Governança de TI

Prticas de Governana em TI (COBIT, BSC)
Prticas de Governana
em TI (COBIT, BSC)
Professor: Renato Silva de Lima
1
APRESENTAO 3
1- INTRODUO GOVERNANA DE TI 4
1.1 Governana de TI 4
1.2 A ISACA e o IT Governance Institute 5
1.3 Alinhamento Estratgico de TI 6
Exerccios do Captulo 1 7
2 - INTRODUO AO COBIT 8
2.1 O que o COBIT? 8
2.2. Componentes do framework do COBIT 10
SUMRIO 2.3 BSC e os controles e monitoramento de informaes do COBIT 10
2.4 reas da Governana de TI com foco no COBIT 12
2.5 Foco do COBIT 13
3 - MODELO DO COBIT 16
3.1 Necessidade de um modelo de controle para TI 16
3.2 A relao do COBIT com o negcio da empresa 18
3.3 Requisitos de negcio do COBIT 18
4 - ESTRUTURA DE PROCESSOS DO COBIT 23
4.1 Domnios de processos do COBIT 23
4.2 Controles do COBIT 26
4.2.1 Tabela RACI 27
4.3 Modelo de maturidade 28
4.3.1 Nveis do Modelo de Maturidade 29
4.3.2 Modelo de Maturidade e o Gerenciamento de processos de TI 31
4.4 Indicadores de processos 32
5 - ENTENDENDO A ESTRUTURA DO COBIT POR DENTRO 36
5.1 Aplicabilidade da estrutura do COBIT 36
5.2 Como navegar nos processos 37
6 - BALANCED SCORECARD (BSC) 41
6.1 Kaplan, Norton e o BSC 41
6.2 As 4 Perspectivas do BSC e o Mapa Estratgico 42
6.2.1 Mapa Estratgico 43
6.2.2 Perspectiva Financeira 44
6.2.3 Perspectiva dos Clientes 44
6.2.4 Perspectiva dos Processos Internos 45
6.2.5 Perspectiva do Aprendizado e do Crescimento 45
6.3 Gerenciamento com BSC 46
6.4 Vantagens e Desvantagens do uso do BSC 50
CONSIDERAES FINAIS 52
RESPOSTAS COMENTADAS DOS EXERCCIOS 53
BIBLIOGRAFIA 59
2
viso geral, como o COBIT se encaixa com outros modelos

APRESENTAO
de mercado e como tem sido aplicado para melhorar a
utilizao dos recursos de TI para gerar valor para as
Caro aluno um prazer acompanh-lo nesse tema to
organizaes.
importante para o nosso curso. O objetivo dessa disciplina
apresentar e discutir os conceitos e temas referentes
Tambm veremos que o BSC foi apresentado,
s prticas de governana de TI com base no modelo de
inicialmente, como um modelo de avaliao e performance
processo do COBIT - Control Objectives for Information
empresarial, mas a sua aplicao em empresas proporcionou
and related Technology (Controle de Objetivos relacionado
sua evoluo para uma metodologia de gesto estratgica.
Tecnologia da Informao) e apresentar os fundamentos
Mostraremos que o BSC utiliza, de modo balanceado,
do BSC Balanced Scorecard. Os temas so de muita
indicadores financeiros e no financeiros, procurando criar
importncia para o perfil do profissional de hoje, pois
um cenrio corporativo equilibrado, de forma que todas as
trata a TI como uma varivel muito importante dentro da
perspectivas estejam alinhadas com a estratgia adotada
estratgia da organizao.
pela empresa, possibilitando um melhor desempenho dos
negcios.
Estudaremos, durante a disciplina, a estrutura de
Ento, caros alunos, preparem-se para conhecer esses
processos do COBIT, como eles se relacionam com outros
temas com mais profundidade, pois certamente seu estudo
modelos e prticas do mercado, alm de termos uma
far a diferena no seu perfil profissional e na sua carreira.
viso prtica da utilizao desse modelo de gesto de TI.
Abordaremos tpicos relacionados avaliao de processos
Renato Silva de Lima, PMP, ITIL, CGEIT
de TI utilizando o modelo de maturidade de processo do
Elisamara de Oliveira, MSc, PhD
COBIT. E para finalizar este tema, discutiremos, em uma
3
1- INTRODUO GOVERNANA DE
TI Mas, a definio mais clara e equilibrada
de Governana de TI : processo pelo qual decises
Caro aluno, o tema forte dentro das organizaes nos so tomadas sobre os investimentos em TI, que envolve
como as decises so tomadas, quem toma as decises,
dias atuais a Governana. Eventos marcantes, como as
quem responsabilizado e como os resultados so
fraudes em resultados e balanos das empresas Enron e
medidos e monitorados.
WorldCom, crise financeira nos EUA, a falncia do Banco
Santos, a interveno do Banco Panamericano, etc so Fonte: www.itgi.org
exemplos atuais de falta de controle e alinhamento
estratgico dentro das empresas para garantir que o
processo de governana esteja sendo executado de claro que podemos encontrar muitas definies de
acordo com os interesses dos acionistas e entidades de governana de TI, que variam de autor para autor, mas
controle (como o prprio governo). em linhas gerais, a Governana de TI , em sua essncia,
um conjunto de regras e melhores prticas, que adaptadas
cultura organizacional, servir para profissionalizar a
Dentro das organizaes o papel da TI estratgico e gesto da TI, visando transform-la em instrumento de
nada mais justo do que tratar o tema como tal, definindo apoio s decises de negcio.
controles e clareando a viso estratgica do que a TI Assim, a governana de TI garante a capacidade
pode trazer de retorno para organizao, garantindo organizacional exercida pela alta direo, pelas gerncias
conformidade e alinhamento com os objetivos e metas da de negcios e pela gerncia de TI para controlar a
organizao. formulao e implementao da estratgia de TI e, com
isso, assegurar o alinhamento entre negcios e TI.
1.1 Governana de TI
Para muitas organizaes a informao e a tecnologia
que a suporta representam o seu bem mais valioso, Leia o artigo do Prof. Luiz Roberto Nascimento
mas muitas vezes so os ativos menos compreendidos. publicado em 03/03/2011, intitulado
Organizaes bem-sucedidas reconhecem os benefcios
da TI e utilizam-na para direcionar valores das partes Postura tica dos Profissionais da
interessadas no negcio. rea Contbil-financeira
...O presente trabalho tem a inteno de avaliar a

Essas organizaes tambm entendem e gerenciam
situao atual da visibilidade negativa dos profissionais,
os riscos associados, tais como as crescentes demandas
tendo em vista os escndalos advindos das posturas
regulatrias e a dependncia crtica de muitos processos
adotadas pelos profissionais da ENRON sob os
de negcios da TI.
auspcios intelectuais dos consultores e auditores
da ex-ARTHUR ANDERSEN dos E.U.A., bem como os
Para Peter Weill e Jeanne W. Ross (2005), a governana demais eventos subsequentes naquele pas e outros
de TI um conjunto de especificaes para apoiar da Europa, sendo que antes era apenas caracterstica
decises e estimular comportamentos desejveis na de pases subdesenvolvidos ou emergentes, Brasil no
utilizao da Tecnologia da Informao. Ou seja, eles meio, que j faziam parte das estatsticas daqueles de
conceituam governana como um modelo que define baixos padres ticos e alto nvel de corrupo...
os direitos e as responsabilidades pelas decises que
Disponvel em: http://cepen.org/portaldacidadania/2011/03/
encorajam comportamentos desejveis no uso de TI. postura-etica-dos-profissionais-da-area-contabil-financeira/
4
Juntos, a ISACA e seu instituto associado, o ITGI - IT

1.2 A ISACA e o IT Governance Institute
Governance Institute (Instituto de Governana da TI)
lideram a comunidade de controle em TI e atendem seus
A ISACA - Information Systems Audit and Control
praticantes fornecendo os insumos tecnolgicos requeridos
Association (Associao de Auditoria e Controle de
pelos profissionais de TI em um ambiente global em
Sistemas de Informao) teve seu incio em 1967,
constante mudana.
quando um pequeno grupo de profissionais que tinham
em comum o trabalho em auditoria de controle em
sistemas computadorizados, reuniram-se para discutir a
necessidade de uma fonte centralizada de informaes e
orientaes neste campo.
Em 1969, o grupo foi formalizado e incorporado como

a Associao de Auditores EDP. Em 1976 a associao
formou uma fundao de educao para assumir esforos
de pesquisa em larga escala para expandir o conhecimento A ISACA oferece quatro certificaes. A
de valor da governana de TI e reas de controle. certificao CISA -Certified Information Systems
Auditor reconhecida globalmente e foi obtida por
Desde a sua criao, a ISACA tem se tornado uma mais de 75.000 profissionais desde sua criao. A
organizao global de profissionais de governana de TI, certificao CISM - Certified Information
controle, segurana e auditoria. Os padres de auditoria Security Manager tem como pblico alvo gerentes
de sistemas e controles so seguidos por profissionais de segurana da informao e j foi obtida por mais
no mundo todo e suas pesquisas destacam as questes de 13.000 profissionais. A designao CGEIT-
profissionais que apresentam desafios aos seus associados. Certified in the Governance of Enterprise IT
Os membros da ISACA, que somam mais de 86.000 ao redor promove o avano de profissionais que desejam ser
do mundo, trabalham em mais de 160 pases e atuam em reconhecidos por sua experincia e conhecimento
diversas reas profissionais ligadas TI como auditoria de relacionados governana de TI e j foi obtida por
sistemas de informao, consultoria, educao, segurana mais de 4.000 profissionais. A nova certificao
da informao, rgos reguladores, diretoria de TI (CIO CRISC - Certified in Risk and Information
Chief Information Officer) e auditoria interna. Systems Control destina-se a profissionais de TI
que identificam e administram riscos por meio do
A ISACA publica o ISACA Journal, uma revista tcnica desenvolvimento, implementao e manuteno de
lder na rea de controles em sistemas de informao. controles de sistemas de informao.
Promove uma srie de conferncias internacionais com foco
tanto em tpicos tcnicos quanto gerenciais pertinentes s Mais informaes em:
profisses de governana em TI, controle e garantia de
sistemas de informao. http://www.isaca.org.br/novoportal/
5
A necessidade da avaliao do valor de TI, o

1.3 Alinhamento Estratgico de TI
gerenciamento dos riscos relacionados TI e as crescentes
necessidades de controle sobre as informaes, so
Para o ITGI - IT Governance Institute a alta direo
agora entendidos como elementos-chave da governana
tem papel fundamental e responsvel por liderar,
corporativa. Valor, risco e controle constituem a essncia
definir uma estrutura organizacional alinhada s metas e
da governana de TI.
objetivos da organizao e definir processos que garantem
que a TI corporativa sustente e estenda as estratgias Alm disso, a governana de TI integra e institucionaliza
e objetivos da organizao, ou seja, que TI faa parte boas prticas para garantir que a rea de TI da organizao
integral da estratgia corporativa. Assim, TI deve estar suporte os objetivos dos negcios. A governana de TI
alinhada estratgia corporativa, para garantir a ligao habilita a organizao a obter todas as vantagens de sua
entre os planos de negcios e de TI, definindo, mantendo informao, maximizando os benefcios, capitalizando as
e validando a proposta de valor de TI, alinhando as oportunidades e ganhando em poder competitivo.
operaes de TI com as operaes da organizao.
Esses resultados requerem alguns tipos de modelo:
Atualmente dentro do mercado de TI vivemos a Era dos um modelo para controle de TI, que se adeque e d
Modelos e Prticas: para cada funo ou iniciativa dentro suporte estratgia da organizao, um modelo para
de TI relacionamos prticas para executar processos. Para controles internos amplamente aceitos para governana
que essas prticas tenham aderncia dentro de TI so e gerenciamento de riscos empresariais, e outros modelos
aplicadas dentro de uma abordagem de processos, na qual similares como o COBIT, que discutiremos nessa disciplina.
so definidas atividades e as etapas dessas atividades so
medidas atravs de indicadores de performance. Com a concorrncia, o mercado globalizado, as
novas exigncias dos consumidores e o novo perfil de
Ao definir uma prtica para gesto de TI, consumo, alm dos controles, leis e regulamentaes, as
necessariamente alguns domnios e controles devem ser organizaes devem satisfazer os requisitos de qualidade,
considerados para que esse processo tenha, alm de manter seus suas informaes seguras, bem como de
eficincia, aderncia s atividades de TI. todos seus bens e ativos.
O IT Governance uma entidade que tem em seus Os executivos devem tambm otimizar o uso dos
papeis definir modelos e prticas de governana de TI. recursos de TI disponveis, incluindo os aplicativos,
Divide a Governana de TI em 5 domnios para garantir informaes, infraestrutura e pessoas. Para cumprir
sinergia com a Governana Corporativa e obter um maior essas responsabilidades, alm de atingir seus objetivos,
grau de eficincia e controle das aes de TI alinhados os executivos devem entender o estgio atual de sua
estratgia corporativa. Esses domnios sero discutidos arquitetura de TI e decidir que governana e controles ela
mais adiante. deve prover.
Leia o artigo de Gianni Ricciardi IT Governance - De onde veio, onde est e para onde vai
Disponvel em:
http://www.isaca.org.br/novoportal/modules/wfsection/article.php?articleid=6
6
...No final do sculo passado um grande nmero de investidores aplicou seu capital em tecnologia da
informao, tivemos a bolha das empresas ponto com, que explodiu frustrando o retorno esperado desses
investimentos em TI. Mais recentemente tivemos a quebra da empresa de energia Enron, da Consultoria
Arthur Andersen e da WorldCom na rea de telecomunicaes, que levou o governo americano a elaborar
a lei Sarbanes Oxley em 2002, que responsabiliza os gestores, podendo condenar a penas de at 20 anos
no caso de fraude constatada, alem de obrigar a ressarcir os prejuzos causados aos acionistas.
A rea de TI, que era vista como uma caixa preta, passou a representar um srio risco
ao retorno sobre o investimento, ou mesmo na continuidade das empresas, devido crescente
dependncia da Tecnologia da Informao na composio e sustentao dos produtos e servios, em
funo do interesse pblico os problemas de compliance esto sendo expostos em tempo real.
nesse contexto que o COBIT, Control Objectives for Information and related Technology, ganhou
foras como referncia para o alinhamento, estruturao e controle do ambiente de TI. ... Com base em 4
dimenses, 34 processos, fatores crticos de sucesso, indicadores de performance, indicadores de resultado
e 318 objetivos de controles que procuram equacionar o ambiente de TI para atender os requerimentos
do negcio relativos s informaes. O Cobit diz o que deve ser feito, Os conceitos, metodologias e
ferramentas de mercado cuidam do como fazer, dentre as quais podemos citar o ITIL IT Infrastructure
Library, Six Sigma, PMI, BSC, ISO 17799, CMM, Unified Process e Benchmarking, dentre outros.

O retorno sobre o capital j teve seu foco direcionado para a gesto e demonstrao dos ativos, a gesto
financeira oramentria, a gesto dos processos, a gesto dos clientes, a gesto das informaes e devemos
ver em um futuro no distante esse foco direcionar-se para a gesto do conhecimento, assim que uma ameaa
ao retorno sobre o capital investido estiver fortemente associada ao fluxo do conhecimento nos mercados.
Exerccios do Captulo 1
1) Qual o papel da Governana de TI dentro das organizaes?
2) O que ISACA e ITGI e o que fazem?
3) Defina o que alinhamento estratgico de negcio com o da TI.
7
a mitigao dos riscos em TI

2 - INTRODUO AO COBIT A orientao aos negcios do COBIT, caro aluno,
consiste na definio de objetivos de negcios ligados
O COBIT- Control Objectives for Information
aos objetivos de TI, provendo mtricas e modelos de
and related Technology Controle de Objetivos
maturidade para medir a sua eficcia e identificando as
relacionado Tecnologia da Informao fornece
responsabilidades relacionadas dos donos dos processos
boas prticas atravs de um modelo de domnios
de negcios e de TI.
e processos e apresenta atividades em uma
estrutura lgica e gerencivel. As boas prticas do
A figura 1 apresenta uma viso da interao do COBIT
COBIT representam o consenso de especialistas.
com o alinhamento de TI e os negcios. Nessa viso,
Elas so fortemente focadas mais nos controles
para prover as informaes de que a empresa necessita
e menos na execuo. Essas prticas iro ajudar
para atingir seus objetivos, os recursos de TI precisam
a otimizar os investimentos em TI, assegurar a
ser gerenciados por uma srie de processos naturalmente
entrega dos servios e prover mtricas para julgar
agrupados.
quando as coisas saem erradas. Nessa disciplina
trabalharemos com a verso 4.1 do COBIT. A verso
5 foi apresentada pelo ISACA, mas sua aplicabilidade
ainda est sendo analisada pelo mercado, por
ter uma abordagem diferente da verso 4.1.
2.1 O que o COBIT?

