de um sistema de gestão de qualidade. PO7. PO7. PO8. implementação e manutenção do sistema de gestão de qualidade através do fornecimento de requisitos claros de qualidade.4 – Treinamento de pessoal.6 – Estabelecimento de procedimentos de verificação de experiência profissional. PO7. PO8. PO9 – Avaliar e gerenciar riscos de TI. Objetivos de controle detalhados: PO8.

garantindo a correta priorização e coordenação de projetos dessa natureza. habilitandoos.6 – Manutenção e monitoração do plano de ação. PO10. as estratégias de mitigação desses riscos e os riscos residuais.2 – Implantação e manutenção de um framework de gestão de projetos. plano de testes. PO10. assim.3 – Estabelecimento de abordagens de gerenciamento de projetos.1 – Estabelecimento de um framework de gestão de riscos em TI. PO9. e maximiza a contribuição da TI em programas de investimentos. PO10.2 – Contextualização dos riscos. PO9. a avaliação de recursos necessários. PO10 – Gerenciar projetos.7 – Estabelecimento de um plano integrado para o projeto dos Objetivos de Controle. riscos envolvidos e revisões pós-implantação. melhora a comunicação entre fornecedor e clientes. PO9. Objetivos de controle detalhados: PO10. PO10.6 – Adoção de procedimentos para aprovação de iniciação de projeto. PO9. assegura a qualidade nas entregas do projeto. Esta abordagem reduz o risco de custos inesperados e projetos cancelados. definição de entregas. PO9.3 – Identificação de eventos. a direcionar os riscos a níveis toleráveis pela organização. Este framework inclui.COBIT – Melhores práticas para governança de TI 25 Um framework de gestão de riscos deve ser criado e mantido a fim de documentar os níveis de risco de TI.4 – Avaliação de risco. . PO10. fases e atividades. PO10. Um framework para gerenciamento de programas e projetos deve ser estabelecido para gerenciar todos os projetos relacionados à TI. Objetivos de controle detalhados: PO9.1 – Implantação e manutenção de framework de gestão de programas. causado por eventos não planejados deve ser identificado e analisado. dente outras especificações. Através do processo de avaliação e gerência de riscos de TI qualquer impacto potencial nos objetivos da organização.5 – Resposta aos riscos. O resultado da avaliação é compreensível para os stakeholders e expresso em termos financeiros.4 – Obtenção de comprometimento dos stakeholders nos projetos de TI.5 – Documentação de escopo dos projetos.

14 – Fechamento de projeto. Objetivos de controle detalhados: .11 – Controle de mudanças de projeto.9 – Gestão de riscos de projeto. PO10.26 EDITORA . PO10.UFLA/ FAEPE – Framework para Governança de TI (COBIT) PO10. análise de viabilidade tecnológica e econômica. PO10. PO10. desenvolvidas e adquiridas. mudanças e manutenções de sistemas já existentes são tratadas por este domínio. soluções relacionadas a este recurso necessitam ser identificadas. para assegurar que as soluções tecnológicas continuem a atender aos objetivos de negócio.4. PO10. além de assegurar que tais soluções habilitem a organização a alcançar os objetivos de negócio. bem como implementadas e integradas aos processos de negócio.10 – Plano de qualidade de projeto. 2.12 – Planejamento dos métodos de segurança do projeto (controles internos e requisitos de segurança). AI1 – Identificar soluções automatizadas A necessidade de novas aplicações ou funções requer análise antes da aquisição ou criação de soluções. para assegurar que os requisitos de negócios sejam atendidos de forma efetiva e eficaz.2 Aquisição e implementação Para executar as estratégias de TI. Além disso. que serão descritos a seguir. PO10. O processo de identificação de soluções automatizadas cobre os aspectos referentes à definição das necessidades. O domínio de aquisição e implementação abrange as seguintes questões: Novos projetos têm o potencial de entregar soluções que atendam aos objetivos de negócio? Novos projetos serão entregues no prazo e dentro do orçamento? Novos sistemas irão trabalhar de forma adequada quando implantados? Mudanças serão feitas sem que haja interrupção das operações de negócio? Para tratar tais questões. o COBIT define 7 objetivos de controle.13 – Monitoramento e medição de desempenho de projetos.8 – Definição de recursos. Todas essas atividades habilitam a organização a minimizar os custos com aquisição e implementação de soluções. consideração de recursos alternativos. análise de risco e de custo/benefício e decisões sobre desenvolver internamente ou adquirir soluções. papéis e responsabilidades para o projeto.

10 – Desenvolvimento de estratégias e planos para manutenção de aplicações de software. AI2.4 – Segurança e disponibilidade de aplicações. AI2. AI2. de acordo com as estratégias de TI. implementação e atualização de infra-estrutura tecnológica. AI2. assegurando que exista um suporte adequado da TI aos negócios. AI1.2 – Projeto detalhado de aplicações de software. Objetivos de controle detalhados: . Organizações têm processos para aquisição. inclusão de controles e requisitos de segurança em aplicações e o desenvolvimento e configuração de acordo com padrões. AI2. AI2.5 – Configuração e implantação de softwares adquiridos.7 – Estabelecimento de padrões para desenvolvimento de aplicações de software.1 – Especificação de alto nível para aplicações de software. AI2.6 – Estabelecimento de procedimentos para atualizações em sistemas existentes.COBIT – Melhores práticas para governança de TI 27 AI1.3 – Estudo de viabilidade e formulação de cursos alternativos de ação.2 – Documentação da análise de riscos. Essas atividades permitem as organizações a suportarem de maneira adequada os processos de negócio através das aplicações de software corretas. AI2. Objetivos de controle detalhados: AI2. manutenção e proteção da infra-estrutura. AI1.1 – Definição e manutenção de requisitos tecnológicos e funcionais de negócio. O processo de aquisição e manutenção de software cobre os aspectos relacionados ao projeto de aplicações. AI2 – Adquirir e manter software. AI1. AI3 – Adquirir e manter infra-estrutura tecnológica.3 – Controles e auditoria em aplicações. Aplicações são disponibilizadas de acordo com os requisitos de negócio.8 – Garantia de qualidade de software. Isto requer uma abordagem planejada para aquisição. AI2.4 – Decisão e aprovação de requisitos e viabilidade.9 – Gestão de requisitos de software.

