Práticas de Governança em TI (COBIT)

Prévia do material em texto

Práticas de Governança de TI
Autor revisor
Renato Silva de Lima
Autora
Elisamara de Oliveira
Apresentação
Caro(a) estudante,
O objetivo desta disciplina é apresentar e discutir conceitos e temas referentes às práticas de
governança e gestão de TI com base no COBIT – Control Objectives for Information and related
Technology. O tema é de muita importância para o perfil do profissional de hoje, pois trata a TI
como essencial à estratégia da organização.
O COBIT tem uma estrutura orientada a processos e uma visão prática e de ampla aplicabilidade,
que se baseia em um ciclo de vida de melhoria contínua. O modelo segue tendências de mercado
amplamente aceitas como ITIL, CMMI, TOGAF, métodos ágeis, DevOps etc. Embora o COBIT não
pretenda ser uma solução completa que atenda a todas as necessidades de gestão e
governança, pode ser visto como um guia. Ajuda a evitar as armadilhas geralmente encontradas
na implantação de um modelo de governança corporativa, pois aplica boas práticas de mercado
e apoia a organização a atingir resultados positivos, com uma abordagem de controles e
medições tangíveis.
Estudaremos o framework COBIT 2019, que é composto de: 1) princípios: que são 9, divididos em
6 princípios do sistema de governança e 3 princípios da estrutura de governança; 2) objetivos de
governança e gestão: que são 40 no total, sendo que os 5 objetivos de governança estão
agrupados em um único domínio (EDM) e os 35 objetivos de gestão em 4 domínios (APO, BAI,
DSS, MEA), totalizando 5 domínios; 3) componentes do sistema de governança: são os 7 fatores
que contribuem para o funcionamento adequado do sistema de governança criado para a
empresa (estes componentes correspondem aos 7 habilitadores do COBIT 5); 4) cascata de
metas: composta de 13 metas empresariais e 13 metas de alinhamento; 5) áreas de foco: cada
área descreve um determinado tópico de governança, domínio ou problema que pode ser tratado
por uma coleção de objetivos de governança e gestão e seus componentes; 6) fatores de design:
são 11 fatores que podem influenciar o desenho do sistema de governança de uma empresa de
forma que o uso de I&T seja bem-sucedido.
Então prepare-se para conhecer esse tema com mais profundidade, pois certamente fará a
diferença no seu perfil profissional e na sua carreira.
Videoaula - Governança de TI x Governança de I&T
Escaneie a imagem ao lado com um app QR code para assistir o vídeo ou acesse o link:
"https://player.vimeo.com/video/657169024".
Governança de TI × Governança
de I&T
1.
Para servir de insumo às decisões estratégicas, a informação precisa ser tratada como um ativo
essencial às organizações empresariais. Os aspectos relacionados à informação, à tecnologia, à
análise de riscos e à compliance são críticos para o sucesso dos negócios e a competitividade
corporativa.
Eventos marcantes, como as fraudes em resultados e balanços das empresas Enron e WorldCom,
as crises financeiras nos EUA e em países da Europa e as ações da Polícia Federal brasileira
apurando desvios de recursos financeiros dos Estados para o controle da pandemia de Covid-19
são exemplos de falta de controle e alinhamento estratégico para garantir que o processo de
governança esteja sendo executado de acordo com os interesses dos acionistas e entidades de
controle, como o próprio governo.
No cenário moderno em que as empresas passam por intensa transformação digital e que a
criação de valor para os stakeholders é impulsionada por um alto grau de digitalização, baseado
em novos modelos de negócios e regulamentações mais rigorosas, a Informação e a Tecnologia
(I&T) tornam-se cruciais. As empresas digitalizadas estão cada vez mais dependentes da I&T
para sua sobrevivência e crescimento.
Ao tratar desses aspectos, na verdade estamos falando de governança. Mas seria governança de
TI ou governança de I&T? Há diferença entre essas abordagens?
Figura 1 – Transformação digital
Fonte: geralt/pixabay.com
https://objetos.institutophorte.com.br/PDF_generator/img/01.jpg
https://objetos.institutophorte.com.br/PDF_generator/img/01.jpg
Weill e Ross (2005) definem governança de TI como um conjunto de especificações que servem
de apoio para a tomada de decisões, visando estimular comportamentos e ações adequados em
relação ao uso dos recursos de TI. Ou seja, os autores caracterizam a governança como um
modelo que define os direitos e as responsabilidades pelas decisões que encorajam
comportamentos desejáveis no uso de recursos de TI.
O Information Technology Governance Institute (ITGI, 2007, p. 8), ao introduzir o COBIT 4.1, afirma
que a
Veja a Figura 2.
Considerando o importante papel da I&T para a gestão de riscos corporativos e a geração de
valor para os stakeholders, o conceito de governança de TI evoluiu para Governança Corporativa
da Informação e da Tecnologia (GCIT) ou Enterprise Governance of Information and Technology
governança de TI é de responsabilidade dos executivos e da alta direção, consistindo em aspectos
de liderança, estrutura organizacional e processos que garantam que a área de TI da organização
suporte e aprimore os objetivos e as estratégias da organização.
Figura 2 – Áreas de governança de acordo com o COBIT 4.1
Fonte: ITGI (2007, p. 8)
https://objetos.institutophorte.com.br/PDF_generator/img/02.png
https://objetos.institutophorte.com.br/PDF_generator/img/02.png
(EGIT). Podemos chamar esse conceito de Governança de I&T para marcar esse diferencial
ressaltado pelo COBIT 2019.
IMPORTANTE
O COBIT 2019 utiliza os termos “governança de I&T”, “governança corporativa de I&T” e
“governança de TI” de forma intercambiável.
De acordo com a Information Systems Audit and Control Association (ISACA, 2018, p. 10), a
Governança de I&T é exercida pela diretoria, que supervisiona a definição e a implementação de
processos, estruturas e mecanismos relacionais na organização que permitem que os gestores e
o pessoal de TI executem suas responsabilidades no apoio ao alinhamento de negócios à TI e na
criação de valor para os stakeholders a partir de investimentos em I&T. Veja a Figura 3.
A governança de I&T é um processo complexo e multifacetado, cuja implementação requer
adaptações ao contexto e às necessidades de cada organização, requerendo uma profunda
mudança de cultura organizacional para agregar valor aos negócios.
Figura 3 – Contexto do EGIT
Fonte: ISACA (2018, p. 10)
https://objetos.institutophorte.com.br/PDF_generator/img/03.png
https://objetos.institutophorte.com.br/PDF_generator/img/03.png
COBIT como modelo de
Governança de TI
2.
O mercado de TI vive uma era de modelos de boas práticas: para cada função ou iniciativa de TI
há práticas recomendadas para se executar os processos. Mas, ao se definir uma prática para
gestão de TI, necessariamente alguns domínios e controles devem ser considerados para que os
processos tenham, além de eficiência, aderência às atividades de TI.
De acordo com o Instituto Brasileiro de Governança Corporativa (IBGC, 2021), a governança
corporativa
Já o Portal GSTI (2021) define Governança de TI como a
Unindo esses dois importantes conceitos, para fazer a governança da TI, deve-se buscar garantir
que tudo o que é afetado e/ou dependa da TI deva estar sob controle e alinhado à governança
corporativa.
é o sistema pelo qual as empresas e demais organizações são dirigidas, monitoradas e incentivadas,
envolvendo os relacionamentos entre sócios, conselho de administração, diretoria, órgãos de
fiscalização e controle e demais partes interessadas. As boas práticas de governança corporativa
convertem princípios básicos em recomendações objetivas, alinhando interesses com a finalidade
de preservar e otimizar o valor econômico de longo prazo da organização, facilitando seu acesso a
recursos e contribuindo para a qualidade da gestão da organização, sua longevidade e o bem
comum.
Figura 4 – Logotipo do IBGC
Fonte: https://www.ibgc.org.br [https://www.ibgc.org.br/destaques/o-ibgc-
capitulos] .
administração de recursos de TI deforma a garantir o total controle sobre os seus resultados, que
devem estar alinhados aos objetivos do negócio. Para que isso seja possível, as funções, processos,
pessoas, políticas, ferramentas, fornecedores e tudo o mais que envolva TI devem ser geridos de
acordo com diretrizes de TI, que por sua vez, são um desdobramento das diretrizes corporativas.
https://objetos.institutophorte.com.br/PDF_generator/img/04.jpg
https://objetos.institutophorte.com.br/PDF_generator/img/04.jpg
https://www.ibgc.org.br/destaques/o-ibgc-capitulos
https://www.ibgc.org.br/destaques/o-ibgc-capitulos
https://www.ibgc.org.br/destaques/o-ibgc-capitulos
A alta direção tem papel fundamental, devendo definir uma estrutura organizacional alinhada às
metas e objetivos da empresa e definir processos que garantam que a TI corporativa sustente e
estenda as estratégias e objetivos da organização, ou seja, que a TI faça parte integral da
estratégia corporativa.
A TI deve estar alinhada à estratégia corporativa para garantir a ligação entre os planos de
negócios e de TI, definindo, mantendo e validando a proposta de valor, alinhando as
operações de TI com as operações da organização.
O aumento da maturidade empresarial tem levado as organizações a buscar a implantação de
métodos de gestão, governança e práticas bem-sucedidas para diversas áreas, como:
gerenciamento de serviços de TI, tomada de decisão organizacional, controles internos,
gerenciamento de riscos e, é claro, governança da TI. Assim, a ITIL (Information Technology
Infrastructure Library), normas ligadas à segurança da informação, metodologias para o
gerenciamento da qualidade e de projetos, como CMMI, MPS.BR, PMBoK e Scrum, entre outras,
bem como os conceitos de DevOps, têm sido amplamente utilizadas.
Entretanto, a alta direção das organizações empresariais que pretendam ser bem-sucedidas
precisa dar à TI a devida relevância e garantir que faça parte da sua abordagem de governança e
gestão.
Para implantar uma governança que seja efetiva, é necessário que controles sejam
implementados com base em uma metodologia de controles que atinja todos os processos de TI.
Figura 5 – Alta direção de uma empresa
Fonte: geralt/pixabay.com
https://objetos.institutophorte.com.br/PDF_generator/img/05.jpg
https://objetos.institutophorte.com.br/PDF_generator/img/05.jpg
Os modelos mais efetivos de controle são organizados em processos de TI e visam proporcionar
uma ligação entre os requisitos de governança de TI, processos e controles de TI.
É aqui que entra o COBIT, objeto de nossa disciplina.
Videoaula - O COBIT e sua evolução
Escaneie a imagem ao lado com um app QR code para assistir o vídeo ou acesse o link:
"https://player.vimeo.com/video/657170761".
O que é o COBIT?3.
O COBIT (Control Objectives for Information and related Technology) é um framework para a
governança e a gestão de I&T. Em sua proposta, define os componentes e fatores que devem ser
considerados pela empresa para construir e sustentar um sistema de governança mais
adequado às suas necessidades.
O COBIT fornece um modelo que ajuda as organizações a atingirem seus objetivos de
governança e gestão de TI, visando à manutenção do equilíbrio entre a obtenção de benefícios, a
redução dos níveis de risco e a otimização dos recursos.
A ISACA projetou e criou o framework COBIT® 2019 como um recurso gerencial para
profissionais que trabalham com EGIT/GCIT, garantia, risco e segurança. A ISACA não afirma que
o uso do framework garantirá um resultado bem-sucedido. Os profissionais devem aplicar seu
próprio julgamento para a adequação às circunstâncias que se apresentem no ambiente de TI.
Veja o logotipo do COBIT 2019 na Figura 6.
O COBIT não determina como os processos devem ser estruturados, mas os controles que eles
devem possuir para que I&T cumpra seus objetivos em termos de governança, ou seja, contribui
para:
o alinhamento e a entrega de valor por parte da área de TI para o negócio e os stakeholders;
a adequada alocação e medição dos recursos envolvidos; e
a mitigação dos riscos de TI.
A estrutura do COBIT 2019 faz uma forte distinção entre governança e gestão. Vejamos:
A governança busca garantir que: as necessidades, condições e opções das partes interessadas sejam
avaliadas para determinar objetivos empresariais equilibrados; as metas sejam definidas por
prioridades, com base em tomada de decisões; e o desempenho e a conformidade sejam monitorados
em relação às metas e aos objetivos acordados.
A gestão planeja, constrói, executa e monitora as atividades, de forma a manter o alinhamento com
as metas definidas pelo corpo de governança, para atingir os objetivos da empresa.
Figura 6 – Logotipo do COBIT 2019
Fonte: ISACA (2018, p. 1)
https://objetos.institutophorte.com.br/PDF_generator/img/06.jpg
https://objetos.institutophorte.com.br/PDF_generator/img/06.jpg
Mas, tão importante como saber o que o COBIT é, é saber o que ele não é. De acordo com ISACA
(2018, p. 13), o COBIT:
não é uma descrição completa de todo o ambiente de TI de uma empresa;
não é uma estrutura para organizar processos de negócios;
não é uma estrutura técnica de TI para gerenciar toda a tecnologia;
não toma nem prescreve quaisquer decisões relacionadas à TI; e
não decide qual é a melhor estratégia de TI, qual é a melhor arquitetura ou quanto a TI pode ou deve
custar.
Em vez disso, o COBIT define todos os componentes que descrevem quais decisões devem ser
tomadas, como e por quem devem ser tomadas.
Histórico da evolução do COBIT4.
A ISACA é a organização responsável pelo desenvolvimento e atualização do COBIT. É uma
organização global que publica guias que ajudam profissionais que atuam em áreas ligadas à
auditoria de SI/TI, risco, controle, segurança e governança a melhorarem o desempenho dos
negócios das empresas em que trabalham, potencializando o uso da tecnologia e da inovação.
