Fundamentos Do COBIT 5

Fundamentos
do COBIT 5
Luiz Claudio Diogo Reis
A RNP Rede Nacional de Ensino

e Pesquisa qualificada como
uma Organizao Social (OS),
sendo ligada ao Ministrio da
Cincia, Tecnologia e Inovao
(MCTI)
responsvel
pelo
Programa Interministerial RNP,

que conta com a participao dos
ministrios da Educao (MEC), da
Sade (MS) e da Cultura (MinC).
Pioneira no acesso Internet no
Brasil, a RNP planeja e mantm a
rede Ip, a rede ptica nacional
acadmica de alto desempenho.
Com Pontos de Presena nas
27 unidades da federao, a rede
tem mais de 800 instituies
conectadas. So aproximadamente
3,5 milhes de usurios usufruindo
de uma infraestrutura de redes
avanadas para comunicao,
computao e experimentao,
que contribui para a integrao
entre o sistema de Cincia e
Tecnologia, Educao Superior,
Sade e Cultura.
Ministrio da
Cultura
Ministrio da
Sade
Ministrio da
Educao
Ministrio da
Cincia, Tecnologia
e Inovao
Fundamentos
do COBIT 5
Fundamentos
do COBIT 5
Rio de Janeiro
Escola Superior de Redes
2015
Copyright 2015 Rede Nacional de Ensino e Pesquisa RNP

Rua Lauro Mller, 116 sala 1103
22290-906 Rio de Janeiro, RJ
Diretor Geral
Nelson Simes
Diretor de Servios e Solues
Jos Luiz Ribeiro Filho

Coordenao
Luiz Coelho
Edio
Lincoln da Mata
Reviso tcnica
Edson Kowask Bezerra e Fabio Barros

Equipe ESR (em ordem alfabtica)
Adriana Pierro, Alynne Figueiredo, Celia Maciel, Derlina Miranda, Elimria Barbosa,
Evellyn Feitosa, Felipe Nascimento, Lourdes Soncin, Luciana Batista, Luiz Carlos Lobato,
Renato Duarte e Yve Abel Marcial.
Capa, projeto visual e diagramao
Tecnodesign
Verso
1.0.0
Este material didtico foi elaborado com fins educacionais. Solicitamos que qualquer erro encontrado ou dvida com relao ao material ou seu uso seja enviado para a equipe de elaborao de
contedo da Escola Superior de Redes, no e-mail info@esr.rnp.br. A Rede Nacional de Ensino e
Pesquisa e os autores no assumem qualquer responsabilidade por eventuais danos ou perdas, a
pessoas ou bens, originados do uso deste material.
As marcas registradas mencionadas neste material pertencem aos respectivos titulares.
Distribuio
Rua Lauro Mller, 116 sala 1103

22290-906 Rio de Janeiro, RJ
http://esr.rnp.br
info@esr.rnp.br
Dados Internacionais de Catalogao na Publicao (CIP)
R375f
Reis, Luiz Claudio Diogo

Fundamentos do COBIT 5 / Luiz Claudio Diogo Reis. Rio de Janeiro: RNP/ESR, 2015.

116 p. : il. ; 27,5 cm.

ISBN 978-85-63630-05-6

1. COBIT 5 (padro de gerenciamento de tecnologia da informao). 2. Tecnologia de

informao medidas de segurana. 3. Tecnologia de informao Gesto. I. Ttulo

CDD 004
Sumrio
sumario
A metodologia da ESRvii
Sobre o cursoviii
A quem se destinaviii
Convenes utilizadas neste livroix
Permisses de usoix
Comentrios e perguntasx
Sobre os autoresx
1. Governana Corporativa de TI
Introduo1
Tecnologia da Informao (TI) aplicada aos negcios 2
Exerccio de fixao 1 3
Componentes da governana de TI5
Alinhamento estratgico de TI5
Princpios de TI5
Aplicaes de TI6
Infraestrutura de TI6
Demandas de TI6
Terceirizao dos servios de TI6
Segurana da informao6
iii
Capacitao de recursos humanos6

Organizao dos processos de TI7
Investimentos e custos de TI7
Relacionamento com clientes internos e externos7
Desempenho de TI7
Requisitos de conformidade 8
Desafios para a governana e gesto de TI nas organizaes9
Introduo s estruturas de governana de TI10
Principais modelos de governana de TI10
Em busca da governana corporativa de TI17
2. Os cinco princpios do COBIT 5

1o princpio: atender s necessidades das partes interessadas20
2 princpio: cobrir a organizao de ponta a ponta22
Exerccios de fixao 2 24
3o princpio: Aplicar uma estrutura nica e integrada26
4 princpio: Permitir uma abordagem holstica27
Introduo aos sete habilitadores do COBIT 5 28
5 Princpio: separar a governana da gesto29
Interaes entre governana e gesto no COBIT33
iv
3. Cascata de objetivos do COBIT

Introduo37
Os quatro passos do processo da cascata de objetivos do COBIT 39
10 Passo: as tendncias das partes interessadas influenciam as suas necessidades39
20 Passo: cascasta das necessidades das partes interessadas em objetivos corporativos40
Exerccio de fixao 3
Exerccio de fixao 4
40
42
30 Passo: escalonamento dos objetivos corporativos em objetivos de TI43

Exerccio de fixao 5
44
Mapeamento entre os objetivos de TI e os processos do COBIT44

Exerccio de fixao 6
45
4 0 Passo: escalonamento dos objetivos de TI em metas do habilitador46

Adaptao da cascata de objetivos do COBIT47
Exerccio de fixao 7
48
4. Dimenses dos sete habilitadores do COBIT

Introduo 49
Dimenses comuns dos habilitadores50
Exerccio de fixao 1
54
Dimenso controle de desempenho do habilitador54

Exerccio de fixao 2
55
As dimenses do habilitador Princpios, Polticas e Modelos na prtica57

Relaes com outros habilitadores58
Exerccio de fixao 3
59
Explorando as dimenses do habilitador Processos59

Exerccios de fixao 4
Exerccio de fixao 5
Exerccio de fixao 6
Exerccio de fixao 7
64
64
67
69
Explorando o habilitador Informao69

Exerccio de fixao 8
Exerccio de fixao 9
73
73
Exerccio de fixao 10
74
75
77
5. Guia de Implementao do COBIT

Introduo79
Ferramentas de Implementao 79
Exerccio de fixao 1
Exerccio de fixao 2
Exerccio de fixao 3
Exerccio de fixao 4
81
81
83
87
Premissas para elaborao do estudo de caso87
6. Avaliao da Capacidade de Processo

Introduo89
Modelo de Maturidade de Processo 90
Exerccio de fixao 1
91
Avaliao de Capacidade de Processo91

Exerccio de fixao 2
Exerccio de fixao 3
Exerccio de fixao 4
93
93
94
Modelo de Referncia de Processo do COBIT 594

Exerccio de fixao 5
98
Avaliao da Capacidade do Processo99

Exerccio de fixao 6
vi
101

A Escola Superior de Redes (ESR) a unidade da Rede Nacional de Ensino e Pesquisa (RNP)
responsvel pela disseminao do conhecimento em Tecnologias da Informao e Comunicao (TIC). A ESR nasce com a proposta de ser a formadora e disseminadora de competncias em TIC para o corpo tcnico-administrativo das universidades federais, escolas
tcnicas e unidades federais de pesquisa. Sua misso fundamental realizar a capacitao
tcnica do corpo funcional das organizaes usurias da RNP, para o exerccio de competncias aplicveis ao uso eficaz e eficiente das TIC.
A ESR oferece dezenas de cursos distribudos nas reas temticas: Administrao e Projeto
de Redes, Administrao de Sistemas, Segurana, Mdias de Suporte Colaborao Digital
e Governana de TI.
A ESR tambm participa de diversos projetos de interesse pblico, como a elaborao e
execuo de planos de capacitao para formao de multiplicadores para projetos educacionais como: formao no uso da conferncia web para a Universidade Aberta do Brasil
(UAB), formao do suporte tcnico de laboratrios do Proinfo e criao de um conjunto de
cartilhas sobre redes sem fio para o programa Um Computador por Aluno (UCA).
A metodologia da ESR
A filosofia pedaggica e a metodologia que orientam os cursos da ESR so baseadas na
aprendizagem como construo do conhecimento por meio da resoluo de problemas tpicos da realidade do profissional em formao. Os resultados obtidos nos cursos de natureza
terico-prtica so otimizados, pois o instrutor, auxiliado pelo material didtico, atua no
apenas como expositor de conceitos e informaes, mas principalmente como orientador do
aluno na execuo de atividades contextualizadas nas situaes do cotidiano profissional.
A aprendizagem entendida como a resposta do aluno ao desafio de situaes-problema
semelhantes s encontradas na prtica profissional, que so superadas por meio de anlise, sntese, julgamento, pensamento crtico e construo de hipteses para a resoluo do
problema, em abordagem orientada ao desenvolvimento de competncias.
Dessa forma, o instrutor tem participao ativa e dialgica como orientador do aluno para
as atividades em laboratrio. At mesmo a apresentao da teoria no incio da sesso de
aprendizagem no considerada uma simples exposio de conceitos e informaes.
O instrutor busca incentivar a participao dos alunos continuamente.
vii
As sesses de aprendizagem onde se do a apresentao dos contedos e a realizao das

atividades prticas tm formato presencial e essencialmente prtico, utilizando tcnicas de
estudo dirigido individual, trabalho em equipe e prticas orientadas para o contexto de
atuao do futuro especialista que se pretende formar.
As sesses de aprendizagem desenvolvem-se em trs etapas, com predominncia de
tempo para as atividades prticas, conforme descrio a seguir:
Primeira etapa: apresentao da teoria e esclarecimento de dvidas (de 60 a 90 minutos).
O instrutor apresenta, de maneira sinttica, os conceitos tericos correspondentes ao tema
da sesso de aprendizagem, com auxlio de slides em formato PowerPoint. O instrutor
levanta questes sobre o contedo dos slides em vez de apenas apresent-los, convidando
a turma reflexo e participao. Isso evita que as apresentaes sejam montonas e que
o aluno se coloque em posio de passividade, o que reduziria a aprendizagem.
Segunda etapa: atividades prticas de aprendizagem (de 120 a 150 minutos).
Esta etapa a essncia dos cursos da ESR. A maioria das atividades dos cursos assncrona e realizada em duplas de alunos, que acompanham o ritmo do roteiro de atividades
proposto no livro de apoio. Instrutor e monitor circulam entre as duplas para solucionar
dvidas e oferecer explicaes complementares.
Terceira etapa: discusso das atividades realizadas (30 minutos).
O instrutor comenta cada atividade, apresentando uma das solues possveis para
resolv-la, devendo ater-se quelas que geram maior dificuldade e polmica. Os alunos so
convidados a comentar as solues encontradas e o instrutor retoma tpicos que tenham
gerado dvidas, estimulando a participao dos alunos. O instrutor sempre estimula os
alunos a encontrarem solues alternativas s sugeridas por ele e pelos colegas e, caso
existam, a coment-las.
Sobre o curso
O curso apresenta o Modelo Corporativo para Governana e Gesto de TI da Organizao
COBIT 5, publicado pela ISACA, apresentando e descrevendo seus princpios e seus
habilitadores, buscando desenvolver competncias nos fundamentos do COBIT 5, para a
partir da iniciar sua implementao na organizao e de acordo com as recomendaes
dos rgos de controle. O aluno trabalhar com o livro de apoio e com o livro publicado
pela ISACA que ser baixado do site. Sero detalhados os princpios, os habilitadores, o
guia de implementao, o modelo de capacidade, como fazer o mapeamento detalhado
dos objetivos corporativos e dos objetivos de TI e como fazer o alinhamento destes com
as necessidades das partes interessadas. O curso mescla a parte terica com atividades
prticas para consolidar o conhecimento e exemplificar com a realidades das diversas
organizaes. Atravs deste curso o aluno adquirir os conhecimentos e habilidades para o
entendimento e compreenso dos fundamentos do COBIT 5.
A quem se destina
O curso destina-se aos gestores e profissionais de TIC que necessitam aprender e conhecer o
Modelo Corporativo para Governana e Gesto de TI da Organizao COBIT 5 para iniciar sua
aplicao e implementao da governana nas atividades da organizao. Tambm podero
participar quaisquer outros profissionais que desejem obter e desenvolver competncias
sobre Governana e COBIT 5.
viii
Convenes utilizadas neste livro

As seguintes convenes tipogrficas so usadas neste livro:
Itlico
Indica nomes de arquivos e referncias bibliogrficas relacionadas ao longo do texto.
Largura constante
Indica comandos e suas opes, variveis e atributos, contedo de arquivos e resultado da
sada de comandos. Comandos que sero digitados pelo usurio so grifados em negrito
e possuem o prefixo do ambiente em uso (no Linux normalmente # ou $, enquanto no
Windows C:\).
Contedo de slide q
Indica o contedo dos slides referentes ao curso apresentados em sala de aula.
Smbolo w
Indica referncia complementar disponvel em site ou pgina na internet.
Smbolo d
Indica um documento como referncia complementar.
Smbolo v
Indica um vdeo como referncia complementar.
Smbolo s
Indica um arquivo de adio como referncia complementar.
Smbolo !
Indica um aviso ou precauo a ser considerada.
Smbolo p
Indica questionamentos que estimulam a reflexo ou apresenta contedo de apoio ao
entendimento do tema em questo.
Smbolo l
Indica notas e informaes complementares como dicas, sugestes de leitura adicional ou
mesmo uma observao.
Permisses de uso
Todos os direitos reservados RNP.
Agradecemos sempre citar esta fonte quando incluir parte deste livro em outra obra.
Exemplo de citao: TORRES, Pedro et al. Administrao de Sistemas Linux: Redes e Segurana.
Rio de Janeiro: Escola Superior de Redes, RNP, 2013.
ix
Comentrios e perguntas
Para enviar comentrios e perguntas sobre esta publicao:
Escola Superior de Redes RNP
Endereo: Av. Lauro Mller 116 sala 1103 Botafogo
Rio de Janeiro RJ 22290-906
E-mail: info@esr.rnp.br
Sobre os autores
Luiz Claudio Diogo Reis Mestre em Tecnologia pelo CEFET/RJ na linha de pesquisa Gesto
da Inovao e Informao Tecnolgica. MBA em Gesto da Tecnologia de Informao e
Negcios Virtuais pelo CEFET/RJ. Especialista em Auditoria de Sistemas de Informao pela
Universidade Estcio de S e em Padres Internacionais de Auditoria pela Universidade
Catlica de Brasilia (UCB). Graduado em Matemtica pela Universidade do Estado do Rio
de Janeiro (UERJ) e na Lngua Inglesa pela Universidade de Michigan. Profissional com
certificao internacional CISA - Certified Information Systems Auditor e CRISC - Certified in
Risk and Information Systems Control pela ISACA - Information Systems Audit and Control
Association. Certificado em Segurana da Informao com o ttulo MCSO - Modulo Certified
Security Officer mantido pela Modulo Security Solutions. Profissional Certificado e acreditado
no COBIT5 Foundation pela APMGroup. Auditor Snior de Tecnologia da Informao pela
Instituio Financeira CAIXA ECONMICA FEDERAL com 17 anos de experincia em auditorias de gesto, de processos e de sistemas de informao. Instrutor, tutor e mentor em
Aes Educacionais estratgicas da Universidade CAIXA. Palestrante em eventos nacionais
e internacionais sobre IT GRC&A - Governana, Risco, Compliance e Auditoria desde 2009.
Docente em disciplinas de Gesto de Processos de Negcio, Planejamento Estratgico,
Governana de TI, Gerenciamento de Projetos, Gerenciamento de Servios de TI, Segurana
da Informao, Segurana em Aplicativos, Gesto de Riscos, Continuidade de Negcios e
Auditoria de TI. Atua em trabalho voluntrio desde 2012 na ISACA - Captulo Rio de Janeiro e
atualmente ocupa o cargo de Presidente na Associao. Instrutor e facilitador em programas
de capacitao de lderes, gestores e profissionais de negcio para o desenvolvimento de
habilidades gerenciais.
Edson Kowask Bezerra profissional da rea de segurana da informao e governana
h mais de quinze anos, atuando como auditor lder, pesquisador, gerente de projeto e
gerente tcnico, em inmeros projetos de gesto de riscos, gesto de segurana da informao, continuidade de negcios, PCI, auditoria e recuperao de desastres em empresas de
grande porte do setor de telecomunicaes, financeiro, energia, indstria e governo. Com
vasta experincia nos temas de segurana e governana, tem atuado tambm como palestrante nos principais eventos do Brasil e ainda como instrutor de treinamentos focados em
segurana e governana. professor e coordenador de cursos de ps-graduao na rea de
segurana da informao, gesto integrada, de inovao e tecnologias web. Hoje atua como
Coordenador Acadmico de Segurana e Governana de TI da Escola Superior de Redes.
Fbio Gomes Barros Mestre em Gesto do Conhecimento e da Tecnologia da Informao

(TI) pela Universidade Catlica de Braslia (2013). tambm especialista em Telemtica (2002)
e Gesto de Projetos (2007), ambas pela Universidade Federal de Pernambuco. Graduado
em Engenharia Eletrnica pela Universidade de Pernambuco (1999). Atualmente
Analista em Tecnologia da Informao do Ministrio da Integrao Nacional e docente da
Escola Nacional de Administrao Pblica (ENAP) e da Escola Superior de Redes (ESR) da
Rede Nacional de Pesquisa (RNP). Tem experincia na reas de Telecomunicaes e Tecnologia da Informao, com nfase em Gesto e Governana de TI. Possui as certificaes PMP
(Project Management Professional) concedida pelo Project Management Institute e COBIT 5
Foundation pelo ISACA.
xi
xii
1
Governana Corporativa de TI
a abrangncia e a aplicao da governana de TI nas organizaes; Identificar os
desafios para a governana de TI; Conhecer as boas prticas e padres de mercado
relacionados governana de TI; Entender o contexto da governana corporativa
de TI proposto pelo COBIT 5; Aplicar o conhecimento em atividades prticas sobre
governana corporativa de TI.
Tecnologia da informao aplicada aos negcios; Governana de TI; Componentes
conceitos
da governana de TI; Desafios para a governana e gesto de TI nas organizaes;

Pesquisas sobre os benefcios da governana de TI; Principais modelos e padres
de governana de TI; Introduo ao Modelo Corporativo COBIT 5; Fatores motivadores
para desenvolvimento do Modelo Corporativo COBIT 5; Famlia de produtos do COBIT 5;
Governana corporativa de TI no contexto do COBIT 5.
Introduo
Organizaes:
11 Tm objetivos de negcios diferentes e necessidades especficas.

TI:
11 Possui hoje papel significativo em todo o ciclo de vida da informao das empresas.
Reis (2012) apud Baldridge et al. (1971), descreve que as organizaes variam significativamente entre si em funo de sua natureza, tipos de clientes, tecnologias aplicadas, capacidade tcnica, estruturas organizacionais, modelos de gesto e forma de relacionamento
com terceiros e fornecedores.
Assim, cada organizao tem objetivos de negcios e necessidades especficas segundo as
suas diretrizes estratgicas, de forma que duas organizaes no so necessariamente iguais.
Com o avano e o uso intensivo da Tecnologia de Informao (TI) para automatizao e
suporte dos processos organizacionais, a TI passou a desempenhar papel significativo em
todo o ciclo de vida da informao das empresas para a realizao de negcios e tomada de
deciso. Esse ciclo abrange as etapas de criao, manipulao e descarte da informao.
Captulo 1 - Governana Corporativa de TI
objetivos
Analisar a importncia da TI aplicada aos negcios; Compreender o contexto,
Na atual Era do Conhecimento, a Tecnologia da Informao (TI) est em pleno processo de

evoluo e cada vez mais presente nos ambientes sociais, culturais e corporativos. O uso
de tecnologias emergentes tm impulsionado uma mudana significativa na forma de
realizao de negcios.
Neste cenrio, as empresas pblicas e privadas estiveram, ao longo dos anos, apropriando-se
do uso de recursos de TI para melhorar os processos de negcios e sua relao com os
clientes. Algumas organizaes esto em um nvel de maturidade mais avanado, outras em
fase intermediria de desenvolvimento e algumas, ainda, em estgio inicial.
Mas, o que Tecnologia da Informao (TI) e como ela se aplica aos negcios?
Tecnologia da Informao (TI) aplicada aos negcios

Na viso de Henderson & Venkatraman (1993), a Tecnologia da Informao (TI) corresponde
a um sistema que abrange concepes tcnicas e de gerenciamento do capital humano.
Para Rezende (2008), a TI representa um recurso tecnolgico das organizaes para guarda,
gerao e uso da informao e do conhecimento, contemplando sistemas aplicativos, de
telecomunicaes e de gesto de dados e de informaes. Alm disso, em um cenrio
global de competitividade dos negcios, a informao representa um ativo essencial para as
organizaes obterem diferencial estratgico.
O ITGI (2007) descreve a TI como um conjunto de processos que depende da interao entre
elementos de natureza humana, organizacional e tecnolgica, compreendendo, portanto,
a trade pessoas, processos e tecnologias.
Pessoas
TI
e
Negcio
Processos
Tecnologias
Baseado nesses conceitos, observamos que a gesto da TI aplicada aos negcios no uma
atividade simples de ser conduzida pelas organizaes. Entretanto, para Rezende (2008),
a gesto da TI representa um fator crtico de sucesso para gerao de valor e de benefcios
para as organizaes.
Para pensar
Segundo Reis (2012), Planejamento e Gesto da Tecnologia abrange o processo de
Fundamentos do COBIT 5
planejamento e alinhamento estratgico de TI, a organizao e estruturao da rea
de TI, as polticas, padres e programas de capacitao continuada, a arquitetura e

gesto da informao, os servios de atendimento e suporte aos usurios e a infraestrutura tecnolgica.
Figura 1.1
Trade Pessoas,
Processos e
Tecnologias.
Adaptado de
ITGI (2007).
Portanto, garantir a gesto eficiente dos recursos de TI representa um desafio para as

organizaes modernas, pois essa atividade abrange aspectos complexos de natureza
tcnica e humana que precisam interagir para obter sinergia entre as reas de negcio
e de TI das organizaes.
Assim, em ambientes organizacionais complexos, com uso intenso de TI e regulamentado
por leis e diretrizes de controles, a rea de TI sofre um grande impacto em funo da
necessidade de prover, manter e gerir os recursos de TI de forma eficiente, eficaz, segura
e disponvel para todos os interessados nas atividades de negcio da instituio.
Esse cenrio requer que as organizaes mantenham estruturas organizacionais e pessoas
capacitadas para liderar e governar esse ambiente de negcio complexo, de forma adequada
s suas necessidades e pelo uso de modelos de referncia de mercado adotados como boas
prticas para a gesto e a governana de TI.
Exerccio de fixao 1 e
Tecnologia da Informao (TI) aplicada aos negcios
Responda as questes a seguir considerando o contexto da organizao onde voc trabalha.
Entre a trade Pessoas, Processos e Tecnologias, na sua viso, qual desses fatores o
mais importante para o sucesso da gesto da Tecnologia da Informao na sua organizao?
Justifique.
Descreva duas boas prticas de gesto de TI adotadas na sua organizao relacionadas a

cada um dos componentes da trade Pessoas, Processos e Tecnologias.
Pessoas:
Tecnologias:
Processos:
O que governana de TI?

A rea de TI tem como atividade principal o atendimento s necessidades e estratgias de
negcio, tendo como prerrogativa a conformidade em relao a leis, normas e regulamentaes internas e externas. Esses requisitos negociais e legais variam de acordo com o tipo,
finalidade, ramo de atuao e exigncias regulatrias das organizaes.
Esse contexto introduz um conceito muito discutido e debatido na gesto de negcios na
atualidade, denominado Governana de TI.
Segundo Fernandes & Abreu (2008), o principal objetivo da governana de TI alinhar a
Tecnologia da Informao (TI) aos requisitos de negcio, tendo como base a continuidade
dos negcios, o atendimento s estratgias de negcios e o atendimento a regulamentaes
internas e externas.
Weill & Ross (2004) conceituam a governana de TI como um instrumento para a definio
dos direitos de deciso e das responsabilidades da administrao para encorajar comportamentos desejveis no uso da TI.
A governana de TI de responsabilidade da alta administrao na liderana, nas

estruturas organizacionais e nos processos para garantir que a TI da empresa sustente e entenda as estratgias e objetivos de negcio da organizao (ITGI, 2007).
Baseado nesses conceitos, Fernandes & Abreu (2008) identificam os principais objetivos e responsabilidades da rea de TI relacionados governana, conforme demonstrado na figura 1.2.
Objetivos da Governana de TI
Posicionamento da TI em relao s reas de negcio
A TI deve entender as estratgias de negcio e traduz-las em planos para sistemas,
aplicaes, solues, processos e infraestrutura.
Alinhamento das iniciativas de TI com a estratgia de negcio

A TI deve priorizar o que foi planejado tendo em vista as necessidades e prioridades
do negcio e as restries de recursos humanos e nanceiros.
Alinhamento dos recursos de TI s necessidades de negcio

A TI deve planejar e priorizar a implantao de projetos e servios de acordo com
necessidades de negcios de curto, mdio e longo prazos.
Provimento dos servios de TI s necessidades de negcio

A TI deve executar projetos e servios de acordo com os processos de gesto operacional
previamente denidos e com os recursos apropriados.
Gerenciamento do risco e continuidade dos negcios
A TI deve manter processos para gerenciamento da segurana da informao, mitigao

de risco e continuidade operacional de negcios.
Responsabilidade sobre as decises e aes relacionadas a TI

A TI deve identicar as responsabilidades sobre a tomada de decises e necessidades
de investimentos em recursos de TI para os negcios.
Figura 1.2
Os objetivos da
Governana de TI.
O que governana de TI?
Defina, com suas palavras, governana de TI.
Cite trs objetivos da governana de TI propostos por Fernandes & Abreu (2008).
Componentes da governana de TI
Governana de TI:
11 Vrios mecanismos e componentes que integrados permitem o desdobramento da

estratgia de TI.
Plano Diretor de
Tecnologia da
Informao (PDTI) o
instrumento de
diagnstico, planejamento e gesto dos
recursos e processos
de Tecnologia da
Informao que visa
atender s necessidades tecnolgicas e
de informao de um
rgo ou entidade para
um determinado
perodo (IN 04/2014,
Art. 2, inciso XXVII)
22 Plano Estratgico de TI.

22 Plano Operacional de TI.
Segundo Weill & Ross (2004) e Fernandes & Abreu (2009), a governana de TI compreende
vrios mecanismos e componentes que, logicamente integrados, permitem o desdobramento da estratgia de TI (Plano Estratgico de TI) para suporte e operacionalizao dos
produtos e servios utilizando recursos de TI (Plano Operacional de TI).
Esse processo deve ser executado em sintonia com o Plano Estratgico Institucional (PEI), de
forma a obter eficincia e eficcia na gesto dos recursos de TI pela organizao, quando da
implementao do Plano Estratgico de Tecnologia da Informao.
No mbito da Administrao Pblica Federal, o Plano Diretor de Tecnologia da Informao
(PDTI) representa um instrumento de planejamento de TI, utilizado no contexto dos rgos
pblicos (Reis, 2012).
A seguir, relacionamos os principais componentes e mecanismos aplicados a TI para que as
empresas possam prover a governana de TI de forma eficiente e eficaz.
Alinhamento estratgico de TI
O alinhamento estratgico TI busca a integrao e adequao da TI da empresa em relao
s necessidades de negcio atuais e futuras em termos de arquitetura, infraestrutura, aplicaes, processos e estrutura organizacional.
Princpios de TI
Os princpios de TI representam as regras e padres definidos pela alta administrao da
empresa nas quais todos os envolvidos com as operaes da organizao devem seguir.
Os princpios de TI subsidiam o processo de tomada de deciso sobre a arquitetura de TI,
a infraestrutura de TI, a aquisio e o desenvolvimento de aplicaes, a formulao de
polticas e a gesto de ativos de operaes de TI.