além do fornecimento de treinamento para assegurar o uso adequado de aplicações e infra-estruturas de TI Objetivos de controle detalhados: AI4.2 – Gestão de contratos de fornecimento.4 – Aquisição de recursos de TI. serviços e sistemas) devem ser registradas. AI3.3 – Seleção de fornecedores. as mudanças (incluindo os procedimentos.1 – Plano de aquisição de infra-estrutura tecnológica. Objetivos de controle detalhados: AI5. avaliadas e autorizadas. Essas atividades asseguram que a organização possua todos os recursos de TI necessários. AI4.2 – Transferência de conhecimento para gestão de negócios. Isto requer a definição e execução de procedimentos de aquisição. seleção de fornecedores. AI4. AI6 – Gerir mudanças.1 – Desenvolvimento de planos para documentação de aspectos técnicos e operacionais de infra-estruturas. no tempo necessário e a custos adequados. Antes da implantação efetiva.28 EDITORA . AI5. relacionadas com infra-estrutura e aplicações no ambiente produtivo são formalmente geridas de maneira controlada. AI5. AI4. incluindo manutenção de emergência e correções. incluindo pessoas. devem-se revisar as mudanças em relação ao planejamento feito anteriormente.3 – Transferência de conhecimento para usuários. software e serviços precisam ser adquiridos.2 – Assegurar proteção e disponibilidade de recursos de infra-estrutura de TI. AI5.3 – Manutenção de infra-estrutura. Estas atividades de revisão asseguram a mitigação dos riscos que possam impactar negativamente a estabilidade ou integridade do ambiente produtivo da organização.1 – Controle de aquisições. processos. AI4 – Habilitar operação e uso. O processo de habilitação de operação e uso de infra-estruturas de TI requer a produção de documentações e manuais técnicos para usuários. Recursos de TI. de forma eficiente.UFLA/ FAEPE – Framework para Governança de TI (COBIT) AI3. estabelecimento de contratos e a aquisição propriamente dita. AI3.4 – Transferência de conhecimento para grupos de operação e suporte. AI3. hardware. Após a implantação. Todas as mudanças. Objetivos de controle detalhados: . AI5 – Adquirir recursos de TI.4 – Estabelecimento de ambientes de desenvolvimento e teste.

planejamento para liberação. Novos sistemas precisam ser colocados em operação assim que seu desenvolvimento for finalizado. Objetivos de controle detalhados: AI7. AI6.9 – Revisão pós-implantação. AI7 – Instalar e autorizar soluções e mudanças. AI7.3 Entrega e suporte Este domínio trata das atuais entregas dos serviços. AI7. a definição de instruções de implantação e migração. AI7.5 – Migração de sistemas e de dados.1 – Treinamento de usuários. gerenciamento de segurança e continuidade.3 – Definição de procedimentos para tratamento de mudanças de emergências. Esse processo garante que sistemas em operação estejam alinhados com as expectativas e objetivos da organização.5 – Finalização e documentação de mudanças. por último.4. integridade e disponibilidade das informações? .4 – Definir o ambiente de teste. AI7. a promoção para o ambiente de produção da empresa e. Isso requer testes apropriados em um ambiente dedicado. o que inclui entrega de serviços.8 – Promoção para o ambiente de produção. AI7.3 – Plano de implantação. As principais questões referentes a este domínio são: Os serviços de TI estão sendo entregues de acordo com as prioridades do negócio? Os custos referentes à TI são otimizados? Os colaboradores da organização estão aptos a utilizarem sistemas de TI de forma segura e produtiva? Existem adequada confidencialidade.7 –Teste final de aceitação. AI7.2 – Plano de teste.6 – Testes de mudanças.1 – Estabelecimento de padrões e procedimentos para mudanças.COBIT – Melhores práticas para governança de TI 29 AI6. AI7. AI7.4 – Acompanhamento de mudanças. 2. AI6. AI6. suporte aos serviços e gerenciamento de dados e recursos operacionais. priorização e autorização de mudanças. a revisão pós-implantação. AI6.2 – Avaliação de impactos.

DS2 – Gestão de serviços terceirizados. DS1. DS3 – Gerir desempenho e capacidade.1 – Definição de um framework de gerenciamento de nível de serviço. A necessidade de garantir que serviços terceirizados (fornecedores. que são estabelecidas através acordos e de processos e revisão e monitoramento destes acordos. que serão descritos a seguir. vendedores e parceiros) estejam alinhados aos requisitos de negócio requer um processo efetivo de que se tenha uma definição clara dos papéis. DS2.30 EDITORA . o COBIT define 13 objetivos de controle. DS1.6 .4 – Monitoração de desempenho de fornecedores. O processo de definir e gerenciar acordos de nível de serviço permite o alinhamento entre os serviços de TI e os requisitos de negócio relacionados a estes serviços Objetivos de controle detalhados: DS1. DS1.2 . DS1. A comunicação efetiva entre a gerência de TI e os clientes em relação aos serviços necessários é possibilitada pela definição e documentação dos serviços que serão fornecidos. DS2. Esse processo também inclui monitoramento e entregas de relatórios que fornecem informações sobre o cumprimento dos acordos estabelecidos.UFLA/ FAEPE – Framework para Governança de TI (COBIT) Para tratar tais questões.3 – Gestão de riscos relacionados a fornecedores.5 . Uma gerência efetiva de serviços terceirizados minimiza os riscos de negócio associados com não comprometimento de fornecedores.Definir e Gerenciar os Níveis de Serviço. requisitos de .4 – Definição de acordos de níveis de operações.1 – Identificação dos relacionamentos com fornecedores. O processo de gestão de desempenho e capacidade inclui prognóstico de necessidades futuras. DS1.3 – Definição de acordos de níveis de serviços.2 – Gestão de relacionamentos com fornecedores. A necessidade de gerir desempenho e capacidade de recursos de TI requer um processo para revisar periodicamente o atual desempenho e capacidade de recursos de TI.Monitoramento e confecção de relatórios sobre os níveis de serviço alcançados.Revisão dos acordos de nível de serviço e dos contratos. baseando-se em cargas de trabalho. bem como dos níveis de tais serviços. Objetivos de controle detalhados: DS2. DS1. DS2.Definição dos serviços. responsabilidades e expectativas.