A ISACA lançou o COBIT em 1996 como um conjunto de objetivos de controle de auditoria
financeira. Em pouco tempo, foi percebido que esses controles poderiam ser expandidos para
outras áreas e em 1998 foi lançado o COBIT 2. Essa versão foi ampliada, incorporando diretrizes
de gerenciamento, levando ao lançamento do COBIT 3 nos anos 2000.
Essa versão 3 foi também ampliada, recebendo mais componentes de governança e gestão de TI,
incorporando recomendações de normas ISO/IEC, culminando no lançamento do COBIT 4 e 4.1
entre 2005 e 2007.
Em 2012, o COBIT 5 é lançado, integrando outras metodologias e boas práticas como a ITIL e o
CMMI. Em 2019, nasce o COBIT 2019, objeto de nosso estudo nesta disciplina.
A Figura 7 mostra, de forma sucinta, a linha do tempo do COBIT.
Figura 7 – Evolução do COBIT
Fonte: Chiari (2021).
https://objetos.institutophorte.com.br/PDF_generator/img/07.png
https://objetos.institutophorte.com.br/PDF_generator/img/07.png
Videoaula - O COBIT e sua relação com o negócio da empresa
Escaneie a imagem ao lado com um app QR code para assistir o vídeo ou acesse o link:
"https://player.vimeo.com/video/657172535".
A relação do COBIT com o
negócio da empresa e o BSC
5.
Estudante, conforme está ficando claro, o COBIT é orientado para os negócios, funcionando
como um modelo e uma ferramenta de suporte que facilita a identificação de deficiências nos
instrumentos de controle, nos aspectos técnicos e nos riscos de TI do negócio. 
A visão do COBIT em relação ao Planejamento Estratégico de TI pode ser vista na Figura 8, que
apresenta a pirâmide organizacional que se divide em três níveis: estratégico, tático e
operacional.
No nível estratégico traçamos os objetivos organizacionais, no tático as metas e, no operacional,
as ações a serem realizadas. Essa ordem hierárquica reflete como o processo de tomada de
decisão ocorre.
A relação direta da estratégia de negócio com a governança de I&T está relacionada à visão de
criação de valor. TI tem um papel de viabilizador na cadeia de valor, provendo recursos e
soluções para criar valor para a organização. O gerenciamento e o controle dainformação estão
presentes em todas as práticas do COBIT e ajudam a assegurar o alinhamento com os requisitos
de negócios.
Para atender aos objetivos de negócios, as informações precisam se adequar a certos critérios
de controles ou necessidades de informação da empresa.
Figura 8 – Pirâmide organizacional e o processo de tomada de decisão.
Fonte: autoria própria (2021)
https://objetos.institutophorte.com.br/PDF_generator/img/08.png
https://objetos.institutophorte.com.br/PDF_generator/img/08.png
Os processos de TI podem atender às necessidades da organização de forma mais eficiente e
alinhada à estratégia organizacional, garantindo a entrega dos serviços de TI para gerar valor ao
negócio. Assim, classificar e utilizar os recursos de TI de forma mais eficiente trará mais
eficiência para o negócio.
TI entrega os serviços de acordo com os objetivos de negócio por meio de um conjunto
claramente definido de processos que usam a experiência das pessoas e a infraestrutura
tecnológica para processar aplicativos de negócios de maneira automatizada, aprimorando
as informações de negócios.
O COBIT parte da premissa que os recursos de TI precisam ser gerenciados por um conjunto de
processos agrupados com o objetivo de fornecer informações pertinentes e confiáveis para que a
organização consiga alcançar seus objetivos.
O COBIT 4.1, o COBIT 5 e o COBIT 2019 indicam o BSC – Balanced Scorecard como um método
adequado para contribuir para a tradução da estratégia da organização em objetivos e medidas
tangíveis:
O COBIT 4.1 sugere a implementação do BSC como um método de monitoramento de performance
que seja capaz de registrar as metas, obter as medições, apresentar uma visão ampla e sucinta do
desempenho da TI e se ajustar ao sistema de monitoramento corporativo (ITGI, 2007; p. 162).
O COBIT 5 indica que as necessidades dos stakeholders podem estar relacionadas a um conjunto de
objetivos corporativos genéricos e relaciona-os usando as dimensões do BSC. O COBIT 5 declara que,
embora a lista de objetivos não seja completa, a maioria das organizações pode ser mapeada em um
ou mais desses objetivos corporativos genéricos (ISACA, 2012; p. 19).
O COBIT 2019 define as metas empresariais como aquelas que apoiam a estratégia empresarial, que é
executada pela realização de um conjunto de objetivos da empresa. Essas metas são definidas na
estrutura do COBIT ao longo das 4 dimensões do BSC. (ISACA, 2018, p. 24).
Figura 9 – Perspectivas do BSC
Fonte: Visual Generation/iStock
https://objetos.institutophorte.com.br/PDF_generator/img/09.jpg
https://objetos.institutophorte.com.br/PDF_generator/img/09.jpg
De acordo com Kaplan e Norton (1997), o BSC utiliza, de modo balanceado, indicadores
financeiros e não financeiros que estabelecem as relações de causa e efeito entre esses
indicadores. Esse cenário balanceado procura equilibrar as relações existentes entre 4
perspectivas analisadas pelo BSC: Finance (Financeiro), Customer (Clientes), Internal process
(Processos Internos) e Learning and growth (Aprendizado e crescimento), como pode ser visto na
Figura 9.
Recapitulando a Unidade 1
Iniciamos a unidade mostrando o cenário de transformação digital pelo qual as empresas
passam, que leva à necessidade de adoção de um modelo de governança. Identificamos que há
uma pequena diferença entre governança de TI e governança de I&T (Informação & Tecnologia) e
apresentamos os conceitos, ressaltando, no entanto, que esses termos são usados de forma
intercambiável.
Depois apresentamos o histórico da evolução e descrevemos o COBIT como um modelo de
governança, apresentando a versão 2019, sua relação com o negócio das empresas e o uso do
BSC como ferramenta de apoio.
Exercícios de fixação
O COBIT é atualizado continuamente e harmonizado com outros padrões e guias. Seu principal
objetivo é decidir qual é a melhor estratégia de TI, qual é a melhor arquitetura e quanto a TI pode
ou deve custar para uma empresa.
Verdadeiro Falso
O BSC utiliza apenas os indicadores financeiros, que são fundamentais à empresa, e procura
equilibrar as relações existentes entre 4 perspectivas: Financeiro, Clientes, Processos Internos e
Aprendizado e Crescimento.
Verdadeiro Falso
A governança de I&T é um processo complexo e multifacetado, cuja implementação requer
adaptações ao contexto e às necessidades de cada organização, requerendo uma profunda
mudança de cultura organizacional para agregar valor aos negócios.
Verdadeiro Falso
A alta direção tem papel fundamental, devendo definir uma estrutura organizacional alinhada às
metas e objetivos da empresa e definir processos que garantam que a TI faça parte integral da
estratégia corporativa.
Verdadeiro Falso
Videoaula - Visão geral do COBIT 2019
Escaneie a imagem ao lado com um app QR code para assistir o vídeo ou acesse o link:
"https://player.vimeo.com/video/657174263".
Visão geral do COBIT 20196.
De acordo com a ISACA (2018b), o COBIT® 2019 adiciona diversas melhorias em relação às
versões anteriores, como as seguintes:
Flexibilidade e abertura: o COBIT apresenta uma arquitetura aberta, permitindo que novas áreas de
foco sejam adicionadas ou que as existentes sejam ajustadas. Fatores de design fornecem
flexibilidade para que o COBIT seja adaptado e melhor alinhado ao contexto corporativo em
particular.
Atualidade e relevância: o modelo COBIT referenda e se alinha a conceitos originados em outras
fontes relevantes, como padrões de TI e regulamentos recentes.
Aplicação prescritiva: modelos como o COBIT podem ser descritivos e prescritivos. O modelo
conceitual do COBIT 2019 é construído de modo que a aplicação dos componentes de governança seja
feita de forma prescritiva, ou seja, customizada e sob medida.
Gestão de desempenho de TI: a estrutura do modelo de gestão de desempenho do COBIT está
integrada em seu modelo conceitual, trazendo em seu bojo os conceitos de maturidade e capacidade,
para um melhor alinhamento com o CMMI.
Assista ao vídeo Introducing COBIT® 2019, disponível no YouTube: https://www.youtube.com
[https://www.youtube.com/watch?v=KJLAJSZbfIM]
O COBIT® 2019 é baseado no COBIT® 5 e está alinhado a uma série de padrões e estruturas, de
forma que pode ser visto como um “guarda-chuva” de governança de I&T. A Figura 10 apresenta
alguns desses relevantes padrões.
https://www.youtube.com/watch?v=KJLAJSZbfIM
https://www.youtube.com/watch?v=KJLAJSZbfIM
Figura 10 – COBIT 2019 como um “guarda-chuva” de padrões.
Fonte: autoria própria (2021)
O COSO (Committee of Sponsoring Organizations of the Treadway Commission) foi organizado
em 1985 nos Estados Unidos para patrocinar a National Commission on Fraudulent Financial
Reporting, uma iniciativa independente do setor privado que estudou os fatores que podem levar a
relatórios financeiros fraudulentos.
A National Commission foi patrocinada conjuntamente por cinco grandes associações
profissionais americanas: American Accounting Association (AAA), American Institute of Certified
Public Accountants (AICPA), Financial Executives International (FEI), Instituto de Auditores
Internos (IIA) e a National Association of Accountants, agora Institute of Management
Accountants (IMA). De forma independente dessas organizações patrocinadoras, o COSO incluiu
representantes da indústria, contabilidade pública, empresas de investimento e a Bolsa de Valores
de Nova York.
O objetivo do COSO é fornecer liderança inovadora lidando com três assuntos inter-relacionados:
Enterprise Risk Management (ERM), controle interno e prevenção de fraude.
Fonte: traduzido de (COSO.org, 2021).
https://objetos.institutophorte.com.br/PDF_generator/img/10.png
https://objetos.institutophorte.com.br/PDF_generator/img/10.png
A família de guias do COBIT® 2019 é formada pelas 4 publicações (veja a Figura 11):
1. COBIT® 2019 Framework – Introduction and Methodology: apresenta os conceitos-chave do COBIT® 2019.
2. COBIT® 2019 Framework – Governance and Management Objectives: descreve os 40 objetivos centrais de
governança egerenciamento, juntamente com seus processos e componentes.
3. COBIT® 2019 Design Guide – Designing an Information and Technology Governance Solution: apresenta os
fatores que exercem influência sobre a governança e inclui um roteiro para o planejamento de um sistema
de governança sob medida para a organização.
4. COBIT® 2019 Implementation Guide – Implementing and Optimizing an Information and Technology
Governance Solution: traz um mapa que norteia a melhoria contínua da governança a partir do COBIT 5.
O COBIT 2019 traz seis conceitos-chave, conforme ilustra a Figura 12:
1. Princípios (Principles).
2. Objetivos de governança e gestão (Governance and management objectives).
3. Componentes do sistema de governança (Components of a governance system).
4. Cascata de Metas (Goals cascade).
5. Áreas de foco (Focus areas).
6. Fatores de design (Design factors).
Figura 11 – Família de guias COBIT 2019
Fonte: ISACA (2018b, p. 5)
https://objetos.institutophorte.com.br/PDF_generator/img/11.jpg
https://objetos.institutophorte.com.br/PDF_generator/img/11.jpg
A partir desses conceitos-chave, podemos chegar a uma visão geral da estrutura do COBIT 2019
ilustrado na Figura 13.
Figura 12 – Conceitos-chave do COBIT 2019
Fonte: ISACA (2018b, p. 10)
https://objetos.institutophorte.com.br/PDF_generator/img/12.png
https://objetos.institutophorte.com.br/PDF_generator/img/12.png
Vamos abordar cada um desses conceitos-chave a seguir.
Figura 13 – Visão geral do COBIT 2019
Fonte: autoria própria (2021)
https://objetos.institutophorte.com.br/PDF_generator/img/13.png
https://objetos.institutophorte.com.br/PDF_generator/img/13.png
Videoaula - Princípios do COBIT 2019
Escaneie a imagem ao lado com um app QR code para assistir o vídeo ou acesse o link:
"https://player.vimeo.com/video/657175041".
Princípios7.
O COBIT® 2019 foi desenvolvido com base em dois conjuntos de princípios:
1. Princípios do Sistema de Governança (seis princípios) ou Governance System Principles.
2. Princípios da Estrutura de Governança (três princípios) ou Governance Framework Principles.
Vamos conhecer esses princípios a seguir.
Os seis princípios do Sistema de Governança, conforme ilustra a Figura 14, são:
1. Provide Stakeholder Value (Entrega de valor às partes interessadas): o sistema de governança deve
satisfazer as necessidades dos stakeholders e gerar valor na utilização de recursos de I&T. Esse valor deve
refletir um equilíbrio entre benefícios, riscos e recursos.
2. Holistic Approach (Abordagem holística): um sistema de governança corporativa de I&T é construído a
partir de diversos componentes de diferentes tipos que devem trabalhar juntos de forma holística.
3. Dynamic Governance System (Sistema de governança dinâmico): um sistema de governança deve ser
dinâmico. Caso haja alteração em um ou mais fatores de design (como estratégicos ou tecnológicos), o
impacto no sistema EGIT deve ser avaliado, de forma que este se mantenha viável e preparado para o
futuro.