Para a rea de TI ter sucesso em entregar os servios
requeridos pelo negcio, os executivos devem implementar
um sistema interno de controles ou uma metodologia.
O modelo de controle do COBIT contribui para essas
necessidades ao:
fazer uma ligao com os requisitos de negcios

Figura 1- Foco em processos e alinhamento de TI com
organizar as atividades de TI em um modelo de
processos geralmente aceito o negcio
Fonte: www.isaca.org
identificar os mais importantes recursos de TI a
serem utilizados
Mas como a empresa consegue implementar controles
definir os objetivos de controle gerenciais a se- na rea de TI de forma que ela entregue as informaes
rem considerados
que a empresa precisa? Como ela gerencia os riscos e
O COBIT no determina como os processos de- garante a segurana dos recursos de TI dos quais to
vem ser estruturados, e sim os controles que eles
devem possuir para que TI cumpra seus objetivos dependente? Como a empresa assegura que a rea de TI
em termos de governana, ou seja, contribui para: atinge os seus objetivos e atende aos negcios?
Primeiramente os executivos precisam de objetivos
o alinhamento e entrega de valor por parte da
rea de TI para o negcio de controles que definam a meta bsica de implementar
polticas, planos e procedimentos, bem como a estrutura
a correta alocao e medio dos recursos envol-
vidos organizacional designada para prover razovel garantia de
8
que os objetivos de negcio sero atingidos e os eventos

indesejveis sero prevenidos ou detectados e corrigidos.
Em segundo lugar, no complexo ambiente atual, os

executivos esto continuamente procurando informaes
condensadas e disponveis que os auxiliem a tomar
decises difceis relacionadas a valor, risco e controles,
de forma rpida e correta. O que deve ser avaliado e
como? As organizaes precisam de medidas objetivas
que mostrem onde elas esto e onde so necessrias
melhorias e tambm precisam implementar instrumentos
que monitorem essas melhorias.
Como j dissemos, a verso do COBIT que trabalharemos

nessa disciplina ser a 4.1, mas a apresentaremos dentro Figura 3 - Os 5 princpios de gesto do COBIT 5
de uma viso mais atual e de acordo com as tendncias de Fonte: www.isaca.org/cobit
mercado que um dos objetivos desse curso.

O COBIT verso 5 um framework de negcios para
Caros alunos, para que vocs tenham uma ideia da
governana e gesto de TI, como j dissemos. Nessa
verso 5 do COBIT (vejam figura 2), faremos aqui sua
nova verso foram incorporadas as ltimas novidades em
apresentao de forma superficial, mas ao mesmo tempo
governana corporativa e tcnicas de gerenciamento de
mostramos que o conceito central de Governana de TI
TI. Fornece princpios novos para TI globalmente aceitos,
est mantido na essncia da prtica.
prticas, ferramentas e modelos analticos para ajudar a
aumentar a eficincia gerando valor para as organizaes.
O COBIT 5 apoia as empresas para que consigam

fazer a TI gerar valor para o negcio, mantendo uma
relao equilibrada entre os investimentos em recursos
de TI e os riscos organizacionais. O COBIT 5 considera
como essenciais numa organizao os negcios, as reas
funcionais de TI da empresa e as partes interessadas,
tanto internas como externas. aplicvel a qualquer tipo
e tamanho de empresa, seja comercial, sem fins lucrativos
Figura 2 - Evoluo do COBIT com a verso 5 ou do setor pblico.
Fonte: www.isaca.org/cobit
Nessa nova verso, o COBIT descreve como pilares de

gesto 5 princpios mostrados na figura 3. Cada um destes Sugesto de vdeo do Youtube:
princpios est ligado a uma linha de gesto de TI que Introduo ao COBIT 5 (legendado)
deve estar diretamente ligada gesto do negcio. Esses
conceitos, mesmo que na verso 4.1, sero aprofundados Disponvel em:
http://youtu.be/sY2TaxU-R4E
nos prximos captulos.
9
2.2. Componentes do framework do

COBIT
No modelo COBIT os recursos de TI so gerenciados
pelos processos de TI para alcanar os objetivos de TI
que, por sua vez, respondem aos requisitos de negcio da
organizao.
Este o princpio bsico do framework COBIT, conforme

mostra o cubo apresentado na figura 4.
O cubo o modelo que representa como os componentes

se inter-relacionam.
Figura 4 - Cubo do COBIT: processos de TI, recursos de
Requisitos de Negcio TI e requisitos de negcios
Fonte: Framework COBIT 4.1 (www.isaca.org)
Efetividade
Eficincia O foco em processos do COBIT ilustrado por um

modelo de processos de TI, que subdividido em 4 domnios
Confidencialidade
e 34 processos, em linha com as reas responsveis por
Integridade planejar, construir, executar e monitorar, provendo, assim,
Disponibilidade uma viso total da rea de TI. Conceitos de arquitetura
corporativa ajudam a identificar os recursos essenciais para
Conformidade
o sucesso dos processos, ou seja, aplicativos, informaes,
Confiabilidade infraestrutura e pessoas.
No COBIT os processos agrupam as principais

Recursos de TI
atividades de TI em um modelo de processo, facilitando
Aplicaes o gerenciamento dos recursos de TI para atender as
Informaes necessidades do negcio.
Infraestrutura
2.3 BSC e os controles e monitoramento
Pessoas
de informaes do COBIT
Processos de TI Caro aluno, necessrio que se tenha um nvel de
reflexo profunda do papel de TI e que se conheam as
Domnios
ferramentas de gerenciamento de informaes para apoiar
Processos as organizaes a encontrar respostas.
Atividades A figura 5 mostra como o gerenciamento das informaes
conseguido utilizando-se 3 nveis de controle:
10
Paineis de controles (dashboards): que precisam No caso do COBIT, a resposta para esses requisitos
de indicadores; de definio e monitoramento dos controles e nvel de
Meios de medio (scorecards): que medem os performance de TI compreendida por:
indicadores;
Benchmarking da performance e capacidade dos
Mecanismo de comparao (benchmarking): que processos de TI: expressos em modelos de maturi-
tem como objetivo obter um nvel de comparao dade derivados do CMM- Capability Maturity Model,
dos resultados com outros setores e empresas. proposto pelo SEI- Software Engineering Institute.
Objetivos e mtricas dos processos de TI: para

definir e avaliar os seus resultados e performance
baseados nos princpios do BSC- Balanced Scorecard
publicado por Robert Kaplan e David Norton.
Objetivos das atividades: para controlar esses

processos com base nos objetivos de controle do
COBIT.
Figura 5 - A base do Balanced Scorecard: indicadores, Com essas variveis garantimos uma abordagem
mtricas e referencial puramente estratgica da TI para atender as necessidades

Fonte: [ITGI, 2007] e objetivos de negcio.
Estes controles so conhecidos, em conjunto, como O objetivo usar a TI como gerador de valor e
Balanced Scorecard ou BSC (que estudaremos no captulo ferramenta de ganho de eficincia melhorando os
6). De acordo com seus autores, Kaplan e Norton (1997), o resultados da empresa.
BSC uma tcnica que visa a integrao e balanceamento
de todos os principais indicadores de desempenho Com isso, j conseguimos sintetizar alguns conceitos e
existentes em uma empresa, desde os financeiros/ variveis importantes dentro do processo de governana
administrativos at os relativos aos processos internos. de TI que o COBIT traz no seu modelo de processos,
definindo alguns domnios para estruturar as atividades
A inteno estabelecer objetivos da qualidade tticas para garantir os controles sob esses processos.
(indicadores) para funes e nveis relevantes dentro
da organizao, ou seja, realizar o desdobramento A figura 6 ilustra este conceito.
dos indicadores corporativos em setores, com metas
claramente definidas. O BSC sinaliza em quais segmentos
de mercado se deve competir e que clientes conquistar.
Oferece uma viso do futuro e um caminho para chegar
at ele.
Dessa forma, o modelo BSC traduz a misso e

a estratgia de uma empresa em objetivos e medidas
tangveis. As medidas representam o equilbrio entre os
diversos indicadores externos (voltados para acionistas
e clientes) e as medidas internas dos processos crticos
Figura 6 - O papel da Governana de TI define como o
de negcios (como a inovao, o aprendizado e o
modelo do COBIT trabalha
crescimento). Fonte: [ITGI, 2007]
11
priado gerenciamento dos recursos crticos

2.4 reas da Governana de TI com foco de TI: aplicativos, informaes, infraestrutura
no COBIT e pessoas. Questes relevantes referem-se
otimizao do conhecimento e infraestrutura.
O COBIT segue em seu modelo uma abordagem definida 4) Gesto de risco: requer que os funcion-
rios mais experientes da corporao preocu-
pelo IT Governance, que divide a TI em 5 grandes reas, pem-se com os riscos, haja um entendimento
com o objetivo de suportar o processo de governana claro do apetite de risco da empresa e dos
requerimentos de conformidade, transparn-
provendo uma metodologia para assegurar que:
cia sobre os riscos significantes para a organi-
zao e insero do gerenciamento de riscos
a rea de TI esteja alinhada com os negcios nas atividades da companhia.
a rea de TI habilite o negcio e maximize os 5) Mensurao de desempenho: acom-
benefcios panha e monitora a implementao da estra-
tgia, trmino do projeto, uso dos recursos,
os recursos de TI sejam usados responsavelmen- processo de performance e entrega dos
te servios, usando, por exemplo, o Balanced
Scorecard que traduz a estratgia em aes
os riscos de TI sejam gerenciados apropriada- para atingir os objetivos, medidos atravs de
mente processos contbeis convencionais.
Como vimos, caro aluno, a mensurao da performance

essencial para a Governana de TI. O COBIT realiza esta
medio, incluindo a definio e o monitoramento dos
objetivos de mensurao sobre o que os processos de TI
precisam entregar (processo de sada) e como entregam
(processo de capacidade e performance).
Muitas pesquisas identificaram a falta de transparncia

dos custos, do valor e dos riscos de TI como uma das
mais importantes metas a serem obtidas para melhorar
a governana de TI. Embora haja contribuio de outras
reas, a transparncia primariamente atingida atravs
da medio da performance.
O IT Governance destaca as 5 reas da governana da

seguinte forma (conforme mostra a figura 7):
Figura 7 - 5 reas da governana de TI com base no
1) Alinhamento estratgico: objetiva ga- IT Governance
rantir a ligao entre os planos de negcios e Fonte: [ITGI, 2007]
de TI, definindo, mantendo e validando a pro-
posta de valor de TI, alinhando as operaes
de TI com as operaes da organizao. Essas reas de foco em Governana de TI descrevem
os tpicos que os executivos precisam atentar para
2) Entrega de valor: a execuo da pro-
direcionar a rea de TI dentro de suas organizaes.
posta de valor de TI atravs do ciclo de entre-
ga, garantindo que TI entregue os prometidos Gerentes operacionais usam os processos para organizar e
benefcios previstos na estratgia da organi- gerenciar as atividades contnuas de TI.
zao, concentrando-se em otimizar custos e
provendo o valor intrnseco de TI.
O COBIT prov um modelo de processo genrico que
3) Gesto de recursos: refere-se melhor
utilizao possvel dos investimentos e o apro- representa todos os processos normalmente encontrados
12
nas funes de TI, fornecendo um modelo de referncia

2.5 Foco do COBIT
comum que pode ser compreendido por gerentes
operacionais de TI e gerentes de negcios.
O COBIT focado no que necessrio para atingir
um adequado controle e gerenciamento de TI e est
posicionado em elevado nvel estratgico.
O modelo de processos do COBIT foi

mapeado com as reas de governana de TI, criando O COBIT foi alinhado e harmonizado com outros
uma ponte entre o que os gerentes operacionais pre- padres e boas prticas de TI (veja a figura 9). O COBIT
cisam executar e o que os executivos desejam con-
trolar, com uma srie de prticas de mercado para atua como um integrador desses diferentes materiais
apoiar como executar as atividades. de orientao, resumindo os principais objetivos sob um
conjunto de prticas que tambm esto relacionadas aos
requisitos de governana e de negcios.
Dentro do processo de governana, o COBIT tem um

papel ttico de garantir os controles, a execuo das
atividades, a viso de maturidade e objetivos, com base
nos processos e nos indicadores de performance que
trazem uma viso de painel de controles para auxlio
tomada de deciso. A figura 8 mostra esta viso.
Figura 9 - Interao do COBIT com outros modelos e

prticas
Fonte:http://blogs.technet.com/b/rodias/default.aspx?Pag
Figura 8 - Posio ttica do COBIT para a estratgia de eIndex=1&PostSortBy=MostViewed&Redirected=true
TI alinhada aos negcios
Fonte: Autoria prpria
O COSO - Committee of Sponsoring Organizations of
the Treadway Commission (Comit das Organizaes
Para atingir uma governana efetiva, os executivos
Patrocinadoras do Treadway) uma organizao privada
requerem que os controles sejam implementados pelos
criada nos EUA em 1985 para prevenir e evitar fraudes nas
gerentes operacionais com uma metodologia de controles
demonstraes contbeis das empresas.
definida para todos os processos de TI. Os objetivos de
controle de TI do COBIT so organizados em processos de
A exemplo de outras prticas complementares ao COBIT,
TI; portanto o modelo proporciona uma clara ligao entre
o COSO geralmente aceito como uma metodologia de
os requerimentos de governana de TI, processos de TI e
controle interno para corporaes.
controles de TI.
13
COBIT Control Practices: Explicam porque

os controles merecem ser implementados e como
implement-los.
Leia o artigo O que COSO publica-
do em 19/5/2008, disponvel em:
http://controladoriaefinancas.blogspot. IT Assurance Guide: Using COBIT: Traz

com/2008/05/o-que-o-coso.html orientaes sobre como o COBIT pode ser usado
para suportar as variadas atividades de avaliao
Caso deseje, obtenha mais detalhes em: junto com sugestes de passos de testes para todos
os processos e objetivos de controle de TI.
http://pt.scribd.com/doc/221693/COSO-um-resumo
O diagrama de contedos do COBIT mostrado na figura

Como dissemos, o COBIT um modelo de controles
10 relaciona cada publicao com o principal pblico-
internos para a rea de TI. Os produtos do COBIT foram
alvo, suas dvidas sobre governana de TI e os produtos
criados para dar suporte a executivos e alta direo,
aplicveis que podem lhes dar as respostas.
gerentes de TI e de negcios, profissionais de avaliao
(assurance) e profissionais que trabalham com controles
Tambm existem produtos derivados para finalidades,
e segurana.
domnios ou organizaes especficas, que no so foco
dessa disciplina.
Importante destacarmos que dentro do modelo
COBIT h diversas publicaes com foco em processos Daremos nfase no framework do COBIT que descreve
complementares que abordam o tema Governana de a estrutura de processos e sua aplicabilidade.
TI com cenrios mais macro e com abordagens mais
profundas sobre o tema. Mas, essencialmente, o COBIT
traz na sua estrutura a seguinte lista de produtos:
Board Briefing on IT Governance: Publicao

que auxilia os executivos a entender por que a go-
vernana de TI importante, quais so suas princi-
pais questes e o papel deles em gerenci-la.
Diretrizes de gerenciamento/modelo de
maturidade: Auxiliam na designao de responsa-
bilidades, avaliao de desempenho e benchmark, e
tratam da soluo de deficincias de capacidade.
Prticas-chaves de gerenciamento: Organi-

zam os objetivos da governana de TI por domnios
e processos de TI e os relacionam com os requisitos
de negcios.
Objetivos de controle: Proporcionam um com-

pleto conjunto de requisitos de alto nvel a serem
considerados pelos executivos para o controle efetivo
de cada processo de TI.
IT Governance Implementation Guide:

Using COBIT and Val IT (Value Information Tech-
nology): Prov um mapa geral para implementar a
governana de TI usando os recursos do COBIT e o Figura 10 - Principais publicaes COBIT
Fonte: [ITGI, 2007]
Val IT.
14
O COBIT atualizado continuamente e harmo-

nizado com outros padres e guias. Assim, o CO-
Sugesto: assistam aos vdeos BIT pode ser visto como um integrador de boas
prticas de TI e Governana de TI que ajuda no
O COBIT apresentado pelo ex-presidente da ISACA, entendimento e gerenciamento dos riscos e bene-
Michael Cangemi (em ingls). fcios associados com TI.
http://www.youtube.com/watch?v=bg_GEN8AZA0 A estrutura de processos do COBIT e o seu

enfoque de alto nvel orientado aos negcios for-
227
nece uma viso geral de TI e das decises a se-
rem tomadas sobre o assunto.
Introduo do COBIT 5
E por fim nesse captulo, em que descreve-
https://www.youtube.com/watch?v=sY2TaxU-R4E
mos de forma mais lgica como o COBIT interage
com a abordagem do IT Governance dentro da
317 viso estratgica na organizao, no poderamos
deixar de descrever os benefcios de implemen-
tar o COBIT como um modelo de Governana de
COBIT 5 The Next Evolution (em ingles) TI:
https://www.youtube.com/watch?v=PEqtgFZ4Pfo&feature=related
melhor alinhamento baseado no foco
100 do negcio
viso clara para os executivos sobre o

que TI faz
Caro aluno, vamos finalizar o captulo 2 com um clara diviso das responsabilidades
baseada na orientao para processos.
resumo do que vimos:
aceitao geral por terceiros e rgos
O COBIT um modelo e uma ferramenta de reguladores
suporte que permite aos gerentes suprir as de-
ficincias em relao aos requisitos de controle, entendimento entre todas as partes
questes tcnicas e riscos de negcios, comuni- interessadas, baseado em uma linguagem
cando esse nvel de controle s partes interessa- comum
das. O COBIT habilita o desenvolvimento de polti-
cas claras e boas prticas para controles de TI em cumprimento dos requisitos de contro-
toda a empresa. les e governana corporativa, descritos no
COSO para controle do ambiente de TI
1) Qual a definio do COBIT para os requisitos de monitoramento dos controles e nvel

de performance?
2) Quais as cinco reas da governana com base no IT Governance e a que cada uma se
refere?
3) O que COSO e qual o seu papel?
15
3 - MODELO DO COBIT
As organizaes no podem atingir seus requisitos de
negcios e governana sem adotar e implementar um
Iniciamos esse captulo descrevendo, com base no IT
modelo para governana e controle de TI para:
Governance, a misso do modelo COBIT dentro de TI,
que pesquisar, desenvolver, publicar e promover um fazer uma ligao com os requisitos de negcios
modelo de controle para governana de TI atualizado
tornar transparente a performance obtida compa-
e internacionalmente reconhecido para ser adotado rada a esses requisitos
por organizaes e utilizado no dia-a-dia por gerentes
organizar as atividades de acordo com um mode-
de negcios, profissionais de TI e profissionais de
lo de processos reconhecido
avaliao. Leia nas sees seguintes muito mais sobre
identificar os recursos mais importantes a serem
este tema.
aprimorados
definir os objetivos de controles gerenciais a se-