DS4.Distribuição do Plano de Continuidade de TI.5 .5 – Monitoração e documentação de resultados.9 .2 – Avaliação de desempenho e capacidade atuais. DS3. Objetivos de controle detalhados: DS4. políticas. DS3. A gestão de segurança também inclui monitoramento. O processo de garantir a segurança de sistemas inclui o estabelecimento e manutenção de papéis e responsabilidades. DS4. DS4. padrões e procedimento relacionados à segurança. DS3.1 – Planejamento de desempenho e capacidade.2 – Desenvolvimento de planos de continuidade de TI. que suportam as principais funções e processos de negócio. DS4. DS4. testes periódicos e implantação de ações corretivas frente a incidentes e ameaças. Uma gestão de segurança efetiva protege todos ativos de TI para minimizar o impacto nos negócios por vulnerabilidades de segurança e incidentes. DS4. DS4.1 – Estabelecimento de um framework de continuidade de TI. DS5 – Garantir segurança de sistemas.4 – Disponibilidade de recursos de TI.4 . Este processo provê garantias que recursos de informação necessários para suportar os requisitos de negócio estejam disponíveis continuamente.Manutenção do Plano de Continuidade de TI.Armazenamento externo de backups. A necessidade de manter a continuidade de serviços de TI requer que sejam desenvolvidos.3 . A necessidade de manter a integridade da informação e proteger ativos de TI requer um processo de gestão de segurança.6 -Treinamento em relação ao Plano de Continuidade de TI. .Levantamento de recursos críticos de TI. DS4.Revisão pós retomada de serviços de TI. mantidos e testados planos de continuidade de TI.COBIT – Melhores práticas para governança de TI 31 armazenamento de dados e de contingências.10 .8 – Definição de planos para recuperação e retomada de serviços. que utilizem backups externos e que forneçam planos de treinamento contínuos e periódicos.Teste do Plano de Continuidade de TI. DS4 . Objetivos de controle detalhados: DS3.7 . DS4. DS3.3 – Avaliação de desempenho e capacidade futuras. Um processo efetivo de continuidade de serviços minimiza a probabilidade e o impacto de uma interrupção nos serviços principais de TI.Garantia de continuidade de serviço.

aumentando a produtividade e a conformidade com controles relevantes. DS5.9 – Prevenção. DS6. o processo de educação e treinamento de usuários inclui a definição e execução de uma estratégia para treinamento e medição de resultados. requer a identificação das necessidades de treinamento para cada grupo de usuários. DS5. O processo de identificação e alocação de cursos inclui procedimentos de identificação. Além disso. DS6. Educar de forma efetiva os usuários de sistemas de TI. alocação e comunicação dos custos que envolvem a TI para clientes e usuários de serviços de TI.4 – Gestão de contas de usuários em sistemas. DS5.32 EDITORA .10 – Segurança de rede. DS6.11 – Tratamento de trocas de dados sensíveis.2 – Definição do plano de segurança de TI. como medição de segurança dos usuários. A necessidade de um sistema claro e equilibrado para alocação de custos em TI requer medições precisas dos custos de TI e acordo com usuários e clientes. DS7 – Educar e treinar usuários. incluindo pessoas dentro do setor de TI. DS5. Objetivos de controle detalhados: . DS5.8 – Gestão de chaves criptográficas. Objetivos de controle detalhados: DS6.1 – Gestão de segurança de TI.5 – Testes de segurança. DS5. vigilância e monitoração. Um sistema justo de alocação habilita a organização a tomarem decisões sábias em relação ao uso de serviços de TI.7 – Proteção de tecnologias de segurança.6 – Definição de incidentes de segurança.3 – Definição de custos e cobrança. DS5. DS5.2 – Identificação e alocação dos custos de TI. DS5. para identificar as necessidades.3 – Gestão de identificações de usuários a atividades em sistemas de TI. DS6 – Identificar e alocar custos. DS5. Um programa de treinamento efetivo aumenta o uso efetivo das tecnologias através de redução dos erros dos usuários. detecção e correção de softwares maliciosos.1 – Definição de serviços.4 – Manutenção de modelo de custos.UFLA/ FAEPE – Framework para Governança de TI (COBIT) Objetivos de controle detalhados: DS5.

Revisão de integridade de configuração.Encerramento de incidentes.3 . DS8.Documentação e análise de tendências em relação ao service desk e incidentes.Gerência de configuração. DS8. DS9. auditoria e atualização de configurações. DS7. O processo de gerenciamento de problemas também inclui a formulação de recomendações para melhorias. O processo de gerência de configuração inclui o levantamento inicial de informações de configuração. verificação.3 . DS7. Uma gerência de configuração efetiva proporciona maior disponibilidade de sistema e minimiza o tempo de resolução de incidentes Objetivos de controle detalhados: DS9. Objetivos de controle detalhados: DS8. quando necessário.1 – Identificação de necessidades de educação e treinamento. Garantir a integridade nas configurações de hardware e software requer a implantação e manutenção de um repositório de configuração confiável e completo. estabelecimento de bases de dados.1 . Respostas rápidas e efetivas a pedidos de usuário requerem uma central de serviços (service desk) e um processo de gerência de incidentes.COBIT – Melhores práticas para governança de TI 33 DS7. melhora os níveis de serviço. DS9 . DS8.2 – Treinamento e educação. DS9. DS8.Identificação e manutenção de itens de configuração.5 . análise das causas e a resolução.Gerenciar o Service Desk e incidentes.1 . DS8 . DS10 .Registro das chamadas de usuários.2 .2 . O gerenciamento efetivo de problemas requer a identificação e a classificação dos problemas.Escalonamento de incidentes.Gerenciamento de problemas. reduz custos e melhora a satisfação dos clientes. escalonamento de incidentes.3 – Avaliação de treinamento recebido.Estabelecer repositório de configuração.Service Desk. . análise e resolução. Um processo efetivo de gerenciamento de problemas maximiza a disponibilidade do sistema. manutenção de registros de problemas e revisão do status das ações corretivas. Os benefícios do estabelecimento deste processo incluem aumento de produtividade através da rápida resolução de chamadas de clientes.4 . O processo de gerência de service desk e incidentes inclui o estabelecimento de uma central de serviços que executa registro.

O processo de gestão de ambientes físicos inclui a definição de requisitos para a definição de localidades. DS12.3 . A gestão efetiva de dados requer identificar requisitos de dados. DS10. DS13 – Gestão de operações.2 .Rastreamento e resolução de problemas. seleção de localidades apropriadas e projeto de processos para monitoramento de fatores ambientais. DS10. O . DS12.Integração das gerências de configuração.Gestão de dados. DS12. DS11.1 – Requisitos do negócio para gestão de dados. backups e recuperação de dados e descarte de dados.Fechamento de problemas.6 – Requisitos de segurança para gestão de dados. DS12 – Gestão de ambiente físico. A proteção de computadores e pessoas requer a existência de ambientes físicos bem projetados e bem gerenciados. DS11. Processamento completo e exato de dados requer gestão efetiva de procedimentos de processamento de dados e manutenção preventiva de hardware. Este processo auxilia no fornecimento de qualidade e disponibilidade de dados necessários para os processos de negócio.5 – Gestão de facilidades físicas.4 – Proteção contra fatores ambientais.4 – Descarte de recursos de TI.34 EDITORA .5 – Backup e restauração.4 . Objetivos de controle detalhados: DS11. DS12.3 – Definição de sistema de gestão de biblioteca de mídia. DS11. Uma gestão efetiva de ambientes físicos reduz interrupções de processos de negócio provocadas por danos em equipamentos e pessoas. DS10.1 .2 – Definição de arranjos para armazenamento e retenção de dados. incidentes e problemas. DS11. Objetivos de controle detalhados: DS12.Identificação e classificação dos problemas.1 – Definição de áreas e layout. O processo de gerência de dados inclui o estabelecimento de procedimentos efetivos para gerir bibliotecas de mídia.2 – Medidas de segurança física.3 – Definição de procedimento para determinar o acesso físico a ambientes.UFLA/ FAEPE – Framework para Governança de TI (COBIT) Objetivos de controle detalhados: DS10. DS11. DS11.