4. Governance Distinct from Management (Distinção entre governança e gestão): um sistema de governança
deve fazer uma clara distinção entre as atividades e estruturas de governança e de gestão.
5. Tailored to Enterprise Need (Customização às necessidades da empresa): um sistema de governança deve
ser customizado às necessidades da empresa, utilizando os fatores de design como parâmetros para que
seus componentes possam ser priorizados e personalizados.
6. End-to-End Governance System (Sistema de governança de ponta a ponta): um sistema de governança
deve abranger a empresa de ponta a ponta, com foco não apenas no departamento de TI, mas em todos os
recursos de tecnologia e sistemas de processamento de informações que a empresa utiliza para atingir
seus objetivos.
Seis princípios do Sistema de
Governança
7.1
Figura 14 – Princípios do Sistema de Governança
Fonte: ISACA (2018a, p. 17)
https://objetos.institutophorte.com.br/PDF_generator/img/14.png
https://objetos.institutophorte.com.br/PDF_generator/img/14.png
Os três princípios da Estrutura de Governança, conforme ilustra a Figura 15, são:
1. Based on Conceptual Model (Baseada em modelo conceitual): uma estrutura de governança deve ser
baseada em um modelo conceitual, com os componentes principais e seus relacionamentos identificados,
de forma a maximizar a consistência e permitir a automação dos processos.
2. Open and Flexible (Aberta e flexível): uma estrutura de governança deve ser aberta e flexível, permitindo
que novos conteúdos possam ser incorporados e novos problemas possam ser abordados, sem perder a
integridade e a consistência.
3. Aligned to Major Standards (Alinhada aos padrões relevantes): uma estrutura de governança deve estar
alinhada com os mais relevantes padrões, estruturas e regulamentos pertinentes.
A título de comparação, o COBIT 5 tinha como base cinco princípios, conforme ilustra a Figura
16.
Três princípios da Estrutura de
Governança
7.2
Figura 15 – Princípios da estrutura de governança
Fonte: ISACA (2018a, p. 18)
https://objetos.institutophorte.com.br/PDF_generator/img/15.png
https://objetos.institutophorte.com.br/PDF_generator/img/15.png
Figura 16 – Cinco princípios básicos do COBIT 5
Fonte: ISACA (2012, p. 15)
Videoaula - Os 40 objetivos de governança e gestão do COBIT 2019
Escaneie a imagem ao lado com um app QR code para assistir o vídeo ou acesse o link:
"https://player.vimeo.com/video/657177057".
https://objetos.institutophorte.com.br/PDF_generator/img/16.png
https://objetos.institutophorte.com.br/PDF_generator/img/16.png
Objetivos de Governança e
Gestão
8.
Para que I&T contribua para a concretização das metas corporativas, diversos objetivos de
governança e gestão devem ser alcançados. No COBIT 2019 há 40 objetivos.
Os objetivos de governança estão agrupados em um único domínio (EDM) e os objetivos de
gestão em 4 domínios (APO, BAI, DSS, MEA), totalizando 5 domínios. A Figura 17 apresenta os 5
domínios e a quantidade de objetivos ou processos (já que existe uma relação um para um entre
objetivo e processo) associados a cada um deles, totalizando 40 processos (ou objetivos).
A estruturação dos 40 objetivos de governança e gestão distribuídos em 5 domínios forma o
Modelo Central do COBIT, conforme ilustra a Figura 18. Os nomes dos domínios são formados
por verbos que expressam o propósito principal e as áreas de atividade do objetivo neles
contidos. Os 5 domínios são assim definidos:
1. Domínio EDM (Evaluate, Direct and Monitor) ou Avaliar, Direcionar e Monitorar: são 5 objetivos/processos
de governança agrupados neste domínio, permitindo aos responsáveis avaliar as opções estratégicas,
direcionar as estratégias escolhidas e monitorar o seu cumprimento.
2.  Domínio APO (Align, Plan and Organize) ou Alinhar, Planejar e Organizar: são 14 objetivos/processos de
gestão que se relacionam ao gerenciamento de todas as estratégias, setores e atividades de apoio à I&T da
organização, incluindo arquitetura corporativa, finanças, RH, serviços, inovação, vendas, qualidade, risco,
segurança e dados.
Figura 17 – Domínios e objetivos de Governança e Gestão
Fonte: autoria própria (2021))
Modelo Central do COBIT8.1
https://objetos.institutophorte.com.br/PDF_generator/img/17.png
https://objetos.institutophorte.com.br/PDF_generator/img/17.png
3. Domínio BAI (Build, Acquire and Implement) ou Construir, Adquirir e Implementar: são 11
objetivos/processos de gestão que tratam de soluções de I&T e sua integração aos processos, incluindo
programas, requisitos, mudanças, disponibilidade e capacidade, conhecimento, ativos e projetos.
4. Domínio DSS (Deliver, Service and Support) ou Entrega, Serviço e Suporte: são 6 objetivos/processos de
gestão que tratam da entrega operacional e suporte de serviços de I&T, incluindo incidentes, problemas,
continuidade e segurança.
5. Domínio MEA (Monitor, Evaluate and Assess) ou Monitorar, Avaliar e Aferir: são 4 objetivos/processos de
gestão que tratam do monitoramento de desempenho e conformidade de I&T com metas de desempenho,controle interno e requisitos externos.
Observe na Figura 18 os nomes dos 40 processos distribuídos pelos domínios, formando o
modelo central do COBIT 2019.
Figura 18 – Modelo central do COBIT 2019.
Fonte: ISACA (2018a, p. 21).
https://objetos.institutophorte.com.br/PDF_generator/img/18.jpg
https://objetos.institutophorte.com.br/PDF_generator/img/18.jpg
Videoaula - Componentes do sistema de governança do COBIT 2019
Escaneie a imagem ao lado com um app QR code para assistir o vídeo ou acesse o link:
"https://player.vimeo.com/video/657179684".
Componentes do Sistema de
Governança
9.
Para satisfazer os objetivos de governança e gestão, cada organização precisa estabelecer,
adaptar e manter um sistema de governança elaborado a partir de componentes. Mas o que são
componentes?
Componentes são fatores que contribuem para o funcionamento adequado do sistema de
governança criado para a empresa. Os sete componentes interagem entre si, resultando em
um sistema de governança holística para I&T.
Embora os processos sejam os mais conhecidos, os sete componentes podem ser de diversos
tipos. Vamos enumerá-los e defini-los, conforme a ISACA (2018a, p. 21-22):
1. Processos (processes): descrevem um conjunto organizado de práticas e atividades para que seja possível
atingir certos objetivos e produzir um conjunto de resultados que apoiam a realização de metas gerais
relacionadas à TI.
2. Estruturas organizacionais (organizational structures): são as principais entidades responsáveis pela
tomada de decisão em uma empresa.
3. Princípios, políticas e procedimentos (principles, policies and procedures): traduzem o comportamento
desejado em orientação prática para as atividades cotidianas de gestão.
4. Informações (information): incluem todas as informações produzidas e usadas pela organização, mas o
COBIT concentra-se naquelas necessárias ao funcionamento eficaz do sistema de governança.
5. Cultura, ética e comportamento (culture, ethics and behavior): estes aspectos, ligados a pessoas e à
empresa, geram impacto no sucesso das atividades de governança e gestão e não podem ser
subestimados.
6. Pessoas, habilidades e competências (people, skills and competencies): são necessárias para a tomada das
melhores decisões, execução de ações corretivas e sucesso na conclusão das atividades.
7. Serviços, infraestrutura e aplicativos (services, infrastructure and applications): suportam o
processamento de I&T no âmbito do sistema de governança.
Todos os componentes podem ser genéricos (generic components) ou podem ser variantes de
componentes genéricos (variant components):
Genéricos: são descritos no modelo central COBIT e geralmente precisam de customização ao serem
implementados na prática.
Variantes: são baseados nos genéricos, mas são adaptados para um propósito ou área de foco
específico, como segurança da informação, DevOps etc.
Figura 19 – Informações corporativas
Fonte: geralt/pixabay.com
https://objetos.institutophorte.com.br/PDF_generator/img/19.jpg
https://objetos.institutophorte.com.br/PDF_generator/img/19.jpg
A Figura 20 traz os 7 componentes do COBIT 2019 e a Figura 21 traz os 7 habilitadores do COBIT
5. Podemos observar uma clara correlação entre eles.
Figura 20 – Componentes do Sistema de Governança do COBIT 2019
Fonte: ISACA (2018b, p. 20)
Figura 21 – Habilitadores Corporativos do COBIT 5
Fonte: ISACA (2012, p. 29)
https://objetos.institutophorte.com.br/PDF_generator/img/20.png
https://objetos.institutophorte.com.br/PDF_generator/img/20.png
https://objetos.institutophorte.com.br/PDF_generator/img/21.png
https://objetos.institutophorte.com.br/PDF_generator/img/21.png
Videoaula - A Cascata de Metas do COBIT 2019
Escaneie a imagem ao lado com um app QR code para assistir o vídeo ou acesse o link:
"https://player.vimeo.com/video/657181940".
Cascata de Metas10.
As necessidades dos stakeholders devem ser transformadas em uma estratégia que possa ser
acionada pela empresa. A cascata de metas oferece suporte aos objetivos de governança e
também suporta a priorização de objetivos de gestão com base na priorização das metas
empresariais.
A cascata de metas, conforme mostra a Figura 22, também fornece apoio à tradução das metas
empresariais (Enterprise Goals – EG) em prioridades para metas de alinhamento (Alignment
Goals – AG).
A cascata de objetivos do COBIT 5 foi totalmente atualizada no COBIT® 2019:
As metas de alinhamento passaram a definir melhor o alinhamento dos esforços de TI com os
objetivos de negócios.
As metas empresariais e as metas de alinhamento foram consolidadas, reduzidas, atualizadas e mais
bem explicadas.
O COBIT 2019 traz 13 metas empresariais e 13 metas de alinhamento, todas acompanhadas de
exemplos de métricas. As metas são distribuídas pelas 4 dimensões do BSC. O Quadro 1
apresenta alguns exemplos dessas métricas, a título de ilustração.
Quadro 1 – Exemplos de metas empresariais (EG) e de alinhamento (AG).
Figura 22 – Cascata de Metas do COBIT 2019
Fonte: adaptado de ISACA (2018a, p. 28)
https://objetos.institutophorte.com.br/PDF_generator/img/22.png
https://objetos.institutophorte.com.br/PDF_generator/img/22.png
Referência
Perspectiva do
BSC Nome da meta Métricas
EG02 Financeira Managed business risk
(Risco de negócio
gerenciado)
-Porcentagem de objetivos de negócios e
serviços críticos cobertos pela avaliação
de risco -Proporção de incidentes
significativos que não foram identificados
em avaliações de risco × incidentes totais
-Frequência apropriada de atualização do
perfil de risco
EG05 Clientes Customer-oriented service
culture (Cultura de serviço
orientada ao cliente)
-Número de interrupções no atendimento
ao cliente -Porcentagem de stakeholders
satisfeitos que a entrega do serviço
atende aos níveis acordados -Número de
reclamações de clientes -Tendência dos
resultados da pesquisa de satisfação do
cliente
AG11 Processos
Internos
I&T compliance with
internal policies
(Conformidade de I&T com
políticas internas)
-Número de incidentes relacionados à
não conformidade com políticas
relacionadas à TI -Número de exceções às
políticas internas -Frequência de revisão
e atualização de políticas
AG13 Aprendizagem e
Crescimento
Knowledge, expertise and
initiatives for business
innovation (Conhecimento,
experiência e iniciativas
para inovação dos negócios)
-Nível de ciência e compreensão do
executivo de negócios das possibilidades
de inovação em I&T -Número de
iniciativas aprovadas resultantes de
ideias de I&T inovadoras -Número de
campeões de inovação reconhecidos ou
premiados
Fonte: adaptado de ISACA (2018a).
Áreas de foco11.
De acordo com a ISACA (2018, p. 22), uma área de foco “descreve um determinado tópico de
governança, domínio ou problema que pode ser tratado por uma coleção de objetivos de
governança e gestão e seus componentes”.
Exemplos de áreas de foco incluem: pequenas e médias empresas, cibersegurança, riscos,
transformação digital, computação em nuvem, privacidade e DevOps.
Assista a um vídeo no YouTube sobre o DevOps, intitulado DevOps // Dicionário do Programador,
disponível em: https://www.youtube.com [https://www.youtube.com/watch?v=iwf6kcvxeD4] .
Estudante, o DevOps já foi exemplificado como uma variante de componente genérico e agora
também como uma área de foco. Isso está certo?
A resposta é sim. O DevOps possui diversos objetivos genéricos de governança e de gestão do
modelo central do COBIT, junto com diversas variantes de processos e estruturas
organizacionais relacionados ao desenvolvimento, operação e monitoramento. Além disso, como
o DevOps é um modelo que requer orientação, e torna-se, também, uma área de foco. Observe a
Figura 23.
Figura 23 – DevOps
Fonte: https://ichi.pro/pt [https://ichi.pro/pt/devops-e-fundamental-para-
iniciantes-32841197744744] .
https://www.youtube.com/watch?v=iwf6kcvxeD4
https://www.youtube.com/watch?v=iwf6kcvxeD4
https://objetos.institutophorte.com.br/PDF_generator/img/23.png
https://objetos.institutophorte.com.br/PDF_generator/img/23.png
https://ichi.pro/pt/devops-e-fundamental-para-iniciantes-32841197744744https://ichi.pro/pt/devops-e-fundamental-para-iniciantes-32841197744744
https://ichi.pro/pt/devops-e-fundamental-para-iniciantes-32841197744744
O número de áreas de foco é, a princípio, ilimitado. Essa característica dá ao COBIT um caráter de
modelo aberto, ou seja, novas áreas de foco podem ser adicionadas conforme a necessidade da
empresa ou por sugestão de especialistas e profissionais.