5
Aplicaes de TI
As aplicaes de TI referem-se s solues de negcios provenientes dos sistemas de
informao e disponibilizao de servios de TI desenvolvidos, adquiridos e mantidos pela
empresa para atendimento s necessidades estratgicas, operacionais e de continuidade
dos negcios.
A estratgia da organizao sobre as aplicaes de TI determinam aquelas que devero ser
desenvolvidas, mantidas, melhoradas, substitudas e implantadas, considerando as necessidades de negcio.
Infraestrutura de TI
A infraestrutura de TI relaciona-se capacidade tcnica e humana de TI disponvel na organizao, abrangendo servios compartilhados, confiveis e usados por mltiplas aplicaes.
Tambm define os servios de TI requeridos pelo negcio em termos de gesto de dados,
comunicaes, gesto de ativos de TI, disponibilidade, segurana da informao, padres de
interfaces e recursos computacionais necessrios para apoiar a estratgia de negcio.
A infraestrutura de TI tambm pode ser usada como servio de conexo entre parceiros e
fornecedores de solues de TI para a empresa.
Demandas de TI
A capacidade de atendimento da TI define a quantidade de recursos humanos necessrios
para atender s demandas de TI relacionadas a sistemas e servios.
Outro fator importante que requer acompanhamento no processo de gesto de demandas
refere-se qualidade, ao tempo de atendimento e ao custo das demandas de TI.
Terceirizao dos servios de TI

A estratgia de terceirizao (outsourcing) dos servios de TI abrange a definio do escopo
dos servios para outsourcing e as alternativas de parceria entre a instituio contratante e
a provedora dos servios.
A terceirizao tambm envolve processos para a gesto do desempenho dos fornecedores
ou prestadores de servios de TI, considerando o portflio de servios a serem executados
pelo provedor contratado.
Segurana da informao
A segurana da informao consiste no estabelecimento de polticas, diretrizes e aes
referentes segurana dos aplicativos, da infraestrutura, dos dados, das informaes,
das pessoas, das organizaes parceiras e dos fornecedores na relao de negcio com a
empresa contratante.
Capacitao de recursos humanos

Recursos humanos capacitados de TI relacionam-se s competncias conjunto de conhecimentos, habilidades e atitudes: requeridas e necessrias para o desenvolvimento e
implantao das iniciativas e solues de TI baseadas nas necessidades de negcio e, considerando, ainda, as atividades, processos e servios de TI adotados pela empresa.
Organizao dos processos de TI

A organizao dos processos de TI relaciona-se forma de como os servios e produtos de
TI so desenvolvidos, gerenciados e entregues aos usurios e clientes.
A organizao dos processos de TI requer a definio de responsabilidades, papis e processos internos de acordo com as necessidades de negcio da empresa, considerado, ainda,
as necessidades especficas de TI.
Investimentos e custos de TI
Os investimentos e custos de TI referem-se a aspectos financeiros, dos recursos de TI envolvidos
no gerenciamento e suporte dos negcios, tais como aplicaes, infraestrutura e pessoas.
Os custos de TI devem ser identificados, analisados, monitorados e controlados regularmente
para garantir melhor retorno sobre os investimentos, gastos e despesas relacionadas.
O gerenciamento do portflio de TI representa uma boa prtica para a priorizao, seleo,
monitorao, controle, entre outros, dos investimentos de TI baseada nos projetos estratgicos
e ativos prioritrios, de forma a integrar e alinhar os objetivos estratgicos de negcios aos
objetivos de especficos de TI.
Relacionamento com clientes internos e externos

O relacionamento com clientes trata da interao dos usurios internos e externos com a rea de
TI, abrangendo processos que devem definir os responsveis pela solicitao de servios, os procedimentos operacionais, indicadores de avaliao, canais de comunicao, capacitao e treinamento dos usurios sobre o uso dos recursos tecnolgicos e desenvolvimento dos projetos.
De forma similar, o relacionamento com os fornecedores e terceiros trata de aspectos operacionais de TI, tais como os procedimentos previstos para atendimento das demandas de
servios, o relacionamento com os parceiros, o acompanhamento e o controle dos Acordos
de Nvel Operacional (ANO) e dos contratos de apoio, a qualidade dos servios prestados e o
desempenho dos fornecedores.
Desempenho de TI
A alta administrao deve estabelecer indicadores para medir o desempenho da rea
de TI em relao ao atingimento das metas, segundo as estratgias e necessidades de
negcio da empresa.
metas de desempenho compatveis com os objetivos de negcios definidos para a prestao

dos servios de TI.
Em nvel operacional, usual a formalizao de nveis de servios denominados Acordos de Nvel
de Servios (ANS), firmados entre area de TI e areas de negocio e Acordos de Nvel Operacional
(ANO), firmados entre TI e fornecedores internos, abrangendo todo o ciclo de atividades de TI.
Dessa forma, os indicadores estratgicos e operacionais orientam a gesto da TI, os controles
operacionais e o estabelecimento de necessidades de melhorias nos nveis de servios.
Assim, a gesto do desempenho de TI refere-se ao monitoramento dos objetivos de desempenho das operaes de servios em termos de desenvolvimento de aplicaes, suporte a
Assim, os objetivos de desempenho direcionam a administrao da TI para atendimento s
servios, entrega de servios, segurana da informao e monitoramento dos acordos firmados.

7
Requisitos de conformidade
As organizaes devem considerar as leis, regulamentos e normas internas e externas
quando da definio dos requisitos de negcio. A rea de TI, ao desenvolver solues de
negcio, deve atentar para as funcionalidades de compliance definidas pelas reas de
negcio quando do planejamento e gesto de solues de TI, para suportar as estratgias e
objetivos da empresa.
Componentes do sistema de governana:
11 Alinhamento estratgico de TI;
11 Princpios de TI;
11 Aplicaes de TI;
11 Infraestrutura de TI;
11 Demandas de TI;
11 Terceirizao dos servios de TI;
11 Segurana da informao;
11 Capacitao de recursos humanos;
11 Organizao dos processos de TI;
11 Investimentos e custeio de TI;
11 Relacionamento com clientes internos e externos;
11 Desempenho de TI;
11 Requisitos de conformidade.
Componentes da governana de TI
Responda as questes a seguir, considerando o contexto da organizao onde voc trabalha.
Cite duas boas prticas adotadas em sua organizao para cada um dos componentes de
governana de TI relacionados a seguir.
Princpios de TI:
Infraestrutura de TI:
Demandas de TI:
Desempenho de TI:
Desafios para a governana e gesto de TI nas organizaes

Como consequncia da necessidade do uso de recursos tecnolgicos pelas organizaes
para suportar os processos de negcio, os gestores e lderes de TI devem somar esforos
no sentido de:
11 Manter informaes confiveis para apoiar decises de negcios;
11 Agregar valor ao negcio com base nos investimentos em TI;
11 Atingir os objetivos estratgicos apoiados por recursos de TI;
11 Obter benefcios para a organizao pelo uso eficiente e inovador de TI;
11 Alcanar a excelncia operacional pela aplicao eficiente e eficaz de recursos de TI;
11 Manter o risco de TI em um nvel aceitvel;
11 Otimizar o custo da tecnologia e dos servios de TI;
11 Cumprir leis, regulamentos, contratos, polticas e normas externas.
O atendimento, cumprimento e manuteno de todas essas atividades no dia a dia das
organizaes no algo simples de ser executado. Essas tarefas requerem planejamento
e gesto sobre as diversas atividades de TI desenvolvidas pela empresa para atender s
necessidades de negcio. Assim, na prtica, essas atividades representam um dos grandes
desafios para os gestores de TI.
Vejamos a seguir por que a governana de TI um instrumento importante para a gesto
das organizaes tendo como pressuposto os benefcios oriundos da sua implementao.
Pesquisas sobre os benefcios da governana de TI

Em pesquisa realizada pela PwC com mais de 800 profissionais de TI e de negcios em 21
pases sobre os benefcios da governana de TI para as organizaes participantes, os resultados indicam que para:
11 38%: houve reduo dos custos de TI;
11 28,1%: houve melhoria da competitividade dos negcios;
Em relao aos benefcios menos tangveis, os resultados identificaram como melhorias:

11 42,2%: da gesto do risco de TI;
11 39,6%: da comunicao e relacionamentos entre as reas de negcio e de TI;
11 37,3%: da execuo de TI para consecuo dos objetivos corporativos.
Para pensar
Atualmente, argumenta-se que o valor de TI das organizaes deriva-se diretamente
da eficincia do sistema de governana de TI. O que voc acha?
11 27,1%: houve aumento do retorno sobre os investimentos em TI.
Outro estudo realizado com 250 organizaes em todo o mundo identificou que aquelas
com melhor governana de TI tiveram rentabilidade pelo menos 20% maior do que s de
baixa maturidade em governana, considerando os mesmos parmetros da pesquisa.
Outro estudo de caso no setor areo concluiu que a implementao e a garantia contnua da
governana corporativa de TI melhoraram a confiana entre o negcio e a TI, resultando em
um aprimoramento do alinhamento dos investimentos para os objetivos estratgicos.
Nesse cenrio, outros benefcios mais tangveis foram relatados na pesquisa, tais como
a reduo do custo fixo de TI por unidade de produo comercial e a liberao de investimentos para a inovao.
Um estudo de caso no setor financeiro demonstrou que as empresas com melhores abordagens governana de TI obtiveram as maiores pontuaes de maturidade do alinhamento
d
Para mais informaes
sobre os resultados da
pesquisa, consulte
ISACA (2013).
entre o negcio e TI.
Introduo s estruturas de governana de TI

A governana de TI requer um efetivo acompanhamento sobre o gerenciamento dos processos e atividades de TI que influenciam e afetam a realizao dos negcios e, consequentemente, o atingimento das metas e estratgias da organizao.
Como descrito anteriormente, o desafio das organizaes para a governana de TI requer
a implantao de aes de liderana e gesto estratgica que dependem de um amplo e
diferenciado conjunto de requisitos tcnicos e humanos relacionados a TI.
Os componentes do sistema de governana so diversos e abrangentes. Portanto, se faz
necessrio definir um escopo, ou seja, uma estrutura, um modelo a ser utilizado e aplicado
pelas organizaes para prover a governana de TI. H diversos modelos de boas prticas e
padres relacionados governana de TI (Fernandes e Abreu, 2008).
A seguir, analisaremos os principais modelos (frameworks) de governana de TI adotados
pelas organizaes.
Principais modelos de governana de TI

Na viso de Fernandes e Abreu (2008), a governana de TI busca o compartilhamento de decises de TI com os principais dirigentes da organizao e o estabelecimento de regras e procedimentos para o uso eficiente e eficaz da tecnologia da informao por todos os interessados
nas atividades da empresa, a exemplo de clientes, funcionrios, reas de negcio, governo e
fornecedores, de forma a determinar como a TI dever prover os servios para a organizao.
Nas duas ltimas dcadas, com a evoluo da TI, diversos modelos de boas prticas aplicados a TI vm sendo desenvolvidos. Alguns desses modelos so inditos, enquanto outros
foram construdos a partir dos anteriores (Fernandes & Abreu, 2008).
A tabela 1.1 apresenta uma sntese com os principais modelos relacionados governana de
10
TI vigente nos meios acadmico e profissional.
l
Um modelo constitui
uma abstrao
simplificada da
realidade envolvendo
a descrio ou
representao de um
objeto a partir de
determinado ponto de
vista, e voltado a um
propsito especfico
(Soares Neto, 1993).
Escopo
COBIT 4.1: Control Objectives

for Information and Related
Technology
Modelo aplicvel governana, gesto, auditoria e controle dos processos

de TI, abrangendo as etapas de planejamento, execuo e monitorao
das atividades de TI. Esse modelo abrange 34 processos de TI em quatro
domnios inter-relacionados.
TOGAF: The Open Group Architecture Forum
Modelo de arquitetura corporativa que prov uma abordagem global ao

design, planejamento, implementao e governana em quatro nveis
(Negcios, Aplicao, Dados e Tecnologia). Esse modelo possibilita a projeo de arquiteturas futuras baseando-se no estado atual da arquitetura
organizacional.
ISO 31000:2009
ISO 31000:2009 uma norma ABNT para estabelecer princpios e diretrizes

genricas sobre o processo de gesto de riscos, suas etapas e requisitos.
COSO: Committee of Sponsoring

Organizations of the Tradeway
Commission
O COSO uma estrutura de gerenciamento de riscos corporativos capaz

de fornecer os princpios e conceitos fundamentais utilizando uma linguagem comum. O processo de gerenciamento de riscos corporativos
composto por oito componentes inter-relacionados.
CMMI: Capability Maturity Model

Integration
Modelo aplicvel ao desenvolvimento de produtos e projetos de sistemas

de informao (aplicativos e softwares).
ITIL: Information Technology

Infrastructure Library
Modelo aplicvel infraestrutura de Tecnologia da Informao, compreendendo os servios de TI, segurana, gerenciamento de infraestrutura,
gesto financeira, gesto de ativos e aplicativos.
ISO 20000
Padro ABNT construdo a partir dos requisitos e evoluo do modelo ITIL.
ISO 22301: Gesto de Continuidade de Negcios
Norma ABNT utilizada para ajudar as organizaes aminimizar o risco associado a acontecimentos disruptivos que podem impactar a disponibilidade
dos negcios e servios. Essa norma especifica os requisitos para manter
um sistema de gesto de continuidade de negcios para recuperar eventos
que possam interromper o funcionamento normal de uma organizao.
ISO 38500
Padro ABNT que especifica os requisitos e componentes aplicveis

governana de TI para as organizaes.
BS 7799, ISO/IEC 27001 e ISO/IEC

17799: Cdigo de Prtica para a
gesto da segurana da informao
Modelos aplicados Gesto da Segurana da Informao
eSCM-SP Service Provider

Capability Maturity Model
Modelo aplicado ao outsourcing em servios de TI.
PRINCE2: Projects IN Controlled

Environments 2
Modelo aplicado ao gerenciamento de projetos.
PMBOK: Project Management

Body of Knowledge
Modelo aplicado gesto de projetos, que consolida uma base de conhecimento e disciplinas relacionadas ao gerenciamento de projetos.
BSC: Balanced Scoredcard
Modelo de planejamento e gesto de desempenho da estratgia organizacional proposto por Kaplan.
Seis Sigma
Modelo utilizado para a melhoria da qualidade de processos organizacionais.
SAS 70: Statements on Auditing

Standards for services organizations
Padro que contempla regras de auditoria para empresas prestadoras

de servios.
RISK IT
Modelo de gerenciamento de risco de TI adotado pela ISACA baseado na

ISO 31000:2009.
VAL IT
Modelo de governana baseado no COBIT 4.1 que inclui orientaes e

processos de suporte relacionados avaliao e seleo de investimentos
de negcio viabilizados por TI, bem como os benefcios da realizao e
entrega de valor desses investimentos.
COBIT 5
Modelo para a governana corporativa de TI desenvolvido a partir de cinco

princpios e baseado em sete habilitadores.
Captulo 1 - Replicao
Modelo de boas prticas
11
Principais padres de Governana de TI:

11 CMMI (Capability Maturity Model - Integration ou Modelo de Maturidade em Capacitao
- Integrao);
11 ITIL - Information Technology Infrastructure Library;
11 COSO - Committee of Sponsoring Organizations of the Treadway Commission;
11 ISO 38500 - Governana Corporativa para Tecnologia da Informao;
11 ISO 27001 - Tecnologia da informao - tcnicas de segurana - sistemas de gerncia da
segurana da informao - requisitos;
11 PRINCE2 - Project In a Controlled Environment;
11 PMBok - Project Management Body of Knowledge;
11 BSC - Balanced scorecard;
11 COBIT.
Baseado nessa lista, possvel concluir que cada modelo tem um propsito, escopo e objetivo
definido. Alguns modelos so especficos, outros abrangentes e complementares entre si.
Entre esses modelos de governana, a ISACA vem conduzindo pesquisas que demonstram
o valor do COBIT para as organizaes. O conjunto de dados resultante dessas pesquisas
oferece diversas oportunidades de anlise e pode esclarecer o relacionamento entre a
governana corporativa de TI e o desempenho das empresas.
No mbito da Administrao Pblica Federal (APF), os rgos de controle externos, em suas
auditorias anuais, tm recomendado o uso do COBIT e do ITIL como instrumentos de referncia para a governana de TI nas empresas pblicas.
Principais modelos de governana de TI
Relacione os modelos e padres de mercado com a sua principal finalidade, identificando a
definio mais precisa para cada uma das questes a seguir.
2. Gerenciamento de servios de TI
3. Governana corporativa de TI
4. Arquitetura organizacional
5. Ambiente de controle
6. Planejamento e desempenho
7. Gesto de Projetos
8. Continuidade de negcios
1. Gesto de riscos
12
TOGAF
ISO 31000
BSC
ISO 22301
COBIT 5
PRINCE2
ITIL
COSO
O livro COBIT 5 Modelo Corporativo

para Governana e
Gesto de TI da
Organizao pode ser
obtido no site
http://www.isaca.org
Introduo ao Modelo Corporativo COBIT 5

O COBIT 5, publicado pela ISACA em 10 de abril de 2013, fornece guias e orientaes fundamentais para a implementao da governana corporativa e gesto da TI para as organizaes.
Essa publicao fruto de mais de 15 anos de uso e aplicao prtica do modelo COBIT 4.1,
a partir das experincias de lderes organizacionais e de usurios das comunidades de negcios, TI, risco, segurana e auditoria mantidas pela ISACA.
O modelo COBIT 5, designado simplesmente como COBIT, est estruturado em 10 sees:
um sumrio executivo, oito captulos e apndices de A-H, conforme demonstrado na figura 1.3.
A: Referncias
B: Mapeamento Detalhado dos Objetivos
Corporativos e Objetivos de TI
C: Mapeamento Detalhado dos Objetivos
de TI e de Processos de TI
D: Necessidades das partes interessadas e
Objetivos Corporativos
Sumrio Executivo
Viso global do modelo
Captulo 1
1 Princpio do COBIT
Captulo 2
Apndices
E: Mapeamento do COBIT 5 com principais

padres do mercado
F: Comparao entre o Modelo de
Informaes do COBIT 5 e os Critrios
de Informaes do COBIT 4.1
G: Descrio detalhada dos Habilitadores
do COBIT 5
Apndice H. Glossrio
COBIT 5
2 Princpio do COBIT
Captulo 3
Captulo 8
Modelo de Capacidade de Processo do COBIT
3 Princpio do COBIT
Captulo 4
Captulo 7
Guia de implementao do COBIT
4 Princpio do COBIT
Captulo 5
Captulo 6
5 Princpio do COBIT
Fatores motivacionais para publicao do COBIT

De acordo com a ISACA (2013), os principais fatores para o desenvolvimento do COBIT so:
Envolvimento das partes interessadas com a TI
O envolvimento das partes interessadas tem como objetivo determinar o que eles esperam da
TI para atingir nveis otimizados de benefcios, risco e custos aceitveis. As partes interessadas
devem identificar as prioridades dos negcios para garantir que o valor esperado de TI seja
efetivamente obtido, em curto, mdio ou longo prazo.
As expectativas divergentes e/ou conflitantes devem ser tratadas com eficincia e transparncia, para no impactar no atingimento aos resultados organizacionais.
Dependncia de provedores de TI
As organizaes esto cada vez mais dependentes de terceiros, fornecedores, consultores,
clientes e/ou provedores de servios de TI para a realizao de negcios. Assim, os fornecedores
de servios de TI so partes essenciais para as organizaes manterem seus negcios e efetivamente agregarem valor s partes interessadas e aos negcios com o uso de recursos de TI.
Figura 1.3
Viso sistmica
do framework
COBIT 5.
Elaborado
pelo autor.
13
Relevncia da informao
A informao um ativo essencial para tomada de decises, porm a quantidade de informao vem aumentando significativamente no contexto organizacional. Dessa forma, as
organizaes devem ter um processo definido para selecionar as informaes com base em
critrios pr-estabelecidos, tais como relevncia, credibilidade e transparncia.
Quando a informao gerenciada de forma oportuna e qualificada, ela auxilia

o processo de tomada de decises pela rea de negcio de forma eficiente e eficaz.
Em ambientes complexos, as organizaes necessitam de um modelo de tratamento de

informao para garantir efetividade em sua gesto. Recentemente, a ISACA publicou o guia
COBIT 5 Habilitador Informao (Enabling Information), que estabelece um modelo e critrios
para a gesto da informao nas organizaes.
TI como parte integrante do negcio
A TI cada vez mais uma parte integrante do negcio, portanto no deve ser considerada
como um nicho e separada do negcio. A Tecnologia da Informao deve estar inserida como
parte integrante dos projetos empresariais, estruturas organizacionais, gesto de risco, polticas, capacidades, processos, entre outras funes e atividades da arquitetura empresarial.
Esse cenrio requer que os executivos de negcio tenham competncias em TI para tomada
de decises e operaes relacionadas a TI.
Por outro lado, as funes da rea de TI esto em crescente evoluo. Assim, a administrao de TI deve fundamentar-se em uma abordagem holstica e integrada, diretamente
relacionada ao negcio.
Orientaes para tecnologias emergentes e inovadoras
Tecnologias inovadoras esto relacionadas criatividade, novas ideias e ao desenvolvimento
de produtos e servios para alavancagem de novos negcios e fidelizao de clientes (atuais
e futuros).
Inovao pressupe a concepo e o desenvolvimento de produtos, a modelagem de processos de produo e da cadeia de suprimentos visando fornecer produtos com alto nvel de
eficincia, com estabelecimento de prazos para entrega dos servios.
Cobertura do negcio pela TI
As organizaes que utilizam a TI para alavancagem de negcio e como um diferencial competitivo possuem a maior parte de seus processos crticos sustentados por TI. Essa situao caracteriza a cobertura do negcio de ponta a ponta e em todas as reas responsveis pelas funes de
TI. Essa estrutura requer processos de governana e de gesto de TI eficientes e eficazes.
14
Na concepo do COBIT, a eficincia na gesto depende de diversos fatores, tais como estruturas organizacionais, polticas e cultura organizacional.
Esses fatores esto presentes e interagem com os processos de trabalho vigentes na organizao, ampliando os desafios de governana e de gesto das organizaes.
w
Para mais informaes
sobre o COBIT 5
Enabling Information,
consulte
www.isaca.org/cobit.
l
Melhoria dos controles sobre as solues de TI
As solues de TI tm como propsitos criao de valor para a organizao atravs do uso
eficiente e inovador de TI, da satisfao dos usurios com os servios de TI, do cumprimento
de leis, regulamentos, acordos contratuais e polticas internas e da melhoria do relacionamento entre as necessidades organizacionais e os objetivos de TI.
Esses requisitos, atuando de forma integrada e seguindo as diretrizes organizacionais, promovem a melhoria dos controles institucionais sobre as solues de TI.
Alinhamento a padres e estruturas de mercado
A integrao e o alinhamento entre padres e prticas de mercado auxiliam as partes interessadas (stakeholders) no entendimento de como os diversos modelos, boas prticas e
padres se inter-relacionam e como eles podem ser usados em conjunto.
Dentre as boas prticas, o COBIT destaca o Information Technology Infrastructure Library
(ITIL), The Open Group Architecture Forum (TOGAF), Project Management Body of Knowledge
(PMBOK), PRojects IN Controlled Environments 2 (PRINCE2), Committee of Sponsoring
Organizations of the Treadway Commission (COSO), entre outras normas internacionais no
padro ISO.
Nesse contexto, o COBIT tem como propsito cobrir toda a organizao e fornecer uma base
para integrar outras estruturas, padres e prticas como uma estrutura nica de integrao.
Integrao das principais estruturas e orientaes da ISACA
O COBIT 5 tem como foco principal a integrao entre os modelos COBIT 4.1, Val IT e Risk IT.
O COBIT 5 considera, ainda, o Modelo de Negcios para Segurana da Informao (BMIS), a
Estrutura de Avaliao de TI (ITAF) e as publicaes Board Briefing on IT Governance e Taking
Governance Forward (TGF).
Dessa forma, o COBIT 5 integra e consolida o uso e aplicao de diversos padres desenvolvidos pela ISACA, reunindo o arcabouo terico em um nico modelo de referncia.
Motivaes para a publicao do Modelo Corporativo COBIT
Diversos fatores motivacionais foram importantes para a publicao do COBIT 5. Entre
esses, a Melhoria dos controles sobre as solues de TI representa um tpico essencial
e que avaliado pelos rgos de controle externo nas auditorias realizadas no mbito das
organizaes pblicas.
Os controles institucionais na gesto pblica so definidos como prticas adotadas pela empresa
pblica para certificar-se de que os parmetros estabelecidos atendem finalidade pblica.
Aplicando o conceito de controle institucional ao processo de desenvolvimento de solues
e servios de TI em sua organizao, cite trs prticas de gesto e atividades adotadas pela
rea ou gestor de TI no processo de desenvolvimento de aplicativos de sua organizao.
Na gesto pblica, o
ato de controle
institucional significa
uma ao em que a
prpria organizao se
encarrega de examinar
se a atividade
governamental atendeu
finalidade pblica,
legislao e aos
princpios aplicveis ao
setor pblico.
15
Famlia de Produtos do Modelo Corporativo COBIT 5

O COBIT 5 composto por um conjunto de publicaes denominados Famlia de Produtos
COBIT 5, cuja estrutura est representada na figura 1.4.
Famlia de Produtos: COBIT 5

COBIT 5
Guias Habilitadores
COBIT 5
Outros guias
habilitadores
COBIT 5
Habilitador Processos
Habilitador Informao
COBIT 5 Professional Guides

COBIT 5
Implementao
COBIT 5
para Segurana da Informao
COBIT 5
para Garantia
COBIT 5
para Risco
Outros Guias
Prossionais
Ambiente Colaborativo Online do COBIT 5

A figura 1.4 mostra que a famlia de produtos do COBIT formada pelas seguintes
publicaes-chave:
COBIT 5
Trata-se do modelo COBIT 5 Modelo Corporativo para Governana e Gesto de TI da Organizao,
isto , do COBIT 5 propriamente dito. Essa publicao apresenta uma viso holstica do
modelo COBIT, sendo composta por princpios, habilitadores, modelo de capacidade, entre
outros assuntos que abordaremos nessa publicao em captulos posteriores.
COBIT 5 Guias Habilitadores
Trata-se de um conjunto de guias dos habilitadores (Enabler Guides). Esses guias compreendem as publicaes COBIT 5 Enabling Processes, COBIT 5 Enabling Information e outros
guias relacionados, denominados Other Enabler Guides, que sero desenvolvidos pela
ISACA futuramente.
COBIT 5 Guias Profissionais
Trata-se de um conjunto de Guias Profissionais utilizados para as atividades prticas de
implementao do modelo (COBIT 5 Implementao), segurana da informao (COBIT 5
for Information Security), auditoria (COBIT 5 for Assurance) e gerenciamento de risco (COBIT 5
for Risk), alm de outros guias profissionais relacionados (Others Professional Guides), que
sero desenvolvidos pela ISACA futuramente.
Ambiente colaborativo online
Trata-se de um ambiente de colaborao usado pelos membros da ISACA para compartilha-
16
mento das boas prticas no uso do COBIT 5.