DS13. ME1. O monitoramento é necessário para garantir que as coisas certas estão sendo feitas e estão alinhadas com os objetivos e políticas da organização.COBIT – Melhores práticas para governança de TI 35 processo de gestão de operações inclui a definição de políticas operacionais para um gerenciamento efetivo para o processamento. 2. que serão descritos a seguir. O processo de monitorar e avaliar o desempenho da TI inclui a definição de indicadores relevantes de desempenho.1 – Estabelecimento de uma abordagem de monitoração. monitoramento de desempenho da infra-estrutura a assegurar manutenção preventiva de hardware.4 – Avaliação de desempenho.4 Monitoramento e avaliação Todos os processos de TI precisam ser regularmente avaliados em relação à qualidade e conformidade com requisitos de controle. DS13.2 – Definição e coleta de dados da monitoração. Uma gestão efetiva de operações auxilia a manutenção da integridade de dados e reduz custos operacionais. Objetivos de controle detalhados: ME1. monitoramento interno.3 – Estabelecimento de métodos de monitoração.5 – Fornecimento de relatórios para a alta direção e executivos. o COBIT define 13 objetivos de controle. DS13. . Objetivos de controle detalhados: DS13. ME1.5 – Manutenção preventiva de hardware. antes que estes aconteçam? A gerência assegura que controles internos são efetivos e eficientes? O desempenho da TI pode ser relacionado aos objetivos de negócio? Existem controles para confidencialidade. ME1 – Monitorar e avaliar desempenho de TI Uma gestão efetiva de desempenho de TI requer um processo de monitoração.2 – Organizar escalonamento dos processos e atividades.4. ME1. Conformidade com regulamentos e governança. ME1. As principais questões que tratam deste domínio são: O desempenho da TI é medido para detecção de problemas.4 – Tratamento de documentos sensíveis e dispositivos de saída. proteção de dados sensíveis.1 – Definição de procedimentos operacionais e instruções. O domínio de monitoramento e avaliação trata da gestão de desempenho. documentação sistemática e ações adequadas para tratamento de desvios de desempenho. DS13. integridade e disponibilidade? Para tratar tais questões.3 – Monitoração de infra-estrutura.

regulamentações externas e critérios de conformidade com requisitos contratuais.4 – Assegurar conformidade. Objetivos de controle detalhados: ME3.1 – Monitoramento dos controles internos.5 – Integração da produção de relatórios sobre a TI com critérios de conformidade. Implantar um framework de governança efetivo inclui definição de estruturas organizacionais. ME2.6 – Controle interno de fornecimentos. Um importante benefício desse processo inclui o fornecimento de garantias de eficiência operacional e conformidade com leis e regulamentações.2 – Otimização de respostas para requisitos externos. ou seja.36 EDITORA . ME3. processos. Estabelecer um programa de controle interno para TI requer um processo de monitoração bem definido.6 – Identificar ações corretivas. Assegurar conformidade com requisitos externos requer o estabelecimento de um processo capaz de identificar requisitos de conformidade.2 – Executar revisões de supervisão. obtendo a garantia de que esses requisitos serão cumpridos por parte da TI. ME3. O processo de monitoramento e avaliação de controles internos inclui o monitoramento e documentação de exceções aos controles.7 – Identificar ações corretivas.3 – Identificar exceções aos controles. ME3. ME4 – Prover governança de TI. ME2.UFLA/ FAEPE – Framework para Governança de TI (COBIT) ME1. ME3.5 – Fornecimento de garantia de controle interno. ME2. situações onde tais controles não são válidos. lideranças.4 – Controlar processos de auto-avaliação. ME2 – Monitorar e avaliar controle interno.1 – Identificação de legislações. ME2. avaliá-los e responder a tais requisitos. resultados de auto-avaliação e revisões de serviços terceirizados.3 – Avaliação de conformidades com requisitos externos. ME3 – Garantir conformidade com regulamentações externas. papéis e responsabilidades para garantir que investimentos em TI sejam alinhados e entregues de acordo com estratégias e objetivos de negócios. ME2. . ME2. Objetivos de controle detalhados: ME2.

políticas. os objetivos de controle podem ser descritos como: são ações gerenciais com o objetivo de aumentar o valor e reduzir os riscos dos processos de TI. ME4. ME4. 2. considerando as escolha como implementar os controles.5 – Gestão de riscos.4 – Gestão de recursos. práticas e estruturas organizacionais. ME4. procedimentos. Os objetivos de controle do COBIT fornecem um conjunto completo de requisitos de alto nível a serem considerados no controle de cada processo de TI. considerando abrangência.COBIT – Melhores práticas para governança de TI 37 Objetivos de controle detalhados: ME4. entenda os riscos de não aplicar cada controle selecionado. detecção e correção de eventos indesejáveis.6 – Medição de desempenho.7 – Obtenção de garantia de conformidade da TI. características peculiares de cada organização. Ao implantar objetivos de controle relativos a cada processo de TI relevante para a organização. detecção e correção de eventos indesejados. critérios de automatização e freqüência de cada controle. deve-se considerar as seguintes orientações: selecione os objetivos de controle aplicáveis. ME4. . Em suma. que são designados a promover segurança no alcance dos objetivos de negócio e na prevenção. ME4. práticas e estruturas são designados a promoverem segurança no alcance dos objetivos de negócio e na prevenção. consistem em organizacionais. procedimentos. ME4. Controles são definidos como políticas.5 Abordagem de controle O COBIT define objetivos de controle para todos os 34 processos de TI.1 – Implantação de um framework de governança de TI.3 – Entrega de valor a partir da TI.2 – Alinhamento estratégico.

em que n é o número do controle do processo. Define e comunica objetivos e metas para uma execução efetiva de cada processo de TI.10 Plano de qualidade do projeto. além de assegurar que esses processos sejam ligados aos objetivos de negócio e sejam suportados por métricas consistentes. este sistema irá checar constantemente (comparação) a temperatura ambiente (informação de controle) e irá sinalizar (agir) sobre o sistema de calefação para que este forneça mais ou menos calor.UFLA/ FAEPE – Framework para Governança de TI (COBIT) A Figura 5 apresenta um modelo padrão que explica o princípio de funcionamento de um controle. . Por exemplo. Tais controles devem ser considerados juntamente com os objetivos de controle para se ter uma visão completa dos controles relacionados a cada processo. Além dos objetivos de controle. o objetivo de controle número 10 do processo número 10 do domínio Planejamento e organização é identificado como PO10. tais objetivos de controle constituem em características de um projeto bem gerenciado. FIGURA 5 Modelo de controle (Adaptado de ITGI. cada processo do COBIT possui requisitos de controle genéricos. seguido do número do processo e do número do objetivo de controle. Quando a temperatura ambiente (padrão) é estabelecida para um sistema de calefação (processo). De forma resumida. que são identificados como PCn.38 EDITORA . Os controles de processo referenciados pelo COBIT são: PC1 Metas e objetivos do processo. 2007) Cada um dos 34 processos referenciados pelo COBIT possui uma descrição e um número de objetivos de controle. Os objetivos de controle são identificados pela sigla correspondente ao domínio do processo.