Videoaula - Os 11 fatores de design do COBIT 2019
Escaneie a imagem ao lado com um app QR code para assistir o vídeo ou acesse o link:
"https://player.vimeo.com/video/657183694".
Fatores de design12.
Fatores de design são aqueles que podem influenciar o desenho do sistema de governança de
uma empresa de forma que o uso de I&T seja bem-sucedido.
Os fatores de design a serem considerados no desenho do sistema de governança incluem
qualquer combinação entre os 11 fatores mostrados na Figura 24.
Não vamos aqui expandir todos os detalhes dos 11 fatores de design, mas apresentaremos uma
versão completa ou resumida de cada um deles a seguir.
1. Enterprise strategy (estratégia empresarial): embora as empresas tenham, normalmente, uma estratégia
primária e, no máximo, uma estratégia secundária, existem essas possibilidades:
estratégia de crescimento/aquisição;
estratégia de inovação/diferenciação;
estratégia de liderança em custos; e
estratégia de atendimento ao cliente/estabilidade.
2. Enterprise goals (metas empresariais): as metas empresariais suportam a estratégia empresarial e as 13
metas sugeridas são estruturadas com base nas 4 perspectivas do Balanced Scorecard (BSC).
3. Risk Profile (perfil de risco): identifica o tipo de risco ao qual cada recurso de I&T está exposto, visando
indicar quais áreas excedem o apetite de risco empresarial. São indicadas 19 categorias de risco que
merecem consideração.
4. I&T-related issues (problemas relacionados à I&T): a empresa pode considerar quais, entre os potenciais
problemas de I&T, realmente se materializaram, como um método de avaliação de risco de I&T. São
indicados 20 problemas, numerados de A até T.
5. Threat landscape (cenário de ameaças): o cenário de ameaças sob o qual a empresa opera pode ser
classificado de duas formas:
normal: a empresa opera em níveis considerados dentro da normalidade; e
elevado: em função de fatores como situação geopolítica, setor da indústria ou outras
particularidades, a empresa opera em um ambiente de grandes ameaças.
Figura 24 – Fatores de design
Fonte: ISACA (2018a, p. 23)
https://objetos.institutophorte.com.br/PDF_generator/img/24.png
https://objetos.institutophorte.com.br/PDF_generator/img/24.png
6. Compliance requirements (requisitos de conformidade): os requisitos de conformidade aos quais a
empresa está sujeita podem ser classificados em 3 categorias:
Requisitos de baixa conformidade: há um conjunto mínimo de conformidades ao qual a empresa
está sujeita, considerado inferior à média.
Requisitos de conformidade normais: todos os setores da empresa estão sujeitos a um mesmo
conjunto de requisitos de conformidade.
Requisitos de alta conformidade: a empresa está sujeita a requisitos de conformidade
considerados acima da média em função do ambiente em que atua.
7. Role of IT (função da TI): a função da TI dentro da empresa pode ser classificada em:
Suporte: a TI e a inovação não são essenciais para o funcionamento e continuidade do processo de
negócios e serviços;
Fábrica: falhas de TI causam impacto imediato no funcionamento e na continuidade dos processos
e serviços de negócios, embora a TI não seja fator determinante para impulsionar os negócios ou
criar inovação;
Turnaround: a TI é fator determinante para impulsionar processos e serviços de negócios
inovadores, embora não ocorra uma dependência crítica de TI para o funcionamento e
continuidade do processo de negócios e serviços; e
Estratégica: a TI é crucial para a gestão e inovação dos processos de negócios e serviços.
8. Sourcing model for IT (modelo de fornecimento de TI): o modelo de fornecimento de TI (sourcing) que a
empresa adota pode ser classificado como:
terceirizado (outsourcing): a empresa recorre aos serviços de terceiros para prover serviços de TI;
Figura 25 – Compliance.
Fonte: geralt/pixabay.com
Figura 26 – TI atuando como função estratégica na empresa
Fonte: geralt/pixabay.com.
https://objetos.institutophorte.com.br/PDF_generator/img/25.jpg
https://objetos.institutophorte.com.br/PDF_generator/img/25.jpg
https://objetos.institutophorte.com.br/PDF_generator/img/26.jpg
https://objetos.institutophorte.com.br/PDF_generator/img/26.jpg
em nuvem (cloud): a empresa maximiza o uso da nuvem para fornecer serviços de TI para seus
usuários;
interno (insourced): a empresa tem sua própria equipe para prover os serviços de TI; e
híbrido (hybrid): a empresa emprega um modelo misto, que seria uma combinação de outsourcing,
cloud e insourced.
9. IT implementation methods (métodos de implementação de TI): os métodos que a empresa adota podem
ser classificados em:
Agile: a empresa utiliza métodos ágeis para desenvolvimento de software;
DevOps: a empresa usa métodos de trabalho DevOps para construção de software, implantação e
operações;
Tradicional: a empresa usa uma abordagem mais clássica (cascata) para o desenvolvimento de
software e o separa das operações; e
Híbrido: a empresa usa uma combinação de implementação de TI tradicional e moderna, também
conhecido como “TI bimodal”.
10. Technology adoption strategy (estratégia de adoção de tecnologia): a estratégia de adoção de tecnologia
pode ser classificada como:
11. first mover: a empresa é pioneira e geralmente adota novas tecnologias o mais cedo possível;
12. follower: a empresa normalmente espera que novas tecnologias se tornem populares e sejam
comprovadas antes de adotá-las; e
13. slow adopter: a empresa geralmente se atrasa na adoção de novas tecnologias.
14. Enterprise size (tamanho da empresa): as grandes empresas são aquelas que possuem mais de 250
Funcionários em Tempo Integral (FTIs) e as de pequeno e médio porte possuem de 50 a 250 FTIs.
A Figura 28 exemplifica alguns fatores de design e seu detalhamento.
Figura 27 – Cloud computing
Fonte: wynpnt/pixabay.com
https://objetos.institutophorte.com.br/PDF_generator/img/27.jpg
https://objetos.institutophorte.com.br/PDF_generator/img/27.jpg
Figura 28 – Alguns fatores de design e detalhes associados
Fonte: autoria própria (2021).
Práticas profissionais - O COBIT 2019 aplicado no segmento
varejista
Escaneie a imagem ao lado com um app QR code para assistir o vídeo ou acesse o link:
"https://player.vimeo.com/video/657200889".
https://objetos.institutophorte.com.br/PDF_generator/img/28.png
https://objetos.institutophorte.com.br/PDF_generator/img/28.png
Recapitulando a Unidade 2
Esta unidade apresentou uma visão geral do COBIT® 2019, elencando as suas principais
melhorias em relação às versões anteriores e apresentando os 4 guias que compõem a família
de publicações do COBIT 2019.
Em seguida, foram introduzidos e apresentados em mais detalhes os 6 conceitos-chave do
COBIT 2019.
Conceito-chave 1) princípios, que são 9, divididos em 6 princípios do sistema de governança e 3
princípios da estrutura de governança.
Conceito-chave 2) objetivos de Governança e Gestão, que são 40 no total, sendo que os 5
objetivos de governança estão agrupados em um único domínio (EDM) e os 35 objetivos de
gestão em 4 domínios (APO, BAI, DSS, MEA), totalizando 5 domínios.
Conceito-chave 3)  Componentes do Sistema de Governança, que são os 7 fatores que
contribuem para o funcionamento adequado do sistema de governança criado para a empresa.
Esses componentes correspondem aos 7 habilitadores do COBIT 5.
Conceito-chave 4)  Cascata de Metas: são 13 metas empresariais e 13 metas de alinhamento,
todas acompanhadas de exemplos de métricas, e distribuídas pelas 4 dimensões do BSC.  
Conceito-chave 5)  Áreas de Foco, cada área descreve um determinado tópico de governança,
domínio ou problema que pode ser tratado por uma coleção de objetivos de governançae gestão
e seus componentes.
Conceito-chave 6) Fatores de design, que são 11 fatores que podem influenciar o desenho do
sistema de governança de uma empresa de forma que o uso de I&T seja bem-sucedido.
Exercícios de fixação
O COBIT 2019 traz ___ princípios, ___ fatores de design, ___ domínios e ___ componentes do
sistema de segurança. As lacunas são correta e respectivamente preenchidas com:
7 – 13 – 11 – 9
6 – 9 – 5 – 13
9 – 11 – 5 – 7
9 – 13 – 4 – 11
No COBIT 2019, os 11 componentes interagem entre si, resultando em um sistema de
governança holística para I&T
Verdadeiro Falso
O COBIT 2019 traz 9 objetivos empresariais e 9 objetivos de alinhamento, todos acompanhados
de exemplos de métricas; esses 18 objetivos são distribuídos pelas 4 dimensões do BSC.
Verdadeiro Falso
Videoaula - Visão geral e princípios do COBIT Performance
Management
Escaneie a imagem ao lado com um app QR code para assistir o vídeo ou acesse o link:
"https://player.vimeo.com/video/657186647".
Visão geral do COBIT
Performance Management
13.
Um sistema de governança e gestão precisa contar com um modelo de gestão de desempenho,
pois este mostra o quão bem o sistema e os componentes de uma organização funcionam. Além
disso, a gestão do desempenho ajuda os gestores a definirem diretrizes relativas às ações
corretivas e de melhoria necessárias para se atingir os níveis almejados pela empresa, sejam
estes níveis de capacidade e/ou de maturidade.
O termo CPM – COBIT Performance Management é utilizado pelo COBIT 2019 para descrever
este modelo de gestão de desempenho, sendo parte integrante do framework.
O modelo CPM se alinha com o CMMI® Development V2.0, conforme mostra o logotipo da Figura
29.
O CPM pode ser assim resumido:
as atividades do processo estão associadas aos níveis de capacidade. Isso está incluído no guia
COBIT® 2019 Framework- Governance and Management Objectives;
os níveis de maturidade estão associados às áreas de foco e serão alcançados se todos os níveis de
capacidade exigidos forem alcançados; e
outros tipos de componentes de governança podem ter níveis de capacidade definidos de forma
específica em orientações futuras.
Figura 29 – Logotipo do CMMI® Development V2.0
Fonte: CMMI Institute (2018)
https://objetos.institutophorte.com.br/PDF_generator/img/29.jpg
https://objetos.institutophorte.com.br/PDF_generator/img/29.jpg
Se uma empresa deseja continuar usando o modelo de capacidade de processo do COBIT 5 com
base na Norma ISO/IEC 15504 (atualizada para ISO/IEC 33000, na qual os níveis de capacidade
têm significados muito diferentes), todas as informações necessárias para fazê-lo encontram-se
no guia COBIT® 2019 Framework- Governance and Management Objectives. Nenhuma
publicação separada do Process Assessment Model - PAM é necessária.
Fonte: ISACA (2018a, p. 38).
A Figura 30 apresenta o modelo CPM e sua correlação com o modelo do COBIT 5.
Figura 30 – Modelo CPM
Fonte: ISACA (2018a, p. 38)
https://objetos.institutophorte.com.br/PDF_generator/img/30.png
https://objetos.institutophorte.com.br/PDF_generator/img/30.png
Princípios do modelo CPM14.
O CPM do COBIT® 2019 é baseado em cinco princípios:
1. O CPM deve ser simples de entender e de usar.
2. O CPM deve ser consistente e apoiar o modelo conceitual do COBIT. Deve permitir a gestão do
desempenho de todos os tipos de componentes do sistema de governança, bem como de processos e
outros tipos de componentes se os usuários assim o desejarem.
3. O CPM deve fornecer resultados confiáveis, repetíveis e relevantes.
4. O CPM deve ser flexível, para que possa atender aos requisitos de diferentes organizações com diferentes
prioridades e necessidades.
5. O CPM deve apoiar diferentes tipos de avaliação, desde autoavaliações até avaliações formais ou
auditorias.
Para fazer a avaliação de desempenho, o CPM utiliza os níveis de capacidade e os níveis de
maturidade.
O nível de capacidade verifica e mede se um processo associado a um objetivo foi devidamente
implementado e executado. Esse nível também realiza a medição de quaisquer outros
componentes relacionados a um determinado objetivo sob análise. Já o nível de maturidade faz
o ajustamento desses níveis de capacidade a uma determinada área de foco. A Figura 31 ilustra
esse conceito.
Figura 31 – Níveis de capacidade e de maturidade do COBIT 2019
Fonte: Chiari (2021)
https://objetos.institutophorte.com.br/PDF_generator/img/31.png
https://objetos.institutophorte.com.br/PDF_generator/img/31.png
Videoaula - Níveis de Capacidade e de Maturidade do COBIT 2019
Escaneie a imagem ao lado com um app QR code para assistir o vídeo ou acesse o link:
"https://player.vimeo.com/video/657188881".
Níveis de Capacidade de
Processo
15.
O COBIT® 2019 trabalha com um modelo de capacidade de processo baseado no CMMI v2.0. O
processo dentro de cada objetivo de governança e de gestão pode operar em níveis de
capacidade que variam do 0 ao 5. O nível de capacidade é uma medida de quão bem um
processo é implementado e executado.
O modelo central do COBIT atribui níveis de capacidade a todas as atividades do processo,
permitindo uma definição clara, para cada processo, de quais atividades são necessárias para se
atingir os diferentes níveis de capacidade.
A Figura 32 mostra os níveis crescentes de capacidade e suas características gerais.