3.1 Necessidade de um modelo de rem considerados
controle para TI
Adicionalmente, os modelos de governana e
controle esto tornando-se parte das boas prticas
Um modelo de controle da governana de TI define as
de gerenciamento de TI e so facilitadoras para o
razes pelas quais essa governana necessria, quais
estabelecimento da governana de TI e aderncia aos,
so as partes interessadas e o que esse modelo precisa
cada vez mais crescentes, requisitos regulatrios.
atingir.
Cada vez mais a alta direo est percebendo o

significativo impacto que a informao tem no sucesso da
organizao.
Os executivos esperam obter um entendimento mais

profundo sobre a forma como TI funciona e o quanto
ela est sendo bem administrada para atingir vantagens
competitivas.
(Retirar imagem que estiver aps esta frase pois no

esta no material)
Em particular, os executivos precisam saber se as As boas prticas de TI tornaram-se significantes devido
informaes esto sendo devidamente gerenciadas de a inmeros fatores, dentre eles:
modo que a empresa possa:

Executivos de negcio e a alta direo vm de-
mandando um melhor retorno dos investimentos em
atingir os objetivos do negcio TI, isto , vm exigindo que a rea de TI entregue
as necessidades da rea de negcios para aumentar
ter resilincia suficiente para aprender e se adap- o valor para partes interessadas
tar
Preocupao com o aumento observado nos gas-
gerenciar adequadamente os riscos encontrados tos com TI
reconhecer apropriadamente as oportunidades e Necessidade de atender s exigncias regulat-
agir sobre elas rias de controles de TI em reas com privacidade de
16
informaes e relatrios financeiros (por exemplo, A crescente maturidade empresarial tem implicado na
Lei Sarbanes-Oxley e Basilia II) e regulamentaes aceitao e adoo de modelos e prticas bem-sucedidas,
para setores especficos como as reas de finanas,
de sade e farmacutica tais como o COBIT, ITIL, normas como ISO 27000 sobre
padres relacionados segurana da informao, ISO
Necessidade de seleo de provedores de ser-
vios e de gerenciamento e aquisio de servios 9001:2000 relacionados aos requerimentos de sistemas e
terceirizados gerenciamento de qualidade, CMMI - Capability Maturity
Aumento da complexidade dos riscos relaciona- Model Integration e PMBoK - Guide to the Project
dos TI, como a segurana de redes Management Body of Knowledge.
Necessidade de implantao de governana de

Alm da adoo destes modelos e prticas, as empresas
TI que inclui a adoo de metodologias de controles
e boas prticas que ajudem a monitorar e aprimorar tambm vm necessitando avaliar como esto em relao
as atividades crticas de TI para ampliar o valor do aos padres geralmente aceitos em comparao com seus
negcio e reduzir os riscos
parceiros e organizaes similares, o que pode ser feito
Necessidade de otimizar os custos seguindo, atravs de tcnicas de benchmarking.
sempre que possvel, um enfoque padronizado em
vez de abordagens desenvolvidas de forma customi-
zada
Como consequncia do rumoroso caso da Enron Corporation, o congresso americano aprovou

uma rgida lei de governana corporativa conhecida pelo nome dos seus autores, o senador democrata Paul
Sarbanes e o deputado republicano Michael Oxley.
A lei Sarbanes-Oxley, tambm conhecida como SOX ou Sarbox, baseada em alguns conceitos simples
mas poderosos, que so Transparncia (da Administrao), Documentao (dos procedimentos e outros),
Responsabilizao (dos administradores), Segregao (de funes), Normatizao (dos processos) e Monito-
ramento (do cumprimento de normas etc.).
Nisto ela se parece muito com a Regulamentao definida para o Basilia II, do BIS Banco das Compen-
saes Internacionais e com a Regulamentao do Banco Central do Brasil quanto a Controles Internos e
Risco Operacional. O que atende a SOX provavelmente atender o Basilia II, o Risco Operacional e as re-
gulamentaes do Bancen para Risco Operacional e Controles Internos.
Fonte: http://www.servnet.inf.br/normas/pagina.asp?id=1
Partes interessadas dentro da empresa que pro-

curam gerar valor a partir dos investimentos em TI:
Aqueles que tomam decises sobre in-

vestimentos
Aqueles que decidem sobre requisitos
Aqueles que usam os servios de TI
Partes interessadas dentro e fora da empresa que

Uma metodologia de governana e controles precisa fornecem servios de TI:
servir a uma variedade de partes interessadas (ou
Aqueles que gerenciam a organizao e
stakeholders) tanto internas como externas, cada uma os processos de TI
com necessidades especificas, como as listadas a seguir:
17
Aqueles que desenvolvem as capacidades O modelo COBIT baseado nos seguintes princpios:
Aqueles que operam os servios

prover a informao de que a organizao preci-
Partes interessadas dentro e fora da empresa que sa para atingir os seus objetivos
tm responsabilidades sobre controles/riscos:
identificar as necessidades para investir
Aqueles com responsabilidades sobre
gerenciar e controlar os recursos de TI usando
segurana, confidencialidade e/ou riscos
um conjunto estruturado de processos para prover
Aqueles que executam funes de con- os servios que disponibilizam as informaes neces-
formidade srias para a organizao.
Aqueles que requerem ou fornecem ser-

vios de avaliao
3.3 Requisitos de negcio do COBIT
3.2 A relao do COBIT com o negcio da O gerenciamento e o controle da informao esto
presentes em toda a metodologia COBIT e ajudam a
empresa
assegurar o alinhamento com os requisitos de negcios.
Caro aluno, conforme est ficando bem claro, a
orientao para negcios o principal foco do COBIT, Para atender aos objetivos de negcios, as informaes
que foi desenvolvido no somente para ser utilizado precisam se adequar a certos critrios de controles, aos
por provedores de servios, usurios e auditores, mas quais o COBIT denomina necessidades de informao da
tambm, e sobretudo, para fornecer um guia abrangente empresa. Baseado em abrangentes requisitos de qualidade,
para os executivos e donos de processos de negcios. guarda e segurana, 7 critrios de informao distintos
e sobrepostos so definidos, como j apresentamos na
A viso do COBIT em relao ao Planejamento figura 4, ou seja, conforme o modelo de cubo do COBIT.
Estratgico de TI pode ser vista na figura 11, que apresenta
a pirmide organizacional que se divide em 3 nveis:
estratgico, ttico e operacional. No nvel estratgico
traamos os objetivos, no ttico as metas e no operacional
as aes a serem realizadas. Esta ordem hierrquica reflete
como o processo de tomada de deciso ocorre.
Estes 7 requisitos so assim definidos:
1) Efetividade: lida com a informao relevan-

te e pertinente para o processo de negcio bem
como a sua entrega em tempo, de maneira cor-
reta, de forma consistente e utilizvel.
Figura 11 - Pirmide organizacional e o processo de 2) Eficincia: relaciona-se com a entrega da

informao atravs do melhor (mais produtivo e
tomada de deciso econmico) uso dos recursos.
18
3) Confidencialidade: est relacionada com a TI (a arquitetura de TI para a organizao) necessrios

proteo de informaes confidenciais para evi- para executar de maneira bem-sucedida a parte que cabe
tar a divulgao indevida.
TI na estratgia da empresa.
4) Integridade: relaciona-se com a fidedig-
nidade e totalidade da informao bem como
sua validade de acordo os valores de negcios e
expectativas.
5) Disponibilidade: relaciona-se com a dispo-

nibilidade da informao quando exigida pelo
processo de negcio atual e futura. Tambm
est ligada salvaguarda dos recursos necess-
rios e capacidades associadas. Uma vez que os objetivos alinhados estiverem
6) Conformidade: lida com a aderncia a definidos, eles precisam ser monitorados para assegurar
leis, regulamentos e obrigaes contratuais aos que as entregas atendam s expectativas. Isto alcanado
quais os processos de negcios esto sujeitos,
isto , critrios de negcios impostos externa- por mtricas derivadas dos objetivos e capturadas pelo
mente e polticas internas. scorecard de TI.
7) Confiabilidade: relaciona-se com a entrega

da informao apropriada para os executivos Para que o cliente entenda os objetivos e o scorecard
para administrar e exercer suas responsabilidade TI, todos esses objetivos e mtricas associadas devem
des fiducirias e de governana.
ser expressos em termos de negcios significativos para o
Enquanto os critrios de informao fornecem um cliente.
mtodo genrico para definir os requisitos de negcios,
Combinado com um efetivo alinhamento da hierarquia
a definio de um conjunto genrico de objetivos de
dos objetivos, isto ir assegurar que os negcios
negcios e de TI fornece uma base mais refinada para
confirmem que TI ir colaborar para que a empresa atinja
o estabelecimento dos requisitos de negcios e o
seus objetivos.
desenvolvimento de mtricas que permitam avaliar se
esses objetivos foram atendidos.
Na figura 12 relacionamos, dentro da estratgia
corporativa, a arquitetura de processos e controles de TI
Toda organizao usa TI para fazer funcionar as
com os objetivos de negcio. O COBIT, na sua estrutura,
iniciativas de negcios e essas podem ser representadas
interliga essas duas variveis, ou seja, os objetivos de
como objetivos de negcios para a rea de TI. Esses
negcio com a arquitetura de TI.
exemplos genricos podem ser utilizados como um guia
para determinar os requisitos de negcios especficos, as
metas e as mtricas para a organizao.
Para a rea de TI entregar de maneira bem-sucedida

os servios que suportam as estratgias de negcios,
deve existir uma clara definio das responsabilidades e
direcionamento dos requisitos pela rea de negcios (o
cliente) e um claro entendimento acerca do que e como
precisa ser entregue pela TI (o fornecedor).
Esse procedimento deve levar a uma clara definio

Figura 12 - Arquitetura de processos e controles de TI
dos objetivos prprios da rea de TI (os objetivos de TI)
e a estratgia corporativa
que, por sua vez, ir definir os recursos e capacidades de Fonte: [ITGI, 2007]
19
Assim, os processos de TI podem atender as Aplicativos: so os sistemas automatizados

necessidades da organizao de forma mais eficiente e para usurios e os procedimentos manuais que pro-
cessam as informaes.
alinhada estratgia da organizao, garantindo a entrega
dos servios de TI para gerar valor ao negcio. Nessa Informaes: so os dados em todas as suas
formas; a entrada, o processamento e a sada forne-
ordem, classificar e utilizar os recursos de T de forma mais cida pelo sistema de informao em qualquer forma-
eficiente trar mais eficincia para o negcio. to a ser utilizado pelos negcios.
Infraestrutura: refere-se tecnologia e aos

recursos (ou seja, hardware, sistemas operacionais,
sistemas de gerenciamento de bases de dados, re-
des, multimdia e os ambientes que abrigam e do
suporte a eles) que possibilitam o processamento
dos aplicativos.
A organizao de TI entrega os servios de
acordo com esses objetivos atravs de um conjunto Pessoas: so os funcionrios requeridos para
planejar, organizar, adquirir, implementar, entregar,
claramente definido de processos que usam a experi-
suportar, monitorar e avaliar os sistemas de informa-
ncia das pessoas e a infraestrutura tecnolgica para o e servios. Eles podem ser internos, terceirizados
processar aplicativos de negcios de maneira automa- ou contratados, conforme necessrio.
tizada, aprimorando as informaes de negcios.
Repare, caro aluno, na figura 13 como h uma relao
direta dos recursos de TI com a estratgia da organizao,
em que se observa a dependncia dos processos com os
O COBIT parte da premissa que os recursos de TI
objetivos de TI e com os resultados do negcio.
precisam ser gerenciados por um conjunto de processos
agrupados com o objetivo de fornecer informaes
pertinentes e confiveis para que a organizao consiga
alcanar seus objetivos.
Esses recursos, em conjunto com os processos,

constituem a arquitetura de TI da organizao. Para
atender aos requisitos de negcios para TI, a organizao
precisa investir nos recursos necessrios para criar uma
adequada capacidade tcnica (por exemplo, um sistema
de planejamento de recursos ou ERP) que atenda a uma
necessidade de negcios (como implementar um canal
de suprimentos) resultando no desejado retorno (como
aumento de vendas e benefcios financeiros).
Figura 13 - Relao dos recursos de TI com a estratgia

da organizao
Fonte: [ITGI, 2007]
Os recursos de TI identificados no COBIT podem ser

definidos como se segue (conforme mostra a figura 13): O COBIT, conforme veremos no prximo captulo, define
20
as atividades de TI em um modelo de processos genricos O COBIT fornece um modelo de processo de referncia

dentro de domnios de processos. Esses domnios possuem e uma linguagem comum para que todos na organizao
uma abordagem de ciclo, como em todas as prticas de possam visualizar e gerenciar as atividades de TI.
mercado.
Incorporar o modelo operacional e a linguagem comum
A orientao a processo atividade padro dentro das para todas as reas de negcios envolvidas em TI um
boas prticas de TI. Necessariamente trabalhar orientado dos mais importantes passos e aes preliminares para
a processo remete-nos a uma viso de ciclo de vida, no uma boa governana.
qual planejamos, fazemos, controlamos e agimos e, no
final, voltamos ao ciclo de planejamento. O COBIT possui Isto tambm fornece uma metodologia para medio e
uma abordagem semelhante no qual so definidos grupos monitoramento da performance de TI, comunicao com
de processos com essa viso de ciclo de processo. provedores de servios e integrao das melhores prticas
de gerenciamento.
O COBIT, como trataremos no prximo captulo, divide
seus processos em 4 domnios: Planejar e Organizar; Um modelo de processos incentiva a determinao de
Adquirir e Implementar; Entregar e Suportar; Monitorar proprietrios dos processos, o que possibilita a definio
e Avaliar. Esses domnios mapeiam as tradicionais reas de responsabilidades. Alm disso, relaciona os requisitos
de responsabilidade de TI de planejamento, construo, de negcio com os processos de TI, dividindo em controles
processamento e monitoramento. e indicadores desses processos, como mostra a figura 14.
Figura 14 - Modelo de processos de TI relacionado aos negcios