Esse controle estabelece papéis e responsabilidades para a execução das atividades-chave do processo. corretos. Nesse sentido. (iii) Objetivos chave para atividades. planos e procedimentos são acessíveis. planos e procedimentos. aumentam a probabilidade de entregar valor e a eficiência dos processos. comunicados e utilizados. medição de desempenho e identificação de oportunidades de melhoria. entendidos e atualizados. revisados. O COBIT fornece exemplos ilustrativos7 de: (i) Entradas e saídas genéricas. esses controles não são prescritivos ou completos. além de assegurar que as políticas. PC3 Repetitividade do processo. Define atividades-chave e entregas de cada processo. as organizações devem-se fazer o seguinte questionamento: Onde 7 De acordo com o COBIT.COBIT – Melhores práticas para governança de TI 39 PC2 Propriedade de processo. Define de forma clara as responsabilidades e papéis para o proprietário do processo. quando desvios são encontrados. (ii) Atividades e orientações sobre responsabilidades em diagramas RACI. Esse controle inclui responsabilidades para o desenho de processos. mantidos. devendo servir de inspiração para o estabelecimento de controles específicos para cada organização. PC5. Esse controle atribui responsabilidades para cada uma das atividades descritas acima. (iv) métricas. Políticas. resultados do processo. Esse controle estabelece metas que refletem os indicadores de desempenho que habilitam o alcance dos objetivos estabelecidos para o processo. Identifica um conjunto de métricas que fornecem. aprovados. PC4 Papéis e responsabilidades. controlam os resultados e o desempenho do processo. ações corretivas devem ser estabelecidas.6 Orientação a medições Uma necessidade básica para toda organização é entender o status dos sistemas de TI e decidir qual o nível de controle e gerenciamento deve ser provido. Controle responsável por garantir que um processo pode ser repetido ao longo do tempo e produzir sempre os resultados esperados. para decidir os níveis de controle e gerenciamento sobre a tecnologia da informação. Controles bem estabelecidos reduzem os riscos. 2. Atribui um proprietário para o processo. interação com outros processos. planos e procedimentos que direcionam o processo são documentados. Define e comunica como as políticas. . Define como as informações relativas ao processo podem ser obtidas e as compara com as metas estabelecidas. PC6 Melhoria de desempenho de processo.

é necessário o desenvolvimento de níveis de controle e gerenciamento apropriados sobre a tecnologia da informação. Para tanto. que demonstram como processos atendem objetivos de negócio e de TI.1 Modelo de maturidade Atualmente. Tais métricas são utilizadas para a medição dos processos internos baseando-se nos princípios do Balanced Scorecard (BSC).Modelos de maturidade que habilitam a execução de benchmarking e a identificação de capacidades que precisam ser melhoradas. e como nossa organização está em relação a eles? Quais são as boas práticas do mercado e como nós estamos em relação a tais práticas? Baseado nessas comparações. . 2. proprietários de processos podem utilizar objetivos de controle para executar benchmarks de forma incremental. A seguir. que possibilitam um desempenho efetivo dos processos. considerando um balanceamento entre custos e benefícios e as seguintes questões: O quê os nossos concorrentes estão fazendo. onde as melhorias são necessárias e implementar um conjunto de práticas e recursos para monitorar estas melhorias. Partindo dos processos referenciados pelo COBIT. O que deve ser medido e como será medido? Essa é a questão-chave para a criação de uma visão adequada do desempenho da TI na organização. Organizações freqüentemente executam benchmarks e auto-avaliações para saber o que precisa ser feito e como fazer.6. As organizações precisam medir onde estão. .Objetivos de atividades.UFLA/ FAEPE – Framework para Governança de TI (COBIT) queremos chegar? Os custos de se chagar a este ponto são justificados em termos de benefícios? Obter uma visão objetiva do desempenho da organização não é uma tarefa fácil.Métricas relacionadas a desempenho e objetivo para processos de TI. atendendo a três necessidades da organização: . serão detalhadas cada uma dessas orientações referenciadas pelo COBIT para a medição dos processos de TI.40 EDITORA . pode-se dizer que estamos fazendo o suficiente? Como podemos identificar o que é necessário ser feito para alcançar um nível adequado de controle e gerenciamento dos processos de TI? Responder a tais questões não é uma tarefa fácil. O COBIT trata essas questões fornecendo um conjunto de orientações que abrange: . as organizações necessitam cada vez mais considerar a efetividade do gerenciamento da TI.

a Tabela 3 descreve estes níveis. que é utilizado para avaliar a maturidade de desenvolvimento de software. um modelo de maturidade é definido para cada um dos 34 processos de TI. Esta abordagem é derivada de um modelo de maturidade proposto pelo Software Engineering Institute (SEI). medir o progresso das melhorias em relação aos objetivos estabelecidos. as metas da organização em termos de melhorias (Onde a organização deseja estar). Através desse modelo. o atual status do mercado (Comparação com o mercado). decidir para onde se deve ir. que vai de 0 (não existente) até 5 (otimizado). de forma que esta pode ser ranqueada a partir de um nível de maturidade. No COBIT. Modelos de maturidade para gerenciamento e controle de processos de TI são baseados em um método de avaliar a organização. fornecendo uma escala de medição incremental. pode-se identificar: o atual desempenho da organização (Onde se está atualmente).COBIT – Melhores práticas para governança de TI 41 medição de onde a organização está. .