Um nível de capacidade pode ser alcançado por gradações, que podem ser expressas por um
conjunto de classificações. O alcance dessas classificações disponíveis depende do contexto em
que a avaliação de desempenho é feita, podendo ocorrer de duas formas:
por meio de métodos formais: estes métodos geralmente levam a uma certificação independente,
usando um conjunto binário de classificações baseado em aprovação/reprovação; e
por meio de métodos menos formais: esses métodos trabalham com uma gama maior de
classificações, como:
1. Totalmente: o nível de capacidade é alcançado acima de 85%.
2. Amplamente: o nível de capacidade é alcançado entre 50% e 85%.
3. Parcialmente: o nível de capacidade é alcançado entre 15% e 49%.
4. Não: o nível de capacidade não é alcançado, pois ficou abaixo de 15%.
Figura 32 – Níveis de capacidade de processo do CPM
Fonte: adaptado de ISACA (2018a, p. 39).
https://objetos.institutophorte.com.br/PDF_generator/img/32.png
https://objetos.institutophorte.com.br/PDF_generator/img/32.png
Cada atividade de cada processo está associada a um nível de capacidade, porque isso pode:
ajudar os usuários a implementarem os processos em um nível fundamental; e
identificar atividades futuras visando ao alcance de um nível de capacidade mais alto.
O Quadro 2 apresenta um exemplo de atividades e níveis de capacidade a elas atribuídas. Na
tabela estão representadas as cinco atividades da prática Maintain continuous improvement
(Manter melhoria contínua):
Área: Management.
Domínio: Align, Plan and Organize.
ID do objetivo: APO11.
Objetivo: Managed Quality.
ID da prática: APO11.05.
Nome da prática: Maintain continuous improvement.
Quadro 2 – Exemplo de atribuição de níveis de capacidade a atividades de práticas de processo.
Atividade
Nível de
capacidade
1. Estabeleça uma plataforma para compartilhar boas práticas e capturar informações
sobre defeitos e erros para que se possa aprender com eles e evitá-los.
2
2. Identifique exemplos de processos de entrega de excelente qualidade que possam
beneficiar outros serviços ou projetos. Compartilhe-os com as equipes de serviço e
entrega de projetos para incentivar a melhoria.
3
3. Identifique exemplos recorrentes de defeitos. Determine sua causa-raiz, avalie seu
impacto e resultado e chegue a um acordo sobre ações de melhoria com as equipes de
entrega de serviço e/ou projeto.
3
4. Forneça treinamento aos funcionários nos métodos e ferramentas de melhoria
contínua.
3
5. Compare os resultados das análises de qualidade com dados históricos internos,
diretrizes da indústria, padrões e tipos de dados semelhantes de outras empresas.
4
Fonte: adaptado de ISACA (2018b, p. 35).Níveis de maturidade das Áreas
de Foco
16.
Os níveis de maturidade são utilizados quando é necessário um nível mais alto para expressar o
desempenho do processo, uma vez que o nível de capacidade mede a granularidade aplicável às
atividades individualmente.
O COBIT® 2019 define os níveis de maturidade como uma medida de desempenho no nível da
área de foco, ou seja, de uma coleção de objetivos de governança e de gestão, bem como os
componentes subjacentes. Os níveis de maturidade são definidos em uma escala de 0 a 5,
conforme ilustra a Figura 33.
Um certo nível de maturidade é alcançado se todos os processos contidos na área de foco
atingirem esse nível de capacidade específico.
Assim, ficou claro, estudante, que um nível de capacidade é atribuído a cada uma das atividades
do processo. Nessa abordagem, os processos podem ter uma clara avaliação de desempenho
em vários níveis de capacidade.
Entretanto, as organizações empresariais precisam entender seu nível de maturidade para
melhor implementar a estrutura de governança do COBIT 2019, uma vez que esta as ajuda a lidar
melhor com os requisitos dos clientes em constante mudança. O PAM (Process Assessment
Model) do COBIT 5 pode ser utilizado para melhorar os níveis de maturidade em governança e
gerenciamento de sua infraestrutura de I&T.
Figura 33 – Níveis de maturidade de áreas de foco do CPM.
Fonte: adaptado de ISACA (2018a, p. 40)
https://objetos.institutophorte.com.br/PDF_generator/img/33.png
https://objetos.institutophorte.com.br/PDF_generator/img/33.png
Gestão de desempenho de outros
componentes do sistema de
governança
17.
Há diversos outros componentes do sistema de governança que precisam ou é desejável que
tenham seu desempenho medido e acompanhado. Entre esses componentes estão: estruturas
organizacionais, itens de informação, cultura e comportamento. Vamos discutir como esses
componentes podem ser gerenciados a seguir.
Não há nenhum método formal que seja conhecido e aceito para avaliar o desempenho das
estruturas organizacionais. Entretanto, há diversos critérios que podem ser considerados neste
processo de avaliação. Esses critérios podem, ainda, ser subdivididos em subcritérios ligados
aos vários níveis de capacidade. Os critérios são:
Critério 1: execução bem-sucedida das práticas de processo pelas quais a estrutura (ou função)
organizacional tem Autoridade (A) ou Responsabilidade (R) de acordo com a tabela RACI. Uma tabela
RACI identifica quem é Responsável (R), Autoridade (A), Consultado (C) e Informado (I), por uma
atividade, ou seja:
R: Responsável por executar a atividade (o executor). Responde à pergunta: Quem está
realizando a tarefa?
A: Aprovador ou Autoridade, quem deve responder pela atividade. Responde à pergunta: Quem
responde pelo sucesso da atividade?
C: Consultado, quem deve ser consultado, devendo participar da decisão para a realização da
atividade ou participar da atividade no momento em que ela for executada. Responde à
pergunta: Quem é responsável pelas entradas?
I: Informado, quem deve receber informações relevantes sobre a atividade sendo ou já
executada. Responde à pergunta: Quem recebe a informação?
A Figura 34 traz um exemplo de tabela RACI que descreve o papel de cada membro da equipe
dentro de um processo.
Gestão de Desempenho de Estruturas
Organizacionais
17.1
Critério 2: aplicação bem-sucedida de variadas práticas de gestão de estrutura organizacional, como
as seguintes:
identificar os objetivos para o desempenho das estruturas organizacionais;
planejar o desempenho da estrutura organizacional para que possa ser monitorada;
ajustar o desempenho da estrutura organizacional para atender aos planos;
identificar, disponibilizar e alocar recursos e informações necessários para a estrutura
organizacional;
garantir a eficácia da comunicação e a atribuição clara de responsabilidades por meio da
definição das interfaces entre a estrutura organizacional e os stakeholders; e
realizar avaliações regulares visando à melhoria contínua da estrutura organizacional.
Critério 3: aplicação bem-sucedida de uma série de boas práticas para estruturas organizacionais,
tais como:
formalização e definição de princípios operacionais: cada estrutura organizacional deve ser
formalmente estabelecida, seus princípios operacionais devem ser documentados, reuniões
regulares devem ser realizadas e reportadas; e
definição de nível de autoridade e direitos de decisão: os direitos de decisão relativos à
estrutura organizacional devem ser definidos, documentados, respeitados e cumpridos, bem
como a delegação de autoridade; e
definição de procedimentos de escalação: esses procedimentos devem ser definidos e
cumpridos.
Figura 34 – Exemplo de tabela RACI
Fonte: ITGI (2007, p. 33)
Um item de informação pode ser avaliado considerando até que ponto os critérios de qualidade
relevantes são alcançados. O modelo do COBIT 2019 define 3 critérios principais para
informação: Intrínsecos, Contextualizados e Acessibilidade. Esses 3 critérios contam com 15
subcritérios, todos elencados a seguir e ilustrados na Figura 35.
1. Critérios Intrínsecos: avalia até que ponto os dados estão em conformidade com os valores atuais ou reais.
Subcritério 1 – Acurácia (accuracy): verifica o quanto a informação é correta e confiável.
Subcritério 2 – Objetividade (objectivity): verifica o quanto a informação é a informação é neutra,
sem prejulgamentos e imparcial.
Subcritério 3 – Credibilidade (believability): verifica o quanto a informação é considerada
verdadeira e crível.
Subcritério 4 – Reputação (reputation): verifica o quanto a informação é fidedigna à sua fonte ou
conteúdo.
2. Critérios Contextualizados: avalia até que ponto a informação é aplicável à tarefa de informação do
usuário e é apresentada de forma inteligível e clara, reconhecendo que a qualidade da informação
Gestão de Desempenho de Itens de
Informação
17.2
https://objetos.institutophorte.com.br/PDF_generator/img/34.png
https://objetos.institutophorte.com.br/PDF_generator/img/34.png
depende do contexto em que é utilizada.
Subcritério 5 – Relevância (relevancy): verifica o quanto a informação é aplicável e útil para a
tarefa em evidência.
Subcritério 6 – Completude (completeness): verifica o quanto a informação não tem partes
faltantes e tem profundidade e amplitude suficientes para a tarefa em evidência.
Subcritério 7 – Atualidade (currency): verifica o quanto a informação é suficientemente atualizada
para a tarefa em questão.
Subcritério 8 – Quantidade adequada (appropriate amount): verifica o quanto o volume da
informação é apropriado para a tarefa em questão.
Subcritério 9 – Representação concisa (concise representation): verifica o quanto a informação é
compactamente representada.
Subcritério 10 – Representação consistente (consistent representation): verifica o quanto a
informação é apresentada no mesmo formato.
Subcritério 11 – Interpretabilidade (interpretability): verifica o quanto a informação está em
linguagens, símbolos e unidades apropriados e o quão claras são as definições.
Subcritério 12 – Compreensibilidade (understandability): verifica o quanto a informação é
facilmente compreendida.
Subcritério 13 – Facilidade de manipulação (easy of manipulation): verifica o quanto a informação
é fácil de ser manipulada e se aplica a diferentes tarefas.
3. Critérios de Acessibilidade: avalia até que ponto a informação está disponível e pode ser obtida.
4. Subcritério 14 – Disponibilidade (availabilty): verifica o quanto a informação está disponível quando
necessário, ou o quanto é recuperável fácil e rapidamente.
5. Subcritério 15 – Restrição de acesso (restricted access): verifica o quanto o acesso à informação é
adequadamente restrito às pessoas autorizadas.
Para o componente relativo à cultura e ao comportamento, deve ser possível definir um conjunto
de aspectos desejáveis e/ou indesejáveis que conduzam a uma boa governança e gestão de I&T,
para os quais possam ser atribuídos diferentes níveis de capacidade.
O guia COBIT® 2019 Framework:Governance and Management Objectives define os aspectos
dos componentes de cultura e de comportamento para a maioria dos objetivos.
Figura 35 – Critérios de qualidade da informação.
Fonte: ISACA (2018a, p. 42)
Gestão de Desempenho de Cultura e
Comportamento
17.3
https://objetos.institutophorte.com.br/PDF_generator/img/35.png
https://objetos.institutophorte.com.br/PDF_generator/img/35.png
Videoaula - O COBIT 2019 como framework de governança de TI
Escaneie a imagem ao lado com um app QR code para assistir o vídeo ou acesse o link:
"https://player.vimeo.com/video/657192218".
Recapitulando a Unidade 3
Nesta unidade estudamos o CPM – COBIT Performance Management, o modelo de gestão de
desempenho do framework COBIT 2019, que é baseado em cinco princípios.
Para fazer a avaliação de desempenho, o CPM utiliza níveis de capacidade e de maturidade que
são alinhados ao CMMI® Development V2.0. Vimos que o nível de capacidade verifica e mede se
um processo associado a um objetivo foi devidamente implementado e executado. Esse nível
também realiza a medição de quaisquer outros componentes relacionados a um determinado
objetivo sob análise. Já o nível de maturidade faz o ajustamento desses níveis de capacidade a
uma determinada área de foco.
Vimos, ainda, que há diversos outros componentes do sistema de governança que precisam ter
seu desempenho medido e acompanhado, quais sejam, estruturas organizacionais, itens de
informação, cultura e comportamento, e finalizamos a unidade estudando cada um deles.
Exercícios de fixação
Um item de informação pode ser avaliado considerando até que ponto os critérios de qualidade
relevantes são alcançados. O modelo do COBIT 2019 define três critérios principais para
informação:
de segurança, de confidencialidade e de disponibilidade, e cada um desses critérios conta
com 4 subcritérios
intrínsecos, contextualizados e de acessibilidade, e esses 3 critérios contam com 15
subcritérios
de confidencialidade, de integridade e de disponibilidade e cada um desses critérios conta
com 5 subcritérios
contextualizados, de segurança e de acessibilidade e esses 3 critérios contam com 12
subcritérios
No nível de maturidade 2, o processo atinge seu propósito por meio da aplicação de um conjunto
básico, porém completo, de atividades que podem ser caracterizadas como realizadas.
Verdadeiro Falso
Videoaula - Roteiro para o projeto de um sistema de governança
Escaneie a imagem ao lado com um app QR code para assistir o vídeo ou acesse o link:
"https://player.vimeo.com/video/657194920".
Roteiro para o projeto de um
sistema de governança
18.
Certamente a criação de um sistema de governança não conta com fórmulas predefinidas. Para
que esse sistema seja confeccionado sob medida, etapas podem ser seguidas, conforme ilustra
a Figura 36, mas o projeto final será o reflexo das características e necessidades da empresa em
foco.
O projeto deve priorizar os objetivos de governança e gestão e seus componentes relacionados,
visando ao alcance de níveis de capacidade almejados. 
Algumas das etapas e atividades recomendadas podem resultar em orientações conflitantes, que
são inevitáveis quando é utilizado um maior número de fatores de design.