Fonte: [ITGI, 2007]
21
1) As organizaes no podem atingir seus requisitos de negcios e governana sem adotar e implementar um
modelo para governana e controle de TI. Qual alternativa no se refere a um motivo para a adoo de um
modelo de governana de TI?
a) tornar transparente a performance obtida comparada aos requisitos de negcios
b) organizar as atividades de acordo com um modelo de processos reconhecido
c) reduzir o nmero de profissionais de TI dentro da empresa
d) identificar os recursos mais importantes a serem aprimorados
e) definir os objetivos de controles gerenciais a serem considerados
2) Uma metodologia de governana e controles precisa servir a uma variedade de stakeholders,

cada um com necessidades especificas. Liste os principais stakeholders.
3) O COBIT, baseado em abrangentes requisitos de qualidade, guarda e segurana, define 7 critrios de

informao distintos e sobrepostos, conforme o seu modelo de cubo. Associe corretamente os 7 requisitos com
sua definio.
Efetividade Eficincia Confidencialidade Integridade Disponibilidade Conformidade Confiabilidade
____________: relaciona-se com a fidedignidade e totalidade da informao bem como sua validade de acordo os
valores de negcios e expectativas.
____________: relaciona-se com a entrega da informao apropriada para os executivos para administrar e exercer
suas responsabilidades fiducirias e de governana.
____________: lida com a aderncia a leis, regulamentos e obrigaes contratuais aos quais os processos de
negcios esto sujeitos, isto , critrios de negcios impostos externamente e polticas internas.
____________: lida com a informao relevante e pertinente para o processo de negcio bem como a sua entrega
em tempo, de maneira correta, de forma consistente e utilizvel.
____________: relaciona-se com a disponibilidade da informao quando exigida pelo processo de negcio hoje e
no futuro. Tambm est ligada salvaguarda dos recursos necessrios e capacidades associadas.
____________: relaciona-se com a entrega da informao atravs do melhor (mais produtivo e econmico) uso
dos recursos.
____________: est relacionada com a proteo de informaes confidenciais para evitar a divulgao indevida.
4) Cite pelo menos trs fatores que tornaram as boas prticas de TI importantes.
22
4 - ESTRUTURA DE PROCESSOS DO
COBIT
A estrutura de processos do COBIT tem uma
abordagem ttica, no qual agrupamos processos
macro, chamados de domnios, que so ramificados em
atividades chamadas de processos, que so subdivididos
em pequenas atividades ou subprocessos. Com isso,
o COBIT proporciona um controle mais apurado e
profundo dos processos de TI no nvel de atividade de Fonte: [ITGI, 2007]
entrega, facilitando o controle de indicadores.
No que se segue, caro aluno, detalharemos cada um
4.1 Domnios de processos do COBIT dos domnios descrevendo como esto estruturados.
Agora nesse captulo detalharemos a estrutura de
processos do COBIT com mais profundidade, dando uma 1 Planejar e Organizar (PO)
viso de aplicabilidade do modelo.
Este domnio cobre a estratgia e as tticas,
Para que a governana de TI seja eficiente, importante preocupando-se com a identificao da maneira em
avaliar as atividades e riscos da TI que precisam ser que TI pode melhor contribuir para atingir os objetivos
gerenciados. de negcios. O sucesso da viso estratgica precisa ser
planejado, comunicado e gerenciado por diferentes
Geralmente eles so ordenados por domnios perspectivas.
de responsabilidade de planejamento, construo,
processamento e monitoramento. Uma organizao apropriada, bem como uma
adequada infraestrutura tecnolgica, devem ser colocadas
No modelo COBIT so 4 domnios, assim denominados: em funcionamento. Este domnio tipicamente ajuda a
responder as seguintes questes gerenciais:
1) Planejar e Organizar (PO): Prov direo
para entrega de solues (AI) e entrega de ser- As estratgias de TI e de negcios esto alinha-
vios (DS) das?
2) Adquirir e Implementar (AI): Prov as A empresa est obtendo um timo uso dos seus
solues e as transfere para tornarem-se servi- recursos?
os
Todos na organizao entendem os objetivos de
3) Entregar e Suportar (DS): Recebe as TI?
solues e as torna passveis de uso pelos usu-
rios finais Os riscos de TI so entendidos e esto sendo
gerenciados?
4) Monitorar e Avaliar (ME) - Monitora todos
os processos para garantir que a direo defini- A qualidade dos sistemas de TI adequada s
da seja seguida. necessidades de negcios?
23
2 Adquirir e Implementar (AI) 4 Monitorar e Avaliar (ME)
Para executar a estratgia de TI, as solues de TI Todos os processos de TI precisam ser regularmente
precisam ser identificadas, desenvolvidas ou adquiridas, avaliados com o passar do tempo para assegurar a
implementadas e integradas ao processo de negcios. qualidade e a aderncia aos requisitos de controle. Este
domnio aborda o gerenciamento de performance, o
Alm disso, alteraes e manutenes nos sistemas monitoramento do controle interno, a aderncia regulatria
existentes so cobertas por esse domnio para assegurar e a governana.
que as solues continuem a atender aos objetivos de
negcios. Trata geralmente das seguintes questes de
gerenciamento:
Este domnio tipicamente trata das seguintes questes A performance de TI mensurada para detectar
de gerenciamento: problemas antes que seja muito tarde?
O gerenciamento assegura que os controles in-

Os novos projetos fornecero solues que aten- ternos sejam efetivos e eficientes?
dam s necessidades do negcio?
O desempenho da TI pode ser associado aos ob-
Os novos projetos sero entregues no tempo e jetivos de negcio?
oramento previstos?
Existem controles adequados para garantir confi-
Os novos sistemas funcionaram apropriadamente dencialidade, integridade e disponibilidade das infor-
quando implementados? maes?
As alteraes ocorrero sem afetar as operaes
de negcios atuais?
Dentro desses quatro domnios o COBIT identificou
34 processos de TI geralmente utilizados (veja a figura
3- Entregar e Suportar (DS) 15). Embora a maioria das organizaes tenha definido as
responsabilidades de TI de planejar, construir, processar e
Este domnio trata da entrega dos servios solicitados, o monitorar, e muitas delas tenham os mesmos processos-
que inclui entrega de servio, gerenciamento da segurana chave, poucas tero a mesma estrutura de processos ou
e continuidade, servios de suporte para os usurios e o aplicaro todos os 34 processos do COBIT.
gerenciamento de dados e recursos operacionais.
O COBIT fornece uma completa lista de processos
Trata geralmente das seguintes questes de que podem ser utilizados para verificar a totalidade das
gerenciamento: atividades e responsabilidades. No entanto, nem todos

precisam ser aplicados e podem ser combinados conforme
Os servios de TI esto sendo entregues de acor- as necessidades de cada empresa. Para cada um desses
do com as prioridades do negcio? 34 processos, uma ligao foi feita com os objetivos de
Os custos de TI esto otimizados? negcios e de TI suportados.
A fora de trabalho est habilitada para utilizar os

sistemas de TI de maneira produtiva e segura? Tambm so fornecidas informaes sobre como os
objetivos podem ser medidos, quais so as atividades-
Os aspectos de confidencialidade, integridade e
disponibilidade esto sendo contemplados para ga- chave, as principais entregas e quem responsvel por
rantir a segurana da informao? elas.
24
Figura 15 - 34 processos do COBIT

Fonte: http://www.cleberpereira.com.br/tecnologia/cobit.htm
Com isso, agora conseguimos relacionar o que discutimos nos tpicos anteriores quando falamos de recursos e
processos de TI, objetivos e requisitos de negcio com a viso completa de domnios dos processos do COBIT, como
mostra a figura 16.
Figura 16 - Viso completa dos domnios de processos do COBIT

25
4.2 Controles do COBIT Para voc ter uma ideia mais precisa de como os
controles e processos funcionam, caro aluno, observe
Agora podemos definir como o COBIT trata seus a seguinte analogia: quando a temperatura da sala
processes de TI atravs dos controles de objetivos. (padro) do sistema de aquecimento (processo) est
O COBIT define objetivos de controles para todos os definida, o sistema ir constantemente averiguar
34 processos e engloba todos os processos e controles de (comparar) a temperatura ambiente da sala (controle
aplicativos. de informao) e ir sinalizar (agir) para o sistema de
aquecimento para prover mais ou menos calor.
Os gerentes operacionais usam os processos para

organizar e gerenciar as atividades de TI em andamento.
Controle definido como polticas,
procedimentos, prticas e estruturas organizacionais
Como j dissemos, o COBIT prov um modelo de
criadas para prover uma razovel garantia de que os
processo genrico que representa todo o esquema
objetivos do negcio sero atingidos e que eventos
normalmente encontrado nas funes de TI, fornecendo
indesejveis sero evitados ou detectados e corrigidos.
um modelo referncia comum compreensvel para os
gerentes das operaes de TI e de negcios.
Os objetivos de controle de TI fornecem um conjunto

completo de requisitos de alto nvel a serem considerados O COBIT relaciona informaes, processos de TI,
pelos executivos para um controle efetivo de cada processo recursos de TI, com requerimentos de negcio e uma
de TI. estrutura encadeada de processos.
De uma maneira mais detalhada, os controles: Para atingir uma governana efetiva, os controles
precisam ser implementados pelos gerentes operacionais
so definies de aes gerenciais para aumentar de acordo com um mtodo de controles definido para
o valor ou reduzir o risco todos os processos de TI.
consistem em polticas, procedimentos, prticas e
estruturas organizacionais O mtodo fornece uma ligao clara em relao aos
so desenvolvidos para prover uma razovel requisitos de governana, processos e controles de TI.
garantia de que os objetivos de controle sero atin-
gidos e que eventos indesejveis sero evitados ou
detectados e corrigidos Cada um dos processos de TI do COBIT possui uma
descrio do processo e um nmero do objetivo de
A empresa precisa fazer escolhas relacionadas aos controle. Ao todo, eles formam as caractersticas de um
processos ao: processo bem gerenciado.
selecionar aqueles que so aplicveis
decidir quais deles sero implementados Os objetivos de controles so identificados por duas
letras para identificar o domnio (PO, AI, DS e ME), um
escolher como implement-los (frequncia,
abrangncia, automao, etc.) nmero de processo e um nmero de objetivo de controle,
como pode ser visto na tabela 1.
aceitar o risco de no implementar aqueles que
podem ser aplicveis
26
Tabela 1 34 processos do COBIT

Fonte: [ITGI, 2007]
Alm de avaliar quais controles so necessrios, 4.2.1 Tabela RACI

os proprietrios dos processos devem entender quais
entradas eles precisam receber de outros e o que os outros O COBIT prov a tabela RACI - Responsible,
precisam de seu processo. Accountable, Consulted and Informed para cada processo.
RACI identifica quem responsvel (R), responsabilizado
O COBIT fornece exemplos de entradas e sadas bsicos (A), consultado (C) e/ou (I) informado.
que servem para qualquer processo, incluindo requisitos
externos de TI. O termo responsabilizado significa que a
responsabilidade deste indivduo esta a pessoa que
Existem alguns tipos de sada que servem de entrada d orientaes e autoriza uma certa atividade.
para todos os outros processos, os quais so marcados
como ALL nas tabelas de sadas e, portanto, no so responsvel aquela pessoa que faz com que a
mencionados como entradas para todos os processos. tarefa seja executada.
Geralmente incluem os padres de qualidade e Os outros dois papeis (consultado e informado)

requisitos de mtricas, a estrutura do processo de TI, os asseguram que todos que precisam sero envolvidos e
papeis e responsabilidades documentados, a estrutura suportam o processo.
de controle de TI da organizao, as polticas de TI e as
funes e responsabilidades dos funcionrios. A tabela 2 descreve o papel a responsabilidade de cada
membro da equipe dentro de um processo, com isso o
O entendimento dos papeis e responsabilidades de nvel de controle mais efetivo e direcionado aos donos
cada processo essencial para uma efetiva governana. dos processos.
27
Tabela 2 Tabela RACI do COBIT

Fonte: [ITGI, 2007]
atingem os objetivos de negcios e de TI e so uti-

lizados para mensurar a performance dos processos
4.3 Modelo de maturidade internos baseados nos princpios do BSC - Balanced
Scorecard
Uma necessidade bsica para toda organizao Objetivo de atividades para habilitar o efetivo
entender a situao dos seus prprios sistemas de TI e desempenho do processo
decidir que nvel de gerenciamento e controle a empresa
A alta direo de corporaes e de grandes organizaes
deveria ter.
cada vez mais solicitada a considerar quo bem a rea
de TI est sendo gerenciada.
Para decidir dentro de um nvel correto, os executivos
devem se perguntar:
Em resposta, planos de negcios requerem o
Quo distante devemos ir e ser que o custo desenvolvimento de melhorias e um apropriado
justificado pelo benefcio? gerenciamento e controle sobre a infraestrutura de
Como fazer para obter uma viso objetiva do n- informao.
vel de performance da organizao?
O que deve ser avaliado e como? Enquanto alguns argumentariam que isso no algo
importante, preciso considerar o custo-benefcio e as
seguintes questes relacionadas:
As organizaes precisam avaliar onde elas precisam
investir e onde so requeridas melhorias, bem como O que os nossos concorrentes esto fazendo e
como estamos posicionados em relao a eles?
implementar um conjunto de ferramentas de gerenciamento
para atingir esses aprimoramentos. Quais so as boas prticas aceitveis para o
ambiente de negcio e como estamos colocados em
relao a essas prticas?
O COBIT lida com essas questes por fornecer:
Com base nessas comparaes, podemos dizer
Modelos de maturidade que permitem fazer com- que estamos fazendo o suficiente?
paraes e identificar os necessrios aprimoramentos
Como podemos identificar o que precisa ser feito
de capacidades
para atingir um nvel adequado de gerenciamento e
Objetivos de performance e mtricas para os controle sobre os processos de TI?
processos de TI, demonstrando como os processos
28
Comeando com os processos COBIT, o proprietrio do

processo poder gradativamente ampliar as comparaes
com os objetivos de controle. Isso atende a trs
necessidades:
Uma medida relativa de onde a empresa est
Uma maneira de eficientemente decidir para

onde ir
Uma ferramenta para avaliao do progresso em

relao s metas
4.3.1 Nveis do Modelo de Maturidade

Fonte: http://www.ivirtua.com.br/?conteudo=solutions
O modelo de maturidade para o gerenciamento e

Pode ser difcil fornecer respostas significativas
controle dos processos de TI baseado num mtodo de
para essas questes. O gerenciamento de TI est
avaliar a organizao, permitindo que ela seja pontuada
constantemente procurando ferramentas de benchmarking
de um nvel de maturidade no-existente (0) a otimizado
e de auto avaliao em resposta necessidade de saber o
(5). A figura 17 ilustra este processo.
que fazer de maneira eficiente.
Figura 17 - Mtodo para se avaliar uma organizao

Fonte: [ITGI, 2007]
Este enfoque derivado do modelo de maturidade do Os modelos da SEI so orientados para os princpios de
SEI - Software Engineering Institute que define critrios engenharia de produtos de software, para organizaes
para a maturidade da capacidade de desenvolvimento que buscam excelncia nessas reas e desejam uma
de software. Embora siga os conceitos do SEI, a avaliao formal dos nveis de maturidade para que os
implementao COBIT difere consideravelmente destes. desenvolvedores de software possam ser certificados.
29
No COBIT, uma definio genrica (veja tabela 3) provida para as escalas de maturidade que so similares s do
CMM, mas interpretadas de acordo com a natureza dos processos de gerenciamento de TI. Um modelo especfico
fornecido derivando dessa escala genrica para cada um dos 34 processos COBIT.
Tabela 3 Escala de maturidade genrica

Fonte: [ITGI, 2007]
Independente do modelo, as escalas no devem ser

to granulares visto que seria difcil de utilizar e sugeriria
uma preciso no justificvel, por que em geral o propsito
identificar onde esto as questes e como definir
prioridades para aprimoramentos.
O propsito no avaliar o nvel de aderncia aos

objetivos de controles.
Os nveis de maturidade so designados como perfis

Fonte: http://vitoralbertoklein.wordpress.com/category/gestao-por-pro-
de processos de TI que a empresa reconheceria como cessos/
descrio de possveis situaes atuais e futuras. Eles no
so designados como um modelo inicial, em que no se A avaliao de maturidade do COBIT espera resultar
pode avanar para o prximo nvel sem antes ter cumprido em um perfil em que as condies relevantes para diversos
todas as condies do nvel inferior. nveis de maturidade sero atingidas, seguindo como
premissas o que est listado a seguir:
Com os modelos de maturidade do COBIT,
diferentemente do enfoque original SEI/CMM, no h Refere-se aos requisitos de negcio e aos aspec-
inteno de se medir os nveis de maneira precisa ou tos habilitadores em diferentes nveis.
tentar certificar que aquele nvel foi exatamente atingido. So escalas que permitem uma comparao
pragmtica.
30
So escalas em que a diferena pode ser mensu- est envolvido no aprimoramento da performance, se
rvel de uma maneira fcil. necessrio. As escalas incluem o 0 (zero), pois possvel
So reconhecveis como um perfil da organiza- que um processo no exista de fato.
o em relao governana e controle de TI.
Auxiliam na determinao dos modelos As-Is e A escala de 0 a 5 baseada em uma escala simples
To-Be relativos maturidade da governana e con- de maturidade, mostrando como um processo evolui
trole de TI.
de capacidade inexistente para capacidade otimizada.
Suportam a anlise de gap para determinar o Embora uma capacidade apropriadamente aplicada j
qu necessita ser feito para alcanar o nvel escolhi-
reduza riscos, a organizao ainda precisa analisar quais os
do.
controles necessrios para assegurar que os riscos sejam
No so especficos para determinado tipo de mitigados e que valor obtido em linha com o apetite de
organizao, a natureza do negcio determinar qual
o nvel apropriado. risco e objetivos de negcios. Esses controles so guiados
pelos objetivos de controle do COBIT.
4.3.2 Modelo de Maturidade e o Gerenciamento
de processos de TI O modelo de maturidade uma forma de medir quo
bom os processos de gerenciamento so, ou seja, quo
O modelo COBIT para o gerenciamento de processos de capazes eles so. O quanto devem ser desenvolvidos ou
TI foi desenvolvido como uma nfase forte em controles. capacitados deveria primariamente depender dos objetivos
Essas escalas so prticas de serem aplicadas e de fcil de TI e sua conexo como as necessidades de negcios
entendimento. que eles suportam.
O quanto dessa capacidade realmente entregue

depende largamente do retorno que a organizao deseja
do investimento. Por exemplo, existem processos e
sistemas crticos que precisam de um gerenciamento da
segurana maior e mais restrito do que outros que so
menos crticos.
Por outro lado, o grau de sofisticao dos controles

que precisam ser aplicados em um processo mais
O assunto gerenciamento de processos de TI direcionado pelo apetite de risco da organizao e pelos
inerentemente complexo e subjetivo e, portanto, mais requisitos aplicveis de conformidade. A escala do modelo
bem tratado atravs de avaliaes facilitadas que provocam de maturidade ajudar os profissionais a explicar aos
a conscincia, capturam o consenso geral e motivam o gerentes onde existem deficincias no gerenciamento do
aprimoramento. Essas avaliaes podem ser executadas processo de TI e definir metas de onde querem estar.
com base nas descries do nvel de maturidade como
um todo ou com um maior rigor contra cada uma das O correto nvel de maturidade ser influenciado pelos
afirmaes individuais dessas descries. Seja qual for o objetivos de negcios, o ambiente operacional e as prticas
caminho escolhido, preciso ter experincia no processo do mercado.
que est sendo analisado.
Especificamente, o nvel de maturidade gerencial
A vantagem de uma abordagem de modelo de depender da dependncia da empresa em TI, de sua
maturidade a relativa facilidade de os gerentes sofisticao tecnolgica e, mais importante, do valor da
colocarem-se a si mesmos em uma escala e avaliar o que informao.
31
Finalmente, embora altos nveis de maturidade

aumentem o controle sobre os processos, a organizao
Em resumo, os modelos de maturidade
ainda precisa analisar, com base nos riscos e direcionamento
fornecem um perfil genrico de estgios
de valor, quais mecanismos devem ser aplicveis. Os
atravs dos quais cada empresa
pode evoluir em gerenciamento e objetivos genricos de negcios e de TI definidos nessa
controle de processos de TI. metodologia ajudaro na anlise.
Os mecanismos de controle so guiados