Em sntese, a famlia do COBIT 5 tem como principais objetivos:
11 Reunir as publicaes COBIT 4.1, Val IT 2.0, Risk IT e BMIS (Business Model for Information
Security) da ISACA em uma estrutura nica;
11 Ampliar as reas de TI que necessitam de contedos mais elaborados e atualizados;
11 Alinhar-se com outros padres e principais estruturas de mercado;
Figura 1.4
Famlia de Produtos
do COBIT.
11 Definir um conjunto de habilitadores de governana e gesto a partir de uma

estrutura bsica;
11 Possibilitar a incluso de novos contedos base de conhecimento definidos no COBIT;
11 Fornecer uma slida e abrangente base de referncia de boas prticas em TI.
Para pensar
O escopo dessa publicao abrange estritamente o documento COBIT 5 Modelo
Corporativo para Governana e Gesto de TI da Organizao, que ser detalhada
nos captulos subsequentes.
Para mais informaes sobre as demais publicaes da ISACA relacionadas ao COBIT 5,

consulte o site www.isaca.org/cobit.
Famlia de produtos do Modelo Corporativo COBIT 5
Relacione os documentos que compem a famlia de produtos do COBIT 5.
Em busca da governana corporativa de TI

A TI representa um recurso indispensvel aos negcios e fator diferencial de competitividade para as estratgias e objetivos organizacionais. Assim, a governana e a gesto
eficiente e estratgica dos recursos de TI representam elementos essenciais para que as
organizaes sejam bem-sucedidas nos negcios.
Em um contexto organizacional cujos processos de negcio so suportados por TI, cada vez
se torna mais difcil e complexo desassociar o binmio Negcio x TI.
Ademais, diretores e gestores de TI possuem um papel primordial para o sucesso dos negcios, no qual se deve ter como premissa uma atuao em conjunto das reas de negcio e
de TI. Esse o comeo para incluir a TI no contexto da governana corporativa e da gesto
estratgica das organizaes.
Na prtica, a rea de TI, apropriando-se de boas prticas de governana e de gesto, acrescida pela necessidade de realizar negcios de forma eficiente e segura, e, ainda, segundo as
estratgias da organizao, considerada no COBIT como unidade motriz e desencadeadora
Dessa forma, a integrao da governana de TI governana corporativa da organizao

desencadeia o conceito de governana corporativa de TI, tornando-se o ponto de partida
para implantao da governana corporativa em qualquer organizao.
Nesse cenrio, o COBIT, atuando como uma estrutura nica integrada, pode auxiliar as organizaes a atingirem seus objetivos de negcio, mantendo a governana e a gesto de TI em
um nvel adequado s necessidades e estrutura da organizao.
de eventos impulsionadores da implantao da governana corporativa.
17
Assim, o principal objetivo da governana corporativa de TI relaciona-se criao de valor

atravs de TI, mantendo o equilbrio entre a realizao de benefcios (negcios) e a otimizao dos nveis de risco e de recursos utilizados.
Nessa perspectiva, o COBIT, composto por uma srie de prticas de governana, de gesto
e de atividades, estabelece diversos mecanismos para que a rea de TI seja governada e
gerida de forma holstica para entender o negcio como um todo, no se restringindo a
questes especficas de TI.
Esse o caminho em busca da governana corporativa de TI. O que voc acha?
Esse cenrio requer que os executivos de negcio tenham competncias em TI para tomada
de decises e operaes de TI, bem como os executivos de TI tenham conhecimento sobre
as prticas, atividades e diretrizes de negcio.
Em busca da governana corporativa de TI
Como voc relaciona o Modelo Corporativo COBIT 5 e a governana de TI?
Defina governana corporativa de TI.
18
l
A TI cada vez mais
parte integrante do
negcio e no deve ser
considerada como um
nicho, separada e
desvinculada do
negcio. Pelo contrrio,
a Tecnologia da
Informao deve estar
inserida como parte
integrante dos projetos
empresariais, estruturas organizacionais,
gesto de risco,
polticas, capacidades,
processos, entre outras
funes e atividades
da arquitetura
empresarial.
2
objetivos
Os cinco princpios do COBIT 5

Conhecer os cinco princpios do COBIT 5 para a governana e gesto de TI das
organizaes; Analisar a influncia dos princpios do COBIT 5 na governana e gesto
de TI das organizaes; Aplicar o conhecimento dos princpios do COBIT 5 no
contexto das organizaes.
organizao de ponta a ponta; 3 princpio: aplicar uma estrutura nica e integrada;

4 princpio: permitir uma abordagem holstica; 5 princpio: separar a governana
da gesto; Inter-relacionamento dos cinco princpios do COBIT 5; Aplicao prtica
conceitos
1 princpio: atender s necessidades das partes interessadas; 2 princpio: cobrir a
dos cinco princpios do COBIT 5 nas organizaes.
A figura 2.1 apresenta uma viso sistmica dos cinco princpios do COBIT 5.
Principios do COBIT 5
1. Atender s
necessidades
das partes
interessadas
Figura 2.1
Viso sistmica dos
Cinco Princpios do
COBIT 5.
4. Permitir uma
abordagem
holistica
Princpios
do COBIT 5
2. Cobrir a
empresa de
Ponta a Ponta
3. Aplicar uma
estrutura
nica integrada
Captulo 2 - Os cinco princpios do COBIT 5
5. Separar a
governana
da gesto
19
1o princpio: atender s necessidades das partes interessadas

As partes interessadas (stakeholders) representam a razo da existncia das organizaes. As organizaes existem para atender a um determinado propsito. Portanto, devem
criar valor para as suas partes interessadas, de forma a manter o equilbrio entre a realizao de benefcios e a otimizao do risco e dos recursos. Consequentemente, qualquer
organizao, independentemente do porte, natureza e finalidade, deve ter a criao de valor
como um dos objetivos de governana.
O COBIT 5 pressupe que as organizaes possuem objetivos estratgicos diferenciados,
isto , cada organizao singular, considerando os diversos fatores associados aos
negcios e aos ambientes interno e externo. Esse cenrio tambm se aplica aos negcios
e servios suportados por TI, pois o ambiente de TI deve estar adequado s estratgias e
Stakeholders
Representam as partes
interessadas de uma
organizao. Qualquer
pessoa responsvel por
uma expectativa,
necessidade ou
interesse nas atividades
da organizao.
Exemplos de stakeholders: usurios, gestores,
governo, fornecedores,
clientes e sociedade.
necessidades de negcio da organizao.
O alinhamento entre negcio e TI fundamental para o atingimento da estratgia

da organizao.
Baseado na figura 2.2, no contexto do COBIT 5, a governana tem por objetivo criar valor
pela realizao de benefcios com otimizao do risco e dos recursos, a partir das necessidades das partes interessadas.
Objetivo da Governana: Criao de Valor

Necessidade das
partes interessadas
Objetivo da Governana: Criao de valor

Realizao de benefcios
Otimizao do risco
Otimizao dos recursos
Figura 2.2
Objetivo da
Governana.
Necessidades das partes interessadas

O COBIT 5 pressupe que cada organizao deve identificar as necessidades das suas partes
interessadas, traduzi-las em termos de objetivos corporativos de alto nvel e, posteriormente,
identificar os objetivos de TI correspondentes. As necessidades das partes interessadas
podem relacionar-se a aspectos sociais, econmicos, tecnolgicos e ambientais, por exemplo.
Os benefcios para a organizao podem relacionar-se a aspectos financeiros, sociais, tecno-
20
lgicos e/ou ambientais. A realizao de benefcios organizacionais est diretamente relacionada misso da empresa, isto , sua razo de existir, considerando, ainda, sua natureza,
porte, rea de atuao e objetivos de negcio.
l
A criao de valor para
a organizao
atingida quando h um
equilbrio entre a
realizao de benefcios, a otimizao de
riscos e a otimizao
de recursos.
Para pensar
Em um cenrio de constante mudana, a organizao deve considerar a manuteno
e ampliao dos benefcios de negcios atuais, a introduo de novos benefcios, bem
como a eliminao de iniciativas que no criam o valor esperado para os negcios.
Otimizao de riscos
Segundo a ISO GUIA 73 Gesto de riscos - Vocabulrio, risco a combinao da probabilidade
de um evento e suas consequncias. Como um dos objetivos da governana, a otimizao do
risco implica o seu reconhecimento, a sua avaliao de impacto e probabilidade de ocorrncia,
bem como o desenvolvimento de estratgias para minimizar o risco, reduzir seu efeito negativo
e/ou transferi-lo, de forma a administr-lo no contexto da empresa e de seu apetite de risco.
Otimizao de recursos
Os recursos esto relacionados aos ativos da empresa (pessoas, processos e tecnologia) que
podem ajud-la a atingir seus objetivos de negcio, por isso, representam um dos objetivos
de governana. A otimizao de recursos envolve o uso eficaz, eficiente e responsvel de
recursos humanos, financeiros, tecnolgicos, entre outros.
Equilbrio entre benefcios, riscos e recursos
Como as organizaes possuem diversas partes interessadas, a expresso criar valor pode
ter significados diferentes e, por vezes, conflitantes para cada uma dessas partes interessadas no contexto da organizao.
Sob essa perspectiva, uma boa prtica de governana descrita no COBIT 5 relaciona-se
negociao e deciso entre os interesses de valor diversas partes interessadas envolvidos
no processo de tomada de deciso na organizao a partir do estabelecimento de comits
estratgicos decisrios.
Assim, um bom sistema de governana deve considerar todas as partes interessadas ao
tomar decises sobre a avaliao dos recursos, benefcios organizacionais e apetite de risco.
Consequentemente, para cada deciso das partes interessadas, as seguintes questes
devem ser consideradas no ambiente organizacional:
11 Para quem so os benefcios?
11 Quem assume o risco?
1 princpio do COBIT
Responda as quatro questes a seguir no contexto da organizao onde voc trabalha:
Quem so as principais partes interessadas da sua organizao?
11 Que recursos so necessrios?
21
Quais so as principais necessidades dessas partes interessadas?
As partes interessadas possuem interesses conflitantes? Em caso positivo, h mecanismos

e/ou procedimentos definidos para conciliar os interesses divergentes?
Na sua viso, a TI efetivamente atende s necessidades das partes interessadas? Como a

TI atua ou poderia atuar para criar valor para o sistema de governana da organizao, de
forma a atender s necessidades dos stakeholders?
2 princpio: cobrir a organizao de ponta a ponta

O COBIT considera que a governana e a gesto da TI so aplicveis a toda a organizao.
Para isso, o modelo adota o termo ponta a ponta. Assim, a governana abrange as reas
estratgicas, tticas e operacionais das organizaes, bem como todas as pessoas responsveis pelo desenvolvimento de suas atividades no contexto da empresa.
Nessa perspectiva, o COBIT tem como propsito:
11 Integrar a governana de TI governana da organizao, isto , o sistema de governana
corporativa de TI deve estar alinhado a quaisquer outros sistemas de governana;
11 Cobrir todas as funes e processos necessrios para regular e controlar as informaes
da organizao e as tecnologias utilizadas.
Sob esse princpio, o COBIT abrange todos os processos de negcio e servios suportados
por TI, sejam eles providos interna ou externamente organizao. Outro fator essencial
est vinculado ao relacionamento entre todos os atores, processos e recursos relacionados
governana e gesto de TI da organizao, tais como a definio de atividades e responsabilidades das funes corporativas de negcio e de TI.
Governana de ponta a ponta
22
A abordagem governana de ponta a ponta proposta no COBIT est representada na figura

2.3. Esse esquema, oriundo do princpio anterior (figura 2.2), identifica os principais componentes de um sistema de governana e a interao as partes envolvidas nessa estrutura.
Componentes so Sistema de Governana no COBIT 5

Objetivo da Governana: Criao de valor
Otimizao do risco
Habilitadores da Governana
Figura 2.3
Componentes
do sistema de
governana.
Otimizao dos recursos
Escopo da Governana
Funes, atividades e relacionamentos
A criao de valor representa o principal objetivo da governana, conforme descrito no

Princpio 1. O princpio 2 detalha cada componente do sistema de governana proposto no
COBIT, no contexto da abordagem de ponta a ponta.
Habilitadores da governana
11 Algo (tangvel ou intangvel) que auxilia na realizao bem-sucedida da governana.
11 Fatores que interferem na realizao do sucesso da governana.

11 Componentes essenciais e necessrios governana corporativa.
O COBIT define sete habilitadores para um eficiente sistema de governana:
11 1: Princpios, Polticas e Modelos;
11 2: Processos;
11 3: Estruturas Organizacionais;
11 4: Cultura, tica e Comportamento;
11 5: Informao;
11 6: Servios, Infraestrutura e Aplicativos;
11 7: Pessoas, Habilidades e Competncias, por meio dos quais todas as aes de governana devem ser orientadas para alcance dos objetivos corporativos.
importante destacar que, a falta de pessoas, polticas ou deficincias na tomada de
as partes interessadas, e consequentemente impactar em uma governana bem-sucedida.
Assim, os habilitadores so elementos essenciais para o sucesso da governana.
Considerando a importncia e abrangncia dos habilitadores de governana e de gesto
propostos pelo COBIT, o captulo 4 Dimenses dos Sete Habilitadores do COBIT 5 descreve
detalhadamente esses sete fatores e o inter-relacionamento entre eles para o sucesso da
governana e gesto nas organizaes.
Escopo da governana
O escopo da governana abrange toda a organizao, rea de negcios, ativo tangvel ou
intangvel. Assim, podem-se definir diferentes vises da organizao na qual a governana
aplicvel. A definio do escopo do sistema de governana da organizao fundamental
deciso nos negcios, por exemplo, pode afetar a capacidade da organizao criar valor para
23
para conduzir os esforos necessrios e sua aplicao na organizao segundo as diferentes

abordagens. O escopo pode estar relacionado gesto de projetos, avaliao de riscos,
segurana da informao, desenvolvimento de sistemas, entre outros. Cada organizao
deve definir o escopo da governana.
Esse componente genrico da abordagem de governana refere-se s funes, atividades
e relacionamentos para o sucesso do sistema de governana. Esse sistema identifica os
principais componentes a serem adotados em uma estrutura organizacional. A figura 2.4
demonstra o fluxo de como esse processo ocorre na prtica e como se d as interaes
entre as diferentes funes na organizao.
Esse esquema origina-se da expanso da parte inferior da figura 2.3, mais precisamente do
componente Funes, atividades e relacionamentos do sistema de governana.
Sistema de Governana: Principais funes, atividades e relacionamentos

Proprietrios e
Partes Interessadas
Delegar
Presta conta
Conselho de
Administrao
Denir
Orientao
Monitorar
Corpo
Diretivo
Instruir e
Alinhar
Reportar
Como se pode observar, esse sistema define os atores envolvidos na governana, suas
relaes e interaes dentro do escopo de um sistema genrico de governana. A figura 2.3
mostra atividades organizacionais relacionadas governana e gesto.
Como o COBIT distingue as atividades de governana e de gesto em domnios especficos,
esse assunto est detalhado no princpio 5, Distinguir Governana de Gesto, que tambm
Operaes
e Execuo
Figura 2.4
Principais funes,
atividades e
relacionamentos
em um sistema de
governana.
retrata a interao entre essas duas disciplinas.
Exerccios de fixao 2 e
2 princpio do COBIT
Identifique e defina os trs componentes fundamentais da abordagem de governana de
ponta a ponta proposta pelo COBIT.
Componente 1:
24
Componente 2:
w
Consulte o site www.
takinggovernanceforward.org para
aprofundamento de
conhecimento sobre o
funcionamento da
estrutura de governana proposta no
COBIT.
Componente 3:
Responda as trs questes a seguir considerando o contexto da organizao onde voc trabalha.
Entre os sete habilitadores de governana, identifique os dois menos evoludos e que necessitam de maior atuao da alta administrao, para a melhoria da eficincia e eficcia do
sistema de governana.
A alta administrao definiu o escopo da abordagem de governana? Qual o escopo de

governana? Que critrios foram utilizados na sua definio?
Baseado na figura 2.4 e, considerando a estrutura organizacional de TI, identifique as principais funes e atividades relacionadas governana.
Responsveis e Participantes:
Administrao:
Operaes e Execuo:
Corpo Diretivo:
25
3o princpio: Aplicar uma estrutura nica e integrada

Conforme descrito no captulo 1, h diversas normas ISO, padres de mercado e boas
prticas relacionadas Tecnologia da Informao (TI). Cada estrutura composta por
orientaes especficas para um subconjunto de atividades de TI dependendo do escopo e
abrangncia do modelo de referncia utilizado.
O COBIT tem como terceiro princpio atuar como uma estrutura unificada integrada de alto
nvel para a governana e gesto de TI da organizao, alinhando-se aos outros padres,
modelos e frameworks de boas prticas de TI.
COBIT 5: estrutura nica, como uma fonte consistente e integrada de orientao em

uma linguagem comum, no tcnica e agnstico-tecnolgica.
Assim, o COBIT pode ser considerado como uma estrutura nica e integrada, porque tem
como premissa as seguintes prerrogativas:
11 Baseia-se em uma arquitetura simples para estruturao dos guias de orientaes,
a partir de um conjunto de produtos;
11 Alinha-se com outros padres e estruturas de mercado, permitindo que a organizao
use esse modelo como elemento integrador da estrutura de governana e de gesto;
11 completo na cobertura da empresa, fornecendo uma base para integrar com outras
estruturas, padres e prticas utilizadas;
11 Integra o conhecimento oriundo de outros padres da ISACA, a exemplo do COBIT 4,1,
Val IT, Risk IT, BMIS, a publicao Board Briefing on IT Governance e ITAF.
COBIT 5 como modelo integrado de boas prticas
A figura 2.5 sintetiza como o COBIT 5 utilizado como uma estrutura integrada para ser
considerado um modelo nico para o sistema de governana das organizaes.
26
w
Para ampliar o
conhecimento sobre os
diversos padres da
ISACA que foram
usados como subsdio
para elaborao do
COBIT 5 , consulte o
site http://www.isaca.
org/Knowledge-Center.
COBIT 5: Estrura nica e integrada
Orientaes da ISACA
(COBIT, Val IT, Risk IT,
BMIS e ITAF)
Publicaes de
Orientaes da ISACA
Base de
conhecimento
do COBIT 5
Orientao e
contedo atuais
Estrutura para
contedos futuros
Outros Padres
e Estruturas
COBIT 5
habilitadores
Contedo para a
Base de conhecimento
Famlia de Produtos COBIT 5

COBIT 5
Guias Habilitadores do COBIT 5
Figura 2.5
Componentes
da base de
conhecimento
do COBIT.
Guias Prossionais do COBIT 5

Ambiente Colaborativo
Online do COBIT 5
Essa figura retrata a Base de Conhecimento do COBIT 5 como modelo e estrutura central
de orientao de boas prticas de mercado aplicadas TI, sendo sustentado por trs
elementos principais:
11 Orientaes e publicaes da ISACA e demais e estruturas de mercado;
11 Habilitadores do COBIT 5;
11 Famlia de produtos do COBIT 5.
3 princpio do COBIT
como modelo de referncia padro para o sistema de governana das organizaes?
4 princpio: Permitir uma abordagem holstica

Segundo o princpio Permitir uma abordagem holstica, a governana e a gesto de TI das
organizaes, para serem eficientes e eficazes, requerem uma abordagem sistmica que
considere diversos componentes interligados.
Por que o COBIT pode ser considerado uma estrutura nica e integrada para ser usado
27
Assim, o COBIT define um conjunto de Guias Habilitadores para apoiar a implementao de um

sistema abrangente de governana e de gesto de TI para as organizaes. Esses guias habilitadores tm como objetivo facilitar e auxiliar a organizao a atingir os objetivos corporativos.
Introduo aos sete habilitadores do COBIT 5

Habilitadores so fatores que, individualmente e/ou em conjunto, influenciam se algo vai
funcionar efetivamente ou no em um contexto definido.

O COBIT define sete categorias de habilitadores para a governana e gesto de TI das
organizaes, conforme demonstrado na figura 2.6.
Habilitadores do COBIT 5
3. Estruturas
Organizacionais
2. Processos
4. Cultura, tica e
Comportamento
1. Princpios, Polticas e Modelos
5. Informao
6. Servios, Infraestrutura
e Aplicativos
6. Pessoas, Habilidades
e Competncias
Recursos
Figura 2.6
Os sete
habilitadores
do COBIT 5.
A tabela 2.1 descreve sucintamente cada um dos sete habilitadores definidos no COBIT.
28
Habilitador
Descrio
1. Princpios, Polticas
e Modelos
So instrumentos para traduzir o comportamento desejado pela alta administrao numa orientao prtica para o cotidiano da gesto.
2. Processos
Representa um conjunto de prticas e atividades para consecuo de determinados objetivos, produzindo um conjunto de resultados em apoio consecuo
geral dos objetivos de TI.
3. Estruturas
organizacionais
Representa as principais entidades de tomada de deciso em uma organizao.
4. Cultura, tica e
comportamento
Representa um fator de sucesso nas atividades de governana e gesto relacionada s pessoas e organizao, ainda que subestimado pela administrao.
o conjunto de crenas, ideias, prticas e comportamentos, individuais e coletivos. Pertencem aos indivduos e, de forma coletiva, organizao.
5. Informao
Permeia toda a organizao e inclui toda a informao produzida e utilizada pela

organizao. necessria para manter a organizao em movimento e bem regulada, mas ao nvel operacional, muitas vezes o principal produto da organizao..
6. Servios, infraestrutura
e aplicativos
Representa os recursos tecnolgicos que fornecem organizao os servios

relacionados a TI.
7. Pessoas, habilidades
e competncias
Representa as pessoas necessrias para realizao bem-sucedida de todas as

atividades da organizao e, ainda, auxilia o processo de tomada de decises.
Tabela 2.1
Descrio dos
sete habilitadores
do COBIT.
Na prtica, os sete habilitadores, introduzidos no COBIT pelo Princpio 4: permitir uma

Abordagem Holstica esto presentes em todos os setores e atividades das organizaes,
conforme descrito no Princpio 2 Cobrir a organizao de ponta a ponta, incluindo todos
os recursos, atividades e responsabilidades das pessoas envolvidas.
Nesse contexto, o COBIT busca fornecer uma base de conhecimento essencial para que a alta
administrao tenha uma viso sistmica sobre governana e gesto de TI da organizao
como um todo.
A anlise detalhada
dos guias habilitadores
(Enabler Guides) no
faz parte do escopo
dessa publicao.
Para mais informaes
sobre esses guias,
acesse
www.isaca.org/cobit5.
Vejamos um exemplo prtico dos habilitadores em ao para o processo Prestar Servios de

TI, que demonstra a importncia e a necessidade da interao entre os sete habilitadores do
COBIT para uma prestao de servios bem-sucedida.
Prestar Servios Operacionais de TI aos usurios exige capacidade de servio (infraestrutura
e aplicativos), pessoas qualificadas e com o comportamento necessrio. Diversos processos
de prestao de servios tambm devem ser implementados e apoiados por estruturas
organizacionais adequadas para a gesto eficiente da informao de negcios.
O captulo 4 Dimenses dos sete habilitadores do COBIT dessa publicao detalha o contedo dos habilitadores do COBIT 5.
4 princpio do COBIT
Quais so os sete habilitadores definidos pelo COBIT no princpio 4?
Os sete habilitadores do COBIT influenciam o sucesso do sistema de governana e de gesto

de sua organizao? Justifique sua resposta.
5 Princpio: separar a governana da gesto

A estrutura do modelo de referncia de processos do COBIT distingue governana de
gesto. Para o COBIT, essas duas disciplinas compreendem atividades e estruturas organizacionais diferenciadas, bem como possuem propsitos e objetivos distintos.
A figura 2.7 identifica a diferena entre essas duas reas no COBIT, demonstrando que cada
uma delas possui objetivos e atividades especificas no contexto das organizaes.
29
Separao Entre Governana e Gesto No Cobit 5

Necessidade do Negcio
Governana
Avaliar
Orientar
Feedback da Gesto
Monitorar
Gesto
Planejar (APO)
Desenvolver (BAI)
Executar (DSS)
Monitorar (MEA)
Conceito de Governana
A Governana deve garantir que as necessidades, condies e direcionamento das partes
interessadas sejam avaliados a fim de determinar objetivos corporativos equilibrados e
consensuais a serem alcanados. A Governana define a orientao, a tomada de deciso
e monitora o desempenho e a conformidade em relao s orientaes e aos objetivos
convencionados.
Conceito de Gesto
A Gesto responsvel pelo planejamento, criao, execuo e monitoramento das atividades em consonncia com a orientao definida pela rea de governana a fim de atingir
os objetivos corporativos.
Na maioria das organizaes, a governana geralmente de responsabilidade do Conselho
de Administrao (CA), sob a liderana do presidente. Todavia, em organizaes mais
complexas e de grande porte, as responsabilidades de governana especficas podem ser
delegadas a estruturas organizacionais de menor nvel.
Por outro lado, a responsabilidade sobre a gesto, na maioria das organizaes, cabe
Diretoria Executiva (DE), sob a liderana do Diretor Executivo (CEO). Assim, cada organizao
possui estrutura organizacional diferenciada, de acordo com suas necessidades, porte, objetivos de negcio e legislaes especficas.
Ainda, considerando a distino entre governana e gesto, o COBIT, com nfase no habilitador
Processos, define um conjunto de processos especficos para cada uma dessas duas reas.
Modelo de referncia de processos
O COBIT sugere que as organizaes implementem processos de governana e de gesto de
30
tal forma que as principais reas das estruturas organizacionais estejam cobertas por um
modelo de referncia.
A figura 2.8 mostra o conjunto dos 37 processos do modelo de referncia descritos no
COBIT. Esses processos esto divididos em 5 processos para a governana de TI e em 32
processos para a gesto de TI.
Figura 2.7
Distino entre
governana e
gesto no COBIT.
Processos para a Governana Corporativa de TI (avaliar, dirigir, monitorar)

EDM01
Assegurar o
direcionamento
e manuteno
do modelo
de Governana
EDM02
Assegurar
entega de
benefcios
EDM02
Assegurar
otimizao
do risco
EDM02
Assegurar
otimizao
dos recursos
EDM02
Assegurar
transparncia
s partes
interessadas
Processos para o Gerenciamento Corporativo de TI (planejar, construir, executar, monitorar)

Alinhar, Planejar e Organizar
Monitorar, Avaliar e Analisar
APO01
Gerenciar o
modelo de
Gesto de TI
APO02
Gerenciar a
estratgia
APO03
Gerenciar a
arquitetura
organizacional
APO04
Gerenciar
a inovao
APO05
Gerenciar
potiflio
APO06
Gerenciar
oramento
e custos
APO07
Gerenciar
recursos
humanos
APO08
Gerenciar
relacionamentos
APO09
Gerenciar
acordos de
servio
APO10
Gerenciar
fornecedores
APO11
Gerenciar
qualidade
APO12
Gerenciar
risco
MEA01
Monitorar, avaliar e
certicar o desempenho
e a conformidade
APO13
Gerenciar
conguraes
Construir, Adquirir e Implementar

BAI01
Gerenciar
programas
e projetos
BAI02
Gerenciar
denio de
requisies
BAI05
Gerenciar
capacidade de
mudana organizacional
BAI08
Gerenciar
conhecimento
APO09
Gerenciar
ativos
BAI03
Gerenciar prospeco
e construo
de solues
BAI06
Gerenciar
mudanas
BAI04
Gerenciar
disponibilidade
e capacidade
BAI07
Gerenciar
Aceitao e
transio de mudana
MEA02
certicar o sistema de
controles internos
APO10
Gerenciar
conguraes
Entregar, Prestar Servios e Suportar

DSS02
Gerenciar requisitos
de servios e incidentes
DSS03
Gerenciar
problemas
DSS04
Gerenciar
continuidade
DSS05
Gerenciar servios
de segurana
DSS06
Gerenciar controles de
processos de negcios
Figura 2.8
Modelo de
Referncia
de Processos
do COBIT 5.
MEA02
certicar a conformidade
com os requisitos externos
Cada domnio contm os processos alocados conforme acordo com a rea de atividade mais
relevante considerando a TI em nvel corporativo.
DSS01
Gerenciar
operaes
31
O modelo de referncia de processo do COBIT 5 o sucessor do modelo de processo do

COBIT 4.1 e conta ainda com a integrao dos modelos de processo da ISACA Risk IT e Val IT.
11 A rea Processos para a Governana relaciona os cinco processos de governana constantes do domnio Avaliar, Dirigir e Monitorar (EDM).
11 A rea Processos para Gesto relaciona os quatro domnios dos processos de gesto
constantes dos domnios Alinhar, Planejar e Organizar, Desenvolver, Adquirir e Implementar, Executar, Atender e Apoiar e Monitorar, Avaliar e Analisar completando o
ciclo de gesto Planejar, Criar, Executar e Monitorar (PBRM).
A representao dos nomes e domnios est em consonncia com as designaes das reas
principais e usam mais um verbo para descrev-las:
11 Alinhar, Planejar e Organizar (APO);
11 Desenvolver, Adquirir e Implementar (BAI);
11 Executar, Atender e Apoiar (DSS);
11 Monitorar, Avaliar e Analisar (MEA).
O modelo de referncia do COBIT 5 apresenta os processos normalmente encontrados nas
organizaes cujos processos so suportados e relacionados a TI. Assim, o COBIT fornece
uma diretriz comum para gestores de negcios e de TI aplicarem nas organizaes, com
nfase nas necessidades de negcio e de TI.
Esse modelo no o nico modelo de processo possvel. Cada empresa deve definir
seu conjunto de processos, levando em considerao sua situao especfica.
Incorporar um modelo operacional e uma linguagem comum para todas as partes da

organizao envolvidas com atividades de TI uma das etapas mais importantes e crticas
da boa governana.
O modelo proposto pelo COBIT oferece uma estrutura para medir e monitorar o desempenho de TI, de forma a possibilitar a sua avaliao, comunicao entre os provedores de
servio e melhor integrao com as prticas de gesto organizacional.
Consideraes sobre o modelo de referncia de processos
O modelo de referncia de processos do COBIT representa uma evoluo em relao ao
padro COBIT 4.1 no que tange estrutura de processos e domnios do padro anterior.
Este modelo de referncia:
11 No prescritivo e nico;
11 Descreve os possveis processos de uma organizao;
11 adaptvel s necessidades da organizao;
32
11 Identifica os objetivos de governana e de gesto;