O roteiro ou fluxo de atividades proposto pela ISACA (2018a) para projetar um sistema de
governança sob medida é descrito a seguir.
1. Entender o contexto e a estratégia da empresa
1.1 Compreender a estratégia da empresa
1.2 Compreender as metas da empresa
1.3 Compreender o perfil de risco corporativo
1.4 Compreender os problemas presentes relacionados à I&T
2. Determinar o escopo inicial do sistema de governança
2.1 Considerar a estratégia empresarial
Figura 36 – Etapas e atividades do projeto de um sistema de
governança.
Fonte: adaptado de ISACA (2018a, p. 47)
https://objetos.institutophorte.com.br/PDF_generator/img/36.png
https://objetos.institutophorte.com.br/PDF_generator/img/36.png
2.2 Considerar os objetivos da empresa e aplicar a Cascata de Metas do COBIT
2.3 Considerar o perfil de risco da empresa
2.4 Considerar os problemas presentes relacionados à I&T
3. Fazer o refinamento do escopo do sistema de governança
3.1 Considerar o panorama de ameaças
3.2 Considerar os requisitos de conformidade
3.3 Considerar os papéis e responsabilidades de TI
3.4 Considerar o modelo de fontes de informação
3.5 Considerar os métodos de implementação de TI
3.6 Considerar a adoção da estratégia de TI
3.7 Considerar o tamanho da empresa
4. Concluir o sistema de governança
4.1 Resolver os conflitos inerentes às prioridades
4.2 Concluir o projeto do sistema de governança
Videoaula - Fatores de Design e sua influência no projeto do
sistema de governança
Escaneie a imagem ao lado com um app QR code para assistir o vídeo ou acesse o link:
"https://player.vimeo.com/video/657196544".
Fatores de design e seu impacto
no projeto de um sistema de
governança
19.
Os fatores de design exercem grande influência no estabelecimento de um sistema de
governança para uma organização empresarial. Essa influência pode ser sintetizada em três
aspectos, ilustrados na Figura 37 e descritos a seguir.
1. Seleção e priorização dos objetivos de governança e gestão: o modelo central do COBIT traz 40 objetivos de
governança e gestão. Cada objetivo corresponde a um processo e cada processo está relacionado a
diversos componentes. Como os objetivos são intrinsecamente equivalentes, cabe à organização fazer a
seleção e a priorização daqueles que melhor contribuem para o alcance de níveis mais altos de
capacidade.
2. Escolha dos componentes: os componentes são necessários para atingir os objetivos de governança e
gestão. Alguns design factors podem influenciar a importância de um ou mais componentes ou podem
exigir variações específicas.
3. Identificação de áreas de foco específicas: alguns fatores de design, como “threat landscape”, “risk profile”
e “IT implementation methods” conduzirão à necessidade de ajuste do conteúdo do modelo central do
COBIT a um contexto, levando à necessidade de escolha de áreas de foco mais adequadas.
Figura 37 – Aspectos da influência dos fatores de design
Fonte: autoria própria (2021)
https://objetos.institutophorte.com.br/PDF_generator/img/37.png
https://objetos.institutophorte.com.br/PDF_generator/img/37.png
Implementação da Governança
Corporativa de TI com base no
COBIT
20.
O Guia de Implementação do COBIT® 2019 tem como ênfase uma visão corporativa da
governança de I&T, uma vez que não é possível nem desejável que haja uma separação entre os
negócios e as atividades relacionadas à TI.
De acordo com o COBIT 2019, o sistema de governança e gestão de I&T deve ser implementado
como parte integrante da governança corporativa, cobrindo todos os negócios de ponta a ponta,
incluindo as áreas funcionais de responsabilidade de TI.
Algumas implementações de sistemas de governança falham quando não são patrocinadas
pela gestão executiva, não têm o escopo adequado e não definem objetivos atingíveis.
O guia de implementação do COBIT também parte do pressuposto de que, embora seja
recomendada uma abordagem que efetivamente leve a iniciativas de melhoria, o objetivo
principal deve ser o de estabelecer uma prática comercial normal e uma abordagem sustentável
para governar e gerenciar a I&T como qualquer outro aspecto da governança corporativa. Por
isso, a abordagem de implementação se embasa no empoderamento dos gestores do negócio e
dos stakeholders de forma que possam assumir a tomada de decisão e as atividades
relacionadas à governança e à gestão de TI, facilitando e permitindo mudanças.
A implementação será encerrada quando as prioridades relacionadas à TI e à melhoria da
governança estiverem gerando benefícios mensuráveis e o sistema de governança tiver se
tornado parte integrante da atividade empresarial.
Figura 38 – Gestores e stakeholders
Fonte: geralt/pixabay.com
https://objetos.institutophorte.com.br/PDF_generator/img/38.jpg
https://objetos.institutophorte.com.br/PDF_generator/img/38.jpgVideoaula - As 7 fases da implementação da governança
Escaneie a imagem ao lado com um app QR code para assistir o vídeo ou acesse o link:
"https://player.vimeo.com/video/657199030".
As 7 fases da implementação do
sistema de governança
corporativa com base no COBIT
21.
As fases da implementação indicam uma forma de as organizações usarem o COBIT para tratar a
complexidade e os desafios geralmente encontrados durante o programa. Para que a
implementação seja bem-sucedida, é essencial que um ambiente adequado seja criado na
organização. Além disso, deve existir um fluxo para atender ao processo de melhoria contínua
nas fases do programa.
A Figura 39 apresenta uma visão mais ampla da implementação do COBIT. Há 7 fases divididas
em 3 abordagens inter-relacionadas:
1. Ciclo de vida de melhoria contínua (continual improvement life cycle): anel interno, em azul claro,
formado por atividades críticas e mandatórias.
2. Capacitação de mudanças (change enablement): anel do meio, em vermelho, envolvendo atividades
relativas aos aspectos comportamentais e culturais.
3. Gestão do programa (program management): anel externo, em azul-escuro, que reúne as atividades
iniciais de cada fase.
As 7 fases (também indicadas na Figura 39) que compõem a abordagem de implementação do
COBIT são:
1. Quais são os direcionadores? (What are the drivers?)
2. Onde estamos agora? (Where are we now?)
Figura 39 – Roteiro para implementação do COBIT
Fonte: traduzido de COBIT (2018, p. 50)
https://objetos.institutophorte.com.br/PDF_generator/img/39.png
https://objetos.institutophorte.com.br/PDF_generator/img/39.png
3. Onde queremos estar? (Where do we want to be?)
4. O que precisa ser feito? (What needs to be done?)
5. Como chegaremos lá? (How do we get there?)
6. Já chegamos lá? (Did we get there?)
7. Como mantemos a dinâmica (ou ímpeto de continuar)? (How do we keep the momentum going?)
Vamos apresentar essas fases a seguir.
A fase 1 busca identificar os aspectos de mudança que precisam ser trabalhados e criar um
desejo de mudança nos gestores executivos, que devem usar um caso de negócios para expô-
las.
Um direcionador de mudança pode ser um evento interno ou externo ou uma condição ou
questão-chave que atue como catalisador para a mudança. Esses direcionadores podem ser:
tendências da indústria, do mercado ou técnicas; déficits de desempenho; implementações de
software etc; até mesmo os objetivos da empresa podem atuar como direcionadores de
mudança.
Preparar, manter e monitorar um caso de negócios é essencial para justificar, apoiar e garantir o
sucesso dos resultados de todas as iniciativas, incluindo a melhoria do sistema de governança.
Além disso, os casos de negócios precisam ser gerenciados em todo o ciclo de vida e devem
elencar os riscos associados à implementação do COBIT, visando garantir um foco contínuo nos
Fase 1: Quais são os direcionadores?
(What are the drivers?)
21.1
Figura 40 – Fase 1 – discutindo os aspectos de mudança
Fonte: jmexclusives/pixabay.com
https://objetos.institutophorte.com.br/PDF_generator/img/40.jpg
https://objetos.institutophorte.com.br/PDF_generator/img/40.jpg
seus benefícios.
A fase 2 procura alinhar os objetivos relacionados à I&T com as estratégias e riscos da empresa,
devendo priorizar os objetivos, as metas empresariais (Enterprise Goals – EG), as metas de
alinhamento (Alignment Goals – AG) e os processos.
Com base nas metas, nos objetivos relacionados à TI e outros fatores de design selecionados, a
empresa conseguirá identificar os objetivos de governança e de gestão, bem como os processos
a eles subjacentes, que sejam capazes de garantir resultados bem-sucedidos. O COBIT® 2019
Design Guide fornece vários fatores de design para ajudar nessa seleção.
Para realizar a gestão, é necessário que se conheça a capacidade atual dos processos da
empresa e se identifique onde podem existir deficiências. Isso pode ser conseguido por meio de
uma avaliação da capacidade do estado atual dos processos selecionados.
Na fase 3 define-se uma meta de melhoria e realiza-se uma gap analysis para identificar
soluções potenciais para o alcance da meta.
Algumas soluções trarão bons resultados de forma rápida, mas outras serão mais desafiadoras,
exigindo tarefas de longo prazo.
Recomenda-se que seja dada prioridade às metas que são mais fáceis de serem alcançadas e
que tenham potencial de trazer maior benefício. Tarefas de longo prazo devem ser divididas em
partes gerenciáveis.
Fase 2: Onde estamos agora? (Where are
we now?)
21.2
Fase 3 – Onde queremos estar? (Where
do we want to be?)
21.3
Assista ao vídeo Gap Analysis: what is it?, disponível no YouTube: https://www.youtube.com
[https://www.youtube.com/watch?v=6y03qoPMp4Y] . (Ative as legendas em português, se
quiser).
https://www.youtube.com/watch?v=6y03qoPMp4Y
https://www.youtube.com/watch?v=6y03qoPMp4Y
A fase 4 concentra-se no planejamento de soluções viáveis e práticas, na definição de projetos
apoiados por casos de negócio bem justificados e em um plano de implementação da mudança.
Um caso de negócios bem estruturado pode ajudar a garantir que os benefícios que o projeto
objetiva alcançar sejam identificados e monitorados continuamente.
Fase 4 – O que precisa ser feito? (What
needs to be done?)
21.4
Figura 41 – Fase 4 – planejamento e definição de projetos.
Fonte: geralt/pixabay.com.
A fase 5 concentra-se no planejamento da implementação das soluções propostas por meio das
práticas cotidianas e pelo estabelecimento de medidas e sistemas de monitoramento que
busquem garantir que ocorra o alinhamento de TI com os negócios e o desempenho possa ser
medido.
Para que o sucesso seja alcançado, é necessário haver engajamento, comunicação,
compreensão e comprometimento da alta direção executiva e dos proprietários de processos de
TI e de negócios afetados.
Fase 5 – Como chegaremos lá? (How do
we get there?)
21.5
https://objetos.institutophorte.com.br/PDF_generator/img/41.jpg
https://objetos.institutophorte.com.br/PDF_generator/img/41.jpg
A fase 6 cuida da colocação das práticas de governança e de gestão aprimoradas na operação
normal do negócio, ou seja, nessa fase é que são postas em ação as novas práticas criadas com
base no COBIT.
Nessa fase é igualmente importante que haja um monitoramento das novas práticas de forma a
se medir o seu desempenho por meio de métricas, visando verificar se os benefícios esperados
estão sendo alcançados.
Na 7ª fase o sucesso geral da iniciativa de implementação do COBIT é verificado. É importante
verificar, ainda, se existem outros requisitos de governança ou gestão a serem incluídos, pois
toda a implementação deve se manter em melhoria contínua. Nessa fase, também deve-se
observar se há outras oportunidades para se melhorar o sistema de governança.
O gerenciamento da implementação do COBIT é baseado em boas práticas e fornece pontos de
verificação em cada uma das 7 fases, visando garantir que a empresa esteja no caminho correto.
Os casos de negócio e os riscos devem ser atualizados e o planejamento para a fase seguinte
deve ser ajustado de maneira adequada para garantir que a implementação atinja o desempenho
esperado.
Figura 42 – Fase 5 – engajamento da direção executiva
Fonte: mohamed_hassan/pixabay.com
Fase 6 – Já chegamos lá? (Did we get
there?)
21.6
Fase 7 – Como mantemos a dinâmica (ou
ímpeto de continuar)? (How do we keep
the momentum going?)
21.7
https://objetos.institutophorte.com.br/PDF_generator/img/42.jpg
https://objetos.institutophorte.com.br/PDF_generator/img/42.jpg
Videoaula - Fatores críticos para a implementação do COBIT
Escaneie a imagem ao lado com um app QR code para assistir o vídeo ou acesse o link:
"https://player.vimeo.com/video/657199841".
Fatores críticos para a
implementação do COBIT
22
O valor que pode ser gerado com a aplicação do COBIT depende do nível de profundidade da
implementação e da adaptação do modelo dentro do ambiente de cada organização. Em cada
organização necessariamentehaverá desafios específicos e peculiares, incluindo a gestão de
mudanças de cultura e comportamento.
Antes de aplicarmos o guia de implementação do COBIT, devemos ter uma visão clara e,
principalmente, estratégica do cenário organizacional. Devemos ter clareza de como a empresa
está, como é a sua cultura, seus processos e seu apetite por riscos e se os controles estão
dentro do contexto do modelo de gestão e governança.
A governança e a gestão corporativa de TI não ocorrem de forma isolada. Muitas empresas não
possuem níveis adequados de gestão e alinhamento das funções de TI com as necessidades de
negócio e atuam em clima e ambiente sem perspectiva holística.
De acordo com a ISACA (2012, p. 37), cada organização deve elaborar seu próprio roteiro de
implementação, respondendo perguntas relativas aos fatores específicos do seu ambiente
interno e do ambiente externo, como:
Como é o ambiente cultural e ético?