Para alcanar esta maturidade, as empresas devem
pelos objetivos de controle do COBIT e
seguir:
enfocam o que feito no processo; os
modelos de maturidade primariamente
Um conjunto de requisitos e aspectos que habili-
tam os diferentes nveis de maturidade focam em quo bem os processos so
gerenciados. Melhorar a maturidade reduz
Uma escala onde a diferena pode ser facilmente
medida riscos e aprimora a eficincia, levando a
uma menor quantidade de erros, processos
Uma escala que pode ser utilizada para compara- mais previsveis e uso eficiente dos
es pragmticas
recursos sob o ponto de vista de custos.
Uma base para definir as posies como est e
como ser
Suporte para a anlise de deficincias a fim de

determinar o que precisa ser feito para atingir o nvel
4.4 Indicadores de processos
escolhido
Os objetivos e mtricas so definidos no COBIT em trs
Considerada no conjunto, uma viso de como a
rea de TI gerenciada na organizao nveis:
Os modelos de maturidade do COBIT enfocam a Objetivos e mtricas de TI: que definem o

que os negcios esperam de TI e como medir isso
maturidade, mas no necessariamente a abrangncia
e profundidade dos controles. Eles no so um nmero Objetivos e mtricas dos processos: que
definem o que os processos de TI precisam entregar
para ser atingido, tampouco so desenhados para ser uma para suportar os objetivos de TI e como medir isso
base formal de certificao com nveis que criam requisitos
Objetivos e mtricas de atividades: que
mnimos difceis de atingir.
estabelecem o que precisa acontecer dentro do pro-
cesso para atingir a requerida performance e como
No entanto, so desenhados para serem sempre medir isso
aplicveis, fornecendo nveis com descries que uma
empresa pode reconhecer como os que melhor se adequam
Os objetivos so definidos de cima para baixo de
aos seus processos. O nvel correto determinado pelo
maneira que os objetivos de negcios determinaro vrios
tipo de organizao, ambiente e estratgia.
objetivos de TI em que haja necessidade de suport-los.
Abrangncia e a profundidade do controle e como a

Um objetivo de TI atingido atravs de um processo ou
capacidade utilizada e entregue so decises de custo-
por interao de um determinado nmero de processos.
benefcio. Por exemplo, um alto nvel de gerenciamento
Portanto, os objetivos de TI ajudam em diferentes
de segurana pode ter que ser enfatizado apenas nos
objetivos de processos. Por sua vez, cada objetivo de
sistemas mais crticos da organizao. Outro exemplo
processo requer um determinado nmero de atividades
seria a escolha entre uma reviso semanal e um controle
estabelecendo assim os objetivos da atividade.
contnuo automatizado.
32
Na figura 18, exemplificamos o relacionamento dos Medidas de resultados (sadas): anteriormente

objetivos de negcios, TI, processos e atividades. KGIs, agora indicam se os objetivos foram atingidos.
Esses podem ser medidos somente aps os fatos,
portanto so chamados de indicadores histricos (log
Os termos KGI - Key Goal Indicator (indicador chave de indicators).
meta) e KPI - Key Performance Indicator (indicador chave Indicadores de performance: anteriormente KPIs,
de performance) usados em verses prvias do COBIT agora indicam se os objetivos sero possivelmente
atingidos. Eles so medidos antes que os resultados
foram trocados por 2 tipos de mtricas:
sejam claros, portanto so chamados de indicadores
futuros.
Figura 18 - Relao entre objetivos

Fonte: [ITGI, 2007]
As medidas de resultados no nvel menor tornam-se Ausncia de riscos de integridade e confidencia-

indicadores de performance para o nvel maior. As medidas lidade
de resultados tornam-se um indicador de performance Eficincia de custos de processos e operao

para o objetivo de nvel superior.
Confirmao de fidedignidade, efetividade e con-
formidade
As medidas de resultados obtidas definem as medies
que informam a gerncia, depois dos fatos, se a funo, Os indicadores de performance definem as medidas
os processos e a atividade de TI atingiram seus objetivos. que determinam quo bem negcios, funo de TI ou
processo de TI esto sendo executados para permitir que
Os medidores de resultados de funes de TI s vezes os objetivos sejam atingidos.
so expressos em termos de critrios de informao:

Eles so indicadores futuros lead indicators
Disponibilidade da informao necessria para relacionados a se os objetivos sero atingidos, direcionando,
suportar as necessidades de negcios
33
portanto, os objetivos de maior nvel. Eles s vezes medem Um ndice elevado de preocupao com resulta-
a disponibilidade de apropriadas capacidades, prticas dos versus o esforo (ateno na performance e em
atingir os objetivos quando comparado com o esfor-
e habilidades, bem como os resultados de atividades o para captur-los)
relacionadas.
Internamente comparvel (um percentual de
uma base ou nmeros no tempo)
Por exemplo, um servio entregue por TI um
Comparvel externamente independente do ta-
objetivo para TI, mas um indicador de performance e de manho da empresa ou do mercado de atuao
capacidade para o negcio.
melhor ter algumas boas mtricas do que uma
longa lista de mtricas de baixa qualidade.
por isso que os indicadores de performance s
Fcil de mensurar, no sendo confundida com
vezes so chamados de direcionadores de performance,
metas
particularmente nos balanced scorecards.
Assim, as mtricas providas so tanto uma medida

de resultados obtidos de uma funo de TI, processo ou Assista ao vdeo que apresenta
atividade de TI que elas medem, quanto um indicador de um estudo de caso em que o COBIT foi usado
performance direcionando um objetivo de maior nvel de como soluo de governana de TI.
negcios, funo de TI ou processo de TI. http://youtu.be/eaeGgyLEaCI 554
As mtricas foram desenvolvidas com as seguintes Faa os testes para certificao COBIT 4.1!
http://www.issoe.com.br/issoe/index.php/simulado-cobit-41-
caractersticas: gratuito.html
34
1) O COBIT ordena as atividades e riscos da TI que precisam ser gerenciados em 4 domnios de responsabilidade
relativos ao planejamento, construo, processamento e monitoramento. Associe os 4 domnios com sua funo
e marque a resposta correta:
Planejar e Organizar (PO) Adquirir e Implementar (AI)
Entregar e Suportar (DS) Monitorar e Avaliar (ME)
( ) Monitora todos os processos para garantir que a direo definida seja seguida.
( ) Prov as solues e as transfere para tornarem-se servios
( ) Prov direo para entrega de solues (AI) e entrega de servios (DS)
( ) Recebe as solues e as torna passveis de uso pelos usurios finais
a) ME PO DS AI
b) PO AI ME DS
c) AI ME DS PO
d) ME AI PO DS
2) O que so controles e para que servem os objetivos de controles do COBIT?
3) O que a tabela RACI do COBIT e para que serve?
4) Quais so os 5 nveis de maturidade do COBIT e o que cada um significa?
5) O que um modelo de maturidade e como as empresas podem alcanar essa maturidade?
35
Agora podemos desmembrar os domnios do COBIT

5 - ENTENDENDO A ESTRUTURA DO
e navegar nos nveis que descrevem os processos e
COBIT POR DENTRO atividades. Como dissemos, o modelo COBIT divide-
se em 4 domnios contendo 34 processos genricos que
Agora que evolumos em alguns conceitos
gerenciam os recursos de TI para entregar as informaes
importantes dentro da viso do COBIT como processos,
para a rea de negcios de acordo com os requisitos de
alinhamento com negcio, indicadores, maturidade,
negcios e governana.
requisitos de negcios e TI estamos prontos para
trabalhar com a estrutura dos processos do modelo na
prtica e entender como relacionar cada processo e
requisito dentro do COBIT.
5.1 Aplicabilidade da estrutura do

COBIT
Como visto nos captulos anteriores, podemos
entender que o COBIT um modelo que rene processos
de gerenciamento, controle, alinhamento com o negcio
e principalmente monitoramento atravs da estrutura de
indicadores.
O modelo COBIT une os requisitos de negcios para

informao e governana aos objetivos da funo de
servios de TI. O modelo de processos do COBIT permite Com isso, j podemos ter uma viso mais ampla de
que as atividades de TI e os recursos que as suportam como os processos do COBIT descem de um nvel mais
sejam apropriadamente gerenciados e controlados com ttico se transformando em um conjunto de atividades
base nos objetivos de controle de COBIT, bem como de controles e processo de TI, aumentando a gesto
alinhados e monitorados usando os objetivos e mtricas dos controles atravs dos indicadores de processos e da
do COBIT. A figura 19 ilustra este processo. granularidade das atividades.
Por isso, o COBIT tem tido uma aceitabilidade cada

vez mais forte dentro das empresas, baseado na anlise
Figura 19 - Viso geral do COBIT e na harmonizao dos padres e boas prticas de TI
Fonte: [ITGI, 2007]
36
existentes, adequando-se aos princpios de governana O COBIT influencia diferentes usurios:

geralmente aceitos.
Alta Direo: Para obter valor dos investimentos
de TI, balancear os riscos e controlar o investimento
O COBIT est posicionado em alto nvel, direcionado em um ambiente de TI muitas vezes imprevisvel
por requisitos de negcios, abrange todas as atividades
Executivos de negcios: Para assegurar que o
de TI e concentra-se no que deveria ser obtido e no em gerenciamento e o controle dos servios de TI ofe-
como atingir uma efetiva governana, gerenciamento e recidos internamente e por terceiros estejam funcio-
nando de modo adequado
controle.
Executivos de TI: Para prover os servios de TI
de que o negcio precisa para suportar a estratgia
Sendo assim, o COBIT age como um integrador de negcios de maneira controlada e gerenciada
das prticas de governana de TI e influencia Auditores: Para substanciar suas opinies e/ou
a alta direo, gerncias de negcios e de TI, prover recomendaes sobre controles internos para
profissionais de governana, avaliao e segurana,
os executivos
profissionais de auditoria de TI e de controles.
Ele desenhado para ser complementar e
O COBIT foi desenvolvido e mantido por um
utilizado com outros padres e boas prticas.
instituto de pesquisa independente e sem fins lucrativos,
contando com a experincia de seus membros associados,
especialistas e profissionais de controle e segurana.
A implementao de boas prticas deve ser consistente
com a governana e o ambiente de controle da organizao, O seu contedo baseia-se em uma contnua pesquisa
apropriada para a organizao e integrada a outros das boas prticas de TI e atualizado continuamente,
mtodos e prticas utilizadas. provendo um recurso objetivo e prtico para todos os tipos
de usurios.
Sua efetividade depende de como foram implementados
e mantidos atualizados. O COBIT orientado para os objetivos e escopo da
governana de TI, assegurando que a metodologia de
Eles so mais teis quando aplicados como um controle seja compreensiva, alinhada com os princpios de
conjunto de princpios e um ponto de partida para produzir governana de organizaes e, portanto, aceitvel para a
procedimentos especficos. alta direo, executivos, auditores e reguladores.
Para evitar que as prticas fiquem s no papel, a 5.2 Como navegar nos processos
gerncia e os funcionrios devem entender o que fazer,
como fazer e porque isso importante. Entender e navegar na estrutura de processos do
COBIT bem simples, as informaes so encadeadas e
Para atingir o alinhamento das boas prticas com os existe uma dependncia direta com os requerimentos de
requisitos de negcios recomendvel que o COBIT seja recursos, indicadores e controles.
utilizado num alto nvel, provendo uma metodologia de
controle geral com base em um modelo de processos de TI Para cada um dos processos de TI do COBIT
que deve servir genericamente para toda empresa. apresentada uma descrio em conjunto com os principais
objetivos e mtricas no formato de cascata, como mostrado
Prticas especficas e padres cobrindo reas especficas na figura 20.
podem ser mapeados com a metodologia COBIT, provendo
assim um material de orientao.
37
Figura 20 - Estrutura de processos do COBIT

Fonte: [ITGI, 2007]
Temos 4 domnios, que so divididos em 34 processos Nome do processo

de TI. Para cada processo temos um controle de TI,
Domnio ao qual pertence o processo
que satisfaz um requisito (objetivo) de negcio, assim
A meta de TI para esse processo
descrevemos a meta desse processo e um indicador
para monitorar de perto esse processo. Trata-se de uma A meta desse processo
orquestrao de processos que devem estar alinhados
Os objetivos desse processo
necessariamente aos objetivos e metas da organizao.
As mtricas de indicadores chaves
Para cada processo, temos que descrever os seguintes A relao desse processo com os recursos de TI
requisitos (que podem ser vistos na figura 21): envolvidos
E a(s) rea(s) ao qual esse processo pertence

Descrio do processo dentro da estrutura de governana de TI
Figura 21 - Descrio de um processo no COBIT

Fonte: [ITGI, 2007]
38
Cada processo coberto por quatro sees e cada uma

delas apresentada em cerca de uma pgina (veja as A seo 1 contm uma descrio que resume os
sees na tabela 4). objetivos do processo, apresentada no formato de cascata.
A letra P indica um relacionamento primrio e a letra S
indica um secundrio.
A seo 2 apresenta os objetivos de controle desse

processo.
A seo 3 apresenta os processos de entrada e

sada, tabela RACI (identifica quem responsvel (R),
responsabilizado (A), consultado (C) e/ou informado),
objetivos e mtricas.
A seo 4 apresenta o modelo de maturidade do

Tabela 4 Sees em que um processo COBIT dividido
Fonte: [ITGI, 2007] processo.
Leia o artigo A fora do COBIT publicado na revista INFO EXAME por Bruno Ferrari.
Disponvel em:
http://info.abril.com.br/aberto/infonews/032008/14032008-4.shl
Uma viso do COBIT por Eduardo Fagundes
1/4 - https://www.youtube.com/watch?v=iwjD0CM4Vz0
2/4 - https://www.youtube.com/watch?v=U4xOxGDsxLI&feature=fvwrel
3/4 - https://www.youtube.com/watch?v=9uqGioPdnco&feature=fvwrel
4/4 - https://www.youtube.com/watch?v=Vu9_DWm3v5Y&feature=fvwrel
39
1) Porque o COBIT tem tido uma aceitabilidade cada vez mais forte dentro das empresas?
2) Qual a relao do COBIT com o negcio da empresa?
3) Cada processo dentro do COBIT coberto por quatro sees, cite-as e explique-as.
4) Assinale V-Verdadeiro ou F-Falso

( ) A implementao de boas prticas deve ser consistente com a governana e o ambiente de controle da
organizao, apropriada para a organizao e integrada a outros mtodos e prticas utilizadas.
( ) O COBIT orientado para os objetivos e escopo da governana de TI, assegurando que a metodologia
de controle seja compreensiva, alinhada com os princpios de governana de organizaes. Mas a maior
dificuldade que seu modelo pouco aceitvel para a alta direo e executivos.
( ) O COBIT foi desenvolvido e mantido por um instituto de pesquisa independente e sem fins lucrativos,
contando com a experincia de seus membros associados, especialistas e profissionais de controle e segurana.
( ) Para atingir o alinhamento das boas prticas com os requisitos de negcios recomendvel que o
COBIT seja utilizado num alto nvel, provendo uma metodologia de controle geral com base em um modelo de
processos de TI que deve servir apenas para as reas que trabalham com TI na empresa.
( ) O modelo COBIT une os requisitos de negcios para informao e governana aos objetivos da funo
de servios de TI. O modelo de processos do COBIT permite que as atividades de TI e os recursos que as
suportam sejam apropriadamente gerenciados e controlados com base nos objetivos de controle de COBIT,
bem como alinhados e monitorados usando os objetivos e mtricas do COBIT.
40
avaliao e performance empresarial, porm, a aplicao