11 Pressupe o porte, a complexidade e a natureza da organizao;
11 Alinha-se aos objetivos estratgicos da organizao.
O detalhamento de cada um dos processos, segundo o modelo de referncia definido pelo
COBIT, consta da publicao COBIT 5 Modelo de Referncia de Processos, fora do escopo
dessa publicao.
w
Consulte
www.isaca.org/cobit
para mais
consideraes
sobre o Modelo
de Processos do
COBIT 4.1.
5 princpio do COBIT
Conceitue Governana e Gesto no contexto do COBIT.
Governana:
Gesto:
Relacione (1) Processo de Governana de TI e (2) Processo de Gesto de TI no contexto do

modelo de referncia de processos do COBIT.
Garantir a realizao de benefcios
Gerenciar inovao
Gerenciar mudanas
Garantir otimizao do risco
Gerenciar ativos
Gerenciar portflio
Garantir otimizao de recursos
Gerenciar fornecedores
Gerenciar estratgia
Garantir a transparncia
Interaes entre governana e gesto no COBIT

A definio das estruturas de governana e gesto deve levar em considerao as necessidades especficas das organizaes. As definies de governana e de gesto incluem
diversas atividades e responsabilidades no gerenciamento dessas duas estruturas, por
parte das organizaes.
Considerando o papel da estrutura de governana: de avaliar, direcionar e monitorar
diversas interaes so exigidas entre a governana e a gesto, a fim de resultar em um
sistema de governana eficiente e eficaz.
A tabela 2.2 apresenta uma anlise em alto nvel entre essas interaes, tendo como par-
metro os sete habilitadores do COBIT.
33
Interaes entre Governana e Gesto no COBIT 5

Habilitador
Interao: Governana x Gesto
Processos
O modelo de processo do COBIT 5 (COBIT 5: Enabling Processes) faz

uma distino entre processos de governana de gesto, inclusive
com definio de prticas e atividades de cada um. O modelo
de processo tambm inclui as tabelas RACI que descrevem as
responsabilidades das diferentes estruturas organizacionais e suas
funes na organizao.
Informao
O modelo de processo descreve entradas e sadas das diferentes

prticas do processo para outros processos, inclusive as informaes trocadas entre os processos de governana e de gesto.
Informaes usadas para avaliar, orientar e monitorar a TI da
organizao so trocadas ente a governana e a gesto, conforme
descrio nas entradas e sadas do modelo de processo.
Estruturas
organizacionais
Diversas estruturas organizacionais so definidas em cada

empresa; estruturas podem ser definidas no mbito da governana ou da gesto, dependendo da sua composio e do escopo
das decises. Como a governana define a orientao, h uma
interao entre as decises tomadas pelas estruturas de governana, a exemplo de deciso sobre o portflio de investimentos e a
definio de apetite ao risco
Princpios,
Polticas e
Modelos
Princpios, polticas e estruturas representam o veculo pelo

qual as decises de governana so institucionalizadas na organizao e por esse motivo, constituem uma interao entre as
decises de governana (definio da orientao) e a gesto
(execuo de decises).
Cultura, tica e
comportamento
O comportamento um habilitador essencial da boa governana e

gesto da organizao Ele fica no topo liderando por exemplos
e , portanto, uma interao importante entre a governana
e a gesto.
Pessoas,
habilidades
e competncias
As atividades de governana e gesto requerem conjuntos de habilidades diferentes, mas uma habilidade essencial para os membros
do rgo de governana e de gesto entender as duas tarefas e
como elas se diferenciam.
Servios,
infraestrutura
e aplicativos
Servios so necessrios, apoiados por aplicativos e infraestrutura

que proporcionem ao rgo de governana informaes adequadas e apoio s seguintes atividades de governana: avaliao,
definio da orientao e monitoramento.
O COBIT tambm pressupe que a governana de TI esteja integrada governana corporativa,

de forma que:
11 Abranja todas as funes e processos corporativos suportados por TI;
11 Trate a Tecnologia da Informao e tecnologias relacionadas como um ativo essencial
para a organizao;
11 Concentre-se prioritariamente nas funes de TI;
34
11 Considere a harmonia entre os sete habilitadores de governana e gesto de TI aplicvel

na organizao.
Nesse contexto, o COBIT destaca a importncia das polticas, diretrizes estratgicas, estrutura organizacional e processos decisrios na conduo dos negcios, e que esses fatores
podem abranger tanto aspectos internos e externos ao ambiente organizacional.
Tabelas RACI
Tabela ou Matriz RACI
uma ferramenta
empregada para atribuir
papis e responsabilidades, em processos,
projetos, servios ou
mesmo no contexto de
um departamento
/ funo.
R: Responsvel
A: prestA conta
C: Comunicado
I: Informado
Tabel 2.2
Interaes entre
Governana e
Gesto no COBIT.
Consideraes finais
Os cinco princpios do COBIT 5, atuando de forma harmnica, possibilitam que a organizao
crie uma estrutura eficiente de governana e de gesto, de forma a otimizar os investimentos
e uso dos recursos de TI seguindo as orientaes das partes interessadas.
Os sete habilitadores definidos pelo COBIT 5 no so aplicveis apenas governana e gesto de
TI. Pelo contrrio, sua aplicao abrange toda a organizao. Assim, esses habilitadores tambm
so considerados componentes essenciais e necessrios governana e gesto corporativa.
Os habilitadores devem ser compreendidos de forma holstica e, ainda, considerando a
influncia de um determinado fator sobre os demais. Cada habilitador necessita de informaes dos demais para obter resultado efetivo.
Por exemplo, processos precisam de informaes e estruturas organizacionais necessitam
de pessoas capacitadas e com habilidades e comportamentos adequados. Adicionalmente,
os processos em operao geram informaes e as habilidades e o comportamento das
pessoas tornam os processos eficientes, produzindo resultados para o benefcio dos demais
habilitadores harmonicamente.
Assim, ao tratar da governana e da gesto de TI da organizao, boas decises podem ser
tomadas somente quando esta natureza sistmica dos arranjos de governana e de gesto
for considerada no contexto da organizao.
Na prtica, essa dinmica significa que, para tratar de qualquer necessidade das partes
interessadas, a referncia a todos os habilitadores inter-relacionados deve ser considerada,
compreendida e orientada pela alta administrao da empresa.
O captulo 4, Dimenses dos Sete Habilitadores do COBIT 5, detalha como os sete habilitadores
do COBIT 5 influenciam o sucesso da governana e gesto corporativa de TI nas organizaes.
Interaes entre governana e gesto no COBIT
Responda as questes a seguir considerando o contexto da organizao onde voc trabalha.
As estruturas funcionais de governana e de gesto de TI esto definidas e segregadas?
De que forma? Como ocorre a interao entre essas duas reas?
A cultura organizacional um dos sete habilitadores do COBIT. A cultura est associada a um

padro de comportamentos, convices, assunes, atitudes e formas de fazer as coisas.
de TI? A cultura representa um fator restritivo governana e gesto eficiente?
Justifique sua resposta.
Como voc avalia a cultura na sua organizao com foco no sucesso da governana e gesto
35
36
3
objetivos
Cascata de objetivos do COBIT

Conhecer as etapas do processo da cascata de objetivos do COBIT;
Analisar os benefcios do processo da cascata de objetivos do COBIT;
Aplicar, em atividades prticas, o processo da cascata de objetivos do COBIT.
Viso geral dos quatro passos do processo da cascata de objetivos do COBIT;
conceitos
1 Passo: as diretrizes das partes interessadas influenciam as suas necessidades;

2 Passo: escalonamento das necessidades das partes interessadas em objetivos
corporativos; 3 Passo: escalonamento dos objetivos corporativos em objetivos de TI;
4 Passo: cascata dos objetivos de TI em metas do habilitador; Benefcios do processo
da cascata de objetivos do COBIT; Aplicao prtica da estrutura do processo da
cascatade objetivos do COBIT.
Introduo
Organizaes:
11 Operam em contextos diversos.

11 Determinados por fatores externos.
Por isso, cada organizao precisa de sistema de governana e gesto personalizado.
(exemplo: mercado, tecnologias, leis e geopolticas) e fatores internos (por exemplo: cultura,
estrutura organizacional, pessoas e apetite ao risco), consequentemente cada organizao
Cascata de objetivos
Traduo dos objetivos
corporativos de alto
nvel em objetivos de TI
especficos e gerenciveis, mapeando-os em
prticas e processos
especficos.
exige um sistema de governana e gesto diferenciado e personalizado.

No captulo 2, analisamos que o COBIT tem como 1 princpio O atendimento s necessidades dos stakeholders. Nessa perspectiva, o COBIT pressupe que as necessidades das
partes interessadas sejam transformadas em uma estratgia acessvel pela organizao.
O processo de transformao das expectativas e tendncias das partes interessadas na
realizao de objetivos de negcio denominado, no COBIT, como cascata de objetivos.
Captulo 3 - Escalonamento de objetivos do COBIT
As organizaes operam em contextos diferentes e determinados por fatores externos
37
Cascata de objetivos do COBIT 5

Tendncia das partes interessadas (Ambiente, Evoluo tecnolgica, etc.)
Inuncia
Necessidade das partes interessadas

Realizao de Benefcios
Otimizao do Risco
Otimizao dos Recursos
Desmembra-se
Objetivos Corporativos
Desmembra-se
Objetivos de TI
Desmembra-se
Objetivos do Habilitador
Figura 3.1
CAscata de
Objetivos
do COBIT.
Baseado na figura 3.1, podemos concluir que o processo de cascata traduz as necessidades
das partes interessadas em objetivos corporativos especficos que requerem objetivos de TI,
estabelecendo metas para cada um dos sete habilitadores do COBIT 5.
Esse processo permite a configurao de objetivos especficos em cada nvel e rea da organizao, em consonncia com os objetivos gerais e as exigncias das partes interessadas.
Na prtica, esse processo auxilia e apoia efetiva e continuamente o alinhamento entre as necessidades corporativas (processos e produtos) e de TI (servios e solues) para os negcios.
A cascata de objetivos do COBIT est estruturado em quatro passos fundamentais:
11 As diretrizes das partes interessadas influenciam as suas necessidades;
11 Cascata das necessidades dos stakeholders em objetivos corporativos;
11 Cascata dos objetivos corporativos em objetivos de TI;
11 Cascata dos objetivos de TI em metas do habilitador.
Introduo ao escalonamento de objetivos do COBIT
Defina o processo da cascata de objetivos do COBIT.
38
Identifique os quatro passos do processo da cascata de objetivos do COBIT.

1 Passo:
l
Analisaremos os quatro
passos do processo da
cascata de objetivos do
COBIT ao longo desse
captulo.
2 Passo:
3 Passo:
4 Passo:
Os quatro passos do processo da cascata de objetivos do COBIT

Analisamos, a seguir, cada um dos quatro passos do processo da cascata de objetivos do COBIT.
10 Passo: as tendncias das partes interessadas influenciam as suas necessidades

As diretrizes das partes interessadas so influenciadas por diversos fatores, tais como
mudanas no ambiente de negcio, regulamentaes internas e externas, polticas de
governo e tendncias sociais, ambientais e tecnolgicas, entre outros.
Assim, conforme descrito anteriormente, as iniciativas das partes interessadas devem considerar fatores internos e externos ao ambiente organizacional.
10 Passo do processo da cascata de objetivos do COBIT
Qual o objetivo do 1 Passo do processo da cascata do COBIT?
Responda a questo a seguir, considerando o contexto da organizao onde voc trabalha.
influenciadas pelo ambiente interno e/ou externo, e quais fatores (tecnolgicos, ambientais,
sociais, polticos etc.) so preponderantes nessa anlise, de forma a completar a tabela a
seguir com as informaes requeridas:
Descrio das diretrizes das
partes interessadas
Influncia do ambiente
(interno e/ou externo)
Fatores predominantes
Identifique trs diretrizes das partes interessadas e relacione se essas diretrizes so
39
20 Passo: cascasta das necessidades das partes interessadas

em objetivos corporativos
Primeiramente, o COBIT define, de forma ampla e genrica, que as necessidades das partes
interessadas relacionam-se a um conjunto de 17 objetivos corporativos de alto nvel.
Esses objetivos corporativos foram estabelecidos com base em pesquisas e experincias
de profissionais em diversas localidades do mundo, quando do desenvolvimento do COBIT,
conforme informao disponvel em www.isaca.org.cobit.
lModelo Corporativo
para Governana e
Gesto de TI da
Organizao, vide a
figura "Objetivos
Corporativos do COBIT
5" no captulo 2
Esses objetivos no so exaustivos, mas representam um norteador para as empresas analisarem suas estratgias organizacionais e utilizar a cascata do COBIT como instrumento de
referncia de mercado.
Em seguida, os 17 objetivos corporativos definidos no COBIT so vinculados s quatro
dimenses (Financeira, Cliente, Processos Internos e Aprendizagem e Crescimento) do
modelo BSC: Balanced ScoreCard (KAPLAN, 1992).
Cada um dos 17 objetivos corporativos genricos do COBIT relaciona-se a uma das quatro
dimenses do modelo BSC.
Balanced ScoreCard
Metodologia disponvel
e aceita no mercado,
desenvolvida por
Kaplan & Norton
(1992), da Harvard
Business School, para
definir indicadores de
desempenho.
Ainda no processo de mapeamento entre os objetivos corporativos e as dimenses BSC, o

COBIT identifica a marcao (P = Primria e S = Secundria), relacionando esses parmetros a cada um dos trs focos de governana (Realizao de Benefcios, Otimizao de Risco
e Otimizao de Recursos), de forma a completar a tabela com a referncia P ou S.
Assim, por exemplo, o objetivo corporativo 5 Transparncia financeira relaciona-se
dimenso Financeira do modelo BSC, e tem como objetivos de governana Primrio (P) a
realizao de benefcios e Secundrio (S) tanto a otimizao de risco quanto de recursos.
Na prtica, as organizaes podem estabelecer seus objetivos de negcio e, em seguida,
comparar as metas institucionais aos parmetros (indicadores) adotados no COBIT, alm de
verificar a sua adequao em relao a esse modelo de referncia.
Essa a proposta do COBIT. Assim, cada organizao deve estabelecer seus objetivos corporativos e de TI e compar-los com o COBIT.
20 Passo do processo cascata de objetivos do COBIT
Qual o objetivo do 2 Passo do processo cascata do COBIT?
Identifique os objetivos corporativos do COBIT associados dimenso Cliente do BSC.
40

Identifique trs objetivos corporativos definidos para a sua organizao previstos no Plano
Estratgico Institucional (PEI).
l
Os objetivos corporativos so, normalmente,
definidos quando da
elaborao do
Planejamento
Estratgico da
Instituio (PEI).
Objetivo corporativo 1:
H relao entre esses objetivos corporativos e os 17 definidos no COBIT (figura 3.1)? Justifique.
Entre os objetivos corporativos definidos no COBIT, cite trs que podem ser utilizados no
contexto da sua organizao. Justifique.
Necessidades das partes interessadas relacionadas a TI

Ao relacionar o Passo 1, As diretrizes das partes interessadas influenciam as suas necessidades, e o Passo 2, Cascata das necessidades das partes interessadas em objetivos corporativos, no tocante s necessidades especficas dos stakeholders relacionadas a TI, o COBIT
identificou uma srie de preocupaes (em forma de perguntas) sobre a efetividade da TI
que esses stakeholders normalmente questionam com a alta administrao, para obter um
melhor resultado sobre o uso dos recursos de TI.
Essas preocupaes esto listadas na tabela 3.2 e vinculam-se, quando pertinentes, a um ou
mais de um objetivo corporativo do COBIT entre os 17 definidos pelo modelo.
Na viso das partes interessadas, caso essas preocupaes no sejam contempladas dentro
do escopo do processo de governana e gesto de TI da organizao, a ausncia ou ineficincia
desses requisitos podem comprometer o sucesso de iniciativas dessa natureza.
As necessidades partes interessadas, especficas de TI, devem ser incorporadas aos

objetivos corporativos.
As necessidades partes interessadas esto relacionadas s atividades de TI da organizao e

so decorrentes de situaes que podem influenciar algum critrio da informao, tais como
eficincia, eficcia, acesso e segurana.
Para pensar
41
Necessidades partes interessadas relacionadas a TI
O COBIT define como objetivo corporativo 8. Respostas rpidas para um ambiente de negcios em mudana. Utilizando a tabela 3.2 como referncia, identifique cinco necessidades
dos stakeholders relacionadas a requisito de negcio.

A tabela a seguir foi extrada da tabela 3.2, e est considerando apenas as preocupaes
partes interessadas, em forma de perguntas, relacionadas ao objetivo corporativo 7.
Continuidade e disponibilidade dos servios da empresa do COBIT.
Necessidades partes interessadas relacionadas continuidade e disponibilidade dos
servios de TI
Como fao para obter valor com o uso de TI?
Os usurios finais esto satisfeitos com a qualidade do servio de TI?
Considerei todos os riscos de TI?
Estou conduzindo uma slida e eficiente operao de Tecnologia da Informao?
As informaes que estou processando esto bem protegidas?
Quo crtica TI para a sustentao da empresa? O que fazer se ela no estiver disponvel?
Complete a tabela a seguir identificando trs prticas ou atividades que voc adota (ou
poderia adotar) em sua organizao para minimizar cada uma das cinco preocupaes dos
stakeholders. Responda essa questo em forma de tpicos, relacionadas ao objetivo corporativo 7. Continuidade e disponibilidade dos servios de TI.
Preocupaes partes
interessadas de TI
Garantir o valor de TI
e a satisfao dos
usurios finais
O que fazemos (podemos fazer) em nossa organizao.

1.
2.
3.
1.
Gerenciar os riscos de TI
2.
3.
Gerenciar as
operaes de TI
Garantir a segurana das

informaes
Garantir a disponibilidade
dos servios crticos de TI
42
1.
2.
3.
1.
2.
3.
1.
2.
3.
30 Passo: escalonamento dos objetivos corporativos em objetivos de TI

A realizao dos objetivos corporativos exige uma srie de resultados de TI que, no COBIT,
so representados pelos objetivos de TI.
O COBIT estabeleceu os objetivos de TI de acordo com as dimenses do Balanced
ScoreCard (BSC), adaptando o modelo tradicional BSC a um modelo BSC relacionado a TI,
denominado BSC de TI.
Objetivos de TI
Financeira
Objetivo da informao / tecnologia relacionada

01
Alinhamento da estratgia de negcios e de TI
02
Conformidade de TI e suporte para conformidade dos

negcios com leis e regulamentos externos
03
Compromisso da gesto executiva com a tomada de

decises de TI
04
Gesto de risco corporativo de TI
05
Benefcios realizados pelo portflio de servios e

investimentos facilitados pela TI
06
Transparncia dos custos, benefcios e riscos de TI
07
Prestao de Servios de TI em consonncia com os

requisitos de negcio
08
Uso adequado de aplicativos e de solues tecnolgicas

e automatizadas
09
Agilidade de TI
10
Segurana da Informao, infraestrutura de processamento

e aplicativos
11
Otimizao de ativos, recursos e capacidades de TI
12
Capacitao e apoio aos processos de negcios atravs da integrao de aplicativos e tecnologia nos processos de negcio
13
Execuo de programas que gerem benefcios, dentro do

prazo e do oramento e que atendam s exigncias e padres
de qualidade
14
Disponibilidade de informaes teis e confiveis para a tomada

de deciso
15
Conformidade de TI com as polticas internas
16
Equipes de TI e de negcios motivadas e competentes
17
Conhecimento, expertise e iniciativas para inovao

dos negcios
Cliente
Interna
Tabela 3.1
Objetivos de TI
no COBIT.
Aprendizado e
Crescimento
Nessa tabela, os 17 objetivos de TI esto relacionados s quatro dimenses do modelo BSC.

O COBIT tambm disponibiliza um mapeamento entre os objetivos corporativos e os
objetivos de TI.
Dimenso
BSC de TI
43
Por exemplo, o objetivo corporativo 15. Conformidade com polticas internas est associado aos objetivos de TI conformidade de TI em relao conformidade dos negcios,
gesto de risco de TI, segurana da informao, infraestrutura de processamento e aplicativos e conformidade de TI com polticas internas.
Cada um desses objetivos de TI possui um grau de relevncia Primrio (P) ou Secundrio (S)
relacionado ao objetivo corporativo; e, ainda, os objetivos de TI so identificados a cada uma
das quatro dimenses da matriz BSC.
l
Modelo Corporativo
para Governana e
Gesto de TI da
Organizao, vide a
figura "Mapeamento
dos Objetivos
Corporativos do
COBIT 5 em Objetivos
de TI" no Apendice B
Essa tabela pode ser utilizada pelas organizaes como um instrumento de referncia para avaliao da eficincia e eficcia do modelo de governana corporativa
de TI vigente na instituio.
30 Passo: cascata dos objetivos corporativos em objetivos de TI
Utilizando a tabela 3.4 como referncia, identifique os objetivos de TI relacionados ao
objetivo corporativo 9. Disponibilidade de informaes para tomada de deciso, o grau de
correlao (P = Primrio) ou (S = Secundrio) e a dimenso correspondente na matriz BSC.
Objetivo Corporativo 9. Disponibilidade de informaes para tomada de deciso
Objetivos de TI
Dimenso BSC
Dimenso BSC de TI
Primrio/Secundrio
Antes de iniciarmos o detalhamento do quarto passo do processo de escalonamento de objetivos

do COBIT, analisaremos a relao entre os objetivos de TI e os processos do COBIT definidos no
modelo de referncia de processos demonstrado na figura 2.8.
Mapeamento entre os objetivos de TI e os processos do COBIT

Para facilitar a aplicao do COBIT no contexto das organizaes, o modelo apresenta um
mapeamento entre os objetivos de TI e o modelo de referncia de processos do COBIT. Esse

mapeamento identifica os processos de TI mais importantes e que apoiam os objetivos de TI
definidos no COBIT para atingimento das metas e estratgias de negcio.
As organizaes podem utilizar essas tabelas como referncia para implementao do
modelo COBIT para a governana e gesto de TI, no que se refere ao habilitador processo.
Essas tabelas representam um recurso essencial para as organizaes. Baseando-se em
suas necessidades de negcio relacionadas a TI, a organizao deve identificar os processos
crticos e os requisitos necessrios para priorizao e implementao dos processos do
COBIT para atingimento das metas e estratgias de negcio.
44
l
Modelo Corporativo
para Governana e
Gesto de TI da
Organizao, vide a
figura "Mapeamento
dos Objetivos de TI do
COBIT em Processos"
no Apendice C.
Para pensar
Conforme referenciado no captulo 2, apenas os processos no so suficientes para
garantirem o sucesso e o atingimento da meta organizacional, isto , os demais habilitadores so importantes e requerem um conjunto de objetivos bem definidos.
Mapeamento entre os objetivos de TI e os processos do COBIT
Identifique os objetivos de TI em relao a cada um dos trs processos do COBIT listados a
seguir e complete a tabela com as informaes pertinentes.
Processo do COBIT
Objetivos de TI
APO4 Gerenciar
inovao
BAI09 Gerenciar
Ativos
DSS03 Gerenciar
Problemas
O Comit de Governana de TI de uma empresa de cosmticos efetuou um levantamento

das fragilidades da empresa e identificou as seguintes situaes:
11 No h alinhamento estratgico entre as reas negcio e de TI;
11 No h perspectivas de iniciativas inovadores baseadas em solues de TI.

Supondo que voc seja membro do Comit de Governana da empresa: aps participar de
um curso sobre o COBIT e, tambm, com base na tabela 3.5, voc recomendou o processo
AP02 Gerenciar a Estratgia como essencial para a organizao, com base nas fragilidades
identificadas. Justifique a sua resposta.
11 Baixa satisfao dos usurios em relao aos servios prestados pela rea de TI;
45
40 Passo: escalonamento dos objetivos de TI em metas do habilitador

O COBIT descreve que, para atingir os objetivos de TI, necessrio obter sinergia entre os
sete habilitadores de governana e gesto, conforme descrito no captulo 2 (Princpio 4:
permitir uma Abordagem Holstica).
Os sete habilitadores do COBIT: (1) Princpios, Polticas e Modelos; (2) Processos; (3) Estruturas Organizacionais; (4) Cultura, tica e Comportamento; (5) Informao; (6) Servios,
Infraestrutura e Aplicativos; (7) Pessoas, Habilidades e Competncias. Nesse cenrio, o COBIT
5 define, para cada um dos sete habilitadores, um conjunto especfico de metas relevantes
para apoiar os objetivos de TI.
Os sete habilitadores definidos no COBIT possuem um conjunto de dimenses comuns ou
genricas, conforme demonstrado na figura 3.7.
Controle de desempenho
do Habilitador
Dimenso do Habilitador
Habilitadores genricos do COBIT 5

Partes interessadas
Metas
Internos
Externos
As necessidades das
partes interessadas
foram consideradas?
Qualidade Intrnseca
Qualidade Contextual
Conabilidade
Ciclo de Vida
Boas prticas
Planejamento
Projeto
Desenvolvimento
Implementao
Operao
Monitorao
Atualizao/Descarte
As metas do
Habilitador
foram atingidas?
Mtricas para consecuo das metas

(Indicadores de Resultado)
Orientaes
Produtos de Trabalho
O Ciclo de Vida
controlado?
Boas prticas
foram aplicadas?
Mtricas para consecuo das prticas

(Indicadores de Direo)
Baseado nessa figura, observamos que o COBIT define quatro dimenses comuns (partes
interessadas, Metas, Ciclo de Vida e Boas Prticas) para os sete habilitadores definidos no modelo.
Cascata de objetivos do COBIT na prtica organizacional
Figura 3.2
Dimenses
genricas dos
habilitadores
do COBIT.
Na prtica, cada organizao deve estabelecer seus objetivos corporativos especficos, que
so mapeados a partir dos objetivos corporativos genricos previstos no COBIT, relacio-
nando cada objetivo a uma das quatro dimenses da matriz BSC.
46
Os resultados de TI no so exclusivamente o nico benefcio intermedirio necessrio para

a consecuo dos objetivos corporativos. Outras reas da organizao (exemplo: finanas,
marketing e vendas) tambm contribuem para a consecuo dos objetivos corporativos,
porm, no contexto do COBIT, esse modelo considera estritamente as atividades e os objetivos corporativos relacionados a TI.
l
O detalhamento
dos sete habilitadores
do COBIT esto
descritos no captulo 4,
Dimenses dos
Sete Habilitadores do
COBIT 5.
Benefcios da cascata escalonamento de objetivos do COBIT

O escalonamento de objetivos definido no COBIT um processo utilizado para permitir a
definio das prioridades de implementao, melhoria e garantia da governana corporativa
de Tecnologia da Informao, com base nos objetivos estratgicos da organizao e no seu
apetite de risco. Na prtica, o escalonamento de objetivos do COBIT tem como propsito:
11 Definir as metas e os objetivos relevantes em nveis diferenciados de responsabilidade;
Para pensar
A cascata de objetivos do COBIT no contm a verdade universal.
Filtrar a base de conhecimento do COBIT, a partir dos objetivos corporativos visando a
melhoria e/ou garantia de projetos organizacionais especficos;
11 Identificar e comunicar a importncia dos sete habilitadores para atingimento dos
objetivos corporativos.
Adaptao da cascata de objetivos do COBIT

Os usurios no devem usar a cascata de objetivos do COBIT de uma forma puramente
mecnica, mas como uma diretriz, considerando que:
11 Cada organizao tem prioridades diferentes em seus objetivos, que podem inclusive
sofrer mudanas com o tempo;
11 As tabelas de mapeamento no fazem distino entre o porte da organizao e/ou o
setor em que ela est inserida;
Os indicadores usados no mapeamento consideram apenas dois nveis de importncia ou
relevncia: (P) ou (S); porm, na prtica, cada organizao pode utilizar outros nveis.
Os nveis de relevncia (P) ou (S) no so os nicos nveis que podem ser utilizados
pelas organizaes. Na prtica, outros nveis, como discretos e/ou ponderados
tambm podem ser considerados, adaptados e customizados ao modelo COBIT.
Nesse cenrio, o primeiro passo que uma organizao deve tomar para usar a cascata de
objetivos do COBIT customizar o mapeamento, levando em considerao o seu contexto
organizacional, ou seja, a organizao deve criar sua prpria cascata de objetivos, de acordo
com suas necessidades e realidade, para, em seguida, compar-lo com o COBIT e, se for o
caso, refin-lo.
47
Consideraes sobre a cascata de objetivos do COBIT
Identifique os propsitos da cascata de objetivos do COBIT.
O processo cascata de objetivos do COBIT representa uma verdade universal. Justifique.
Identifique os principais desafios e dificultadores para a implementao do processo
cascata de objetivos do COBIT na sua organizao.
48
4
Conhecer as dimenses genricas dos sete habilitadores do COBIT; Analisar as
dimenses genricas dos sete habilitadores do COBIT; Identificar as dimenses
especficas dos sete habilitadores do COBIT; Analisar as dimenses especficas
dos sete habilitadores do COBIT.
Dimenses genricas dos sete habilitadores do COBIT; Dimenses do habilitador

Princpios, Polticas e Modelos; Dimenses do habilitador Processos;
Cultura, tica e Comportamento; Dimenses do habilitador Informao;
Dimenses do habilitador Servios, Infraestrutura e Aplicativos; Dimenses do
habilitador Pessoas, Habilidades e Competncias; Aplicao prtica das dimenses
conceitos
Dimenses do habilitador Estruturas Organizacionais; Dimenses do habilitador
dos sete habilitadores do COBIT; Benefcios do uso das dimenses dos habilitadores
do COBIT.
Introduo
Os sete habilitadores definidos no COBIT possuem um conjunto de dimenses genricas
(comuns), conforme demonstrado na figura 4.1.
Captulo 4 - Dimenses dos sete habilitadores do COBIT
objetivos
Dimenses dos sete habilitadores

do COBIT
49
do Habilitador
Dimenso do Habilitador
Habilitadores genricos do COBIT 5

Partes interessadas
Internos
Externos
As necessidades das
partes interessadas
foram consideradas?
Metas
Qualidade Intrnseca
Conabilidade
As metas do
Habilitador
foram atingidas?