Quais leis, regulamentos e políticas estão dentro do contexto e são aplicáveis?
Quais são a missão, a visão e os valores?
Quais políticas e práticas de governança são aderentes?
Qual é o plano de negócios e as intenções estratégicas?
Qual é o modelo operacional e nível de maturidade?
Quais são os estilos de gestão presentes ou desejáveis?
Qual o apetite ao risco (risk appetite)?
Quais as capacidades e recursos disponíveis?
Quais práticas da indústria são utilizadas e aplicáveis?
Esses questionamentos continuam válidos no COBIT 2019, pois é clara a importância de haver
uma abordagem de governança e gestão corporativa de TI, que é um grande diferencial
competitivo.
Os principais fatores para uma implementação bem-sucedida, na visão da ISACA, são:
deve haver patrocínio e fornecimento, pela alta gestão executiva, da orientação e da autorização para
a implementação, bem como o compromisso e o apoio visíveis e contínuos;
todos os stakeholders devem apoiar os processos de governança e gestão a fim de que haja
entendimento dos objetivos de TI e da organização;
deve haver garantia de comunicação efetiva das mudanças necessárias;
deve ocorrer o monitoramento da adaptação do COBIT e dos demais padrões e boas práticas de apoio
a fim de atender ao contexto único da organização; e
deve haver foco em resultados rápidos e priorização das melhorias mais benéficas e que sejam mais
fáceis de implementar.
É importante que a implementação dos processos utilizando o COBIT seja devidamente
governada e adequadamente gerenciada. Para isso, deve haver uma estrutura organizacional
bem estabelecida, com times devidamente treinados e alinhados ao contexto da estratégia e
objetivos de negócio.
Sabemos que importantes iniciativas de TI podem ser levadas ao fracasso em função da falta de
orientação, de suporte e de controle das pessoas e setores envolvidos. Implantar o COBIT é um
tipo clássico de iniciativa que pode cair na mesma armadilha e falhar.
Por isso, é importante que a organização utilize instrumentos que levem à realização de
verificações de integridade, levantamento de diagnósticos ou análises de capacidade para
aumentar a sensibilização quanto à importância da adoção da governança, criando consenso e
gerando um comprometimento entre os stakeholders.
Figura 43 – Perguntas antes da implementação do COBIT
Fonte: https://pixabay.com/ [https://pixabay.com/pt/illustrations/pergunta-
escadas-solu%c3%a7%c3%a3o-decis%c3%a3o-1713304/]
https://objetos.institutophorte.com.br/PDF_generator/img/43.jpg
https://objetos.institutophorte.com.br/PDF_generator/img/43.jpg
https://pixabay.com/pt/illustrations/pergunta-escadas-solu%c3%a7%c3%a3o-decis%c3%a3o-1713304/
https://pixabay.com/pt/illustrations/pergunta-escadas-solu%c3%a7%c3%a3o-decis%c3%a3o-1713304/
https://pixabay.com/pt/illustrations/pergunta-escadas-solu%c3%a7%c3%a3o-decis%c3%a3o-1713304/
O compromisso e a adesão das partes envolvidas devem ser solicitados desde o início, bem
como a definição das metas e objetivos de negócio. Para alcançar isso, os objetivos e benefícios
da implementação devem ser expressos usando linguagem e termos claros de negócio e
resumidos em uma visão de objetivos de negócio.
Recursos adequados deverão ser fornecidos para apoiar o programa de implementação do
COBIT e as funções e responsabilidades deverão ser definidas e atribuídas, transformando o
envolvimento das partes interessadas em um grande time estratégico.
O comprometimento de todos os envolvidos, ao longo de todo o período de implementação
do COBIT, é fator crítico de sucesso, e suas funções e responsabilidades devem ser
monitoradas e geridas de forma transparente e clara dentro da organização.
As estruturas e processos apropriados para supervisão e orientação deverão ser criados e
mantidos, garantindo um alinhamento contínuo e frequente das abordagens de governança e
gestão de risco em toda a organização.
Figura 44 – Compromisso e adesão dos stakeholders
Fonte: Tumisu/pixabay.com
https://objetos.institutophorte.com.br/PDF_generator/img/44.jpg
https://objetos.institutophorte.com.br/PDF_generator/img/44.jpg
Apoio e compromisso claro devem ser oferecidos pelas principais partes interessadas,
incorporando a alta direção e os executivos, para definir uma alta sintonia e sinergia, de forma a
garantir o compromisso com o programa de implementação em altos níveis de gestão e
governança.
Outro fator crítico de sucesso é a implantação das mudanças de forma adequada,
considerando os objetivos de governança ou gestão selecionados. Mas não se pode deixar
de lado a gestão dos aspectos humanos, comportamentais e culturais da mudança, bem
como a motivação dos stakeholders para aceitar a mudança.
Esse é um aspecto de criação de divergências e pode gerar riscos para a implementação. Existe
a possibilidade real de pessoas ignorarem ou mesmo resistirem às mudanças.
Por isso deve haver um plano de comunicação eficiente que defina o que será comunicado, de
que forma, para quem, ao longo das várias fases do programa de implementação do COBIT. De
preferência isso deve ser feito de cima para baixo, da alta direção para os níveis hierárquicos
mais baixos.
As barreiras humanas, comportamentais e culturais devem ser superadas de modo a promover
um interesse comum em garantir a capacidade de adotar a mudança e de forma correta, além de
infundir a vontade de adotá-la.
Figura 45 – Comunicação eficiente
Fonte: https://pixabay.com/ [https://pixabay.com/pt/photos/gabarito-
relat%c3%b3rio-de-volta-3653368/]
https://objetos.institutophorte.com.br/PDF_generator/img/45.jpg
https://objetos.institutophorte.com.br/PDF_generator/img/45.jpg
https://pixabay.com/pt/photos/gabarito-relat%c3%b3rio-de-volta-3653368/
https://pixabay.com/pt/photos/gabarito-relat%c3%b3rio-de-volta-3653368/
https://pixabay.com/pt/photos/gabarito-relat%c3%b3rio-de-volta-3653368/
Práticas profissionais - O COBIT 2019 aplicado no segmento
financeiro
Escaneie a imagem ao lado com um app QR code para assistir o vídeo ou acesse o link:
"https://player.vimeo.com/video/657202625".
Caso de Negócios (business
case)
23.
A criação de um caso de negócios é realizada para analisar e justificar o início de um grande
projeto e/ou investimento financeiro. Sendo a implementação do COBIT um grande projeto que
envolve diversos recursos, estes estão intrínsecos ao programa de implementação do sistema de
governança e gestão corporativo.
A criação de um business case deve ser atribuída a um responsável, mas contar com a
participação de todas as partes interessadas. Isso pode ser feito em um alto nível do ponto de
vista estratégico, considerando uma visão top down (de cima para baixo).
O caso de negócios poderá iniciar com uma clara compreensão dos resultados organizacionais
desejados e progredir até uma descrição detalhada das tarefas, metas e objetivos críticos,
incluindo as funções e responsabilidades envolvidas dentro da estrutura organizacional.
De acordo com a ISACA (2012, p. 40), um caso de negócios deve incluir:
os benefícios almejados pela organização, seu alinhamento com a estratégiade negócios e os
respectivos responsáveis, considerando os pontos fracos e eventos desencadeadores que possam
gerar risco;
as mudanças nos negócios necessárias para criar o valor esperado, podendo considerar as
verificações de integridade e análises de falhas na capacidade, devendo indicar claramente o que
está incluído no escopo e o que não está;
os investimentos necessários para criar as mudanças na governança e gestão de TI da organização;
os custos fixos do negócio e de TI envolvidos em cada iniciativa;
os benefícios esperados da operação após a mudança;
os riscos inerentes a cada item elencado, considerando quaisquer restrições ou dependências;
as funções, competências e responsabilidades relacionadas à iniciativa;
Figura 46 – Criação de um caso de negócios
Fonte: https://image.freepik.com/ [https://image.freepik.com/free-
photo/group-diverse-people-having-business-meeting_53876-25060.jpg] .
https://objetos.institutophorte.com.br/PDF_generator/img/46.jpg
https://objetos.institutophorte.com.br/PDF_generator/img/46.jpg
https://image.freepik.com/free-photo/group-diverse-people-having-business-meeting_53876-25060.jpg
https://image.freepik.com/free-photo/group-diverse-people-having-business-meeting_53876-25060.jpg
https://image.freepik.com/free-photo/group-diverse-people-having-business-meeting_53876-25060.jpg
a forma como o investimento e a criação de valor serão monitorados durante todo o ciclo de vida
econômico e como os indicadores serão usados.
O caso de negócios não deve ser considerado um documento estático definitivo, mas uma
ferramenta operacional dinâmica que deve ser continuamente atualizada para refletir a visão
atualizada do futuro para que a melhoria contínua possa ser mantida.
Haverá uma dificuldade evidente em quantificar os benefícios da implementação, por isso
cuidados devem ser tomados para que haja comprometimento apenas com benefícios realistas e
atingíveis.
Recapitulando a Unidade 4
Iniciamos esta unidade apresentando um roteiro proposto pela ISACA para projetar um sistema
de governança sob medida para uma organização. Falamos, em seguida, dos impactos que a
escolha dos fatores de design tem sobre esse projeto.
Em seguida apresentamos as 7 fases da implementação do sistema de governança corporativa
com base no COBIT. Discutimos os fatores críticos de sucesso para essa implementação e
fechamos o tema mostrando a importância do caso de negócios.
Podemos concluir que, para garantir o sucesso do fluxo de implementação do COBIT 2019, é
necessário agir de forma amplamente alinhada e com ampla comunicação em toda a
organização. Isso pode ser feito apresentando os pontos fracos que estejam gerando impactos
ou mostrando a oportunidade de melhoria a ser alcançada com a definição de metas e objetivos.
O nível adequado de urgência e importância deve ser exposto, as prioridades devem ser
indicadas e inseridas no contexto gerencial. As principais partes interessadas devem estar
cientes dos riscos das tomadas de decisão e dos benefícios da realização do programa, devendo
haver equilíbrio no apetite de riscos.
Exercícios de fixação
Um direcionador de mudança pode ser um evento interno ou externo ou uma condição ou
questão-chave que atue como catalizador para a mudança.
Verdadeiro Falso
A equipe que trabalha na implementação do COBIT 2019 está colocando em prática os objetivos
de governança e de gestão aprimorados para a operacionalização normal do negócio, ou seja,
nessa fase estão sendo postas em ação as novas práticas criadas com base no COBIT. Essas
tarefas correspondem à fase:
5
6
7
4
Considerações finais
Caro(a) estudante,
Pelo que estudamos, podemos entender que o COBIT é um modelo que reúne processos de
governança, gestão e alinhamento estratégico. Contempla uma visão de processos apoiados por
requisitos de negócios para a governança interligada com as responsabilidades e as funções de
TI. O modelo de processos do COBIT permite que as atividades de TI e os recursos que as
suportam sejam apropriadamente gerenciados e controlados com base nos controles e
monitoramento definidos.
Esperamos que você tenha conseguido entender como funciona um modelo de gestão e
governança como o COBIT.
Nosso objetivo foi trazer para você uma abordagem tática e estratégica desse tema que vem a
cada dia sendo cobrado de forma mais enfática nos perfis profissionais que as empresas
buscam: prática de governança e gestão de TI com base no COBIT.
Levamos as discussões em um nível de profundidade que, acreditamos, capacita você desde já a
implementar um plano de gestão e governança de TI consistente e ter uma visão mais
estratégica da TI, sempre levando em consideração o alinhamento estratégico com o negócio.
Você saberá como usar os recursos de TI exclusivamente para gerar valor ao negócio, apoiar a
organização com controle e capacidade nos processos de TI, de forma a gerenciar os riscos
operacionais e garantir maior eficiência do uso de TI para os processos da organização.
Como você deve ter percebido, a implementação de um sistema de governança corporativa com
base no COBIT é trabalhosa, mas também sabemos que é fator crítico de sucesso para as
organizações apoiarem-se em modelos como o COBIT para aumentar seu controle sobre os
recursos de TI e, consequentemente, aumentar a capacidade dos processos de TI. Parabéns por
ter concluído esta disciplina, e esperamos que o conhecimento aqui adquirido contribua de forma
significativa para a sua melhor atuação profissional!
Prof. Renato Lima e Profa. Elisamara
Autoria
Autor revisor
Bacharel em Sistemas de Informação pela Universidade Mackenzie, com cursos de pós-
graduação MBA em Gerenciamento em Projetos pela FGV, Gestão Empresarial e Executivo
Internacional pela FIA e Planejamento Estratégico pela Escola de Marketing Industrial.
Realizou programas internacionais de ensino de negócios nas universidades Columbia,
Vanderbilt e Illinois Institute of Technology nos EUA, King’s College na Inglaterra e Lyon Business
School na França.
Possui certificações como PMP, CGEIT, ITIL, COBIT, CRISC e CBCP (DRII). Trabalha e pesquisa as
melhores práticas de governança e gestão, como ITIL, COBIT, PMBok, COSO-ERM desde 2001.
Atuou em cargos de gestão em empresas como IBM, Citibank, Natura e atualmente é Head de
Riscos, Analytics e Continuidade de Negócios no GPA (Grupo Pão de Açúcar).