Tais atributos são: consciência e comunicação. comunicados e treinados com os colaboradores. mas intuitivo 3 Processo definido 4 Gerenciado e mensurável 5 Otimizado Os atributos relacionados aos níveis de maturidade listam as características de gerenciamento dos processos de TI e descrevem como estas evoluem de um processo não existente (nível 0) para um processo otimizado (nível 5). Nesse nível. existe um alto grau de confiança no conhecimento das pessoas. ao invés disso. . Existem procedimentos de monitoramento e medição de conformidade com padrões estabelecidos. existe uma abordagem adhoc. 2 Repetitivo. podendo ocorrer erros. O processo não é sofisticado. Baseando-se em resultados de procedimentos de melhoria contínua e em bechmarking com concorrentes. Ferramentas e recursos de automação são utilizados de forma limitada. Além disso. No entanto. Não existe treinamento formal ou procedimentos para comunicação de procedimentos. tal processo não se encontra padronizado. são utilizados recursos de tecnologia da informação para automatizar workflows. 2007) Nível 0 Não existente 1 Inicial Descrição Completa falta de um processo reconhecível Existem evidências de que a organização reconhece a necessidade de estabelecimento do processo. fazendo com que a organização se adapte facilmente a mudanças. mas os procedimentos executados são documentados. ações corretivas são executadas quando ocorrem os desvios. o que aumenta a probabilidade de ocorrerem desvios. aplicada de acordo com a visão de cada indivíduo O processo encontra-se desenvolvido a ponto de estabelecer procedimentos similares que são seguidos por diferentes pessoas que executam a mesma atividade. planos e procedimentos. habilidades e experiência. políticas. O processo encontra-se constantemente em melhoria e fornecem boas práticas à organização. Procedimentos referentes ao processo são padronizados e documentados e existem atividades de comunicação e treinamento. ferramentas e automação.42 EDITORA . responsabilidades. não existem procedimentos relacionados a controle.UFLA/ FAEPE – Framework para Governança de TI (COBIT) TABELA 3 Descrição dos níveis de maturidade referenciados pelo COBIT (Adaptado de ITGI. estabelecimento e medição de objetivos. No entanto.

2 0.4 0.COBIT – Melhores práticas para governança de TI 43 Os níveis de maturidade são estabelecidos como perfis para os processos de TI.6 0. 0. Por exemplo. Essas deficiências podem ser tratadas em melhorias futuras. Os resultados de medições de maturidade através do modelo proposto pelo COBIT resultarão em um perfil. . como mostra a Figura 6. em muitos casos. em que condições relevantes de vários níveis de maturidade serão atendidas. caso não estejam completos ou suficientes para a organização. para tornar os resultados mais claros e úteis. determinadas partes do processo podem estar bem definidas. 2007) Esta situação ocorre porque. Através de tais perfis pode-se descrever o estado presente e o estado futuro (desejado) de um processo.3 0.5 0. ao utilizar o modelo de maturidade do COBIT. ao avaliar a maturidade dos processos através do modelo do COBIT. No entanto. deve-se ter em mente que esse não deve ser utilizado como um modelo rígido. Ao contrário do modelo proposto pelo SEI. pode-se utilizar o gráfico exposto na Figura 7. onde não se pode mover para níveis superiores sem antes cumprir todas as condições de níveis anteriores. o modelo de maturidade do COBIT não tem a intenção de medir níveis de forma precisa. determinados pontos estarão posicionados em diferentes níveis.7 0. Dada esta característica do modelo.1 0 Nível 1 Nível 2 Nível 3 Nível 4 Nível 5 Maturidade FIGURA 6 Exemplo de maturidade para um processo de TI (Adaptado de ITGI. ao passo que outras podem estar incompletas.

A escala de 0 a 5 baseia-se em um modelo simples de maturidade e é capaz de mostrar como um processo evolui de não existente para otimizado. que será tratada na próxima seção. que estabelecem o que precisa acontecer dentro do processo para que se alcance o desempenho desejado e como mensurar tal alcance. . A maturidade requerida para um processo.UFLA/ FAEPE – Framework para Governança de TI (COBIT) FIGURA 7 Representação gráfica de maturidade para um processo de TI (Adaptado de ITGI. 2. Já a medição de desempenho. é possível que o processo não exista na organização.44 EDITORA . A escala inclui o nível 0 porque. objetivos e métricas relacionados a processos.6. maturidade de processo não é o mesmo que desempenho de processo. pode não ser a mesma em toda a organização. em certos casos. 2007) A vantagem de se utilizar um modelo de maturidade está na facilidade em posicionar a organização em uma escala e avaliar o que deve ser envolvido caso seja necessária uma melhoria de desempenho. é essencial para determinar o desempenho da organização em relação aos processos de TI. determinada pelos objetivos de negócio e de TI. que definem quais processos de TI precisam entregar para suportar os objetivos de TI e como mensurar este suporte.2 Medidas de resultado e indicadores de desempenho Objetivos e métricas são definidos no COBIT em três níveis: objetivos e métricas de TI que definem o quê os especialistas no negócio da organização esperam da TI e como mensurar tais expectativas. No entanto. objetivos e métricas relacionados a atividades.

que. A utilidade desse tipo de métrica está em dar uma visão de como a organização está desempenhando as atividades para alcançar os resultados esperados (que podem ser medidos pelos indicadores de resultado). o final de um projeto. que indicam se tal objetivo foi ou não alcançado. processo e atividade. que indicam se um objetivo será ou não alcançado. os objetivos de TI auxiliam na definição de um conjunto de objetivos de processo.COBIT – Melhores práticas para governança de TI 45 Os objetivos são definidos de modo que um objetivo de negócio irá determinar um determinado número de objetivos de TI para suportá-lo. Esta métrica deve ser utilizada antes da ocorrência de um resultado (como. Objetivo de negócio Manter liderança e reputação da empresa Objetivo de TI Assegurar que os sistemas possam resistir a ataques Objetivo de Processo Detectar e eliminar acessos não autorizados Assegurar que os sistemas possam resistir a ataques Detectar e eliminar acessos não autorizados Entender requisitos de segurança. A Figura 8 fornece exemplos de relacionamento entre objetivos de negócio. processo e atividade. vulnerabilidades e ameaças Objetivo de TI Objetivo de Processo Objetivo de Atividade FIGURA 8 Exemplo de relacionamento entre objetivos (Adaptado de ITGI. esta métrica só pode ser utilizada após ter ocorrido um fato (por exemplo. . ou. foram substituídos na versão 4. A Figura 9 ilustra um exemplo de possíveis medidas de resultados para um conjunto de objetivos de negócio. Indicadores de desempenho. 2007) Para controlar tais objetivos. por exemplo. irá requerer um conjunto de atividades que estabelecem objetivos relacionados. tratados em versões anteriores do COBIT. Sendo assim. TI.1 por dois tipos de métricas associadas aos objetivos: Medidas de resultado. antes do fechamento do balanço financeiro mensal de uma empresa). por sua vez. TI. Sendo assim. anteriormente referenciados como Indicadores chave de desempenho. após o fechamento do balanço de uma empresa ou após o término de um projeto). Os termos KGI (Indicadores-chave de objetivo) e KPI (indicadores chave de desempenho). o COBIT estabelece um conjunto de métricas. anteriormente referenciadas como indicadores chave de objetivo.