Ciclo de Vida
Boas prticas
Planejamento
Projeto
Desenvolvimento
Implementao
Operao
Monitorao
Atualizao/Descarte
Orientaes
O Ciclo de Vida
controlado?
Boas prticas
foram aplicadas?

Baseado nessa figura, observamos que o COBIT define quatro dimenses comuns (Partes
interessadas, Metas, Ciclo de Vida e Boas Prticas) para cada um dos sete habilitadores
definidos no modelo.
Dimenses comuns dos habilitadores
Figura 4.1
Dimenses
genricas dos
habilitadores
do COBIT.
Partes interessadas
Internos
Externos
Figura 4.2
Tipos de partes
interessadas.
Conforme analisado no captulo 2, as partes interessadas podem ser internas ou externas

organizao. A figura 4.2 faz referncia a esses tipos de partes interessadas. Cada organizao possui um conjunto de partes interessadas.
A figura 4.3 apresenta uma relao genrica dss principais partes interessadas internos e
externos, que pode ser aplicvel a qualquer tipo de organizao. Chief Information Officer
(CIO), clientes internos, clientes externos, fornecedores e a sociedade so exemplos de
50
partes interessadas .
Principais Partes Interessadas

Internos
Externos
Diretoria
Diretor Executivo (CEO)
Diretor Financeiro (CFO)
Diretor de Informtica (CIO)
Diretor de Risco (CRO)
Executivos de Negcios
Responsveis por processos comerciais
Gerentes de negcios
Gerentes de risco
Gerentes de segurana
Gerentes de servios
Gerentes de Recursos Humanos (RH)
Auditores internos
Diretores de privacidade
Usurios de TI
Gerentes de TI
Para pensar
No captulo 2, analisamos que as partes interessadas possuem seus prprios interesses e necessidades e que, s vezes, podem ser conflitantes.
No captulo 3, analisamos que as necessidades dss partes interessadas devem ser traduzidas em objetivos corporativos. Porm, como as expectativas das partes interessadas nem
sempre so uniformes, o COBIT prev que essas diferenas sejam analisadas e alinhadas
quando do estabelecimento dos objetivos de TI.
Cada habilitador do COBIT tem pelo menos uma parte interessada.
O COBIT tem como premissa que cada um dos sete habilitadores possui pelo menos uma
parte interessada que desempenha um papel atuante e/ou tenha algum interesse no
resultado do habilitador.
Por exemplo, os processos tm diversas partes que executam suas atividades e/ou que
tenham algum interesse nos resultados do processo; estruturas organizacionais podem ter
diversos gestores e tcnicos, cada um com sua funo, responsabilidade e interesses nos
negcios que fazem parte do processo de tomada de deciso da empresa. Determinada
informao ter valor e significado para alguns grupos de interessados; para outros a informao no ter aplicabilidade.
Figura 4.3
Principais partes
interessadas
internas e externos.
Parceiros comerciais
Fornecedores
Acionistas
Reguladores/Governo
Usurios externos
Clientes
Organizaes de normatizao
Auditores externos
Consultores
51
Metas
O COBIT define as metas dos sete habilitadores em termos de resultados esperados de cada
habilitador no contexto de sua aplicao, e tem como expectativa um resultado bem-sucedido
de sua prpria operao.
Assim, cada habilitador deve estabelecer metas especficas e, ao atingi-las, propiciam a
gerao de valor para a organizao.
As metas dos habilitadores equivalem aos resultados esperados. Cada habilitador

deve estabelecer metas especficas para gerar valor para a organizao.
Conforme detalhado no captulo 3, as metas dos habilitadores representam a ltima etapa

do processo de cascata de objetivos do COBIT. Neste captulo vamos detalhar as metas dos
habilitadores definidas no COBIT.
As metas dos habilitadores esto divididas em trs categorias, conforme a figura 4.4:
11 Qualidade intrnseca;
11 Qualidade contextual;
11 Acessibilidade e segurana.
Metas
Qualidade Intrnseca
Conabilidade
Figura 4.4
Metas dos
habilitadores.
Qualidade intrnseca
Essa categoria define em que medida os habilitadores atuam de forma precisa, objetiva e
produzem resultados exatos, objetivos e confiveis.
Qualidade contextual
Essa categoria define em que medida os habilitadores e os resultados oriundos deles
cumprem sua meta levando-se em considerao o contexto em que eles operam.
Os resultados, por sua vez, devem ser pertinentes, completos, atuais, apropriados, consistentes, compreensveis e aplicveis.
Acessibilidade e segurana
52
Essa categoria define em que medida os habilitadores e seus resultados so acessveis e

seguros. Engloba dois aspectos essenciais:
11 Disponibilidade: os habilitadores devem estar disponveis quando, e se, necessrio.
11 Acesso seguro: os habilitadores devem gerar resultados seguros e o acesso deve ser restrito
queles que efetivamente esto autorizados (direito de acesso) e necessitam do acesso.
Ciclo de Vida
Cada habilitador tem um ciclo de vida, desde sua criao, passando por sua vida til ou operacional at chegar ao descarte. Esse ciclo, por exemplo, se aplica aos habilitadores informaes, estruturas organizacionais, processos e polticas organizacionais.
Ciclo de Vida
Figura 4.5
Fases do ciclo
de vida dos
habilitadores.
Planejamento
Projeto
Desenvolvimento
Implementao
Operao
Monitorao
Atualizao/Descarte
O COBIT define sete fases para o ciclo de vida dos habilitadores:

11 Planejamento;
11 Projeo;
11 Desenvolvimento/aquisio/criao;
11 Implementao;
11 Operao/uso;
11 Monitorao/avaliao;
11 Atualizao/descarte.
Boas prticas
Boas prticas so definidas para cada um dos sete habilitadores. Boas prticas apoiam a
consecuo das metas do habilitador. Boas prticas oferecem exemplos ou sugestes de
como implementar com sucesso o habilitador, bem como auxiliam na identificao dos produtos do trabalho ou as entradas e sadas necessrias.
Boas prticas
Orientaes
Figura 4.6
Boas prticas
d
A publicao COBIT 5:
apresenta diversas
aplicaes de boas
prticas para o
habilitador processos
do COBIT.
Boas prticas representam um conjunto de orientaes e produtos de trabalho aplicado

no ambiente organizacional visando melhoria dos processos de negcio e a obteno de
resultados bem-sucedidos.
Conforme definido na figura 4.6, as Boas Prticas no COBIT so compostas por orientaes e
produtos de trabalho.
A ISACA recomenda o uso de guias orientadores para atendimento s boas prticas. Para
mais informaes, consulte www.isaca.org.
Boas prticas
Atividades ou processos comprovados e
aplicados com sucesso
por diversas empresas,
sendo utilizadas para
produzir resultados
confiveis.
53
Dimenses comuns dos habilitadores do COBIT
Quais so as quatro dimenses genricas dos habilitadores do COBIT?
O que a dimenso metas dos habilitadores representa para a governana e gesto de TI

das organizaes?
Defina o que so boas prticas.
Dimenso controle de desempenho do habilitador

Conforme demonstrado na figura 4.1, os habilitadores do COBIT esto estruturados em uma
dimenso denominada controle de desempenho do habilitador.
Na prtica, as organizaes devem esperar resultados positivos na aplicao e uso dos
habilitadores. Inicialmente, para controlar o desempenho dos habilitadores, quatro
questes-chave podem atuar como um mecanismo de acompanhamento da efetividade
dos habilitadores, de forma que, com base em mtricas, os habilitadores possam periodicamente serem reavaliados.
54
do Habilitador
A figura 4.7 sintetiza as quatro dimenses de controle de desempenho do habilitador.
As necessidades das
partes interessadas
foram consideradas?
As metas do
Habilitador
foram atingidas?

O Ciclo de Vida
controlado?
Boas prticas
foram aplicadas?

Nesse esquema, cada dimenso do habilitador possui uma questo chave para controle
do seu desempenho. A tabela 4.1 relaciona as questes-chave associadas dimenso de
controle de desempenho dos habilitadores.
Figura 4.7
Controle de
desempenho
do habilitador.
Tabela 4.1
Questes chave
para as dimenses
dos habilitadores.
Dimenso
Questo chave
Partes interessadas
As necessidades das partes interessadas foram consideradas?
Metas
As metas do habilitador foram atingidas?
Ciclo de vida
O ciclo de vida do habilitador controlado?
Boas prticas
Boas prticas foram aplicadas?
Indicadores e mtricas para os habilitadores

Conforme demonstrado na figura 4.7, no COBIT os habilitadores podem ser mensurados por
dois indicadores-chave:
11 Indicadores de resultado;
11 Indicadores de direo.
Indicadores de resultado
O indicador de resultado do habilitador est associado s duas primeiras dimenses descritas na tabela 4.1 (Partes interessadas e Metas), e trata das mtricas usadas para aferir em
que nvel ou medida as metas foram efetivamente atingidas.
Indicadores de direo
O indicador de direo do habilitador est associado s duas ltimas dimenses descritas
na tabela 4.1 (Ciclo de vida e Boas Prticas), e trata do funcionamento do habilitador propriamente dito e se as mtricas esto definidas.
Benefcios das dimenses genricas dos habilitadores
Esse modelo genrico das dimenses dos habilitadores tm como premissa os seguintes
benefcios:
Esse assunto est

descrito no Apndice G
do modelo COBIT 5
disponvel em www.
isaca.org/cobit, sendo
um timo instrumento
para aprofundamento
de conhecimento.
11 Aplicao de linguagem simples e estruturada para descrever os sete habilitadores;

11 Controle individualizado de cada habilitador e sua influncia ou interao entre os demais;
11 Anlise dos resultados de desempenho dos sete habilitadores como um todo.
At o momento, analisamos as dimenses genricas dos habilitadores do COBIT, entretanto,
essas dimenses possuem abordagens e enfoques diferenciados, dependendo da abrangncia e objetivo do habilitador especfico para a governana e gesto de TI da empresa.
A partir dessa etapa, vamos explorar as dimenses especficas de cada um dos sete habilitadores do COBIT.
Dimenso controle de desempenho do habilitador
Qual a principal diferena entre indicadores de resultado e indicadores de direo?
55
Quais so os benefcios do Modelo Genrico das Dimenses dos Habilitadores do COBIT?
Explorando as dimenses do habilitador Princpios, Polticas e Modelos

Princpios, Polticas e Modelos so instrumentos para transmitir as regras da organizao
em apoio aos objetivos de governana e valores da empresa.
Consideraes sobre Princpios
Os Princpios de uma organizao esto associados misso, viso e valores da organizao
perante suas partes interessadas e os negcios que a empresa realiza. Os Princpios devem ser:
11 Limitados;
11 Escritos em linguagem simples;
11 Claros em relao aos valores fundamentais da organizao
Consideraes sobre Polticas
As Polticas devem fornecer orientaes detalhadas sobre como colocar os princpios em
prtica. As polticas influenciam como o processo de tomada de deciso se alinha aos princpios da organizao.
As polticas devem ser atualizadas e revisadas sempre que pertinente, e as pessoas devem
ser informadas sobre suas as alteraes. Boas polticas so:
11 Efetivas: atingem o objetivo estabelecido;
11 Eficientes: garantem que os princpios sejam implementados da maneira mais eficiente;
11 No intrusivas: parecem lgicas para aqueles que devem cumpri-las; no criam resistncia desnecessria.
Para pensar
Toda organizao deve implementar mecanismos de fcil acesso s politicas para
que todas as partes interessada possam consult-las e segui-las. As partes interessada devem saber onde encontrar as polticas.
As polticas so um componente essencial de um sistema corporativo de controle interno, cujo

principal propsito administrar o risco. Como parte das atividades de governana de riscos, a
inclinao da empresa ao risco deve ser definida e refletida nas polticas. Assim, uma empresa
56
avessa ao risco tem polticas mais restritas do que outra com forte inclinao ao risco.
Consideraes sobre Modelos
Os Modelos de governana e gesto de TI devem fornecer administrao estrutura, orientao, ferramentas, entre outros elementos, de forma a possibilitar que a organizao implemente um sistema de governana e de gesto de TI adequados necessidade da empresa.
A tabela 1.1, do captulo 1, descreve os principais modelos disponveis no mercado e

utilizados pelas organizaes atualmente, tais como COBIT 5, COBIT 4.1, VAL IT, ITIL,
ISO 31000 e ISO 27000.
Os Modelos devem ser:
11 Abrangentes;
11 Abertos e flexveis;
11 Atuais (em relao orientao da empresa e objetivos de governana e gesto);
11 Disponveis e acessveis para as partes interessada.
As dimenses do habilitador Princpios, Polticas

e Modelos na prtica
Comparado s dimenses genricas dos habilitadores do COBIT descrito na figura 4.1,
o habilitador Princpios, Polticas e Modelos destaca-se pela aplicao e uso de boas prticas
(orientaes e produtos de trabalho) nas atividades organizacionais.
Como boas prticas no contexto desse habilitador, o COBIT destaca prticas e produtos de
trabalho, conforme descrito a seguir.
11 Prticas: estrutura de Controle, Princpios, Estrutura da Poltica, Escopo e Validade;
11 Produtos do Trabalho (Entradas/Sadas): declaraes das Polticas.
Todavia, as demais dimenses genricas dos habilitadores tambm esto presentes no
habilitador Princpios, Polticas e Modelos, conforme anlise a seguir.
Partes interessadas
As partes interessadas podem ser internos e/ou externos organizao. As partes interessadas so de dois tipos: alguns definem e estabelecem as polticas da organizao; outros
devem seguir e cumprir as polticas. Exemplos: conselho, diretoria executiva, diretores de
conformidade, gerentes de risco, auditores internos e externos, prestadores de servios,
clientes e agncias reguladoras.
Metas e mtricas
para transmitir as regras da organizao em apoio aos objetivos de governana e valores

da empresa.
Assim, o cumprimento das diretrizes da organizao deve ser medido pelo nvel de aderncia, conformidade e atendimento pelos funcionrios das metas estabelecidas pela alta
administrao para esse habilitador.
Ciclo de vida
11 Modelos: so instrumentos importantes porque fornecem uma base para definir orientaes consistentes para a organizao e so usados como alicerce para formulao das polticas. Algumas organizaes utilizam modelos de mercado; outras customizam os modelos
existentes ou desenvolvem um proprietrio, considerando suas necessidades especficas.
11 Princpios: so a razo de ser de ser de uma organizao e no sofrem alteraes frequentes.
11 Polticas: possuem uma vida til; algumas permanecem por tempo indeterminado porque
Os Princpios, Polticas e Modelos so instrumentos definidos pelo Conselho ou Diretoria
57
so mandatrias; outras necessitam de reformulao para melhor adequao ao negcio.

Assim, as organizaes podem manter uma estrutura de polticas para fornecer uma base
em que um conjunto de polticas consistentes pode ser criado, acessado e atualizado
sempre que necessrio.
Mudanas nas polticas requerem um controle efetivo sobre a atualizao e efetividade
desses instrumentos de gesto, portanto, as polticas possuem um ciclo de vida que deve
apoiar a consecuo das metas definidas pela organizao.
Boas prticas
Boas prticas exigem que as Polticas faam parte de uma estrutura de governana e gesto
de TI da organizao, fornecendo uma hierarquia em que esses instrumentos devem fazer
claramente uma conexo com os princpios subjacentes. As boas prticas relacionadas a
Polticas incluem os seguintes requisitos:
11 Escopo e validade;
11 Consequncias de no cumprimento;
11 Meios para tratar das excees;
11 Mecanismos para aferir o cumprimento da poltica (verificao e medio);
11 Estruturas de governana e gesto que podem fornecer orientaes sobre as afirmaes
das polticas;
11 Polticas alinhadas inclinao do risco da empresa;
11 Polticas revalidadas e/ou atualizadas, sempre que necessrio.
Relaes com outros habilitadores

As interaes do habilitador Princpios, Polticas e Modelos com os demais
habilitadores incluem:
11 Valores culturais e ticos da empresa, que refletem e devem estimular o comportamento desejado, consequentemente, h interao com o habilitador Cultura, tica e Comportamento;
11 Polticas que so materializadas pelas prticas e atividades dos Processos que correspondem ao mecanismo mais importante para execuo e operacionalizao das
orientaes da administrao;
Esses exemplos demonstram que o habilitador Princpios, Polticas e Modelos interage com os habilitadores Cultura, tica e Comportamento, Processos, Estruturas
Organizacionais e Informaes.
11 Estruturas Organizacionais que definem e implementam as polticas em determinadas
reas de negcio e de controle, e atividades relacionadas estrutura que devem ser defi-
58
nidas e orientadas pelas polticas;

11 Polticas representam uma fonte de Informaes dentro de uma organizao.
l
Dependendo do
ambiente em que a
empresa opera, poder
haver diferentes graus
de requisitos regulatrios para um controle
interno efetivo e,
consequentemente,
uma forte estrutura de
poltica, com alteraes
frequentes.
Quais so os principais objetivos do habilitador Princpios, Polticas e Modelos?
Responda as trs questes a seguir, considerando o contexto da organizao onde

voc trabalha.
O habilitador Princpios, Polticas e Modelos est presente e operante em sua organizao?
Justifique.
Identifique uma poltica vigente em sua organizao e verifique se esse documento contempla os requisitos de Boas Prticas indicadas pelo COBIT, tais como: escopo e validade,
consequncias de no cumprimento, tratamento de excees; procedimentos de controle e
monitorao; estrutura de governana e de gesto; inclinao ao risco da empresa; e periodicidade de manuteno.
Explorando as dimenses do habilitador Processos

Consideraes sobre o habilitador Processos: um processo definido como um conjunto
de prticas influenciadas pelas polticas e procedimentos da organizao, alimentado por
diversas fontes, inclusive outros processos, que manipula as entradas e produz resultados.
O COBIT define um modelo de referncia de processo que descreve em detalhes os 37 processos de governana e gesto, conforme descrito no captulo 2. Esse modelo representa os
processos normalmente encontrados nas atividades de TI das organizaes.
O modelo do COBIT completo e abrangente, mas no o nico modelo possvel. Cada
empresa deve definir seu prprio conjunto de processos, considerando suas necessidades.
Incorporar um modelo operacional de processos e uma linguagem comum para todas as
reas da empresa envolvidas nas atividades de TI uma atividade importante e crticas da
A publicao COBIT 5
conceitua as prticas
de gesto e governana
e seus relacionamentos
para cada processo
definido no Modelo de
Referncia de
Processos do COBIT.
boa governana. O modelo de processos deve fornecer uma estrutura para medio e monitoramento do desempenho de TI, comunicao com os prestadores de servios e integrao
das boas prticas de gesto.
A seguir, vamos identificar cada componente da Dimenso Genrica do habilitador Processos.
Prticas
As prticas de governana e gesto no COBIT fornecem um conjunto completo de requisitos
em alto nvel para a prtica eficaz da governana e gesto de TI da organizao para cada
um dos 37 processos do COBIT.

59
Segundo o COBIT, as prticas representam:

11 Declaraes de aes para realizao de benefcios, otimizao do nvel de risco e
otimizao dos recursos;
11 Alinhamento aos padres e boas prticas geralmente aceitas;
11 Aes genricas, portanto, adaptveis para cada organizao;
11 Cobertura abrangente (de ponta a ponta) para processos de negcio e de TI.
Cada organizao, baseada em sua estrutura de governana e gesto, deve identificar as
prticas relacionadas ao processos de forma que:
11 Selecione aquelas que sero aplicveis e possam ser efetivamente implementadas;
11 Acrescente e/ou ajuste as prticas, sempre que necessrio;
11 Define e adicione prticas no relacionadas a TI para integrao aos processos de negcios;
11 Customize a implementao das prticas considerando variveis como frequncia,
amplitude, automao e responsabilidade;
11 Aceite o risco de no implementar determinadas prticas.
Atividades
As atividades representam um conjunto completo de tarefas genricas e especficas que
fornecem uma abordagem que inclui as aes necessrias para alcanar o propsito das
prticas de governana e gesto.
Assim, as atividades fornecem orientaes em alto nvel, a um nvel a seguir das prticas de
governana e de gesto, para avaliar o desempenho do processo e considerar potenciais
melhorias. As atividades representam as principais aes tomadas na operao do processo, e podem ser definidas como orientaes para alcanar as prticas de gesto para
obter sucesso na governana e gesto de TI da empresa.
As atividades do COBIT disponibilizam informaes sobre como, por que e o que implementar
em cada prtica de governana e gesto para melhorar o desempenho da TI, gerenciar o
risco de Tecnologia da Informao e melhorar a prestao de servios de TI. As atividades
descritas no COBIT so teis para os seguintes pblicos-alvo:
11 Gestores, prestadores de servios, usurios finais e profissionais de TI que precisam
planejar, desenvolver, executar ou monitorar a TI da empresa;
11 Auditores, profissionais de controle e consultores que podem opinar sobre os processos
atuais e propostas de melhorias necessrias.
Enfim, as atividades so importantes porque:
11 Descrevem um conjunto de etapas de implementao orientadas s aes necessrias
para atingir o objetivo da prtica de gesto e/ou governana relacionada;
11 Consideram as entradas e sadas do processo;
60
11 Possuem como base os padres e boas prticas geralmente aceitos;

11 Apoiam o estabelecimento de funes e responsabilidades bem definidas;
11 Devem ser adaptadas e desenvolvidas em procedimentos especficos adequados
empresa, no sendo consideradas prescritivas.
Atividades detalhadas
Para informao acerca

das orientaes
especificas para
prticas, consulte www.
isaca.org/cobit.
As atividades podem no ter um nvel suficiente de detalhamento para a implementao,

portanto orientaes adicionais podem ser requisitadas.
O detalhamento das atividades pode ser obtido a partir de padres e boas prticas especficos, tais como ITIL, ISO/IEC srie 27000 e PRINCE2. A ISACA, conforme previsto nos
produtos da famlia do COBIT, desenvolver orientaes especficas com detalhamento
necessrio sobre como implementar as prticas relacionadas.
As dimenses do habilitador Processos na prtica

Comparado s dimenses genricas dos habilitadores do COBIT descritas na figura 4.1,
o habilitador Processos destaca-se pela aplicao e uso de boas prticas (orientaes e
produtos de trabalho) nas atividades organizacionais, em especial no que tange s Prticas,
Atividades e Atividades Detalhadas dos processos.
Todavia, as demais dimenses genricas dos habilitadores tambm esto presentes no habilitador Processos, conforme anlise a seguir.
Partes interessadas
As partes interessadas podem ser internos ou externos, cada um desempenhando suas
funes. No COBIT, os nveis de responsabilidade das partes interessadas esto descritos
e documentados pelas tabelas RACI. Exemplos: clientes, parceiros comerciais, acionistas,
conselho de administrao, funcionrios e voluntrios.
Metas
As metas do processo so definidas como uma declarao que descreve o resultado
esperado de um processo. O resultado esperado pode ser definido como um artefato, uma
mudana significativa ou melhoria na capacidade de outros processos, pois depende do
escopo e abrangncia do processo.
Conforme analisado no captulo 3, no processo de escalonamento de objetivos do COBIT as
metas do processo apoiam os objetivos de TI, que por sua vez apoiam os objetivos corporativos. As metas do processo abrangem as duas categorias:
11 Metas intrnsecas: relacionam-se qualidade intrnseca do processo, ou seja, exatido
e consonncia com as boas prticas e ao cumprimento de regulamentaes (normas
internas e externas);
11 Metas contextuais: tm relao com a customizao e adaptao do processo necessidade e realidade especfica da empresa, ou seja, abrangendo aspectos de significado,
compreensvel e facilidade de aplicao;
11 Metas de acessibilidade e segurana: relacionam-se confidencialidade, quando necessria, do processo, ou seja, o conhecimento do processo pelos responsveis e acessibilidade queles que efetivamente precisam ter acesso.
Em cada nvel do escalonamento de objetivos do COBIT e, consequentemente, tambm para
os processos, mtricas so definidas para aferir em que medida os objetivos so atingidos.
Mtricas podem ser definidas como uma entidade quantificvel que permite medir a consecuo da meta de um processo.
61
Para pensar
Para que o habilitador Processo seja eficaz e eficiente, as mtricas devem ser definidas
para medir em qual medida os resultados esperados do processo foram atingidos.
As mtricas devem ser SMART, isto , especficas, mensurveis, acionveis, pertinentes

e tempestivas.
O controle de desempenho do habilitador deve descrever em qual medida as boas prticas
foram aplicadas, portanto, mtricas podem ser definidas para auxiliar a medio do controle
de desempenho do habilitador processo.
Ciclo de vida
Um processo definido, criado, operado, monitorado, atualizado e at encerrado, se for o
caso. Os processos podem possuir ciclos de vida diferenciados, considerando as necessidades de negcio da organizao.
Prticas de processos genricas, tais como as definidas no modelo de avaliao de processo
do COBIT baseado na ISO/IEC 15504, podem auxiliar a definio, execuo, monitoramento e
otimizao dos processos.
Boas prticas
O COBIT 5 j descreve prticas e atividades relacionadas governana e gesto de TI. Por outro
lado, as atividades detalhadas esto sendo desenvolvidas em guias profissionais pela ISACA.
Para pensar
Orientaes adicionais sobre os processos podem ser obtidas atravs de padres e
estruturas relacionados no final de cada processo de governana e gesto de TI.
Atualmente, as orientaes sobre as boas prticas relacionadas aos processos esto

descritas em padres e estruturas relacionadas, referenciadas ao fim das atividades
detalhadas de cada um dos 37 processos de governana e gesto de TI.
As boas prticas relacionadas aos processos esto descritas no incio do detalhamento do
habilitador Processos. Boas prticas externas podem existir em qualquer nvel de detalhamento e a maioria se refere a outros padres e modelos. Os usurios, quando necessrio,
devem consultar essas boas prticas externas, visto que o COBIT est alinhado com esses
padres e, quando pertinente, as informaes de mapeamento sero disponibilizadas.
Entradas e sadas
62
As entradas e sadas do COBIT so os produtos do trabalho ou artefatos do processo considerados necessrios para apoiar a operao do processo. So recursos que possibilitam
decises importantes, fornecem um registro e uma prova de auditoria das atividades do
processo, e permitem o acompanhamento em caso de incidente. As entradas e sadas so
definidas para um nvel da prtica de governana e de gesto e pode incluir alguns produtos
do trabalho usados somente no prprio processo ou podem ser entradas para outros.
A publicao COBIT 5:
contm um modelo de
referncia de processo
que descreve as boas
prticas dos processos
em trs nveis
especficos (Prticas,
Atividades e Atividades
Detalhadas).
As entradas e sadas previstas no COBIT no so consideradas uma lista completa e

nica, porque fluxos de informaes adicionais podem ser definidos, dependendo do
ambiente e da estrutura do processo e da necessidade especfica da empresa.
Controle de Desempenho do Habilitador