Renato Silva de Lima
Autora
Possui doutorado em Engenharia Elétrica pela Universidade de São Paulo, mestrado em Ciência
da Computação pela Universidade Federal de Minas Gerais e é bacharel em Ciência da
Computação pela Universidade Federal de Minas Gerais. É professora de diversas disciplinas da
área de TI, incluindo disciplinas ligadas à governança de TI, gerenciamento de serviços de TI,
gerenciamento de projetos, programação de computadores e estruturas de dados. Possui mais
de 30 anos de experiência profissional na área de TI, com atuação mais recente como
coordenadora de projetos de TI e designer pedagógica EAD, gerenciando a equipe que atua no
departamento de TI de uma instituição ligada à área de Educação e realizando a supervisão de
qualidade técnica de conteúdo EAD, além de elaborar, credenciar, autorizar e coordenar projetos e
cursos de pós-graduação EAD na área de TI.
Elisamara de Oliveira
Exercícios de fixação - respostas
O COBIT é atualizado continuamente e harmonizado com outros padrões e guias. Seu principal
objetivo é decidir qual é a melhor estratégia de TI, qual é a melhor arquitetura e quanto a TI pode
ou deve custar para uma empresa.
Verdadeiro Falso
O BSC utiliza apenas os indicadores financeiros, que são fundamentais à empresa, e procura
equilibrar as relações existentes entre 4 perspectivas: Financeiro, Clientes, Processos Internos e
Aprendizado e Crescimento.
Verdadeiro Falso
A governança de I&T é um processo complexo e multifacetado, cuja implementação requer
adaptações ao contexto e às necessidades de cada organização, requerendo uma profunda
mudança de cultura organizacionalpara agregar valor aos negócios.
Verdadeiro Falso
A alta direção tem papel fundamental, devendo definir uma estrutura organizacional alinhada às
metas e objetivos da empresa e definir processos que garantam que a TI faça parte integral da
estratégia corporativa.
Verdadeiro Falso
O COBIT 2019 traz ___ princípios, ___ fatores de design, ___ domínios e ___ componentes do
sistema de segurança. As lacunas são correta e respectivamente preenchidas com:
7 – 13 – 11 – 9
6 – 9 – 5 – 13
9 – 11 – 5 – 7
9 – 13 – 4 – 11
No COBIT 2019, os 11 componentes interagem entre si, resultando em um sistema de
governança holística para I&T
Verdadeiro Falso
O COBIT 2019 traz 9 objetivos empresariais e 9 objetivos de alinhamento, todos acompanhados
de exemplos de métricas; esses 18 objetivos são distribuídos pelas 4 dimensões do BSC.
Verdadeiro Falso
Um item de informação pode ser avaliado considerando até que ponto os critérios de qualidade
relevantes são alcançados. O modelo do COBIT 2019 define três critérios principais para
informação:
de segurança, de confidencialidade e de disponibilidade, e cada um desses critérios conta
com 4 subcritérios
intrínsecos, contextualizados e de acessibilidade, e esses 3 critérios contam com 15
subcritérios
de confidencialidade, de integridade e de disponibilidade e cada um desses critérios conta
com 5 subcritérios
contextualizados, de segurança e de acessibilidade e esses 3 critérios contam com 12
subcritérios
No nível de maturidade 2, o processo atinge seu propósito por meio da aplicação de um conjunto
básico, porém completo, de atividades que podem ser caracterizadas como realizadas.
Verdadeiro Falso
Um direcionador de mudança pode ser um evento interno ou externo ou uma condição ou
questão-chave que atue como catalizador para a mudança.
Verdadeiro Falso
A equipe que trabalha na implementação do COBIT 2019 está colocando em prática os objetivos
de governança e de gestão aprimorados para a operacionalização normal do negócio, ou seja,
nessa fase estão sendo postas em ação as novas práticas criadas com base no COBIT. Essas
tarefas correspondem à fase:
5
6
7
4
Glossário
O DevOps é a combinação de práticas e ferramentas que aumentam a capacidade de uma
empresa de distribuir aplicativos e serviços em alta velocidade, otimizando e aperfeiçoando
produtos em um ritmo mais rápido do que o das empresas que usam processos tradicionais de
desenvolvimento de software e gerenciamento de infraestrutura. Com a implementação de um
modelo DevOps, as equipes de desenvolvimento e operações não ficam mais separadas. Os
engenheiros trabalham durante o ciclo de vida inteiro do aplicativo, da fase de desenvolvimento e
testes à fase de implantação e operações, e desenvolvem várias qualificações não limitadas a
uma única função. Fonte: https://aws.amazon.com/pt/devops/what-is-devops/
[https://aws.amazon.com/pt/devops/what-is-devops/]
GAP Analysis se refere a uma comparação entre o desempenho atual de uma empresa com o que
seria desejável e ideal nos termos do trabalho que é executado. Uma GAP Analysis pode
mensurar a maturidade de um sistema em relação ao seu escopo e os pré-requisitos exigíveis
para ele. O quão eficaz ele é ou o que falta para chegar, o quão eficiente ele pode ser, detectando
as lacunas (gaps) e detalhando o risco trazem. Fonte: https://bracertificadora.com.br/gap-
analysis-o-guia/ [https://bracertificadora.com.br/gap-analysis-o-guia/]
É um adjetivo atribuído a quem procura entender os fenômenos e acontecimentos de uma forma
global. Ter uma visão holística significa acatar todas as possibilidades de um fato. No meio
empresarial, a visão holística compreende uma abordagem global e abrangente sobre as
estratégias e áreas de atuação da corporação. Fonte: https://www.stoodi.com.br/blog/dicas-
rapidas/o-que-e-holistico/ [https://www.stoodi.com.br/blog/dicas-rapidas/o-que-e-holistico/] .
Contém informações sobre o problema a ser solucionado, bem como a maneira de fazê-lo. Fonte:
https://www.devmedia.com.br/ooa-modelo-descritivo/1518
[https://www.devmedia.com.br/ooa-modelo-descritivo/1518]
Define um conjunto distinto de atividades, ações, tarefas, marcos e produtos de trabalho que são
necessários para se realizar um projeto com alta qualidade. Fonte: adaptado de
DevOps
Gap Analysis
Holística
Modelo descritivo
Modelo prescritivo
https://aws.amazon.com/pt/devops/what-is-devops/
https://aws.amazon.com/pt/devops/what-is-devops/
https://bracertificadora.com.br/gap-analysis-o-guia/
https://bracertificadora.com.br/gap-analysis-o-guia/
https://bracertificadora.com.br/gap-analysis-o-guia/
https://www.stoodi.com.br/blog/dicas-rapidas/o-que-e-holistico/
https://www.stoodi.com.br/blog/dicas-rapidas/o-que-e-holistico/
https://www.stoodi.com.br/blog/dicas-rapidas/o-que-e-holistico/
https://www.devmedia.com.br/ooa-modelo-descritivo/1518
https://www.devmedia.com.br/ooa-modelo-descritivo/1518
http://jkolb.com.br/modelos-prescritivos-de-processo/ [http://jkolb.com.br/modelos-
prescritivos-de-processo/]
Tabela RACI ou matriz RACI é uma ferramenta visual de fácil utilização que define com clareza as
atribuições, papéis e responsabilidades de cada colaborador nas atividades de um processo.
RACI significa: Responsible, Accountable, Consulted e Informed. Fonte:
https://www.heflo.com/pt-br/modelagem-processos/matriz-raci/ [https://www.heflo.com/pt-
br/modelagem-processos/matriz-raci/] .
A TI Bimodal representa uma reorganização do departamento de TI com objetivo de facilitar a
transformação digital das empresas. O termo, inventado pelos analistas do Gartner, Mary
Mesaglio e Simon Mingay, busca representar a necessidade das empresas em possuírem uma
equipe de TI que cuidem tanto do âmbito operacional das tecnologias como participem da
definição das estratégias de negócios. O que isso significa? Significa que as empresas precisam
de uma equipe de TI que integre estabilidade e eficiência operacional com o planejamento
estratégico de tecnologias para a evolução da organização no contexto da transformação digital.
Fonte: https://blogbrasil.comstor.com/o-que-e-ti-bimodal- [https://blogbrasil.comstor.com/o-
que-e-ti-bimodal-] .
Tabela RACI
TI Bimodal
http://jkolb.com.br/modelos-prescritivos-de-processo/
http://jkolb.com.br/modelos-prescritivos-de-processo/
http://jkolb.com.br/modelos-prescritivos-de-processo/
https://www.heflo.com/pt-br/modelagem-processos/matriz-raci/
https://www.heflo.com/pt-br/modelagem-processos/matriz-raci/
https://www.heflo.com/pt-br/modelagem-processos/matriz-raci/
https://blogbrasil.comstor.com/o-que-e-ti-bimodal-
https://blogbrasil.comstor.com/o-que-e-ti-bimodal-
https://blogbrasil.comstor.com/o-que-e-ti-bimodal-
Bibliografia
INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION (ISACA). COBIT® 2019
Framework: introduction & methodology. Schaumburg: ISACA, 2018a.
INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION (ISACA). Introducing COBIT®
2019: Overview. Schaumburg: ISACA, 2018b.
INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION (ISACA). COBIT 5 - Modelo
Corporativo para Governança e Gestão de TI da Organização. Rolling Meadows: ISACA
Framework, 2012.
INFORMATION TECHNOLOGY GOVERNANCE INSTITUTE (ITGI). COBIT 4.1. Rolling Meadows: ITGI,
2007.
KAPLAN, R. S; NORTON, D. P. A estratégia em ação: Balanced Scorecard. Rio de Janeiro: Campus,
1997.
WEILL, P.; ROSS, J. W. Governança de TI – Tecnologia da Informação. São Paulo: Makron Books,
2005.
2F CONSULTORIA. COBIT® 2019. 2020. Disponível em:
https://www.2fconsultoria.com.br/2020/06/cobit-2019/
[https://www.2fconsultoria.com.br/2020/06/cobit-2019/] . Acesso em 16 abr. 2021.
COSO.org. About Us. 2021. Disponível em: https://www.coso.org/pages/aboutus.aspx
[https://www.coso.org/Pages/aboutus.aspx] . Acesso em: 20 abr. 2021.
INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA (IBGC). Princípios que geram valor de
longo prazo. 2021. Disponível em: https://www.ibgc.org.br/conhecimento/governanca-
corporativa#:~:text=Governan%C3%A7a%20corporativa%20%C3%A9%20o%20sistema,controle%20[https://www.ibgc.org.br/conhecimento/governanca-
corporativa#:~:text=Governan%C3%A7a%20corporativa%20%C3%A9%20o%20sistema,controle%
20e%20demais%20partes%20interessadas] . Acesso em: 6 abr. 2021.
Bibliografia Clássica
Bibliografia Geral
https://www.2fconsultoria.com.br/2020/06/cobit-2019/
https://www.2fconsultoria.com.br/2020/06/cobit-2019/
https://www.coso.org/Pages/aboutus.aspx
https://www.coso.org/Pages/aboutus.aspx
https://www.ibgc.org.br/conhecimento/governanca-corporativa#:~:text=Governan%C3%A7a%20corporativa%20%C3%A9%20o%20sistema,controle%20e%20demais%20partes%20interessadas
https://www.ibgc.org.br/conhecimento/governanca-corporativa#:~:text=Governan%C3%A7a%20corporativa%20%C3%A9%20o%20sistema,controle%20e%20demais%20partes%20interessadas
https://www.ibgc.org.br/conhecimento/governanca-corporativa#:~:text=Governan%C3%A7a%20corporativa%20%C3%A9%20o%20sistema,controle%20e%20demais%20partes%20interessadas
https://www.ibgc.org.br/conhecimento/governanca-corporativa#:~:text=Governan%C3%A7a%20corporativa%20%C3%A9%20o%20sistema,controle%20e%20demais%20partes%20interessadas
https://www.ibgc.org.br/conhecimento/governanca-corporativa#:~:text=Governan%C3%A7a%20corporativa%20%C3%A9%20o%20sistema,controle%20e%20demais%20partes%20interessadas
PORTAL DE AUDITORIA. Entendendo a Lei Sarbanes Oxley. 2016. Disponível em:
http://www.portaldeauditoria.com.br/auditoria-interna/entendendo-a-lei-sarbanes-oxley.asp
[http://www.portaldeauditoria.com.br/auditoria-interna/entendendo-a-lei-sarbanes-oxley.asp] .
Acesso em 15 abr. 2021.
PORTAL GSTI. O que é Governança de TI? 2021. Disponível em:
https://www.portalgsti.com.br/governanca-de-ti/sobre/
[https://www.portalgsti.com.br/governanca-de-ti/sobre/] . Acesso em: 6 abr. 2021.
CHIARI, R. O que é COBIT 2019?. ITSM na Prática, 1 abr. 2021. Disponível em:
https://www.itsmnapratica.com.br/tudo-sobre-cobit-2019/
[https://www.itsmnapratica.com.br/tudo-sobre-cobit-2019/] . Acesso em: 19 maio 2021.
CMMI Institute. CMMI Development V2.0. 2018. Disponível em:
www.cmmiinstitute.com/cmmi/dev [http://www.cmmiinstitute.com/cmmi/dev] . Acesso em 17
mai. 2021.
http://www.portaldeauditoria.com.br/auditoria-interna/entendendo-a-lei-sarbanes-oxley.asp
http://www.portaldeauditoria.com.br/auditoria-interna/entendendo-a-lei-sarbanes-oxley.asp
https://www.portalgsti.com.br/governanca-de-ti/sobre/
https://www.portalgsti.com.br/governanca-de-ti/sobre/
https://www.itsmnapratica.com.br/tudo-sobre-cobit-2019/
https://www.itsmnapratica.com.br/tudo-sobre-cobit-2019/
http://www.cmmiinstitute.com/cmmi/dev
http://www.cmmiinstitute.com/cmmi/dev