6 - BALANCED SCORECARD (BSC)
em empresas proporcionou sua evoluo para uma
metodologia de gesto estratgica. O BSC vem sendo
Caro aluno, devido importncia da metodologia
utilizado por centenas de organizaes do setor privado,
Balanced Scorecard (BSC) para as organizaes
pblico e em ONGs no mundo inteiro e foi escolhido, pela
modernas, dedicamos esse captulo para tratar o
renomada revista Harvard Business Review, como uma
assunto. O BSC evidencia as estratgias da organizao
das prticas de gesto mais importantes e revolucionrias.
e a rea de TI precisa estar alinhada criando um plano
ttico que leve em considerao as metas definidas
pela alta administrao em termos de viso, misso,
objetivos e indicadores.
6.1 Kaplan, Norton e o BSC

Robert S. Kaplan, professor da Harvard Business
School, e David P. Norton, presidente da Renaissance
Solutions, no artigo The Balanced Scorecard measures
that drive perfomance (Balanced Scorecard medidas Apesar de ter sido criado para resolver problemas de
que impulsionam o desempenho) publicado na revista avaliao de desempenho, o BSC transformou-se numa
Harvard Business Review, em 1992, lanaram a ideia de ferramenta gerencial e estratgica de sucesso, pois se
medir o desempenho de empresas apoiado no apenas mostrou muito eficaz para a implementao de novas
em indicadores contbeis e financeiros. estratgias nas empresas e na criao de valor para o

cliente. O BSC utiliza, de modo balanceado, indicadores
financeiros e no-financeiros que estabelecem as
relaes de causa e efeito entre esses indicadores. Este
balanceamento reflete o equilbrio das relaes existentes
entre 4 perspectivas analisadas pelo BSC: Financeiro,
Clientes, Processos Internos e Aprendizado, como pode
ser visto na figura 22.
Fonte:http://www.thinkers50.com/biographies/16
O principal objetivo de Kaplan e Norton era mostrar

as desvantagens de usar apenas medidas financeiras
para julgar o desempenho empresarial, incentivando
as empresas a medir tambm fatores como qualidade e
satisfao do cliente.
De acordo com Silva Netto e Oliveira (2012), o BSC

Figura 22- Perspectivas do Balanced Scorecard
foi apresentado, inicialmente, como um modelo de Fonte: http://pt.wikipedia.org/wiki/Balanced_scorecard
41
Quando os 4 conjuntos de indicadores estiverem

devidamente equilibrados, de forma que todas as
perspectivas estejam alinhadas com a estratgia
corporativa, poder possibilitar um melhor desempenho. Em entrevista revista HSM
Robert Kaplan fala sobre o Balanced Scorecard.
A expresso indicadores balanceados se refere ao
fato de a escolha dos indicadores de uma organizao no Disponvel em:
http://www.youtube.com/watch?v=_A02vKgE4NQ&feature
se restringirem ao foco econmico-financeiro. =plcp&context=C4f4b043VDvjVQa1PpcFM4g4kLcdY28rZ60
0BXpHoSNXa39-ozijI%3D
As organizaes tambm se utilizam de indicadores

ligados aos ativos intangveis como desempenho dos
processos internos, desempenho de mercado junto a 6.2 As 4 Perspectivas do BSC e o Mapa
clientes, empenho das pessoas, componentes de inovao
Estratgico
e recursos de tecnologia.
O BSC baseado nos seguintes componentes:

O somatrio destes fatores que levar as empresas
ao desempenho desejado, criando, por consequncia, Objetivo Estratgico
valor futuro. [KAPLAN, NORTON, 1997]
O que deve ser alcanado e o que crtico para
o sucesso da organizao.
Segundo Kaplan e Norton (1997), o Indicadores

Balanced Scorecard reflete o equilbrio entre Como ser medido e acompanhado o sucesso
objetivos de curto e longo prazo, entre medidas do alcance do objetivo. Qualquer indicador deve
cumprir os seguintes requisitos:
financeiras e no-financeiras, entre indicadores
de tendncias e ocorrncias e, ainda, entre as Ser claro, transmitir informao precisa e
perspectivas interna e externa de desempenho. confivel sobre o evento a ser analisado;
Este conjunto abrangente de medidas serve Fcil de obter mediante o acesso intuiti-
de base para o sistema de medio e gesto vo a uma aplicao de informtica;
estratgica por meio do qual o desempenho Coerente com os fins estabelecidos, com
organizacional mensurado de maneira a Viso e Misso da organizao, medindo e
controlando os resultados alcanados;
equilibrada sob as 4 perspectivas. Dessa forma,
contribui para que as empresas acompanhem Adequado e oportuno, estando disponvel
para a tomada de deciso;
o desempenho financeiro, monitorando, ao
mesmo tempo, o progresso na construo de Ter a sua unidade de medida correta-
capacidades e na aquisio dos ativos intangveis mente identificada: nmeros absolutos,
percentagens (taxas de crescimento, pesos),
necessrios para o crescimento futuro. Portanto, dias, horas, valores etc.;
a partir de uma viso balanceada e integrada
Ter um responsvel designado capaz de
de uma organizao, o BSC permite descrever atuar sobre os indicadores.
a estratgia da empresa de forma muito clara.
Meta
O nvel de desempenho ou a taxa de melhoria

necessria.
42
Plano de ao sobre a estratgia, como investimentos em P&D, de-

senvolvimento de produtos, parceria.
Programas de ao necessrios para se alcanar
os objetivos. Aprendizado e Crescimento: define os ativos in-
tangveis mais importantes para a estratgia, como
Mapa estratgico capital humano, sistemas de informao, capital or-
ganizacional (clima, cultura organizacional).
Descreve a estratgia da empresa atravs de
objetivos relacionados entre si e distribudos
nas 4 dimenses (perspectivas).
No que se segue, cada uma das perspectivas ser
detalhada e o mapa estratgico explicado, com base em
Estes componentes do suporte a cada uma das 4 Kaplan e Norton (1997) e (2004).
perspectivas analisadas pelo BSC:
6.2.1 Mapa Estratgico
Financeira: descreve os resultados tangveis da
estratgia em termos financeiros tradicionais, como
ROI, valor para os acionistas, rentabilidade, cresci- De acordo com Kaplan e Norton (2004) os mapas
mento da receita. estratgicos baseados no BSC fornecem um modelo que
Clientes: define a proposio de valor para os ilustra como a estratgia relaciona os ativos intangveis
clientes-alvo, como qualidade do produto, entrega aos processos de criao de valor. A figura 23 apresenta
pontual, inovao.
um mapa estratgico voltado para uma estratgia de
Processos Internos: identifica os poucos proces- baixo custo operacional.
sos crticos que se espera exeram o maior impacto
Figura 23- Mapa Estratgico do BSC

Fonte: http://inovaemgestao.blogspot.com.br/2009/11/mapas-estrategicos.html
43
6.2.2 Perspectiva Financeira Para a perspectiva que trata dos aspectos relacionados
aos clientes, as empresas devem identificar os segmentos
A perspectiva financeira tem como finalidade satisfazer de clientes e mercado nos quais desejam competir. Esses
as necessidades dos acionistas. Essa perspectiva deve segmentos representam as fontes que iro produzir
responder seguinte pergunta: Para sermos bem o componente de receita dos objetivos financeiros da
sucedidos financeiramente, como deveramos ser vistos empresa.
pelos nossos acionistas?
As organizaes geralmente selecionam dois conjuntos
de medidas para essa perspectiva. O primeiro so as
medidas essenciais:
participao no mercado;
reteno de clientes;
captao de clientes;
satisfao dos clientes; e
lucratividade de clientes.
Fonte:http://www.duplofoco.com.br/balanced-
scorecard/perspectiva-financeira-do-bsc/
Os objetivos e medidas financeiras devem desempenhar

um duplo papel: definir o desempenho financeiro esperado
da estratgia e servir de meta principal para os objetivos e
medidas de outras perspectivas do BSC. Por isso, qualquer
medida selecionada para fazer parte do BSC deve contribuir
com a melhoria do desempenho financeiro.
Considerando a TI como parte importante para a

estratgia da empresa, pode-se considerar que algumas
Fonte:http://ebehavior.com.br/index.php/fidelizacao-de-clientes-no-e-
medidas de carter financeiro podem ser associadas. Esses commerce/
parmetros podero servir para mostrar o retorno financeiro
advindo da utilizao da TI ou atravs de indicadores Kaplan e Norton (1997), referindo-se s caractersticas
ou valores relativos ao ganho de competitividade ou dos produtos e servios, ao relacionamento com os
economia obtida com um processo ou atividade realizada clientes e imagem e reputao da organizao, afirmam:
com o auxlio da TI. O segundo conjunto de medidas contm as razes
do desempenho os diferenciadores dos resultados
6.2.3 Perspectiva dos Clientes informados aos clientes. Eles respondem pergunta:
O que uma empresa poderia oferecer aos clientes para
Essa perspectiva deve responder seguinte pergunta: alcanar altos nveis de satisfao, captao, reteno e
Para alcanarmos nossa viso, como deveramos ser participao no mercado?
vistos pelos nossos clientes?
44
Dessa maneira, nesta perspectiva, a TI poder ter Silveira e Mendona (2007) enfatizam que algumas
papel importante na medida em que poder proporcionar organizaes oferecem produtos exclusivos, medidos
ganhos de competitividade aos clientes internos e, no caso por preciso, tempo/velocidade, clareza ou consumo de
dos clientes externos, o grau de satisfao desses clientes materiais, permitindo obter altas margens de lucro para
com relao aos servios prestados. Essa perspectiva do vendas efetuadas a segmentos especficos de mercado.
BSC aplicado TI pode ser usada para diferentes medidas, Nesta perspectiva, a TI pode oferecer vrias contribuies,
como: participao no mercado, reteno, captao, pois consegue automatizar os processos internos, torn-
satisfao dos clientes e lucratividade. Esses indicadores, los mais geis e econmicos e difundi-los, facilmente por
quando utilizados em TI, podem ser mais amplamente toda a organizao.
empregados quando se tratar de clientes externos.
[NETTO, SILVEIRA, MENDONA, 2007] 6.2.5 Perspectiva do Aprendizado e do
Crescimento
6.2.4 Perspectiva dos Processos Internos
Os objetivos estabelecidos nas demais perspectivas
Na perspectiva relativa aos processos internos, so revelam onde a empresa deve se destacar para obter um
identificados os processos crticos no qual a empresa deve desempenho excepcional. Os objetivos da perspectiva do
buscar a excelncia, no sentido de atender aos objetivos aprendizado e do crescimento, por sua vez, oferecem a
dos clientes e dos acionistas. infraestrutura que tornar possvel que se atinjam objetivos
ambiciosos nas outras 3 perspectivas. Portanto, a
capacidade de alcanar metas superiores depende das
capacidades organizacionais para o aprendizado e
crescimento.
Fonte:http://www.sincor-rj.com/2011_10_01_archive.html
Como as medidas dos processos internos esto

voltadas para os processos que tero maior importncia Fonte:http://www.firehawktecnologia.com.br/?mode=ti
na satisfao do cliente e na conquista dos objetivos

financeiros da empresa, geralmente os objetivos e medidas A perspectiva do aprendizado e crescimento est
para essa perspectiva s so desenvolvidos depois de dividida em 3 categorias principais:
claramente formulados.
1) Capacidade do Pessoal: Fazer o mesmo
trabalho de forma sistemtica e repetitiva, com
Alguns aspectos dessas medidas sero includos a mesma qualidade e eficincia, no conside-
rado mais uma prtica suficiente para o sucesso
como medidas indispensveis de desempenho na
organizacional. Apenas para manter a posio
perspectiva dos processos internos da grande maioria relativa atual, as empresas se veem obrigadas
das organizaes, principalmente na rea de TI. Netto, a melhorar continuamente. E se quiserem se
destacar alm dos nveis atuais de desempenho
45
financeiro e para os clientes, no suficiente de informaes e alinhamento de pessoas, equipes e

apenas obedecer a procedimentos operacionais unidades organizacionais estratgia e aos objetivos de
padronizados estabelecidos pelo nvel gerencial.
Melhorar os procedimentos e o desempenho longo prazo.
para os clientes deve partir, cada vez mais, dos
colaboradores que se encontram mais prxi-
mos dos processos internos e dos clientes da
empresa. Padres que determinam como os
procedimentos internos e a resposta aos clien-
tes devem ser realizados podem servir de ponto Leia o artigo Balanced Score-
inicial, a partir do qual devem ser feitas melho- card sob as 4 perspectivas por Daniel Galvo
rias contnuas. Como medidas essenciais para
os colaboradores da empresa temos: melhorar Publicado em:
a satisfao, reter (turn over) e aumentar a sua http://ideiascorporativas.wordpress.com/2010/09/26/
produtividade. balanced-scorecard-sob-as-quatro-perspectivas/
2) Capacidade dos Sistemas de Informa-

o: Esse indicador avalia a disponibilidade
atual das informaes relativamente s necessi-
dades previstas e como elas esto sendo disse-
minadas e compartilhadas. Medidas coerentes 6.3 Gerenciamento com BSC
de disponibilidade de informaes estratgicas
poderiam ser o percentual de processos que
oferecem feedback em tempo real sobre a qua- Existe um grande desafio nas organizaes para definir
lidade, tempo e custo, e o percentual de funcio- objetivos e metas para alcanar os resultados esperados,
nrios que lidam diretamente com o cliente e
tm acesso online e em tempo real s informa- mas como mensurar estes objetivos e saber se uma
es referentes a eles. empresa est no caminho certo?
3)Motivao, Empowerment e Alinha-

mento: Mesmo funcionrios habilitados, que Alm de definir objetivos que traduzam a estratgia,
dispem de excelente aptido e acesso s infor- precisamos incluir outros elementos na gesto capazes de
maes, no contribuiro para o sucesso orga-
nizacional se no estiverem motivados a agir orientar a organizao quanto ao alcance dos resultados e
dentro dos interesses da empresa, ou se no os possveis riscos decorrentes de diversos fatores internos
tiverem liberdade para decidir ou agir. Sendo
e externos.
assim, o terceiro vetor dos objetivos de apren-
dizado e crescimento direciona o clima organi-
zacional para motivao e iniciativa dos colabo- De acordo com Pereira (2012), o BSC possui uma
radores. Como medidas bsicas destacam-se:
coleta de sugestes e sua implementao; estrutura lgica que inter-relaciona objetivos estratgicos
melhoria das condies de trabalho; alinhamen- atravs de perspectivas da organizao, lanando mo
to individual e organizacional s estratgias do
destes elementos gerenciveis para serem analisados e
negcio; e medio do desempenho de equipe,
dentre outras que tambm podem ser adotadas controlados no decorrer do ciclo de gesto estratgica.
pela rea de TI.
O BSC se diferencia de outros modelos de gesto porque
pode agregar todos os modelos de controle financeiro
Diferentemente do que ocorre com as perspectivas
e no financeiro que existem desde que propiciem
financeira, dos clientes e dos processos internos, h um
organizao uma forma de indicador de desempenho.
nmero muito menor de exemplos concretos de medidas
para a perspectiva do aprendizado e crescimento.
De acordo com o Silva Netto e Oliveira (2012), para as
organizaes utilizarem o BSC em sua gesto propem-se
Essa carncia de unidades de medidas e experincias
as seguintes etapas de modelagem:
empricas nessa 4 perspectiva do Balanced Scorecard
uma indicao de que no se est vinculando os objetivos 1) Arquitetura do programa de medio: o
estratgicos de reciclagem dos empregados, fornecimento objetivo desta etapa promover uma compre-
46
enso e uma anlise crtica dos direcionadores definem-se metas, planos de ao e respons-
de negcio e da viso de futuro. Um objetivo veis, a fim de direcionar a implementao da
secundrio resgatar as diretrizes estratgicas, estratgia.
analisando sua coerncia com os direcionadores
de negcio e viso de futuro. De acordo com Melo (2012), a abstrao mais
2) Inter-relacionamento de objetivos es- simples para entender o BSC enxerg-lo como uma
tratgicos: as atividades desta etapa implicam biblioteca de melhores prticas para elaborao de
alocar os objetivos estratgicos nas 4 dimen-
um painel de medio de desempenho da estratgia
ses do BSC, correlacionando-as entre si. Nesse
processo podero ou no surgir lacunas no empresarial (dashboard): sua principal funo comunicar
inter-relacionamento, que devero ser elimina- a estratgia de forma clara e objetiva e gerenciar sua
das ou preenchidas a partir de novas discusses
e anlises do planejamento estratgico da orga- implantao. A figura 24 ilustra um dashboard criado com
nizao. base nas perspectivas do BSC.
3) Escolha e elaborao dos indicadores:

o objetivo essencial da seleo de indicadores Parte-se da premissa que o funcionamento do mercado
especficos para o BSC a identificao dos in- na era da informao exige necessidade de inovao,
dicadores que melhor comuniquem o significado
da estratgia que foi estabelecida. globalizao dos negcios e o conhecimento tcito
substituindo a fora braal como contribuio principal
4) Elaborao do plano de implementa-
o: Uma vez definidos os indicadores asso- da fora de trabalho, para direcionar uma atitude mais
ciados aos diferentes objetivos estratgicos, moderna na gesto estratgica.
Figura 24- Exemplo de Dashboard baseado nos indicadores BSC