Essa dimenso idntica dimenso genrica, baseando-se em quatro questes chave.
Em relao s mtricas para o habilitador processo, os dois primeiros indicadores de resultado tratam do resultado efetivo do processo, isto , se foram utilizadas mtricas para mensurar e em qual medida elas foram efetivamente atingidas. O COBIT 5: Habilitador Processos
define diversas mtricas para cada meta do processo avaliado. Por outro lado, os dois
ltimos indicadores de direo tratam do funcionamento real do prprio habilitador e as
mtricas para sua finalidade.
Nvel de Capacidade do Processo
Para pensar
O COBIT possui um esquema de Avaliao da Capacidade do Processo baseado
na ISO/IEC 15504 - Tecnologia da informao - Avaliao de processo Parte 1:
Conceitos. vocabulrio.
O nvel de capacidade do processo mede a consecuo das metas e a aplicao das boas
prticas. O detalhamento da avaliao da capacidade do processo est descrito no captulo 6.
w Relaes com outros habilitadores
As interaes entre o habilitador Processos e os demais ocorrem atravs das

seguintes relaes:
11 Processos necessitam de informaes (como um dos tipos de entrada) e podem produzir
informaes (como um produto do trabalho);
11 Processos necessitam de estruturas organizacionais e funes para operacionalizao,
conforme tabela RACI;
11 Processos produzem, e tambm requerem, capacidades de servio (infraestrutura
e aplicativos);
11 Processos interagem e podem depender de outros processos;
11 Processos produzem ou necessitam de polticas e procedimentos para garantir a consistncia da implementao e execuo;
11 Aspectos culturais e comportamentais determinam a qualidade da execuo dos processos.
Para mais informaes

e orientaes sobre
o modelo de capacidade de processo,
consulte o site
63
Exerccios de fixao 4 e
Suponha que voc seja o responsvel pela implementao do modelo de referncia de processos do COBIT em sua organizao. Descreva as principais etapas que voc dever seguir
para implementar esse modelo.
No habilitador Processo, por que o COBIT define as atividades como elementos importantes
e essenciais para implementao das prticas de gesto e governana?
Explorando o habilitador Estruturas Organizacionais

Consideraes sobre o habilitador Estruturas Organizacionais
A estrutura organizacional representa a hierarquia das funes e a organizao do processo
de tomada de deciso em uma organizao. Nesse contexto, o modelo de referncia de
64
processo do COBIT inclui tabelas RACI, que abordam diversas funes e estruturas para o
processo hierrquico de tomada de deciso.
A tabela 4.2, descreve algumas funes existentes nas organizaes atualmente

Estruturas Organizacionais
Funo
Descrio
Conselho
O grupo de executivos mais antigos e/ou conselheiros no executivos da empresa

responsveis pela governana da empresa e controle geral dos seus recursos
Diretor Executivo
Diretor com o maior nvel de autoridade, responsvel pela administrao da empresa

como um todo.
Diretor Financeiro
O diretor mais antigo da empresa, responsvel por todos os aspectos da administrao

financeira, inclusive riscos e controles financeiros bem como pela confiabilidade e
exatido das contas
Diretor de
Operaes
O diretor mais antigo da empresa, responsvel pela operao da empresa
Diretor de Riscos
O diretor mais antigo da empresa, responsvel por todos os aspectos da gesto de

risco da empresa. A funo do diretor de risco de TI pode ser criada para supervisionar
os riscos de TI
Diretor de
Informtica
O diretor mais antigo da empresa, responsvel pelo alinhamento de TI com as estratgias de negcios e responsvel pelo planejamento, mobilizao de recursos e administrao da prestao de servios e solues de TI em apoio aos objetivos corporativos
Diretor de Segurana
da Informao
O diretor mais antigo da empresa, responsvel pela segurana das informaes da

empresa em todas as suas formas
Executivo de
Negcios
O administrador snior responsvel pela operao de uma unidade de negcios ou

subsidiria especfica
Responsvel pelo
Processo de Negcios
Pessoa responsvel pela execuo de um processo e consecuo de seus objetivos,

orientao de melhorias no processo e aprovao de mudanas no processo
Chefe de RH
O diretor mais antigo de uma empresa responsvel pelo planejamento e pelas polticas
de recursos humanos daquela empresa
Chefe de
Desenvolvimento
Funcionrio antigo responsvel pelos processos de desenvolvimento e solues de TI
Chefe de
Operaes de TI
Funcionrio antigo responsvel pelos ambientes operacionais e pela estrutura de TI
Chefe de
administrao de TI
Funcionrio antigo responsvel pelos registros de TI e pelos assuntos administrativos

relacionados a TI
Gerente de Servios
Pessoa que administra o desenvolvimento, implementao, avaliao e o controle contnuo de produtos e servios novos e j existentes para um cliente especfico (usurio)
ou grupo de clientes (usurios)
Tabela 4.2
Principais funes
nas estruturas
organizacionais.
Essas funes no necessariamente correspondem s reais funes das empresas, mas, no

obstante, agregam valor no sentido de que o objetivo descrito da estrutura ou funo pode
ser vlido para a maioria delas.
l
Responsvel no sentido
de prestar contas pelos
resultados das
atividades que executa.
empresas, mas atuar como um instrumento de referncia e consulta pelas organizaes.

As dimenses do habilitador Estruturas Organizacionais na prtica
Comparado s dimenses genricas dos habilitadores do COBIT, descritas na figura 4.1, o
habilitador Estruturas Organizacionais destaca-se pelas Prticas (Princpios Operacionais,
Amplitude de Controle ou Escopo, Nvel de Autoridade, Delegao de Autoridade e Pro-
A finalidade da tabela RACI no prescrever funes organizacionais universais para as
cessos de Escalao e Produtos de Trabalho Deciso).

65
Todavia, as demais dimenses genricas dos habilitadores tambm esto presentes no habilitador Estruturas Organizacionais, conforme anlise a seguir.
Partes interessadas
As partes interessadas podem ser internos e externos organizao, e incluem os representantes da estrutura hierrquica, entidades organizacionais, clientes, fornecedores e
reguladores. As funes da estrutura organizacional referem-se aos processos de tomadas
de deciso, influncia e assessoramento. Os interesses das partes interessadas tambm
podem variar em funo das decises estabelecidas nas diversas reas e nveis de negcio.
Metas
As metas para o habilitador Estrutura Organizacional incluem sua prpria organizao, princpios operacionais definidos e uso de boas prticas. Como resultado, esse habilitador abrange
atividades e decises relacionadas aos responsveis pelas reas de governana e gesto.
Ciclo de vida
Cada estrutura organizacional tem um ciclo de vida. As reas so criadas, colocadas em
operao, ajustadas e, em alguns casos, extintas.
As partes interessadas, em funo da necessidade de negcios da organizao, podem estabelecer a criao de unidades definindo um motivo, responsabilidades e objetivos.
Boas prticas
A tabela 4.2, adaptada do COBIT, relaciona as boas prticas para o habilitador Estrutura
Organizacional.
Boas prticas
Descrio
Princpios
operacionais
Disposies prticas sobre como a estrutura operar, definindo frequncia de reunies, normas de documentao e organizao interna.
Composio
As estruturas organizacionais so formadas por membros que podem ser representantes (partes interessadas) internos ou externos.
Amplitude
de controle
Os limites dos direitos de deciso da estrutura organizacional so baseados em controles preestabelecidos.
Nvel de autoridade
ou direitos de deciso
Representam as decises que a estrutura est autorizada a tomar, em funo das

atividades que realizam no dia a dia.
Delegao
de autoridade
A estrutura pode delegar (um subconjunto de) direitos de deciso a outras estruturas
subordinadas a ela.
Procedimentos
de escalao
O caminho da escalao de uma estrutura descreve as aes necessrias no caso de

problemas ou conflitos relacionados tomada de deciso.
66
Tabela 4.2
Boas prticas
para o habilitador
Estrutura
Organizacional.
As interaes com outros habilitadores incluem:

11 Tabelas RACI associam as atividades do processo s estruturas organizacionais e/ou
funes individuais na empresa. As tabelas so teis porque descrevem o nvel de
envolvimento de cada funo na organizao em relao s prticas definidas para os
processos, identificando os responsveis, consultados ou informados;
11 Cultura, tica e comportamento determinam a eficincia e eficcia das estruturas organizacionais e de suas decises;
11 A composio da estrutura organizacional dever considerar as habilidades e expertise

de seus membros;
11 Os princpios de ordem e operao das estruturas organizacionais so orientados pelas
polticas adotadas pela administrao;
11 As estruturas organizacionais requerem entradas (geralmente informaes) antes que
ela possa tomar decises com base em informaes, e isso produz sadas, por exemplo,
decises. Outras, ainda, outras informaes ou solicitaes de entradas adicionais.
Identifique as boas prticas definidas pelo COBIT no habilitador Estrutura Organizacional.
Explorando o habilitador Cultura, tica e Comportamento

Cultura, tica e comportamento referem-se ao conjunto de comportamentos individuais e
coletivos de cada organizao.
Esse conjunto de fatores (tica organizacional, tica individual, cultura organizacional, rela-
A forma como a
empresa encara os
fatores positivos e
negativos relacionam-se
aprendizagem
organizacional
(empresa que aprende).
nas empresas.
O COBIT destaca trs comportamentos que podem ser significativos no contexto organizacional:
11 Comportamento relativo assuno de riscos pela empresa;
11 Comportamento relativo ao cumprimento das polticas;
11 Comportamento relativo a resultados negativos, prejuzos ou perda de oportunidades.
Algumas empresas, baseando-se no sentimento de perda, utilizam essa prtica como procedimento de melhoria; outras adotam um sentimento de culpa sem tratar da causa raiz.
Comparado s dimenses genricas dos habilitadores do COBIT, descrita na figura 4.1, o
habilitador Cultura, tica e Comportamento destaca-se pelas Prticas (comunicao, execuo, incentivos e recompensas, conscientizao, regras e normas e liderana) adotadas
pelas organizaes.
Todavia, as demais dimenses genricas dos habilitadores tambm esto presentes no habilitador Cultura, tica e Comportamento, conforme anlise a seguir.
Partes interessadas
As partes interessadas podem ser internos ou externos organizao. Os internos incluem
toda a empresa e os externos incluem agentes reguladores, por exemplo, auditores
externos ou rgos de fiscalizao.
es interpessoais, objetivos e ambies pessoais) orienta o comportamento das pessoas
67
Para pensar
Algumas partes interessadas tratam da definio, implementao e execuo dos
comportamentos desejados; outros devem se alinhar s normas e aos regulamentos
previamente definidos.
Metas
As metas desse habilitador se referem a:
11 tica organizacional, determinada pelos valores que norteiam a existncia da empresa;
11 tica individual, determinada pelos valores pessoais de cada funcionrio da empresa e
dependente de fatores externos como religio, etnicidade, contexto socioeconmico,
localizao fsica e experincias pessoais;
11 Comportamentos individuais, que determinam coletivamente a cultura de uma empresa.
Ciclo de vida
Cultura organizacional, postura tica e comportamento individual possuem ciclos de vida.
Considerando a cultura organizacional atual, fatores positivos e negativos, uma empresa
pode identificar as mudanas necessrias e atuar na sua implementao.
Na dimenso Boas Prticas, o COBIT descreve algumas tcnicas que podem ser utilizadas
nas organizaes para melhoria do clima organizacional e ambiente organizacional.
Boas prticas
As boas prticas para criao, incentivo e manuteno do comportamento desejado incluem:
11 Comunicao para toda a empresa dos comportamentos desejados e valores corporativos subjacentes;
11 Conscientizao do comportamento desejado, reforada pela liderana pelo exemplo a
partir de comportamentos exercidos pela alta administrao e outras lideranas;
11 Incentivos para encorajar e convencer a adoo de comportamento desejado, considerando a conexo entre o comportamento individual e o esquema de recompensas
adotado como poltica de RH;
11 Regulamentos e normas que fornecem mais orientaes sobre o comportamento organizacional desejado, definidas claramente em princpios e polticas adotadas pela empresa.
11 As partes interessadas, pois caso eles no executem as atividades dos processos con Fundamentos do COBIT 5
forme esperado e se seu comportamento no estiver em conformidade, os resultados

dos processos no sero alcanados;
11 As estruturas organizacionais so projetadas e criadas de acordo com o manual, mas
se suas decises no forem implementadas por causa de comportamentos (exemplo:
agendas pessoais e falta de incentivos), as estruturas decisrias no estaro agindo com
base em uma governana e gesto de TI em nvel aceitvel;
11 Os valores corporativos e o comportamento desejado devem ser estabelecidos nos
Princpios e Polticas da organizao como um mecanismo de comunicao importante
para a empresa.
68
Como o COBIT caracteriza as Metas do Habilitador Cultura, tica e Comportamentos?
Explorando o habilitador Informao

Esse habilitador refere-se s informaes importantes para a organizao, sejam elas automatizadas, manuais, estruturadas, desestruturadas, formais ou informais.
O COBIT define seis atributos para informao, conforme descrito a seguir:
Atributos da informao:
11 Fsico: veculo e mdia;
11 Emprico: interface do usurio;
11 Sinttico: linguagem e formato;
11 Semntico: significado, tipo, atualizao e nvel;
11 Pragmtico: uso, considerando elementos como reteno, poder, contingncia e inovao;
11 Social: contexto organizacional.
Introduo ao Ciclo da Informao
O esquema da figura 4.8 apresenta as etapas do Ciclo da Informao, proposto pelo COBIT.
Ciclo da Informao
Gerar e Processar
Processos de Negcios
Orientar
Processos de TI
Figura 4.8
Ciclo da
Informao.
Transformar
Informao
Transformar
Conhecimento
Criar
valor
Dados
69
Nesse esquema, os processos de negcio geram e processam dados, transformando-os em

informaes e conhecimento e, por fim, devem criar valor para a empresa. Os processos de
TI auxiliam a organizao na gerao de valor, auxiliando na melhoria dos processos.
As dimenses do habilitador Informao na prtica
Comparado s dimenses genricas dos habilitadores do COBIT, descritas na figura 4.1, o habilitador Informao destaca-se pelas Metas. Todavia, as demais dimenses genricas dos habilitadores tambm esto presentes no habilitador Informao, conforme demonstrado a seguir:
Partes interessadas
As partes interessadas podem ser internos ou externos empresa. As partes interessadas
representam as partes envolvidas que se preocupam e/ou esto interessados no fluxo da
informao gerada pela organizao.
O COBIT define diferentes categorias de funes de tratamento da informao. Tais como
arquiteto, administrador, fiducirio, fornecedor, beneficirio, modelador, gerente de qualidade, gerente de segurana, custodiantes e clientes.
11 Gerador: responsvel pela gerao da informao;
11 Custodiante: responsvel pela salvaguarda da informao;
11 Cliente: responsvel pelo uso da informao.
Na prtica, as funes das partes interessadas podem ser definidas de acordo com cada
fase do ciclo da informao proposto pelo COBIT, tais como planejadores, modeladores e
usurios da informao.
A dimenso stakeholder da informao no independente, isto , cada fase do ciclo de vida
ter participantes diferentes e com necessidades e interesses distintos pelo recurso.
Metas
As metas do habilitador Informao so:
Qualidade intrnseca
Essa dimenso requer saber em que medida os valores dos dados esto em conformidade
com os valores reais e efetivos. Essa dimenso inclui:
11 Exatido: em que medida a informao correta e confivel;
11 Objetividade: em que medida a informao imparcial e sem preconceitos;
11 Credibilidade: em que medida a informao verdadeira e crvel;
11 Reputao: em que medida a informao aceita em termos de fonte ou contedo.
Qualidade contextual
Essa dimenso considera em que medida a informao aplicvel tarefa do usurio da
70
informao e apresentada de forma clara e inteligvel, reconhecendo que a qualidade da

informao depende do contexto de sua aplicao.
Essa dimenso inclui requisitos relacionados a:
11 Relevncia: em que medida a informao aplicvel e til tarefa em questo;
11 Completude: de que forma a informao completa e abrangente para a tarefa;
11 Atualizao: em que medida a informao est atualizada para a tarefa em questo;
11 Suficincia: de que forma o volume de informao adequado para a tarefa;

11 Conciso: em que medida a informao representada de forma compacta e concisa;
11 Consistncia: de que forma a informao apresentada em formato adequado;
11 Interpretao: em que medida a informao apresentada em linguagens e smbolos
adequados e definidos;
11 Compreenso: de que forma a informao facilmente compreendida;
11 Manipulao: em que medida a informao facilmente manipulada e aplicada a diferentes tarefas.
Segurana e acessibilidade
Essa dimenso est associada em que medida a informao consultada, contemplando:
11 Disponibilidade o agilidade: em que medida a informao disponibilizada facilmente
quando necessria, bem como sua recuperao;
11 Acesso restrito: em que medida o acesso informao restrito e adequado s partes
autorizadas.
Ciclo de Vida
O ciclo de vida da informao (figura 4.9) deve ser considerado e diferentes abordagens
podem ser necessrias para a informao nas diversas fases do seu ciclo de vida. O habilitador Informao do COBIT destaca as seguintes etapas para o ciclo da informao:
11 Planejar: fase em que a criao e o uso dos recursos da informao so preparados.
Nessa fase, as atividades referem-se identificao dos objetivos, o planejamento da
arquitetura da informao e a elaborao dos padres e definies, tais como definies
e procedimentos de coleta de dados;
11 Projetar: fase em que se destaca a modelagem e design da informao;
11 Desenvolver/adquirir: fase em que os recursos de informao so adquiridos, englobando a criao dos registros de dados, alimentao de dados e carregamento de
arquivos externos, por exemplo;
11 Usar/operar: fase que abrange o armazenamento, o compartilhamento e o uso dos
recursos de informao;
11 Armazenamento: fase em que a informao armazenada eletronicamente por meio de
arquivos eletrnicos, bancos de dados e/ou Data Warehouses; em cpia impressa por
meio de documentos em papel ou pela memria humana pelo conhecimento tcito das
pessoas;
11 Compartilhamento: fase em que a informao disponibilizada para uso atravs de um
mtodo de distribuio. As atividades nessa fase se referem aos processos de alocao
da informao em locais onde ela pode ser acessada e usada (por exemplo, distribuio
11 Uso: fase em que a informao usada para atingir os objetivos de negcio. As atividades nessa fase se referem aos tipos de uso de informao (por exemplo, tomada de
deciso gerencial, processo automatizados de execuo) e a atividades de recuperao e
converso de informaes de um formato para outro;
11 Monitoramento: fase onde assegurado que os recursos da informao continuam funcionando adequadamente. As atividades nessa fase se referem manuteno da atualizao da informao, aperfeioamento, limpeza, mescla e remoo de dados duplicados
de documentos por e-mail);
nos diversos banco de dados;

71
11 Descarte: fase em que os recursos da informao so descartados quando no tm mais

utilidade. As atividades nessa fase se referem ao arquivamento e destruio da informao.
Informao um habilitador de governana corporativa; por essa razo, o uso da informao
deve ser pensado como a finalidade para a qual as partes interessadas responsveis necessitam da informao ao assumir suas funes, realizar suas atividades e interagir entre si.
As interaes entre os participantes exigem fluxos de informaes cujos objetivos referem-se
a funes de responsabilidade, delegao, monitoramento, definio da orientao, alinhamento, execuo e controle.
Boas prticas
O conceito de informao compreendido de forma diferente em distintas disciplinas tais
como Economia, Teoria da Comunicao, Cincia da Informao, Gesto do Conhecimento e
Sistemas da Informao; portanto, no h uma definio consagrada mundialmente sobre
em que consiste a informao. A natureza da informao pode, contudo, ser esclarecida
atravs da definio e descrio de suas propriedades.
O COBIT define um modelo em seis nveis para estruturar as diferentes propriedades da
informao. Esses nveis apresentam atributos contnuos, que variam desde o mundo fsico
da informao, onde os atributos se conectam com as tecnologias da informao e os meios
para a captura, armazenamento, processamento, distribuio e apresentao da informao, at o mundo social do uso, compreenso e ao relacionados informao.
As descries a seguir se referem s camadas e atributos da informao:
11 Camada do mundo fsico: o mundo onde todos os fenmenos que podem ser empiricamente observados acontecem;
11 Portador/mdia de informao: atributo que identifica o portador fsico da informao;
por exemplo, papel, sinais eltricos e ondas sonoras;
11 Camada emprica: a observao emprica dos sinais usados para codificar a informao
e sua distino entre si e do rudo de fundo;
11 Canal de acesso informao: atributo que identifica o canal de acesso da informao,
por exemplo, interfaces de usurios;
11 Camada sinttica: regras e princpios para criao de sentenas em linguagens naturais
ou artificiais. A sintaxe se refere forma da informao;
11 Cdigo/linguagem: atributo que identifica a linguagem ou formato representacional
usado para codificar a informao e as regras para combinao dos smbolos da linguagem para formar estruturas sintticas;
11 Camada semntica: regras e princpios para construo do significado a partir das
estruturas sintticas. Semntica se refere ao significado da informao;
11 Tipo de informao: atributo que identifica o tipo da informao, por exemplo, infor-
72
mao financeira ou no financeira, informao com origem interna ou externa, valores

previstos/esperados ou observados, valores planejados ou realizados;
11 Atualizao da informao: atributo que identifica a linha do tempo atribuda informao, por exemplo, informao no passado, presente ou futuro;
11 Nvel da informao: atributo que identifica o grau de detalhamento da informao, por
exemplo, vendas anuais, trimestrais, mensais;
l
Na prtica, a informao mantida
eletronicamente na
fase de compartilhamento do ciclo de vida
pode sobrepor-se, em
grande medida, fase
de armazenamento,
por exemplo, quando
do compartilhando da
informao atravs de
acesso ao bancos de
dados, servidores de
arquivos/documentos.
11 Camada pragmtica: regras e estruturas para construo de estruturas de linguagem

mais amplas que atendam a finalidades especficas na comunicao humana. Pragmtica
se refere ao uso da informao;
11 Perodo de reteno: atributo que identifica o tempo que a informao pode ser retida
antes de ser destruda;
11 Status da informao: atributo que identifica se a informao operacional ou histrica;
11 Inovao: atributo que identifica se a informao cria novo conhecimento ou confirma
conhecimento j existente, por exemplo, informao ou confirmao;
11 Contingncia: atributo que identifica as informaes necessrias para preceder essa
informao (para ela ser considerada uma informao);
O Apndice F do COBIT
fornece uma descrio
detalhada sobre
como os critrios de
qualidade de informao so comparados
com os critrios
de Informao do
COBIT 4.1. Acesse
linguagem no nvel pragmtico da semitica, por exemplo, contratos, legislao e cultura;

11 Contexto: o atributo que identifica o contexto em que a informao faz sentido, usada,
tem valor etc. Por exemplo, contexto cultural, contexto de domnio de assunto.
Os investimentos na melhoria da informao tecnolgica devem ser baseados em estudos
de caso com anlise do custo-benefcio. Custos e benefcios no se referem somente a
fatores tangveis e mensurveis, mas devem considerar fatores intangveis como vantagem
competitiva, satisfao do cliente e incerteza tecnolgica. Consulte o COBIT Enabling
Process, em www.isaca.org/cobit, para detalhamento do processo de investimentos em TI.
A publicao COBIT 5: Habilitador Informao, disponvel em www.isaca.org/cobit, detalha os
principais aspectos do habilitador informao definido no COBIT.
Identifique os seis atributos para informao definidos pelo COBIT.
Identifique os nove requisitos definidos na dimenso Qualidade Contextual do habilitador
Informao no COBIT.
11 Camada do mundo social: o mundo construdo socialmente pelo uso de estruturas de
73
Para o habilitador Informao, o COBIT define cinco especificaes de camadas para a informao. Identifique essas camadas e o que cada uma representa para o negcio em termos
de atributos da informao para a fase de especificao de um novo projeto de desenvolvimento de aplicativo.
Explorando o habilitador Servios, Infraestrutura e Aplicativos

A capacidade de prestao de servios refere-se aos recursos aplicativos e infraestrutura
provida pela prestao de servios por parte da rea de TI.
Ao comparar as especificidades do habilitador Servios, Infraestrutura e Aplicativos com a
descrio do habilitador genrico representado pela figura 4.1, temos como destaque:
11 Partes interessadas: representam a capacidade de gerao de servio. Os servios
podem ser prestados por partes interessadas internos ou externos. Os usurios dos servios tambm podem ser internos (usurios de negcios) ou externos (parceiros, clientes
e fornecedores). Os interesses de cada parte interessada devem ser identificados e sero
concentrados na prestao de servios adequados ou pela entrega dos servios solicitados pelos fornecedores;
11 Metas: as metas de capacidade do nvel de servio podem ser expressas em termos de
servios (aplicativos, infraestrutura e tecnologia) e de nveis de servio, levando-se em
considerao quais servios e respectivos nveis so mais econmicos para a organizao. As metas relacionam-se aos servios, como esses so prestados e quais resultados so identificados;
11 Ciclo de vida: as capacidades de servio possuem um ciclo de vida. As capacidades de
servio futuras ou planejadas so normalmente descritas em uma arquitetura que pode
abranger novos aplicativos e modelos de infraestrutura. As atuais capacidades de servio
usadas ou operadas para prestar os atuais servios de TI so descritas em uma arquitetura de referncia. Dependendo do tempo de durao da arquitetura-alvo, uma arquitetura de transio tambm pode ser definida, que mostra a evoluo corporativa desde a
arquitetura de referncia at a arquitetura-alvo;

11 Boas prticas: as boas prticas das capacidades de servio incluem:
22 Definio dos princpios de arquitetura: diretrizes gerais que norteiam a implementao e o uso dos recursos de TI da organizao.
Exemplos de possveis princpios de arquitetura:
11 Reaproveitamento: componentes comuns da arquitetura devem ser usados ao projetar
e implementar solues, como parte das arquiteturas-alvo ou de transio;
74
11 Compra ou desenvolvimento: as solues devem ser compradas, a menos que haja uma
justificativa aprovada para seu desenvolvimento interno.
11 Simplicidade: a arquitetura corporativa deve ser projetada e mantida da forma mais
simples possvel, e ainda atender aos requisitos da empresa;
11 Agilidade: a arquitetura corporativa deve ser gil para satisfazer as necessidades de
mudana dos negcios de forma eficaz e eficiente;
11 Abertura: a arquitetura corporativa deve alavancar os padres abertos do setor.
Definies de modelo apropriado
A organizao, sob a tica da arquitetura mais adequada, deve atender s necessidades de
diferentes partes interessadas. Esses so os modelos, catlogos e matrizes usados para
descrever as arquiteturas de referncia, ou de transio; por exemplo, a arquitetura de
um aplicativo poderia ser descrita por meio de um diagrama de interface de aplicativo que
mostra os aplicativos em uso (ou planejados) e as interfaces entre eles.
Dispor de um arquivo de arquitetura
O arquivo pode ser usado para armazenar diferentes tipos de sadas arquitetnicas, inclusive princpios e padres de arquitetura, modelos de referncia de arquitetura, bem como
outros servios de arquitetura, e que definem os mdulos de servio como aplicativos que
proporcionam funcionalidade aos negcios; infraestrutura de tecnologia como hardware,
software de sistema e infraestrutura de rede; e infraestrutura fsica.
Definio de nveis de servios
Os nveis de servio que devem ser definidos e atingidos pelos prestadores de servios.
As boas prticas representam estruturas de arquitetura e capacidades de servio e atuam
como diretrizes, modelos ou padres que podem ser usados para acelerar a criao dos
servios da arquitetura, tais como TOGAF e ITIL.
11 Informao: as capacidades de servio podem ser alavancadas pelos processos de prestao de servios internos e externos;
11 Cultura e comportamento: os aspectos culturais e comportamentais so pertinentes
quando a organizao baseia-se em uma cultura orientada ao servio.
Princpios de arquitetura representam diretrizes gerais que norteiam a implementao e o
uso dos recursos de TI da organizao. Identifique trs elementos norteadores de princpios
de TI propostos como exemplos no COBIT.
75
Habilitador Pessoas, Habilidades e Competncias