no COBIT estes conceitos não são rígidos. uma medição de resultado torna-se indicador de desempenho do objetivo indicado no nível superior. Tomando como exemplo a situação indicada na Figura 9.46 EDITORA . Sendo assim.UFLA/ FAEPE – Framework para Governança de TI (COBIT) FIGURA 9 Exemplo de medidas de resultado para objetivos (Adaptado de ITGI. A Figura 10 ilustra um exemplo de como medidas de resultado tornam-se métricas de desempenho. 2007) . um indicador de resultado que trata de detecção e resolução de acesso não autorizado também indicará a necessidade de recuperação e resistência de serviços de TI frente a ataques. FIGURA 10 Exemplo de indicadores de desempenho (Adaptado de ITGI. As medidas de resultado indicadas no nível inferior tornam-se indicadores de desempenho do nível superior. 2007) Apesar de haver distinção entre os dois tipos de métricas descritos acima.

2007) 2. processos e atividades. as métricas fornecidas são tanto medidas de resultado como indicadores de desempenho para objetivos. FIGURA 11 Relacionamento entre objetivos e métricas (Adaptado de ITGI. processo e atividade com as métricas estabelecidas. através dos objetivos de controle. Do lado superior esquerdo para o lado superior direito. gerenciar e controlar de maneira adequada as atividades e recursos de TI. . A Figura 12 ilustra como isso acontece. o COBIT une requisitos de negócio para informação e governança aos objetivos de TI.COBIT – Melhores práticas para governança de TI 47 Desta maneira. TI. os objetivos são expostos. Estas métricas são também indicadores de desempenho do objetivo estabelecido no nível superior.7 Relacionamento entre os componentes do COBIT Como ressaltado em seções anteriores. tais atividades e recursos podem ser monitorados através de métricas. O modelo de processo estabelecido pelo COBIT possibilita. encontram-se as medidas de resultado para cada objetivo. A Figura 11 ilustra o relacionamento entre objetivos de negócio. Além disso. Abaixo desses objetivos.

alinhamento e monitoramento do COBIT (Adaptado de ITGI. requisitos de informação e recursos de TI – formam um cubo que ilustra a função de TI em uma organização. 2007) Os três componentes do COBIT mencionados em seções anteriores – processos de TI. .48 EDITORA . As três dimensões desse cubo são ilustradas na Figura 13. controle.UFLA/ FAEPE – Framework para Governança de TI (COBIT) FIGURA 12 Modelo de gerenciamento.

processos e TI que. 2007) Por fim. . tais componentes se relacionam para prover governança de TI em uma organização. são divididos em atividades. medidas de resultado e modelos de maturidades e controlados por objetivos de controle. A Figura 14 ilustra como os objetivos de negócio são relacionados em objetivos. por sua vez. medidos por indicadores de desempenho.COBIT – Melhores práticas para governança de TI 49 FIGURA 13 Cubo do COBIT (Adaptado de ITGI.

50 EDITORA .UFLA/ FAEPE – Framework para Governança de TI (COBIT) Figura 14 inter-relação entre componentes do COBIT (Adaptado de ITGI. 2007) .

consumidores esperam cada vez mais das organizações.1 INTRODUÇÃO Especialistas em negócios caracterizam o atual ambiente de negócios como sendo de alta velocidade e hiper competitivo. mas que por outro podem implicar do forma negativa no alcance dos objetivos e em uma diminuição de desempenho de uma empresa (HOUBEN et al. reguladores. a identificação e avaliação desses fatores internos e externos. Nesse contexto mudança – ou mudança acelerada – é o termo chave para entender a nova realidade de negócios que as organizações enfrentam (AKHTER. 1999). considera-se necessário concentrar os . Situações de mudanças aceleradas requerem um dinamismo na criação de estratégias que sejam realmente competitivas. Ainda. considera-se como primeiro passo para a formulação de estratégias eficazes. Estratégias consagradas no passado não garantem a sobrevivência no futuro. Diante dessa situação. entre outros. uma vez que o ambiente competitivo encontra-se em constante transição (MARTINS e TURRIONI 2002). Neste novo cenário de negócios. Toda organização é confrontada com uma variedade de fatores internos e externos que por um lado podem ser um fator de estímulo. concorrentes introduzem rapidamente novos produtos. consumidores. Tal ambiente pode ser de natureza interna ou externa à organização. Empresas redesenham suas fronteiras de mercado na medida em que globalizam suas operações em resposta ao ambiente competitivo. 2002).3 INTRODUÇÃO AO MODELO SWOT 3. inovam em canais de distribuição e copiam inovações um dos outros. Um bom desempenho da organização pode ser resultado da interação adequada da organização com o seu ambiente. Essa constatação significa que o cenário pode mudar devido ao rápido desenvolvimento tecnológico e mudanças no comportamento de concorrentes. fornecedores.

O reconhecimento de forças e fraquezas internas e de oportunidades e ameaças externas constitui a base do framework SWOT. No entanto. Nesse sentido responder a forças e fraquezas internas pode constituirse em um componente essencial para o planejamento estratégico das organizações. mas também. que constitui na avaliação de pontos fortes (Strenghts) pontos fracos (Weaknesses). o sucesso pode não advir somente a partir de fatores internos. de seus clientes. Por meio desse framework pode-se realizar a análise SWOT. 3. 1995). sem procrastinar. Collis e Montgomery. esse framework. o mais importante. O sucesso é fruto da combinação de forças e fraquezas internas com oportunidades e ameaças externas (HOUBEN et al. serão descritas as principais características do framework SWOT.. aproveitando a oportunidade de sabê-las e ter condições de tratá-las. A seguir. na década de 1960. trabalhos recentes continuam a utilizar o modelo SWOT como peça central para a criação das estratégias. 2002. é melhor encarar a realidade. Embora possa ser difícil para a organização reconhecer suas fraquezas. eliminar ou reverter as fraquezas. 1995): Forças: consiste na determinação dos pontos fortes da organização.52 EDITORA .1 Estrutura do framework De acordo com Martins e Turrioni (2002). oportunidades (Opportunities) e ameaças (Threats). Martins e Turrioni. Conforme já mencionado nesse trabalho. Para a implantação de uma análise SWOT deve-se analisar os seguintes pontos em uma organização (Boar. embora o campo de estudo de estratégia tenha se desenvolvido e crescido em muitas direções. Andrews. 2001. não somente de seu ponto de vista. que constitui-se em um meio efetivo para a formulação de estratégias. e foi responsável por fundamentar a área de estratégia (Collis e Montgomery. concebido por Kenneth R.UFLA/ FAEPE – Framework para Governança de TI (COBIT) objetivos da empresa à luz de suas forças e. Algumas questões básicas que podem ser utilizadas para esse levantamento são: Há alguma vantagem inigualável ou distinta que faz sua organização se destacar? Que faz com que os clientes escolham sua organização ao invés da concorrente? Há algum produto ou serviços que o concorrente não pode imitar (agora e no futuro)? Fraquezas: consiste na determinação das fraquezas de sua organização. ao mesmo tempo.1. 1999). Algumas questões básicas que podem ser utilizadas para esse levantamento são: .