Fonte: http://www.nixfon.com/solutions_business_performance_dashboard.html
47
Reunir as pessoas da organizao em torno dos a se realizar. As relaes causais fortalecem a histria
objetivos e alcanar as metas estabelecidas necessita como um todo e promovem uma sinergia virtuosa entre
de recursos simples e de fcil leitura para a tomada de os objetivos estratgicos. A perseguio e realizao de
deciso. O BSC um modelo sistematizado e testado um contribui automaticamente para os demais, otimizando
experimentalmente para: esforo e resultado.
Simplificar a estratgia corporativa Segundo Kraemer (2005), um projeto tpico de

Ligar a estratgia ao oramento anual da empre- formulao e implantao de um BSC pode durar 16
sa semanas, porm nem todo esse tempo ocupado com as
Comunicar a estratgia em toda a organizao atividades do BSC, grande parte do tempo determinado
pela disponibilidade dos executivos para entrevistas,
Alinhar a organizao com a estratgia
workshops e reunies.
Medir a eficcia da estratgia.
A figura 25 ilustra um projeto de implantao baseado
no BSC.
As linhas estratgicas definidas pela empresa so

orientadoras do seu percurso e atividade para o curto-
mdio prazo, devendo deter a possibilidade prtica do
ajustamento s diferentes realidades pelas quais vai
passando a empresa.
Outra caracterstica importante do BSC o seu foco

numa estratgia amarrada desde o objetivo puramente
financeiro at o indicador relacionado ao desenvolvimento
do funcionrio. Figura 25 Evoluo da construo de um projeto
baseado no BSC
Fonte: baseado em [KRAEMER, 2005]
Kaplan e Norton (1997) dizem que a estratgia um
conjunto de hipteses que contam uma histria de sucesso
48
Um dos pais do conceito de Balanced Scorecard, David Norton alerta,

em entrevista exclusiva para o COMPUTERWORLD (2003) que 50% das
organizaes esto utilizando BSC de forma errada
CW: Onze anos depois que o Sr. criou o termo Balanced Scorecard (BSC), o que mudou na
conceito e na implementao de BSC?
NORTON: Quando Bob Kaplan e eu desenvolvemos o conceito de Balanced Scorecard, em 1992,
procurvamos incrementar as medies financeiras baseadas em fatos passados com medies de aspectos
internos, de clientes e pessoas e com vis mais direcionado para diretrizes futuras. A ideia simples - que as
organizaes precisam medir mais do que o aspecto financeiro - evoluiu nos ltimos dez anos para formar a
fundao de um sistema de gerenciamento com foco estratgico. Nosso segundo livro, The Strategy-Focused
Organization (A Organizao Focada em Estratgia), mostra como as empresas que primeiro abraaram o
conceito puderam transformar suas organizaes e executar a estratgia utilizando a estrutura de Balanced
Scorecard.
CW: Quais so os principais problemas que podem levar uma estratgia de BSC a fracassar?
NORTON: Na Balanced Scorecard Collaborative, fazemos muitas pesquisas sobre como as organizaes
usam o BSC e quais so os fatores crticos para obter sucesso. Descobrimos que 50% das organizaes esto
utilizando BSC de forma errada. Especificamente, os trs maiores fatores que resultam em falhas so: no h
liderana executiva, no h ligao com a estratgia e no h integrao com o processo de gerenciamento.
Feito da forma correia, o BSC consegue grandes resultados. Feito de forma incorrera, corre-se o risco de
perder uma oportunidade.
CW: Qual a Importncia do componente tecnolgico para uma implementao de BSC?

NORTON: Tecnologia da Informao est se tornando cada vez mais uma parte crtica de uma
implementao de BSC. A integrao com os processos de negcio melhor viabilizada pela tecnologia. Em
organizaes grandes e complexas, descobrimos que a tecnologia para desenhar, reportar e gerenciar
vital para tornar o BSC uma parte do processo dirio de gerenciamento. Mas no estou defendendo que as
organizaes saiam e invistam imediatamente milhes em tecnologia. A deciso tecnolgica deve ser feita em
sintonia com as decises da organizao sobre estratgia e direcionamento.
CW: Quais so os maiores desafios para o CIO quando o departamento de TI instado a

oferecer solues para um projeto de BSC?
NORTON: Eu recomendo fortemente aos CIOs que receberam a tarefa de implementar um BSC que dem
um passo para trs e pensem sobre como o BSC se encaixa na estratgia geral de uma organizao. O projeto
vai ao encontro de fatores crticos para o sucesso, como liderana executiva, alinhamento com a estratgia
e integrao com o sistema de gerenciamento ou apenas mais uma boa idia na organizao? O BSC
oferece uma grande oportunidade para que o CIO participe diretamente das discusses estratgicas, mas isso
no vai acontecer se no houver compreenso e liderana do topo, mostrando que se trata de um programa
de mudanas.
49
CW: Quais os fatores levados em considerao para certificar um software como uma
boa ferramenta de BSC?
NORTON: medida que o BSC cresceu em popularidade, houve um risco real que o mercado de software
comeasse a definir o que um BSC. Nosso programa de certificao de software, lanado h quatro anos, foi
desenvolvido para ajudar a gerenciar esse risco definido as caractersticas mnimas do que chamaramos de
soluo de BSC. Todas as aplicaes certificadas pelo Balanced Scorecard Collaborative atingiram os padres
mnimos que estabelecemos, que incluem requerimentos como a possibilidade de exibir um mapa estratgico,
facilitar conversaes estratgicas e ir dos objetivos estratgicos s medidas estratgicas. Existem atualmente
17 aplicaes certificadas.
Fonte: http://www.webcomm.com.br/clientes/bscol/doc/news/htm/bsc_corporacao_foco.htm
O BSC uma ferramenta til para dirigir empresas Planejar, estabelecer metas e alinhar iniciativas
de forma proativa no curto e no longo prazo. Sua eficcia estratgicas, j que so traadas conjuntamente me-
tas para atingir os objetivos com 3 a 5 anos de ante-
est na correta compreenso dos seus fundamentos, na cedncia, as quais, uma vez alcanadas, permitem a
sua aplicao completa que implique na mudana da gesto evoluo da organizao.
da empresa. Medir a estratgia permite que a organizao
No entanto, existem algumas crticas metodologia
confirme ou rejeite as aes de causa e efeitos assumidos
do BSC, fundamentadas no fato de que alguns usurios
quando se estabeleceu a estratgia. [MELO, 2012]
confundem os fins com os meios. O BSC um meio de
promover a estratgia, e no uma estratgia em si.
A ideia do gerenciamento com base no
BSC que a organizao parta dos objetivos Outro problema muito comum a falta de coordenao
traados para dar um salto de competitividade na entre reas fins e meio ou mesmo entre as diversas
organizao para os prximos 2, 5 ou 10 anos e reas de uma organizao. Uma situao negativa que
derive indicadores para medir se empresa est exemplificaria este problema seria um cenrio em que
caminhando corretamente para a realizao dos a rea de Recursos Humanos, por exemplo, obedecesse
objetivos e, finalmente, se eles foram alcanados. ao seu plano ou quilo que considerasse prioritrio,
enquanto a rea de Logstica atuasse tambm em funo
de seus interesses, e a mesma atitude fosse seguida por
outros setores da empresa como Marketing, TI, etc.
6.4 Vantagens e Desvantagens do uso do
BSC Cada um agindo de acordo com suas prprias
orientaes, mesmo que com base nas 4 perspectivas
Como vantagens da implantao do BSC, as do BSC, mas sem integrao em prol do direcionamento
organizaes podem: comum organizao, configura-se numa situao
indesejada. Na verdade, o BSC age no sentido de evitar tal
Esclarecer e traduzir a misso e a viso, ini-
fragmentao de gesto.
ciando-se com um trabalho de equipe traduzindo a
estratgia da organizao em objetivos estratgicos
especficos; Podemos citar como principais pontos fracos do BSC:
Comunicar e associar objetivos e mensuraes
estratgicas, que so transmitidos aos colaboradores Relaes de causa e efeito unidirecionais e muito
atravs de boletins informativos, quadros de avisos e simplistas;
e-mails;
No separa causa e efeito no tempo;
50
Ausncia de mecanismos para validao; aqueles voltados para o planejamento e controle, precisam
avaliar a viabilidade e os possveis ganhos decorrentes da
Vnculo entre estratgia e a operao insuficien-
te; implementao do BSC em suas organizaes.
Muito internamente focado;
A ausncia de uma base histrica suficiente para

anlise de um indicador pode levar a concluses im-
Leia sobre os resultados da
precisas.
implantao do BSC no governo do estado de
importante lembrar que o BSC se encontra hoje Santa Catarina
incorporado na gesto de organizaes pblicas ou
privadas, de pequeno ou grande porte, de natureza Disponvel em:
http://peg.sea.sc.gov.br/index.php?option=com_co
comercial, industrial ou de servios e de diferentes setores
ntent&view=article&id=195&Itemid=288
da economia (financeiro, sade, varejo, eletromecnico
etc.). Os profissionais da organizao, principalmente
1) Qual foi o principal objetivo de Kaplan e Norton ao criarem o BSC?
2) Qual a importncia do uso do BSC para a gesto de TI?
3) Descreva as quatro perspectivas do BSC.
4) Explique o termo indicador balanceado.
51
CONSIDERAES FINAIS Com base nessa nova viso relativa governana

de TI, conclumos que fator crtico de sucesso para as
Caro aluno, esperamos que voc tenha atingido nossos organizaes apoiarem-se em modelos como o COBIT
objetivos de aprendizado em relao aos temas discutidos para aumentar seu controle sobre os recursos de TI e,
nessa disciplina. Nosso objetivo foi trazer para voc uma consequentemente, aumentar a maturidade dos processos
abordagem ttica e estratgica desse tema que vem de TI. Adicionalmente, as empresas devem, antes de
a cada dia sendo cobrado de forma mais enftica nos alinhar quais processos devero ser controlados, obter um
perfis profissionais que as empresas buscam: prtica de alinhamento profundo e bem estruturado com as metas e
governana de TI com base no COBIT, apoiado pelo BSC. objetivos de negcio da organizao para que os processos
controlados estejam primariamente alinhados estratgia
Levamos as discusses em um nvel de profundidade da organizao.
que, acreditamos, capacita voc desde j a participar da
implementao ou at mesmo implementar um plano Os modelos de governana de TI aliados adeso
de gesto e controle de TI consistente e ter uma viso metodologia Balanced Scorecard, elencam um novo
mais estratgica da TI, sempre levando em considerao cenrio para profissionais de TI. muito clara hoje, a busca
o alinhamento estratgico com o negcio. Voc saber das empresas por estratgias organizacionais, e a rea de
como usar os recursos de TI exclusivamente para gerar TI precisa estar alinhada a esta estratgia corporativa,
valor ao negcio, apoiar a organizao com controle e criando um plano ttico que leve em considerao as metas
maturidade nos processos de TI, de forma a gerenciar os definidas pela alta administrao em termos de viso,
riscos operacionais e garantir maior eficincia do uso de TI misso, objetivos e indicadores. A abordagem sistemtica
para os processos da organizao. que fizemos desse tema nesta disciplina, vai contribuir
para que voc seja este profissional ambicionado pelas
Como voc aprendeu, a implantao de controles de TI empresas.
com base no COBIT trabalhosa, para cada processo deve
ser avaliado e definido um plano de implantao, apoiado Parabns por ter concludo esta disciplina e esperamos
em indicadores de performance. Sabemos que o COBIT que o conhecimento aqui adquirido contribua de forma
apenas um modelo de apoio que referencia o que devemos significativa para a sua melhor atuao profissional!
fazer e que h diversas prticas e modelos no mercado
que apoiam as organizaes em planejar o como fazer. Prof. Renato Lima e Profa. Elisamara
52
Captulo 2
RESPOSTAS COMENTADAS DOS
EXERCCIOS 1) Qual a definio do COBIT para os requisitos
de monitoramento dos controles e nvel de
Captulo 1
performance?
1) Qual o papel da Governana de TI dentro das

No COBIT, a resposta para os requisitos de definio e
organizaes?
monitoramento dos controles e nvel de performance de TI
compreendida por:
Garantir alinhamento e sinergia com a Governana
Corporativa e dar condies empresa de obter um maior Benchmarking da performance e capacidade dos
grau de eficincia no uso e no controle das aes de TI processos de TI, que so expressos em modelos de
alinhado estratgia de negcio da organizao, de forma maturidade derivados do CMM- Capability Maturity
Model, proposto pelo SEI- Software Engineering Ins-
a usar a TI para gerar valor ao negcio. titute.
Objetivos e mtricas dos processos de TI, neces-

2) O que ISACA e ITGI e o que fazem? srios para definir e avaliar os seus resultados e per-
formance baseados nos princpios do BSC- Balanced
business ScoreCard
ISACA - Information Systems Audit and Control
Association (Associao de Auditoria e Controle de Objetivos das atividades: para controlar esses
Sistemas de Informao) uma organizao global de processos com base nos objetivos de controle do
COBIT.
profissionais de governana de TI, controle, segurana e
auditoria. Os padres de auditoria de sistemas e controles Com essas variveis garante-se uma abordagem
propostos pela ISACA so seguidos por profissionais no puramente estratgica da TI para atender as necessidades
mundo todo e suas pesquisas destacam as questes e objetivos de negcio. O objetivo usar a TI como gerador
profissionais que apresentam desafios aos seus associados. de valor e ferramenta de ganho de eficincia melhorando
Juntos, a ISACA e seu instituto associado, o ITGI - IT os resultados da empresa.
Governance Institute (Instituto de Governana da TI)
lideram a comunidade de controle em TI e atendem seus 2) Quais as cinco reas de da governana com
praticantes fornecendo os insumos tecnolgicos requeridos base no IT Governance e o que cada uma faz?
pelos profissionais de TI.
1 - Alinhamento estratgico: foca em garantir a ligao
3) Defina o que alinhamento estratgico da TI. entre os planos de negcios e de TI
2 - Entrega de valor: a execuo da proposta de
O ITGI defende que a alta direo tem papel
valor de IT atravs do ciclo de entrega, garantindo que TI
fundamental e responsvel por liderar, definir uma
entrega os prometidos benefcios previstos na estratgia
estrutura organizacional alinhada s metas e objetivos da
da organizao
organizao e definir processos que garantam que a TI
3 - Gesto de recursos: refere-se melhor utilizao
corporativa sustente e estenda as estratgias e objetivos
possvel dos investimentos e o apropriado gerenciamento
da organizao, ou seja, que TI faa parte integral da
dos recursos crticos de TI
estratgia corporativa. De acordo com este conceito, deve
4 - Gesto de risco: requer a preocupao com riscos
haver um alinhamento estratgico da TI estratgia
pelos funcionrios mais experientes da corporao, um
corporativa, para garantir a ligao entre os planos de
entendimento claro do apetite de risco da empresa e dos
negcios e de TI, definindo, mantendo e validando a
requerimentos de conformidade, transparncia sobre os
proposta de valor de TI, alinhando as operaes de TI
riscos
com as operaes da organizao.
53
5 - Mensurao de desempenho: acompanha e monitora Aqueles que executam funes de con-

a implementao da estratgia, trmino do projeto, uso formidade
dos recursos, processo de performance e entrega dos Aqueles que requerem ou fornecem ser-
servios vios de avaliao
3) Associe corretamente os 7 requisitos com sua

3) O que COSO e qual o seu papel?
definio.
O COSO - Committee of Sponsoring Organizations

Integridade: relaciona-se com a fidedignidade e
of the Treadway Commission (Comit das Organizaes
totalidade da informao bem como sua validade de
Patrocinadoras do Treadway) uma organizao privada
acordo os valores de negcios e expectativas.
criada nos EUA em 1985 para prevenir e evitar fraudes
Confiabilidade: relaciona-se com a entrega da
nas demonstraes contbeis das empresas. A exemplo
informao apropriada para os executivos para administrar
de outras prticas complementares ao COBIT, o COSO
e exercer suas responsabilidades fiducirias e de
geralmente aceito como uma metodologia de controle
governana.
interno para corporaes.
Conformidade: lida com a aderncia a leis,
regulamentos e obrigaes contratuais aos quais os
Captulo 3
processos de negcios esto sujeitos, isto , critrios de
negcios impostos externamente e polticas internas.
1) Qual alternativa no se refere a um motivo
Efetividade: lida com a informao relevante e
para a adoo de um modelo de governana de TI?
pertinente para o processo de negcio bem como a
sua entrega em tempo, de maneira correta, de forma
c) reduzir o nmero de profissionais de TI dentro da
consistente e utilizvel.
empresa
Disponibilidade: relaciona-se com a disponibilidade
da informao quando exigida pelo processo de negcio
2) Liste os principais stakeholders.
hoje e no futuro. Tambm est ligada salvaguarda dos
recursos necessrios e capacidades associadas.
Stakeholders dentro da empresa que procuram
gerar valor a partir dos investimentos em TI: Eficincia: relaciona-se com a entrega da informao
atravs do melhor (mais produtivo e econmico) uso dos
Aqueles que tomam decises sobre in-
vestimentos recursos.
Confidencialidade: est relacionada com a proteo
Aqueles que decidem sobre requisitos
de informaes confidenciais para evitar a divulgao
Aqueles que usam os servios de TI indevida.
Stakeholders dentro e fora da empresa que for-
necem servios de TI: 4) Cite pelo menos trs fatores que tornaram as
Aqueles que gerenciam a organizao e boas prticas de TI importantes.
os processos de TI
Executivos de negcio e a alta direo vm de-
Aqueles que desenvolvem as capacidades mandando um melhor retorno dos investimentos em
TI, isto , vm exigindo que a rea de TI entregue
Aqueles que operam os servios as necessidades da rea de negcios para aumentar
o valor para partes interessadas
Stakeholders dentro e fora da empresa que tm
responsabilidades sobre controles/riscos: Preocupao com o aumento observado nos gas-
tos com TI
Aqueles com responsabilidades sobre
segurana, confidencialidade e/ou riscos Necessidade de atender s exigncias regulat-
rias de controles de TI em reas com privacidade de
54
informaes e relatrios financeiros (por exemplo,