Ao comparar o modelo genrico proposto pelo COBIT na figura 4.1, o habilitador Pessoas,
Habilidades e Competncias destaca:
Partes interessadas
As habilidades e competncias podem ser encontradas em partes interessadas internas e
externas organizao, na qual esses podem assumir funes de administradores de negcios, de projeto, parceiros, concorrentes, recrutadores, instrutores, desenvolvedores e especialistas tcnicos em TI; alm disso, cada funo exige um conjunto de habilidades distintas.
Metas
As metas das habilidades e competncias esto relacionadas com os nveis de educao
e qualificao, habilidades tcnicas, nveis de experincia, conhecimento e habilidades
comportamentais necessrias para realizar e desenvolver as atividades do processo com
sucesso. As metas dos funcionrios incluem nveis corretos de disponibilidade de pessoal e
ndice de rotatividade.
Ciclo de vida
Habilidades e competncias tm um ciclo de vida. Uma organizao tem de saber qual sua
atual base de habilidades e planejar o que ela projeta para o futuro. Isso influenciado pela
estratgia (entre outras coisas) e pelos objetivos corporativos. As habilidades podem ser
desenvolvidas (por exemplo, com treinamento) ou adquiridas (por exemplo, com recrutamento) e implantadas nas diversas funes da estrutura organizacional. As habilidades
devem ser transferidas, por exemplo, se uma atividade for automatizada ou terceirizada.
Periodicamente a organizao deve avaliar a base de competncias para compreender a
evoluo ocorrida, que ser alimentada ao processo de planejamento do prximo perodo.
Ainda, essa avaliao pode ser alimentada ao processo de recompensa e reconhecimento de
Recursos Humanos.
Boas prticas
As boas prticas de habilidades e competncias incluem a definio de requisitos de qualificao claros e objetivos de cada funo desempenhada pelos diversos participantes. Isso
pode ser descrito em diferentes nveis de habilidades em diversas categorias. Para cada
nvel de habilidade apropriado em cada categoria de habilidade, uma definio da habilidade dever ser disponibilizada. As categorias de habilidade correspondem s atividades de
TI assumidas, por exemplo, gesto da informao, anlise de negcios.
11 Processos e Estrutura Organizacional: habilidades e competncias so necessrias para

realizar as atividades do processo e tomar decises em estruturas organizacionais; por
outro lado, alguns processos visam apoiar o ciclo de vida das habilidades e competncias;
11 Cultura, tica e comportamento: esse habilitador possui uma relao com as habilidades comportamentais que orientam o comportamento do indivduo e so influenciadas pela tica da pessoa e da empresa;
11 Informaes: as definies de habilidades e comportamentos utilizam-se de informaes para as quais boas prticas do habilitador devem ser consideradas.
76
l
O Skills Framework
for the Information
Age (SFIA) fornece
definies detalhadas
de habilidades para as
diversas atividades dos
profissionais de TI.
Considerando o habilitador Pessoas, Habilidades e Competncias, como a sua empresa
implementa na prtica um plano de desenvolvimento de habilidades e competncias para os
profissionais de TI?
77
78
5
objetivos
Guia de Implementao do COBIT

Conhecer as etapas para implementao do COBIT; Conhecer as ferramentas de
implementao do COBIT; Identificar os requisitos necessrios em cada fase do
processo de implementao do COBIT; Identificar os fatores crticos de sucesso na
implementao do COBIT; Aplicar o roadmap na implementao do COBIT.
da organizao; Etapa 2: criao do ambiente apropriado; Ferramentas de

implementao; Planejamento da implementao do COBIT; Reconhecimento
dos pontos fracos e eventos desencadeadores; Capacitao da mudana; Roadmap
conceitos
Etapas do processo de implementao do COBIT; Etapa 1: entendendo o contexto
para implementao do COBIT.
Introduo
Para as organizaes agregarem valor e obterem benefcios do uso e implementao do
COBIT, faz-se necessrio adapt-lo para atender s necessidades especficas da empresa.
Assim, as etapas de planejamento e definio do escopo da implementao do COBIT tem
papel fundamental para o sucesso no uso do modelo pela organizao.
A implementao do COBIT nas organizaes deve levar em considerao fatores tangveis e
intangveis no contexto da empresa. Em relao aos componentes intangveis, necessrio
cultura e comportamento das pessoas para aceitao ou rejeio do modelo.
O documento denominado COBIT 5 Implementao no prescritivo e completo, mas estabelece boas prticas para minimizar eventuais obstculos na sua implementao, de forma a
auxiliar as organizaes na consecuo de melhores resultados com a adoo do COBIT.
Ferramentas de Implementao
O guia de orientao COBIT 5 implementao composto por um kit de ferramentas, contendo uma variedade de recursos, tais como:
11 Ferramentas de autoavaliao, medio e diagnstico;
11 Disponibilizao de informaes relevantes as partes interessadas envolvidas;
11 Artigos relacionados e explicaes adicionais acerca do uso do documento.
Captulo 5 - Guia de Implementao do COBIT
w
Para mais informaes
sobre o kit de
ferramentas de
implementao, acesse
www.isaca.org/cobit e
consulte a publicao
COBIT 5 Implementation. Esse guia
representa uma
orientao prtica para
implementao do
modelo COBIT 5
baseado no ciclo de
vida de melhoria
contnua de processos.
que as organizaes considerem desafios relacionados s mudanas internas e externas,
79
Fatores crticos de sucesso na implementao do COBIT

H diversos fatores crticos de sucesso para que a implementao do COBIT seja eficiente.
O guia de implementao do COBIT 5 sugere cinco fatores essenciais para o sucesso da
implementao do modelo:
11 Orientao e compromisso contnuo da alta administrao;
11 Apoio das partes interessadas aos processos de governana e gesto de TI da organizao;
11 Garantia de comunicao efetiva e capacitao das mudanas necessrias;
11 Adaptao do COBIT para atendimento s necessidades e ao contexto da organizao;
11 Foco em resultados rpidos e priorizao das aes em melhorias mais benficas e fceis.
Normalmente, as iniciativas de TI falham devido falta ou inadequao de orientao, apoio
ou superviso das partes interessadas envolvidos com a implementao da governana
ou gesto de TI.
Assim, apoio e orientao dos principais partes interessadas so elementos crticos para o
sucesso na implementao do COBIT. Ainda, em um ambiente corporativo fragilizado, isto
, em que o modelo operacional de negcios no claro e objetivo e no h efetividade nos
habilitadores de governana em nvel corporativo, o apoio e a participao das partes interessadas so, ainda, mais instrumentos importantes e crticos.
Planejamento da implementao do COBIT
O planejamento da implementao do COBIT uma etapa essencial para o sucesso de sua
implementao. Nessa etapa, algumas situaes so essenciais e devem fazer parte do contexto de implementao do modelo conforme descrito na tabela a seguir:
Etapa
Descrio
Elaborao de um
estudo de caso
O estudo de caso representa o ponto de partida para a implementao e melhoria da governana e gesto de TI da organizao. Todos os esforos devem concentrar-se no escopo da
implementao do modelo a partir das necessidades especficas
da empresa.
Reconhecimento
dos pontos fracos
A identificao de falhas e anlise de gaps em relao ao estgio

atual dos sete habilitadores do COBIT fundamental para a
implementao de melhorias na governana e gesto de TI da
organizao.
Para pensar
O reconhecimento de pontos fracos auxiliam a criao de um ambiente apropriado
para a implementao do COBIT.
80
As organizaes passam por transformaes no dia a dia e enfrentam um processo contnuo

de mudanas nos negcios. A rea de TI como parte integrante desse processo no pode
ficar alheia a esse cenrio.
Em sua organizao, a rea de TI est efetivamente pronta e preparada para assumir os
desafios relacionados Governana de TI? A organizao j identificou seus pontos fracos
e consequncias (eventos desencadeadores) para que a implementao do COBIT tenha
sucesso na instituio. Justifique sua resposta.
Na condio de gestor de TI de sua organizao, o que voc faria para iniciar a implementao do COBIT? Por onde comear? Exemplifique sua resposta com um caso aplicativo.
Etapas para implementao do COBIT

O COBIT indica duas etapas fundamentais para sua implementao:
11 Etapa 1: entendendo o contexto da organizao;
11 Etapa 2: criao do Ambiente Apropriado.
Etapa 1: entendendo o contexto da organizao
A governana e gesto de TI em uma organizao no ocorre por acaso. Toda instituio
deve elaborar seu prprio plano ou roteiro de implementao que, entre outros aspectos,
11 tica e cultura;
11 Leis, regulamentos e polticas aplicveis;
11 Misso, viso e valores;
11 Polticas e prticas de governana;
11 Plano de negcios e intenes estratgicas;
11 Modelo operacional e nvel de maturidade;
11 Estilo de gesto;
11 Inclinao ou apetite ao risco;
11 Capacidades e recursos disponveis;
11 Prticas especficas do setor ou indstria da empresa.
deve contemplar fatores especficos do ambiente interno e externo, tais como:
81
Para pensar
Cabe esclarecer que o COBIT um modelo sustentado por outros modelos, boas
prticas e padres, portanto, a adaptao desses instrumentos conceituais e prticos tambm devem ser considerados pela equipe de implementao para atender
requisitos especficos desses padres relacionados.
A abordagem ideal governana e gesto de TI deve ser especfica para cada organizao.
O contexto da empresa deve ser compreendido, entendido e considerado pelos implementadores do COBIT a fim de customizar o modelo sua necessidade. Esse entendimento
fundamental para obter sucesso e eficincia na implementao dos habilitadores de governana e gesto de TI na organizao como um todo.
Etapa 2: criao do ambiente apropriado
Os habilitadores do COBIT fornecem uma soluo que trata das necessidades e problemas
reais da empresa, em vez de servir como fins em si mesmos.
Assim, o diagnstico baseado nos pontos fracos e nas tendncias atuais devem ser identificados e aceitos pela administrao como diretrizes a serem tratadas para sensibilizar,
criar consenso e gerar um compromisso de ao por todos o responsveis e envolvidos na
rea de TI.
O compromisso e a adeso das partes interessadas devem ser considerados desde o incio
da implementao, com a obteno do compromisso, dos recursos necessrios para apoiar
o programa e o estabelecimento de um estudo de caso.
As principais funes e responsabilidades devem ser definidas e o compromisso de todos os
colaboradores envolvidos, considerado.
Estruturas e processos apropriados para superviso e orientao devero ser criados e
mantidos para garantir o alinhamento contnuo das abordagens de governana e gesto de
risco em toda a empresa.
Reconhecimento dos pontos fracos e eventos desencadeadores
H diversos fatores que podem indicar a necessidade de melhoria da governana e da
gesto de TI nas organizaes.
Usando os pontos fracos mapeados ou eventos desencadeadores como ponto de partida para
as iniciativas de implementao, o estabelecimento de um estudo de caso de melhoria da
governana ou gesto de TI da empresa propicia a identificao das necessidades de melhorias com base nos problemas prticos ou cotidianos que so vivenciados. Isso aumentar a
adeso e criar o senso de urgncia na empresa necessrio para iniciar a implementao.
Esse cenrio propicia uma plataforma para a introduo de novas mudanas e pode ajudar na
82
obteno do compromisso e apoio da alta administrao para mudanas mais profundas.

O COBIT relaciona alguns pontos fracos mais comuns para os quais os habilitadores de
governana ou gesto de TI podem ser o ponto de partida como soluo para implementao do modelo:
11 Frustrao da empresa com iniciativas fracassadas, aumentando os custos de TI e a percepo de baixo valor do negcio;
11 Incidentes significativos relacionados ao risco de TI, tais como perda de dados ou falhas
em projetos;
11 Problemas com prestao de servios terceirizados pelo no cumprimento dos nveis de
servio acordados;
11 No cumprimento das exigncias regulatrias ou contratuais;
11 Limitao por parte da rea de TI da capacidade de inovao da empresa e da agilidade
do negcio;
11 Relatos regulares da auditoria sobre o fraco desempenho de TI e/ou de problemas com a
qualidade do servio de TI prestados;
11 Gastos com TI encobertos e/ou desnecessrios;
11 Duplicao ou sobreposio das iniciativas ou desperdcio de recursos, tais como resciso
prematura de projetos;
11 Recursos de TI insuficientes, pessoal com habilidades inadequadas, insatisfeitos
ou desmotivados;
11 Mudanas na capacitao de TI que no atendem s necessidades da empresa e
demoram a dar retorno ou estouram o oramento;
11 Membros do conselho, executivos ou gerentes seniores que relutam em se envolver com
TI ou falta de responsveis pela rea de TI da empresa comprometidos e satisfeitos;
11 Modelos operacionais de TI muito complexos.
Alm desses pontos fracos, O COBIT tambm relaciona outros eventos envolvendo os
ambientes interno e externo organizao, que podem sinalizar a necessidade de rever o
foco na governana e gesto de TI, tais como:
11 Fuso, aquisio ou alienao de outras organizaes;
11 Mudana no mercado, na economia ou na posio competitiva;
11 Mudana no modelo operacional da empresa ou nos arranjos de terceirizao;
11 Novas exigncias regulatrias ou de conformidade;
11 Mudana significativa de tecnologia;
11 Foco ou projeto de governana para toda a empresa;
11 Mudanas nas lideranas da alta administrao da organizao;
11 Auditoria interna, externa ou avaliaes de consultorias;
Cada organizao deve identificar seus pontos fracos e consequncias oriundas das
falhas e/ou vulnerabilidades relacionadas.
Baseando-se nos pontos fracos exemplificados pelo COBIT, relacione os trs que voc
entende que so os mais crticos e que se aplicam no contexto da empresa em que voc
trabalha. Em seguida, identifique duas boas prticas que podem ser utilizadas para
melhorar o cenrio de governana e gesto no contexto da empresa.
11 Novas prioridades ou estratgias de negcios.
83
Pontos fracos
Aes para melhorias

1.
2.
3.
4.
5.
1.
2.
3.
4.
5.
Capacitao da mudana
O sucesso da implementao do COBIT depende da implantao da mudana adequada
com foco nos habilitadores da governana e gesto apropriados.
Em muitas empresas, h pouca nfase na gesto dos aspectos humanos, comportamentais
e culturais da mudana e motivao das partes interessadas para aceitar a mudana.
No se pode pressupor que as partes interessadas envolvidos com os sete habilitadores
aceitaro prontamente e adotaro a mudana. A possibilidade de ignorarem e/ou resistirem
mudana deve ser contemplada por meio de uma abordagem estruturada e proativa.
A conscientizao do programa de implementao deve ser alcanada atravs de um plano
de comunicao eficiente que defina o que ser comunicado, de que forma e por quem, ao
longo das vrias fases do programa.
Melhoria sustentvel pode ser conseguida obtendo-se o compromisso das partes interessadas.
Esse compromisso deve considerar a participao, tempo de dedicao e comunicao ampla
de todos os atores envolvidos, especialmente a alta administrao, para o sucesso da mudana.
Em outras palavras, as barreiras humanas, comportamentais e culturais devem ser superadas
de modo que haja um interesse comum em adotar corretamente a mudana, infundir a
vontade de adotar a mudana e garantir a capacidade de adot-la.
Abordagem ao ciclo de vida
Um ambiente adequado para implementao do COBIT um dos requisitos necessrios
para minimizar os riscos e atingir o sucesso da implementao ou da melhoria dos processos.
O ciclo de vida da implementao proposto no COBIT apresenta um modelo para ser utili-
zado pelas organizaes. Esse modelo foi estruturado considerando a complexidade e os
84
desafios geralmente encontrados em sua implementao.

Componentes do ciclo de vida
Os trs componentes inter-relacionados do ciclo de vida so:
11 Ciclo de vida principal de melhoria contnua;
11 Capacitao da mudana.
Gesto do programa
Veja no quadro a seguir uma breve descrio dessas etapas:
Componente
Descrio
Ciclo de vida principal de

melhoria contnua
O projeto deve englobar toda organizao, no

podendo ser tratado isoladamente.
Capacitao da mudana
O projeto deve contemplar uma abordagem aos

aspectos comportamentais e culturais da organizao.
Gesto do programa
O programa deve ser gerenciado continuamente para

identificao de gargalos.
As sete fases do ciclo de vida

A figura 5.1 ilustra as sete fases do ciclo de vida de implementao do COBIT:
Planej
ar o programa
4. O
que precisa ser feito?
Gesto do Programa (anel externo)
Capacitao da mudana (anel intermedirio)
Ciclo de via de melhoria contnua (anel interno)
Fonte: www.isaca.org
A seguir, vamos analisar cada uma dessas fases.
lt a d
su
re
ro
im
de
un
o
ir
n
e
D
gu
de
On
.
3
ti c a r o s p a p i s
a d n ir o
o
alv
o
Id e n
om
ia
C o n s tr u ir
m elh oria s
De
t
es
ca
Incorporar n
ova
s
abordage
ns
Operar e m
edi
r
i
ar
e oportunidades
or
e
nt
ar
m
os
l
?
le m
lh
er
la
no
as
os agora?
estam
nde
2. O
Imp
me
Op
ro
ta
u
ec
re
Ex
ga
he
oc
om
5. C
sa
s
lema
rob
ir p
n
De
rar
ito
on lisar
M na
a
e
a
Estab
elec
er
od
de m
ud
es
an
ej
a
o
Reco
nhe
ce
nece
r
ssi
a
da
de
de a
gir
ple
ue
me
re
nta
m
o
os
es
tar
?
r
nte
Ma
a equipe
mar
For
tao
lemen
imp
de
Realizar ben
efci
os
a
ar
lis
a
An
1. Qua
is s
oo
sD
ire
cio
Inici
na
ar o
do
pro
gra
re
m
iar o
Aval
tual
ado a
est
6. J chegam
os l
?
o
om
ncia?
dist
ssa
e
os
tem
n
a
cia
m
ec
s?
7.
C
Figura 5.1
Fases do ciclo
de vida de
implementao
do COBIT.
85
1 Fase
Essa fase inicia com o reconhecimento e aceitao da necessidade ou iniciativa da implementao do COBIT, identificando os pontos fracos para criar o desejo de mudana nos
nveis de gesto executiva da empresa.
2 Fase
Essa fase concentra-se na definio do escopo da implementao, usando o mapeamento
dos objetivos corporativos do COBIT em objetivos de TI, conforme visto no captulo 3, considerando, ainda, os cenrios de risco dos principais processos relacionados.
Diagnsticos de alto nvel so ferramentas essenciais para definir o escopo e compreender
as reas prioritrias para concentrar os esforos de sua aplicao. Uma avaliao do atual
estado ento realizada, e os problemas e deficincias dos processos so identificados por
meio de uma avaliao da capacidade.
3 Fase
Nessa fase, define-se uma meta de melhoria para, em seguida, realizar uma anlise mais
detalhada segundo as orientaes do COBIT para identificar falhas e possveis solues.
As solues propostas podem apresentar resultados rpidos, enquanto outras podero
exigir atividades mais desafiadoras em um prazo maior.
O COBIT sugere priorizar as iniciativas mais fceis de alcanar e que produziro os melhores
benefcios para a organizao.
4 Fase
Essa fase estabelece o planejamento de solues prticas pela definio de projetos
apoiados por estudos de casos justificveis. Um plano de mudana para a implementao
do COBIT tambm deve ser desenvolvido nessa fase. Um estudo de caso bem elaborado
ajuda a garantir que os benefcios do projeto sejam identificados e monitorados.
5 Fase
Nessa fase, as solues propostas so implementadas em forma de prticas dirias.
As mtricas e o monitoramento so definidos e estabelecidos com o uso das metas e
mtricas abordados no captulo 4.
Essa sistemtica garante que o alinhamento da empresa seja atingido e mantido, e o desempenho
possa ser medido. O sucesso exige demonstrao de envolvimento e empenho pela alta administrao, bem como a responsabilidade dos envolvidos das reas de TI e de administrao.
6 Fase
Essa fase concentra-se na operao sustentvel dos habilitadores, bem como no monitora-
mento da consecuo dos benefcios esperados.
86
7 Fase
Fase que se baseia na anlise de novos requisitos para a governana e gesto de TI da
empresa, identificando necessidades de melhoria contnua. O ciclo de vida deve ser seguido
de forma interativa paralelamente criao de uma abordagem sustentvel governana e
gesto de TI da empresa.
O roadmap do COBIT est estruturado em sete etapas. Baseando-se na figura 5.1, escreva
sucintamente o objetivo de cada fase.
Premissas para elaborao do estudo de caso

O estudo de caso o primeiro passo para implementao do COBIT. O sucesso na implementao do COBIT depende da divulgao, da necessidade de agir e de comunicao por
toda a organizao.
Uma boa prtica sugere o uso da tcnica toque de despertar, na qual os pontos fracos
devem ser identificados.
O nvel de urgncia dos riscos deve ser discutido entre os principais partes interessadas
envolvidos nos processos de TI da organizao. Todos os responsveis devem ter clara compreenso dos resultados empresariais desejados. Deve-se definir as tarefas e metas crticas
das funes e responsabilidades.
O estudo de caso uma valiosa ferramenta de que dispe a administrao para orientao
na criao de valor para a empresa e deve incluir, no mnimo, as seguintes situaes:
11 Os benefcios almejados para a empresa, seu alinhamento com a estratgia de negcios e
11 As mudanas nos negcios necessrias para criar o valor esperado, que pode basear-se
em verificaes de integridade e anlises de falhas na capacidade, e devem indicar claramente o escopo definido;
11 Os investimentos necessrios para criar as mudanas na governana e gesto de TI
da empresa;
11 Os custos fixos do negcio e de TI;
11 Os benefcios esperados da operao aps a mudana;
11 O risco inerente e quaisquer restries ou dependncias, baseando-se nos fatores
de sucesso;
11 Funes e responsabilidades definidas;
11 Monitoramento e mtrica dos investimentos e da criao de valor durante o ciclo de vida
os respectivos responsveis;
econmico, para atingimento das metas e resultados.

87
O estudo de caso no um documento esttico, mas uma ferramenta operacional dinmica

que deve ser continuamente atualizada para refletir a atual viso de futuro para identificao
da manuteno da viabilidade do programa.
Pode ser difcil quantificar os benefcios da implementao ou das iniciativas de implementao, e cuidados devero ser tomados para comprometimento somente com benefcios
realistas e atingveis. Estudos realizados em diversas empresas (benchmarking) podem
oferecer informaes teis sobre os benefcios que foram alcanados.
88
6
Avaliao da Capacidade de
Processo
atributos e nveis do Modelo Capacidade de Processo; Revisar os atributos e nveis
do Modelo de Maturidade de Processo do COBIT 4.1; Comparar os Modelos de
Maturidade e de Capacidade de Processo do COBIT; Identificar os benefcios do
Modelo de Capacidade de Processo; Efetuar uma avaliao prtica da capacidade
de processo do COBIT.
de Processo; Comparativo entre os Modelos de Maturidade e de Capacidade de

Processo; Benefcios do Modelo de Capacidade de Processo do COBIT; Atributos do
Modelo de Avaliao da Capacidade de Processo; Aplicao prtica do Modelo de
conceitos
Modelo de Avaliao da Maturidade de Processo; Modelo de Avaliao da Capacidade
Avaliao da Capacidade de Processo.
Introduo
Os modelos COBIT 4.1, RISK IT e Val IT adotavam um Modelo de Maturidade de Processo para
mensurao dos resultados dos processos de governana e de gesto de TI de uma organizao.
Por outro lado, o COBIT 5 utiliza-se de um Modelo de Capacidade de processo para mensurao do resultado e desempenho dos processos de TI.
Esse captulo tem como propsito:
11 Revisar os conceitos fundamentais do Modelo de Maturidade de Processo do COBIT 4.1;
11 Aprofundaremos o conhecimento sobre o Modelo de Capacidade de Processo;
11 Efetuar um comparativo entre os modelos de maturidade e de capacidade;
11 Realizar um estudo de caso prtico com uso do Modelo de Capacidade.
Captulo 6 - Avaliao da Capacidade de Processo
objetivos
Conhecer o Modelo de Capacidade de Processo do COBIT 5; Aprender sobre os
89
Modelo de Maturidade de Processo

Principais objetivos do Modelo de Maturidade de Processo do COBIT 4.1
Medir a maturidade atual ou o estgio em que se encontram os processos de TI da organizao.
Definir o estado de maturidade desejado e entendido como meta para a organizao.
Determinar a diferena entre os dois estgios (atual e desejado).
Melhorar o processo para atingir o nvel de maturidade desejado.
Nveis e Atributos do Modelo de Maturidade do COBIT 4.1
O Modelo de Maturidade do COBIT 4.1 usa nveis e atributos para mensurar a maturidade
dos processos de TI, conforme demonstrado na figura 6.1.
Tabela 6.1
Principais objetivos
do Modelo de
Maturidade de
Processo do
COBIT 4.1.
Modelo de Maturidade
(1 por processo)
Inexistente
Inicial /
Ad hoc
Repetvel
Processo
Denido
Gerenciado e
Mensurvel
Otimizado
Nvel 0
de maturidade
Nvel 1
de maturidade
Nvel 2
de maturidade
Nvel 3
de maturidade
Nvel 4
de maturidade
Nvel 5
de maturidade
Atributos Genricos do Modelo de Maturidade

Conscientizao
e Comunicao
Polticas, Planos,
Procedimentos
Ferramentas
e Automao
Controles de Processo do COBIT 4.1
Habilidades
e Expertise
Responsabilidade e
Responsabilizao
Objetivos de Controle do COBIT 4.1
Como se pode observar, os nveis de maturidade variam entre Inexistente (nvel 0) e

Otimizado (nvel 5). Quanto mais alto o nvel, significa que mais bem estruturada ser a
maturidade (resultado) do processo.
Ainda, baseado na figura 6.1, tem-se que o Modelo de Maturidade de Processo composto
por seis atributos denominados Conscientizao e Comunicao, Polticas, Planos, Ferramentas e Automao, Habilidades e Expertise, Responsabilidade e Responsabilizao e
Definio de Metas e Medio. O modelo de maturidade do COBIT 4.1 usado para:
90
11 Avaliao de melhoria do processo;

11 Avaliar a maturidade do processo;
11 Definio do nvel de maturidade desejado para um determinado processo;
11 Identificao das falhas de um processo para confirmar se os objetivos de controle do
processo foram atingidos;
11 Obteno do perfil de maturidade do processo.
Denio
de Metas
e Medio
Figura 6.1
Atributos genricos
do Modelo de
Maturidade do
COBIT 4.1.
O modelo de maturidade genrico possui seis atributos distintos aplicveis para cada processo e que auxiliam a organizao na obteno de uma viso mais detalhada do nvel de
maturidade dos processos.
Relacione os seis nveis de maturidade de processo adotado pelo COBIT 4.1.
d Avaliao de Capacidade de Processo

O COBIT 5, por outro lado, no usa mais o termo maturidade como instrumento de medio
dos processos, mas sim o termo capacidade. Os modelos de capacidade e de maturidade so
distintos, mas h um relacionamento comum entre eles, conforme analisaremos neste captulo.
O modelo de avaliao de Processo sistematizado pelo PAM abrange os outros seis habilitadores do modelo COBIT 5 (captulo 2), e no apenas Processos, como acontecia com o
modelo de maturidade do COBIT 4.1.
Assim, embora o PAM fornea informaes valiosas sobre o atual estgio dos processos de TI,
esses, na prtica, representam apenas um dos sete habilitadores de governana e de gesto.
Baseado no COBIT 5, as avaliaes dos processos no representam o quadro completo do estado
de governana e de gesto de uma empresa, uma vez que os demais habilitadores tambm
devem ser analisados no contexto de governana e gesto corporativa em uma organizao.
Modelo de Avaliao de Capacidade de Processo (PAM): Atributos e Nveis
A Avaliao de Capacidade de Processos do COBIT est baseada na ISO/IEC 15504, que um
padro reconhecido internacionalmente. Esse modelo de capacidade baseia-se no padro
de Avaliao de Processo de Engenharia de Software.
A avaliao de capacidade do modelo baseado na ISO/IEC 15504 proporcionar meios para
medir o desempenho de qualquer um dos processos de governana (Domnio EDM) ou de
gesto (Domnio PBRM). O modelo de avaliao baseado na ISO/IEC 15504 permite a identificao das reas e processos que precisam ser melhoradas.
A figura 6.2 apresenta os nveis e atributos genricos de Avaliao da Capacidade de Processo
do COBIT baseada na ISO/IEC 15504.
A publicao COBIT
Process Assessment
Model (PAM): Using
COBIT 4.1, da
ISACA, tem como
propsito apresentar
os mecanismos
para Avaliao da
Capacidade dos
Processos (PAM).
91
Atributos Genricos de Capacidade de Processo

Atributos de
Execuo
(PA) 1.1
Execuo do
Processo
Processo
Inexistente
PA 2.1
PA 2.2
PA 3.1
PA 3.2
PA 4.1
PA 4.2
PA 5.1
PA 5.2
Gesto
Gesto dos Denio Implementao Gesto
Controle Inovao Otimizao
da
produtos
do
do
do
do
do
do
Execuo de trabalho Processo Processo
Processo Processo Processo Processo
Processo
Executados
Processo
Gerenciado
Processo
Estabelecido
Modelo de Avaliao de Processo do COBIT 5

Indicadores de Desempenho
Processo
Previsvel
Processo
Otimizado
Modelo de Avaliao de Processo do COBIT 5

Indicadores de Capacidade
Resultados do processo
Prticas Bsicas
(Prticas de Governana
/ Gesto)
Produtos do Trabalho
(Entradas / Sadas)
Prticas
Genricas
Recursos
Genricos
Como se pode observar, os Nveis de Capacidade de Processo variam entre Inexistente,

Executado, Gerenciado, Estabelecido, Previsvel e Otimizado. Cada nvel composto por
atributos mnimos que devem estar presentes para determinao do nvel de capacidade a
ser atribudo ao processo sob avaliao.
O Processo de Avaliao do COBIT 5 mede o quanto um dado processo atinge atributos
especficos relativos a esse processo, sendo denominado Atributos do Processo.
Esse processo de avaliao contempla nove atributos de processo baseado na ISO/IEC
15504-2, conforme relacionados a seguir:
11 PA1.1: desempenho (execuo) do processo;
11 PA2.1: gesto de produto de trabalho;
11 PA2.2: gesto de desempenho (execuo);
11 PA3.1: definio do processo;
11 PA3.2: implantao do processo;
11 PA4.1: medio do processo;
11 PA4.2: controle do processo;
11 PA5.1: inovao do processo;
11 PA5.2: otimizao contnua.
Nveis de Avaliao da Capacidade de Processo
92
Um determinado processo pode atingir seis nveis de capacidade, de acordo com o seu
estgio de implementao, variando da denominao de Inexistente at o nvel
Otimizado, conforme descrito na tabela 6.2.
Produto de
Trabalho
Genricos
Figura 6.2
Atributos da
Capacidade de
Processo do
COBIT 5.
Nvel de Capacidade
Descrio do processo
(0) Processo Inexistente
O processo no foi implementado ou no atingiu seu objetivo.