e (d) MINIMINI (Fraquezas e Ameaças).1. Questões que podem auxiliar nesse levantamento: O que o seu concorrente está fazendo que está suprimindo seu desenvolvimento organizacional? Existe alguma mudança na demanda do consumidor. (c) MINI-MAXI (Fraquezas e Oportunidades). a saber: (a) MAXI-MAXI (Forças e Oportunidades). criando uma matriz estratégica formada por quatro contribuições. a maior contribuição da análise SWOT está em cruzar os fatores externos e internos.Introdução ao modelo SWOT 53 Existem operações ou procedimentos que podem ser melhorados? No que ou por que seus concorrentes operam melhor que a sua organização? Existe algo inoperante da qual sua empresa deveria estar ciente? Seus concorrentes conquistado? têm um determinado segmento de mercado Oportunidades: consiste na determinação de como a organização pode continuar a crescer dentro de seu mercado. oportunidades estão em todo lugar. Questões que podem auxiliar nesse levantamento: Onde e quais são as oportunidades atrativas dentro do seu mercado? Existe alguma nova tendência surgindo dentro do mercado? Quais as perspectivas futuras da sua empresa que possam vir a descrever novas oportunidades? Ameaças: consiste na identificação de ameaças. política governamental. padrões sociais. TABELA 4 Relacionamento entre componentes da análise SWOT (Adaptado de Martins e Turrioni. É vital estar preparado e enfrentar as ameaças durante situações de turbulência. Afinal. (b) MAXIMINI (Forças e Ameaças). tais como mudanças na tecnologia. que pede por novas exigências de seus produtos e serviços? As mudanças tecnológicas estão afetando sua posição dentro do mercado? 3. consideradas como fatores internos ou externos da organização que estão ou poderão sair de controle. 2002) Oportunidades Ameaças Forças MAXI-MAXI MAXI-MINI Fraquezas MINI-MAXI MINI-MINI .2 Correlação entre os elementos em uma análise SWOT Segundo Martins e Turrioni (2002). Essa relação é apresentada na Tabela 4.

uma organização deve se esforçar em maximizar suas forças para capitalizar em novas oportunidades. possibilita uma flexibilidade. enxerga a sua participação como agente competitivo. Na medida em que procura conciliar fatores internos e externos. Isto é mais definitivamente uma estratégia defensiva para minimizar as fraquezas internas da organização e evitar ameaças externas. MINI-MINI (Fraquezas e Ameaças): essa combinação mostra as fraquezas da organização em comparação com as correntes ameaças externas. . MAXI-MINI (Forças e Ameaças): essa combinação mostra as forças da organização na consideração de ameaças de competidores. pode-se concluir que a utilização de análise SWOT: permite a gestão permanente das capacidades internas. velocidade e capacidade de alinhar o comportamento de toda a organização em torno de um fim específico.2 Considerações finais A abordagem de fatores internos e internos tem sido amplamente utilizada para a descrição de estratégias consistentes com os objetivos da organização. Na essência. o conhecimento do valor humano presente na empresa. Em suma. 3. É um esforço para conquistar e reforçar as fraquezas da organização fazendo o máximo possível em qualquer nova oportunidade. uma organização deve se esforçar para utilizar suas forças para aparar ou minimizar suas ameaças. objetivo final. a visão clara de como o mercado.54 EDITORA . por meio do estabelecimento de hipóteses estratégicas traçadas com base nos cenários externos e internos e na visão de futuro da organização. Na essência. MINI-MAXI (Fraquezas e Oportunidades): essa combinação mostra as fraquezas da organização no arranjo com as oportunidades.UFLA/ FAEPE – Framework para Governança de TI (COBIT) O detalhamento das correlações na análise SWOT é apresentado a seguir: MAXI-MAXI (Forças e Oportunidades): essa combinação mostra as forças e oportunidades da organização. a análise SWOT permite que as organizações tratem de forma adequada cenários caracterizados por mudanças aceleradas. permite uma antecipação dos resultados futuros.

ITGI. and knowledge Boar. Woburn. David J. Information Technology Governance Institute.1. 2007.. 2003. A knowledge-based SWOT-analysis system as an instrument for strategic planning in small and medium sized enterprises. Business Horizons. ITGI. COBIT Mapping: Mapping of NIST SP800-53 Rev 1 With COBIT 4. 19-24. Control objectives. e MONTGOMERY. 1999. IT Governance Implementation Guide using COBIT and ValIT. B. p. Decision Support Systems 26_1999. VANHOOF. management.46. New York: John Wiley.1: Framework.. (1995) Competing on resources: strategy in the 1990s. Cynthia A. (2001). . HOUBEN. In: ZACK. Information Technology Governance Institute. K. v. COBIT 4. Maturity models. hypercompetition. Rolling Meadows: ITGI. (ed. 2 edição.) Knowledge and Strategy: resources for the knowledge-based economy. Syed H. 2007.. Rolling Meadows: ITGI. Strategic planning. The Art of Strategic Planning for Information Technology. 25-40. 2007.1. n. MA: Butterworth-Heinemann.4 BIBLIOGRAFIA AKHTER. H. Michael H. K. Information Technology Governance Institute. G. Management guidelines.. LENIE. Rolling Meadows: ITGI. COLLIS. ITGI.125–135.

A..S. Turrioni. Building balanced scorecard with SWOT analysis. 2000. 300p..S. Análise SWOT e Balanced Scorecard: Uma Abordagem Sistemática e Holística para Formulação da Estratégia.56 EDITORA . F. 2002.O. R. J. XXII Encontro Nacional de Engenharia de Produção.. Paulo: ZACK. (1999). Knowledge and Strategy: resources for the knowledge-based economy. B.F..UFLA/ FAEPE – Framework para Governança de TI (COBIT) Lee. Martins. Michael H. Curitiba. pp 68-76.. . MA: Butterworth-Heinemann. and implementing “Sun Tzu’s The Art of Business Management Strategies” on QFD methodology .Managerial Auditing Journal. 1999. Woburn. KO.

Sign up to vote on this title
UsefulNot useful

Master Your Semester with Scribd & The New York Times

Special offer for students: Only $4.99/month.

Master Your Semester with a Special Offer from Scribd & The New York Times

Cancel anytime.