H pouca ou nenhuma evidncia de qualquer realizao sistemtica
do objetivo do processo.
(1) Processo Executado (um atributo)
O processo implementado atinge seu objetivo.
(2) Processo Gerenciado (dois atributos)
O processo est implementado de forma planejada, monitorada

e ajustada, e seus produtos de trabalho foram adequadamente
estabelecidos, controlados e mantidos.
(3) Processo estabelecido (dois atributos)
O processo implementado utilizando um processo definido,

capaz de atingir seus resultados.
(4) Processo Previsvel (dois atributos)
O processo opera dentro dos limites definidos para produzir seus

resultados esperados.
(5) Processo Otimizado (dois atributos)
O processo continuamente melhorado, visando realizao dos

objetivos corporativos pertinentes, atuais ou previstos.
Podemos observar que nveis de capacidade mais altos requerem a incorporao de

diferentes atributos.
Para pensar
H uma diferena significativa entre a capacidade de processos de nvel 1 e os nveis
de capacidade mais elevados.
Qual a principal diferena entre os nveis de capacidade 0 e 1 do COBIT?
Como podemos garantir que o processo de Gesto de Mudanas em uma organizao est
no nvel 5?
Nveis de Capacidade de Processo na prtica

Para atingir a capacidade de processo de nvel 1, h a necessidade de que o atributo de
desempenho do processo seja amplamente atingido, isto , que o processo seja realizado
com sucesso e os resultados esperados sejam obtidos pela empresa.
O atingimento da capacidade de nvel 1 deve ser considerado uma importante conquista
para a empresa, ainda que representa um nvel baixo de capacidade para o processo.
Tabela 6.2
Nveis de
Capacidade de
Processo.
93
Cada empresa definir sua meta ou nvel desejado. Na prtica, as empresas tero
dificuldades para implementar nveis de capacidade mais elevados.
Um determinado nvel de capacidade s pode ser atingido quando o nvel acima tiver sido
plenamente alcanado.
Por exemplo, uma capacidade de processo nvel 3 (processo estabelecido) exige que a definio do processo e dos atributos de implantao sejam amplamente atingidos aps a consecuo plena dos atributos de uma capacidade de processo nvel 2 (processo gerenciado).
Identifique os principais desafios e dificultadores para implementao de nveis de capacidade mais elevados em sua organizao.
Modelo de Referncia de Processo do COBIT 5

O modelo de referncia de processos do COBIT Enabling Process, em conformidade com
o ISO/IEC 15504, define os requisitos mnimos para avaliao dos processos nas reas de
governana e de gesto de uma organizao. O padro ISO/IEC 15504 tem como pressupostos que:
11 O processo deve ser descrito em termos de objetivo e resultados;
11 A descrio do processo no ter de medio alm ou a seguir do nvel 1.
Dessa forma, nenhuma caracterstica de um atributo de processo alm do nvel 1 poder
constar na descrio do processo; se um processo for medido e monitorado ou formalmente
descrito, no poder constar da descrio do processo ou de qualquer das prticas ou atividades de gesto a seguir desse nvel.
Na prtica, essa sistemtica indica que as descries de um determinado processo, previsto
na publicao COBIT 5 Habilitador Processo, contm apenas os passos necessrios para a
realizao das metas e objetivos do processo.
Historicamente, alguns modelos (COBIT, ITIL, PRINCE 2) adotaram a abordagem CMM: SEI
(Software Engineering Institute), que combina avaliaes de capacidade e de Maturidade em
uma nica avaliao. A ISO 15504, por outro lado, estabelece duas avaliaes distintas:
11 Uma avaliao da maturidade realizada em nvel organizacional e usa uma escala de
medida diferente de uma avaliao de capacidade, alm de diferentes critrios e atributos;

11 Uma avaliao de capacidade realizada em nvel de processo e usada para fins de
melhoria de processos.
Matematicamente, no se pode combinar uma avaliao de capacidade de diversos processos para obter uma avaliao da organizao. Isso funciona para o CMMI/SEI, porque
ele est avaliando um nico processo, o de desenvolvimento de engenharia de software
ou desenvolvimento de aplicaes. Todavia, a maioria dos modelos, como o COBIT, contm
mais de 10 processos.
94
A ISO/IEC 15504 estabelece que prticas de governana e de gesto, quando executadas de

forma consistente, contribuem para o alcance da finalidade do processo e que os produtos
de trabalho (artefato associado com a execuo de um processo) devem ser definidos em
termos de entradas e sadas do processo.
Comparativo entre os Modelos de Maturidade e de Capacidade
Os atributos dos modelos de maturidade do COBIT 4.1 e de capacidade do COBIT 5, at certa
medida, se sobrepem. A figura 6.3 apresenta uma tabela comparativa entre os atributos de
maturidade e de capacidade, destacando aqueles em comum.
Otimizao do
processo
Inovao do
processo
Controle do
processo
Gesto do
processo
Implementao
do processo
Denio do
processo
Gesto de Produto
do Trabalho
Gesto de
Desempenho
Atributo de Capacidade de Processo do COBIT 5
Desempenho
do processo
Atributo de
Maturidade
do COBIT 4.1
Conscientizao
e Comunicao
Polticas, planos
e procedimentos
Ferramentas
e Automao
Habilidades
e expertise
Responsabilidade
Denio de
metas e medio
H diferenas prticas associadas mudana nos modelos de Avaliao de Processo.
Os profissionais envolvidos com atividades de Avaliao de Processo devem conhecer essas
mudanas e estarem prontos para consider-las em suas tarefas nas organizaes.
Figura 6.3
Tabela comparativa
entre os Modelos
de Maturidade e
Capacidade.
95
As principais mudanas consideradas esto descritas na tabela 6.3.

Comparao entre Nveis de Maturidade (COBIT 4.1) e de Capacidade de Processo (COBIT 5)
Nvel do Modelo de Maturidade
5. Otimizado: os processos esto refinados no nvel
de boa prtica, com base nos resultados de melhorias contnuas e modelagem da maturidade com
outras organizaes.
A TI aplicada de forma integrada para automatizar
o fluxo de trabalho, oferecendo ferramentas para
melhoria da qualidade e da eficcia, fazendo com
que a organizao se adapte rapidamente.
4. Controlado e Mensurvel: a administrao
monitora e mede a conformidade com os procedimentos, e toma medidas quando parecer que os
processos no esto funcionando efetivamente. Os
processos esto em constante melhoria e resultam
em boas prticas. Automao e ferramentas so
utilizadas de maneira limitada ou fragmentada.
3. Processo Estabelecido: os procedimentos foram
padronizados, documentados e comunicados por
meio de treinamento.
Seguir esses processos obrigatrio; no entanto,
improvvel que os desvios sejam detectados. Os
procedimentos, por si s, no so sofisticados, mas
so a formalizao das prticas existentes.
Nvel de Capacidade de Processo
Contexto
Nvel 5: processo Otimizado O

processo Previsvel (nvel 4) continuamente melhorado de modo a
atender aos objetivos corporativos
pertinentes, atuais ou previstos.
Nvel 4: processo Previsvel O processo Estabelecido (nvel 3) opera

com limites definidos, atingidos
nos resultados do processo.
Viso da
Organizao
Conhecimento
Corporativo
Nvel 3: processo Estabelecido O

processo Gerenciado (nvel 2)
implementado usando um processo definido capaz de atingir os
resultados do processo.
Nvel 2: processo Gerenciado O
processo Executado, nvel 1,
implementado de forma gerenciada (planejado, monitorado
e ajustado) e seus produtos do
trabalho so adequadamente estabelecidos, controlados e mantidos.
2. Repetvel, mas intuitivo: os processos se desenvolveram at o estgio em que procedimentos

semelhantes so adotados por diferentes pessoas
que realizam o mesmo trabalho. No h treinamento formal ou comunicao de procedimentos
padro, e a responsabilidade fica a critrio do
indivduo. H um alto grau de confiana no conhecimento das pessoas e, portanto, erros so possveis.
1. Inicial ou Ad hoc: h evidncias de que a organizao tenha reconhecido a existncia de problemas

que deveriam ser tratados. Contudo, no h processos padronizados; em vez disso, h abordagens
ad hoc, que tendem a ser aplicadas individualmente
ou com base em cada caso. A abordagem geral da
gesto desorganizada.
96
0. Inexistente: completa falta de processos reconhecveis. A organizao no reconheceu que existe

um problema a ser tratado.
Nvel 1: processo Executado O

processo implementado atinge a
finalidade do processo.
Nota: provvel que alguns processos classificados como Modelo
de Maturidade Nvel 1 sejam
classificados como nvel 0 na ISO/
IEC15504, se os resultados do processo no forem alcanados.
Viso de Instncia
Conhecimento
Individual
Nvel 1: processo Executado O

processo implementado atinge a
finalidade do processo.
Nota: possvel que alguns processos classificados como Modelo
de Maturidade Nvel 1 sejam
classificados como nvel 0 na ISO/
IEC15504, se os resultados do processo no forem alcanados.
Nvel 0: processo incompleto O
processo no foi implementado ou
no cumpre sua finalidade.
Tabela 6.3
Comparativo entre
os Modelos de
Maturidade e de
Capacidade.
A tabela 6.3 demonstra que, comparando os instrumentos de medio dos modelos COBIT 4.1
e COBIT 5 e, principalmente, as modificaes implementadas no modelo COBIT 5, observa-se:
11 Dificuldade de comparao entre os resultados da avaliao nos modelos COBIT 4.1 e
COBIT 5, apesar das aparentes semelhanas (nmero de escalas e termos para descrev-las);
11 As pontuaes na avaliao usando o COBIT 5 so inferiores a do COBIT 4.1;
11 Contedo simplificado atravs da eliminao de duplicao, especialmente com o
COBIT 4.1, que tinha a duplicao de objetivos de controle e as atividades RACI.
11 Maior confiabilidade e repetibilidade de atividades e avaliaes de capacidade do processo, reduzindo debates e divergncias entre as partes interessadas sobre os resultados
obtidos (baseada em evidncias);
11 Aumento da usabilidade da avaliao da capacidade do processo, devido ao maior rigor
do processo de avaliao;
11 Conformidade com uma norma de avaliao de processo geralmente aceita e, portanto,
com um forte apoio do mercado.
No modelo de maturidade do COBIT 4.1, um processo poderia atingir o nvel 1 ou 2 sem
atingir plenamente todos os objetivos do processo; no nvel de capacidade de processo do
COBIT 5, isso resultar em uma pontuao mais baixa, de 0 ou 1.
As escalas de capacidade do COBIT 4.1 e do COBIT 5 descritas na tabela 6.2 e 6.3

podem ser utilizadas como um mapeamento aproximado entre os modelos.
Assim, baseando-se na tabela 6.2, as organizaes que utilizam a abordagem dos

atributos do modelo de maturidade do COBIT 4.1 podem reutilizar os atuais dados da sua
avaliao e reclassific-los segundo as avaliaes de atributos do COBIT 5, previsto nesse
modelo de capacidade.
A nomenclatura e o significado dos nveis de capacidade definidos para o ISO/IEC 15504 so
distintos dos atuais nveis de maturidade dos processos do COBIT 4.1. Na ISO/IEC 15504, os
nveis de capacidade so definidos por um conjunto de nove atributos de processo. Esses
atributos abrangem alguns fundamentos cobertos pelos atuais atributos de maturidade
e/ou controles de processos do COBIT 4.1, mas somente at certa medida.
porque a abordagem da avaliao da capacidade baseada na ISO/IEC 15504 no pressupe

essa sistemtica.
Os atributos de maturidade do COBIT 4.1 e os atributos de capacidade de processo
do COBIT 5 no so idnticos.
Considerando as mudanas entre os modelos COBIT 4.1 e COBIT 5, consulte o Apndice X,
Anlise comparativa entre os modelos de avaliao de processos do COBIT 4.1 e COBIT 5,
do Modelo COBIT 5, em www.isaca.org/cobit, que representa um material complementar
para aprofundamento do conhecimento sobre as mudanas nos modelos.
Para o COBIT 5, no h um modelo de maturidade especfico por processo detalhado,
97
Avaliao da Capacidade de Processo na prtica

A abordagem do COBIT 5 define as informaes requeridas no modelo de referncia de
processo, que ser utilizado como referncia para avaliao.
Nessa etapa, a avaliao da capacidade de processo deve contemplar:
11 Descrio do processo e do objetivo;
11 Prticas bsicas de governana ou gesto, conforme o processo do COBIT 5;
11 Produtos de trabalho equivalentes s entradas e sadas do COBIT 5.
No COBIT 5, o modelo de avaliao fornece uma escala de medio para cada atributo de
capacidade e orientao sobre como aplic-la; ento, para cada processo, uma avaliao
pode ser feita para cada um dos nove atributos de capacidade.
Relacione as principais diferenas entre uma avaliao de capacidade processo baseado
no COBIT 5 e uma avaliao de maturidade baseada no COBIT 4.1. Utilize as figuras 6.1 e 6.2
como referncia para essa questo. Consulte, caso necessrio, o Apndice X em
www.isaca.org/cobit para realizar essa atividade.
Os benefcios do modelo de capacidade de processo do COBIT 5, comparados com os

modelos de maturidade do COBIT 4.1, incluem:
11 Maior nfase no processo que est sendo realizado, para confirmar se est efetivamente
alcanando seus objetivos e os resultados esperados;
11 Simplificao do contedo, eliminando duplicidades de anlise, porque a avaliao do
modelo de maturidade do COBIT 4.1 exigia outros componentes (modelo de maturidade
genrico, modelo de maturidade do processo, objetivos de controle e objetivos de controles detalhados);
11 Maior confiabilidade e receptibilidade das atividades e anlises da avaliao da capacidade do processo, reduzindo debates e desentendimentos entre os participantes em
relao aos resultados da avaliao;
98
11 Maior uso dos resultados da avaliao da capacidade do processo, visto que o novo
modelo estabelece uma base para a realizao de avaliaes mais rigorosas e formais,
tanto para finalidades internas como externas em potencial;
11 Conformidade com um padro de avaliao de processo geralmente aceito e, portanto,
um forte apoio abordagem de avaliao do processo no mercado.
l
O Roteiro de atividades
6 apresenta um Estudo
de Caso para o
processo APO 4
Gesto da Inovao
exemplificando um
caso prtico para uso
do modelo.
Correspondncia entre os Nveis e os Atributos de Maturidade e de Capacidade
Tabela 6.4
Nveis e Atributos
de Maturidade
e de Capacidade.
COBIT 4.1
ISO IEC 15504
Nvel de maturidade
Nvel de capacidade
5 Otimizado
5 Otimizado
4 Gerenciado
e Mensurvel
4 Previsvel
3 Definido
3 Estabelecido
2 Repetvel,
mas intuitivo
2 Gerenciado
PA 2.2 Gerenciamento dos Produtos

de Trabalho
1 Inicial/ad hoc
1 Executado
PA 1.1 Execuo do Processo
O No existente
0 Incompleto
Descrio dos atributos

PA 5.1 Inovao de Processo
PA 5.2 Otimizao de Processo
PA 4.1 Medio do Processo
PA 4.2 Controle do Processo
PA 3.1 Definio do Processo
PA 3.2 Implantao do Processo
PA 2.1 Gerenciamento da Execuo
Descrio dos Atributos dos Processo: PA 1.1, PA 2.1 e PA 2.2

Atributo
Descrio
PA 1.1 Execuo do Processo
O atributo de desempenho do processo uma medida de quanto a finalidade

do processo atingida. Como resultado da realizao plena desse atributo, o
processo atinge seus resultados definidos.
Uma medida de quanto a execuo do processo gerenciada. Como resultado
da realizao plena desse atributo:
11Os objetivos de desempenho do processo so identificados.
11O desempenho do processo planejado e monitorado.
PA 2.1 Gesto da Execuo
11O desempenho do processo ajustado para atender aos planos.
11Responsabilidades e autorizaes para a execuo do processo so definidas,

atribudas e comunicadas.
11Os recursos e as informaes necessrios execuo do processo so identificados, disponibilizado, atribudos e utilizados.
11As interfaces entre as partes envolvidas so gerenciadas para assegurar a
comunicao efetiva e a designao clara de responsabilidades.
Uma medida de quanto os produtos de trabalho produzidos pelo processo

so adequadamente gerenciados. Como resultado da realizao plena desse
atributo:
11Os requisitos para os produtos de trabalho do processo so definidos.
PA 2.2 Gesto dos Produtos
de Trabalho
11Os requisitos para documentao e controle dos produtos de trabalho so

definidos.
11Os produtos de trabalho esto devidamente identificados, documentados
e controlados.
Tabela 6.5
Atributos PA 1.1, PA
2.1 e PA 2.2.
Avaliao da Capacidade do Processo

O padro ISO/IEC 15504 estabelece que as avaliaes da capacidade do processo podem ser
realizadas para diversas finalidades e com diferentes graus de rigor, podendo ser de carter
interno, com foco nas comparaes entre as reas da empresa e/ou melhoria no processo
interno; ou externas, com foco na avaliao, relatrio e certificao formal.
11Os produtos de trabalho so revisados de acordo com as disposies previstas, e ajustados conforme necessrio, para atender os requisitos.
99
Objetivos da avaliao de processo baseado na ISO/IEC 15504:

11 Permitir ao rgo de governana e administrao avaliar o desempenho da capacidade
do processo;
11 Permitir verificaes de integridade do estado atual e do estado desejado em alto
nvel, a fim de apoiar a tomada de deciso pelo rgo de governana e pela administrao em relao melhoria do processo;
11 Proporcionar anlises de falhas e informaes para planejamento de melhorias, a fim de
apoiar as definies de projetos de melhorias justificveis;
11 Oferecer ao rgo de governana e administrao classificaes para as avaliaes, a
fim de medir e monitorar as capacidades atuais.
A avaliao distingue entre a capacidade de avaliao nvel 1 e os nveis mais altos. De fato,
conforme descrito, a capacidade de processo nvel 1 descreve se um processo atinge os
objetivos desejados e , portanto, um nvel muito importante a ser atingido e fundamental
para permitir que os nveis de capacidade mais altos sejam alcanados.
Passo a passo da Avaliao da Capacidade do Processo
Para avaliar se um processo atinge seus objetivos, ou seja, a capacidade nvel 1, podemos
adotar os seguintes passos:
1. Analise os resultados do processo conforme sua descrio detalhada e utilize a escala de
classificao ISO/IEC 15504 para atribuir uma classificao ao grau de realizao de cada
objetivo. A escala formada pelos parmetros da tabela 6.6:
Nvel
Percentual de realizao
Descrio
N (No atingido)
0 a 15%
H pouca ou nenhuma evidncia da realizao do atributo para o processo.
P (Parcialmente
atingido)
> 15 a 50%
H alguma evidncia de uma abordagem para realizar o

atributo e alguma realizao do atributo. Alguns aspectos
da realizao do atributo podem ser imprevisveis.
> 50 a 85%
H evidncias de uma abordagem sistemtica para realizar o atributo e uma realizao significativa do atributo.
Algumas fraquezas relacionadas a esse atributo podem
existir no processo avaliado.
> 85 a 100%
H evidncia de uma abordagem completa e sistemtica para realizar o atributo e a realizao completa do
atributo. No h deficincias significativas em relao e
esse atributo.
L (Largamente
atingido)
F (Completamente
atingido)
2. Em seguida, as prticas do processo (governana ou gesto) devem ser avaliadas

utilizando a mesma escala de avaliao, que expressa em qual medida as prticas bsicas
foram aplicadas.
3. Para refinar a avaliao, os produtos do trabalho tambm devem ser levados em conside-
100
rao, para determinar em qual medida um atributo de avaliao especfico foi atingido.
A definio dos nveis de capacidade desejados critrio de cada empresa. Muitas empresas
tero a ambio de verem todos os seus processos atingirem, no mnimo, a capacidade nvel 1.
Por qu? Se esse nvel no for atingido, os motivos da no realizao desse nvel ficam evidentes
em funo da abordagem explicada anteriormente e um plano de melhoria deve ser definido.
Tabela 6.6
Parmetros para
avaliao da
capacidade.
Se o resultado do processo no for atingido de forma consistente, o processo no atingir

seu objetivo e ter de ser melhorado.
A avaliao das prticas do processo revelar quais prticas esto faltando ou falhando, permitindo que a implementao e/ou melhoria dessas prticas seja adotada, permitindo assim
que todos os resultados do processo possam ser atingidos.
Programa de Avaliao da Capacidade de Processo do COBIT

A ISO/IEC 15504-4 identifica o processo de avaliao como uma atividade que pode ser
realizada como parte de uma iniciativa de melhoria de processo ou como parte de uma
abordagem de determinao da capacidade do processo.
O objetivo da determinao da capacidade do processo identificar os pontos fortes, os
pontos fracos e os riscos do processo. Ainda, um processo de avaliao de capacidade
fornece uma metodologia repetvel, compreensvel, lgica, confivel e robusta para avaliar a
capacidade dos processos de TI.
O Programa de Avaliao do COBIT permite a uma empresa obter uma avaliao independente e certificada, alinhada com a norma internacional ISO/IEC 15.504. O Programa de
Avaliao do COBIT compreende:
11 Avaliaes formais efetuadas por avaliadores credenciados;
11 Autoavaliaes (menos rigorosas) para anlise de lacunas internas e planejamento de
melhoria de processo.
Um determinado processo possui cerca de 40% de realizao dos resultados esperados. O
que significa esse percentual em termos de avaliao de capacidade definida pelo COBIT 5?
101
102
Luiz Claudio Diogo Reis Mestre em Tecnologia pelo

CEFET/RJ na linha de pesquisa Gesto da Inovao e
Informao Tecnolgica. MBA em Gesto da Tecnologia de
Informao e Negcios Virtuais pelo CEFET/RJ. Especialista
em Auditoria de Sistemas de Informao pela Universidade
Estcio de S e em Padres Internacionais de Auditoria
pela Universidade Catlica de Brasilia (UCB). Graduado em
Matemtica pela Universidade do Estado do Rio de Janeiro
(UERJ) e na Lngua Inglesa pela Universidade de Michigan.
Profissional com certificao internacional CISA - Certified
Information Systems Auditor e CRISC - Certified in Risk
and Information Systems Control pela ISACA - Information
Systems Audit and Control Association. Certificado em Segurana da Informao com o ttulo MCSO - Modulo Certified
Security Officer mantido pela Modulo Security Solutions.
Profissional Certificado e acreditado no COBIT5 Foundation
pela APMGroup. Auditor Snior de Tecnologia da Informao pela Instituio Financeira CAIXA ECONMICA FEDERAL
com 17 anos de experincia em auditorias de gesto, de
processos e de sistemas de informao. Instrutor, tutor e
mentor em Aes Educacionais estratgicas da Universidade
CAIXA. Palestrante em eventos nacionais e internacionais
sobre IT GRC&A - Governana, Risco, Compliance e Auditoria
desde 2009. Docente em disciplinas de Gesto de Processos
de Negcio, Planejamento Estratgico, Governana de TI,
Gerenciamento de Projetos, Gerenciamento de Servios
de TI, Segurana da Informao, Segurana em Aplicativos,
Gesto de Riscos, Continuidade de Negcios e Auditoria
de TI. Atua em trabalho voluntrio desde 2012 na ISACA
- Captulo Rio de Janeiro e atualmente ocupa o cargo de
Presidente na Associao. Instrutor e facilitador em programas de capacitao de lderes, gestores e profissionais de
negcio para o desenvolvimento de habilidades gerenciais.
LIVRO DE APOIO AO CURSO
O curso Fundamentos do COBIT 5 tem como objetivo

desenvolver nos alunos as competncias e habilidades
nos fundamentos do modelo de governana COBIT 5,
reconhecido e aceito mundialmente como um modelo
para se implementar a governana em qualquer tipo de
organizao. O curso apresenta a estrutura do modelo,
seus princpios e habilitadores. O aluno aprender como
utilizar o COBIT 5 e como implement-lo dentro da sua
estrutura organizacional.
ISBN 978-85-63630-53-7
9 788563 630537

Fundamentos Do COBIT 5

Uploaded by

Document Information

Original Title

Copyright

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Fundamentos Do COBIT 5

Uploaded by

Copyright:

Fundamentos

A RNP Rede Nacional de Ensino

Programa Interministerial RNP,

Luiz Claudio Diogo Reis

Luiz Claudio Diogo Reis

Copyright 2015 Rede Nacional de Ensino e Pesquisa RNP

Jos Luiz Ribeiro Filho

Escola Superior de Redes

Edson Kowask Bezerra e Fabio Barros

Escola Superior de Redes

Rua Lauro Mller, 116 sala 1103

Capacitao de recursos humanos6

2. Os cinco princpios do COBIT 5

3. Cascata de objetivos do COBIT

30 Passo: escalonamento dos objetivos corporativos em objetivos de TI43

Mapeamento entre os objetivos de TI e os processos do COBIT44

4 0 Passo: escalonamento dos objetivos de TI em metas do habilitador46

4. Dimenses dos sete habilitadores do COBIT

Dimenso controle de desempenho do habilitador54

As dimenses do habilitador Princpios, Polticas e Modelos na prtica57

Explorando as dimenses do habilitador Processos59

Explorando o habilitador Informao69

5. Guia de Implementao do COBIT

Premissas para elaborao do estudo de caso87

6. Avaliao da Capacidade de Processo

Avaliao de Capacidade de Processo91

Modelo de Referncia de Processo do COBIT 594

Avaliao da Capacidade do Processo99

Escola Superior de Redes

As sesses de aprendizagem onde se do a apresentao dos contedos e a realizao das

Convenes utilizadas neste livro

Fbio Gomes Barros Mestre em Gesto do Conhecimento e da Tecnologia da Informao

Tecnologia da informao aplicada aos negcios; Governana de TI; Componentes

da governana de TI; Desafios para a governana e gesto de TI nas organizaes;

11 Tm objetivos de negcios diferentes e necessidades especficas.

Captulo 1 - Governana Corporativa de TI

Analisar a importncia da TI aplicada aos negcios; Compreender o contexto,

Na atual Era do Conhecimento, a Tecnologia da Informao (TI) est em pleno processo de

Tecnologia da Informao (TI) aplicada aos negcios

planejamento e alinhamento estratgico de TI, a organizao e estruturao da rea

de TI, as polticas, padres e programas de capacitao continuada, a arquitetura e

Portanto, garantir a gesto eficiente dos recursos de TI representa um desafio para as

Descreva duas boas prticas de gesto de TI adotadas na sua organizao relacionadas a

Captulo 1 - Governana Corporativa de TI

O que governana de TI?

A governana de TI de responsabilidade da alta administrao na liderana, nas

Alinhamento das iniciativas de TI com a estratgia de negcio

Alinhamento dos recursos de TI s necessidades de negcio

Provimento dos servios de TI s necessidades de negcio

Gerenciamento do risco e continuidade dos negcios

A TI deve manter processos para gerenciamento da segurana da informao, mitigao

Responsabilidade sobre as decises e aes relacionadas a TI

11 Vrios mecanismos e componentes que integrados permitem o desdobramento da

22 Plano Estratgico de TI.

Captulo 1 - Governana Corporativa de TI

polticas e a gesto de ativos de operaes de TI.

Terceirizao dos servios de TI

Capacitao de recursos humanos

Organizao dos processos de TI

Relacionamento com clientes internos e externos

metas de desempenho compatveis com os objetivos de negcios definidos para a prestao

Captulo 1 - Governana Corporativa de TI

Assim, os objetivos de desempenho direcionam a administrao da TI para atendimento s

servios, entrega de servios, segurana da informao e monitoramento dos acordos firmados.

Desafios para a governana e gesto de TI nas organizaes

Pesquisas sobre os benefcios da governana de TI