Lei Sarbanes-Oxley e Basilia II) e regulamentaes 3) O que a tabela RACI do COBIT e para que
para setores especficos como as reas de finanas,
de sade e farmacutica serve?
Necessidade de seleo de provedores de ser-

vios e de gerenciamento e aquisio de servios O COBIT prov a tabela RACI - Responsible,
terceirizados Accountable, Consulted and Informed para cada processo.
Aumento da complexidade dos riscos relaciona- RACI identifica quem responsvel (R), responsabilizado
dos TI, como a segurana de redes (A), consultado (C) e/ou (I) informado. O termo
responsabilizado significa que a responsabilidade
Necessidade de implantao de governana de
TI que inclui a adoo de metodologias de controles deste indivduo esta a pessoa que d orientaes e
e boas prticas que ajudem a monitorar e aprimorar autoriza uma certa atividade. responsvel a pessoa
as atividades crticas de TI para ampliar o valor do
negcio e reduzir os riscos que faz com que a tarefa seja executada. Os outros dois
papeis (consultado e informado) asseguram que todos
Necessidade de otimizar os custos seguindo,
sempre que possvel, um enfoque padronizado em que precisam sero envolvidos e suportam o processo.
vez de abordagens desenvolvidas de forma customi- Outra tabela do COBIT descreve o papel a responsabilidade
zada de cada membro da equipe dentro de um processo, com
isso o nvel de controle mais efetivo e direcionado aos
Captulo 4
donos dos processos.
1) Associe os 4 domnios com sua funo e

4) Quais so os 5 nveis de maturidade do COBIT
marque a resposta correta:
e o que cada um indica?
d) ME AI PO DS
0 Inexistente Completa falta de um processo
reconhecido. A empresa nem mesmo reconheceu que
2) O que so controles e para que servem os
existe uma questo a ser trabalhada.
objetivos de controles do COBIT?
1 Inicial Existem evidncias que a empresa
reconheceu que existem questes e que precisam ser
Controle definido como polticas, procedimentos,
trabalhadas.
prticas e estruturas organizacionais criadas para prover
2 Repetvel Os processos evoluram para um
uma razovel garantia de que os objetivos do negcio
estgio onde procedimentos similares so seguidos por
sero atingidos e que eventos indesejveis sero evitados
diferentes pessoas fazendo a mesma tarefa. H um alto
ou detectados e corrigidos. Os objetivos de controle de TI
grau de confiana no conhecimento dos indivduos e
do COBIT fornecem um conjunto completo de requisitos de
consequentemente erros podem ocorrer.
alto nvel a serem considerados pelos executivos para um
3 Processo Definido Procedimentos foram
controle efetivo de cada processo de TI. De uma maneira
padronizados, documentados e comunicados atravs de
mais detalhada, os controles:
treinamento. mandatrio que esses processos sejam
so definies de aes gerenciais para aumentar seguidos; no entanto, possivelmente desvios no sero
o valor ou reduzir o risco detectados. Os procedimentos no so sofisticados mas
consistem em polticas, procedimentos, prticas e existe a formalizao das prticas existentes.
estruturas organizacionais 4 Gerenciado e Mensurvel A gerencia monitora e
so desenvolvidos para prover uma razovel mede a aderncia aos procedimentos e adota aes onde os
garantia de que os objetivos de controle sero atin- processos parecem no estar funcionando muito bem. Os
gidos e que eventos indesejveis sero evitados ou
processos esto debaixo de um constante aprimoramento
detectados e corrigidos
55
e fornecem boas prticas. Automao e ferramentas so Captulo 5

utilizadas de uma maneira limitada ou fragmentada.
5 Otimizado Os processos foram refinados a um 1) Porque o COBIT tem tido uma aceitabilidade
nvel de boas prticas, baseado no resultado de um cada vez mais forte dentro das empresas?
contnuo aprimoramento e modelagem da maturidade
como outras organizaes. TI utilizada como um caminho O COBIT baseado na anlise e na harmonizao
integrado para automatizar o fluxo de trabalho, provendo dos padres e boas prticas de TI existentes e adequa-
ferramentas para aprimorar a qualidade e efetividade, se aos princpios de governana geralmente aceitos. O
tornando a organizao rpida em adaptar-se. COBIT est posicionado em alto nvel, direcionado por
requisitos de negcios, abrange todas as atividades de TI
5) O que um modelo de maturidade e como as e concentra-se no que deveria ser obtido e no em como
empresas podem alcanar essa maturidade? atingir uma efetiva governana, gerenciamento e controle.
Assim, o COBIT age como um integrador das prticas de
O modelo de maturidade para o gerenciamento e governana de TI e influencia a alta direo, gerncias de
controle dos processos de TI baseado num mtodo de negcios e de TI, profissionais de governana, avaliao e
avaliar a organizao, permitindo que ela seja pontuada segurana, profissionais de auditoria de TI e de controles.
de um nvel de maturidade no-existente (0) a otimizado Ele desenhado para ser complementar e utilizado com
(5). No COBIT, uma definio genrica provida para as outros padres e boas prticas. Em funo de todas estas
escalas de maturidade (resposta da questo 4) que so caractersticas que o COBIT vem sendo cada vez mais
similares s do CMM, mas interpretadas de acordo com aceito dentro das empresas como um padro que as
a natureza dos processos de gerenciamento de TI. Um levar a adquirir a maturidade em seus processos ligados
modelo especfico fornecido derivando dessa escala governana de TI.
genrica para cada um dos 34 processos COBIT. Os nveis
de maturidade so designados como perfis de processos 2) Qual a relao do COBIT com o negcio da
de TI que a empresa reconheceria como descrio de empresa?
possveis situaes atuais e futuras. Para alcanar esta
maturidade, as empresas devem seguir: O modelo COBIT baseado nos seguintes princpios:
prover a informao de que a organizao precisa para
Um conjunto de requisitos e aspectos que habili- atingir os seus objetivos, identificar as necessidades para
tam os diferentes nveis de maturidade
investir, gerenciar e controlar os recursos de TI usando um
Uma escala onde a diferena pode ser facilmente conjunto estruturado de processos para prover os servios
medida
que disponibilizam as informaes necessrias para a
Uma escala que pode ser utilizada para compara- organizao. O gerenciamento e o controle da informao
es pragmticas
esto presentes em toda a metodologia COBIT e ajudam
Uma base para definir as posies como est e a assegurar o alinhamento com os requisitos de negcios.
como ser
Para atender aos objetivos de negcios, as informaes
Suporte para a anlise de deficincias a fim de precisam se adequar a certos critrios de controles, que o
determinar o que precisa ser feito para atingir o nvel COBIT prov de forma adequada e consistente.
escolhido
Considerada no conjunto, uma viso de como a

rea de TI gerenciada na organizao
56
3) Cada processo dentro do COBIT coberto por sejam apropriadamente gerenciados e controlados com
quatro sees, cite-as e explique-as. base nos objetivos de controle de COBIT, bem como
alinhados e monitorados usando os objetivos e mtricas
A seo 1 contm uma descrio do processo que do COBIT.
resume os objetivos do processo.
A seo 2 apresenta os objetivos de controle desse Captulo 6
processo.
A seo 3 apresenta os processos de entrada e sada, 1) Qual foi o principal objetivo de Kaplan e
a referncia tabela RACI (identifica quem responsvel Norton ao criarem o BSC?
(R), responsabilizado (A), consultado (C) e/ou (I)
informado), objetivos e mtricas. O objetivo era mostrar as desvantagens de usar apenas
A seo 4 apresenta o modelo de maturidade do medidas financeiras - que prejudicam a capacidade das
processo. empresas em criar valor econmico para o futuro - para
julgar o desempenho empresarial, incentivando as
4) Assinale V-Verdadeiro ou F-Falso empresas a medir tambm fatores como qualidade e
satisfao do cliente.
( V ) A implementao de boas prticas deve ser
consistente com a governana e o ambiente de controle da 2) Qual a importncia do uso do BSC para a
organizao, apropriada para a organizao e integrada a gesto de TI?
outros mtodos e prticas utilizadas.
O BSC pode ajudar a gesto de TI a implementar e
( F ) O COBIT orientado para os objetivos e escopo acompanhar indicadores da rea.
da governana de TI, assegurando que a metodologia de
controle seja compreensiva, alinhada com os princpios de 3) Descreva as quatro perspectivas do BSC.
governana de organizaes. Mas a maior dificuldade
que seu modelo pouco aceitvel para a alta direo e Financeira: tem como objetivo satisfazer as necessidades
executivos. dos acionistas;
Clientes: as empresas devem identificar os segmentos
( V ) O COBIT foi desenvolvido e mantido por um de clientes e mercado nos quais desejam competir. Esses
instituto de pesquisa independente e sem fins lucrativos, segmentos representam as fontes que iro produzir
contando com a experincia de seus membros associados, o componente de receita dos objetivos financeiros da
especialistas e profissionais de controle e segurana. empresa.
Processos Internos: nesta perspectiva so identificados
( F ) Para atingir o alinhamento das boas prticas com os processos crticos no qual a empresa deve buscar a
os requisitos de negcios recomendvel que o COBIT excelncia, no sentido de atender aos objetivos dos
seja utilizado num alto nvel, provendo uma metodologia clientes e dos acionistas.
de controle geral com base em um modelo de processos Aprendizado e Crescimento: oferecem a infraestrutura
de TI que deve servir apenas para as reas que trabalham que tornar possvel que se atinjam objetivos ambiciosos
com TI na empresa. nas outras trs perspectivas. Portanto, a capacidade de
alcanar metas superiores depende das capacidades
( V )O modelo COBIT une os requisitos de negcios organizacionais para o aprendizado e crescimento.
para informao e governana aos objetivos da funo de
servios de TI. O modelo de processos do COBIT permite
que as atividades de TI e os recursos que as suportam
57
4) Explique o termo indicador balanceado.
O termo indicadores balanceados est ligado ao fato

de a escolha dos indicadores de uma organizao no se
restringirem unicamente no foco econmico-financeiro. As
organizaes tambm se utilizam de indicadores focados
em ativos intangveis como: desempenho de mercado
junto a clientes, desempenho dos processos internos e das
pessoas, inovao e tecnologia.
58
BIBLIOGRAFIA MELO, Joo. O que Balanced Scorecard.

2012. Disponvel em: http://reader.feedshow.com/
show_items-feed=b5534b8076f411a7c99e7b28a4fc064d.
ALBERTIN, Rosa; ALBERTIN, Albert. Estratgias de Acesso em 29 jan. 2013.
Governana de Tecnologia da Informao. Rio de
janeiro: Campus, 2009. OBRIEN, James A. Sistemas de Informao e as
decises gerenciais na era da Internet. So Paulo:
ANDRADE, Adriana; ROSSETTI, Jos P. Governana Saraiva, 2010.
Corporativa. So Paulo: Atlas, 2007.
BARNEY, J. B; HERSTERLY, W. S. Administrao OLIVEIRA, D. P. R. Sistemas de informaes
estratgica e vantagem competitiva. So Paulo: gerenciais: estratgias, tticas, operacionais. So
Pearson, 2007. Paulo: Atlas, 2008.
BENTLEY, William. Lean Six Sigma for CIO. CRC PEREIRA, Pedro. Gerenciamento atravs de
Press, 2009. objetivos estratgicos. Disponvel em: http://www.
pedropereira.com.br/2009/03/estruturando-objetivos-
FRANCO, D.H. Tecnologias e ferramentas de estrategicos-para-a-organizacao/. Acesso em 27 Mar.
gesto. Campinas: Alinea, 2009. 2012.
KAPLAN, Robert S; NORTON, David P. A estratgia SILVA NETTO, Abner; OLIVEIRA, Elisamara.
em ao: Balanced Scorecard. Rio de Janeiro: Campus, Planejamento Estratgico de TI. So Paulo, 2012.
1997. 73p.Material Didtico(Curso de ps graduao lato sensu
emGesto Estratgica da Tecnologia da Informao)
KAPLAN, Robert S.; NORTON, David P.Mapas Universidade Gama Filho.
Estratgicos: convertendo ativos intangveis em
resultados tangveis. Rio de Janeiro: Elsevier, 2004. SOUZA NETO, Manoel Veras; RAMOS, Anatlia S. M.
Gesto da Tecnologia da Informao. Natal: Editora
KRAEMER, Maria Elisabeth P. Sistema de UFRN, 2010.
gerenciamento estratgico BSC nas
instituies de ensino superior. 2005. TURBAN, Efraim; KING, David; ARONSON; Jay E.
Disponvel em: http://www.gestiopolis.com/Canales4/ Business Intelligence. Porto Alegre: Bookman, 2009.
ger/sistemageren.htm. Acesso em 28 Jan. 2013. WEILL, Peter; ROSS, Jeanne W. Governana de TI-
Tecnologia da Informao. So Paulo: Makron Books,
LAHTI, Christian; PETERSON, Roderick. Sarbanes- 2005.
Oxley Conformidade de TI usando COBIT. Rio de
Janeiro: Alta Books, 2006. Indicaes na web:
ITGI IT Governance Institute. COBIT 4.1. 2007. Sites da ISACA e do IT Governance

Disponvel em: http://www.trainning.com.br/download/ Institute:
cobit41isaca_portugues.pdf. Acesso em 28 jan. 2013. www.isaca.org
www.isaca.org.br
www.itgovernance.co.uk/
59

Governança de TI

Transféré par

Informations du document

Description originale:

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Governança de TI

Transféré par

Droits d'auteur :

Formats disponibles

Prticas de Governana em TI (COBIT, BSC)

viso geral, como o COBIT se encaixa com outros modelos

interessadas no negcio. rea Contbil-financeira

...O presente trabalho tem a inteno de avaliar a

Juntos, a ISACA e seu instituto associado, o ITGI - IT

Em 1969, o grupo foi formalizado e incorporado como

A necessidade da avaliao do valor de TI, o

1) Qual o papel da Governana de TI dentro das organizaes?

2) O que ISACA e ITGI e o que fazem?

3) Defina o que alinhamento estratgico de negcio com o da TI.

a mitigao dos riscos em TI

2.1 O que o COBIT?

fazer uma ligao com os requisitos de negcios

que os objetivos de negcio sero atingidos e os eventos

Em segundo lugar, no complexo ambiente atual, os

Como j dissemos, a verso do COBIT que trabalharemos

mercado que um dos objetivos desse curso.

O COBIT 5 apoia as empresas para que consigam

Nessa nova verso, o COBIT descreve como pilares de

2.2. Componentes do framework do

Este o princpio bsico do framework COBIT, conforme

O cubo o modelo que representa como os componentes

Eficincia O foco em processos do COBIT ilustrado por um

No COBIT os processos agrupam as principais

Objetivos e mtricas dos processos de TI: para

Objetivos das atividades: para controlar esses

mtricas e referencial puramente estratgica da TI para atender as necessidades

Dessa forma, o modelo BSC traduz a misso e

priado gerenciamento dos recursos crticos

Como vimos, caro aluno, a mensurao da performance

Muitas pesquisas identificaram a falta de transparncia

O IT Governance destaca as 5 reas da governana da

nas funes de TI, fornecendo um modelo de referncia

O modelo de processos do COBIT foi

Dentro do processo de governana, o COBIT tem um

Figura 9 - Interao do COBIT com outros modelos e

COBIT Control Practices: Explicam porque

http://controladoriaefinancas.blogspot. IT Assurance Guide: Using COBIT: Traz

O diagrama de contedos do COBIT mostrado na figura

Board Briefing on IT Governance: Publicao

Prticas-chaves de gerenciamento: Organi-

Objetivos de controle: Proporcionam um com-

IT Governance Implementation Guide:

O COBIT atualizado continuamente e harmo-

http://www.youtube.com/watch?v=bg_GEN8AZA0 A estrutura de processos do COBIT e o seu

viso clara para os executivos sobre o

1) Qual a definio do COBIT para os requisitos de monitoramento dos controles e nvel

3) O que COSO e qual o seu papel?

definir os objetivos de controles gerenciais a se-

Cada vez mais a alta direo est percebendo o

Os executivos esperam obter um entendimento mais

(Retirar imagem que estiver aps esta frase pois no

Em particular, os executivos precisam saber se as As boas prticas de TI tornaram-se significantes devido

informaes esto sendo devidamente gerenciadas de a inmeros fatores, dentre eles:

modo que a empresa possa:

Necessidade de implantao de governana de

Como consequncia do rumoroso caso da Enron Corporation, o congresso americano aprovou

Partes interessadas dentro da empresa que pro-

Aqueles que tomam decises sobre in-

Aqueles que decidem sobre requisitos

Aqueles que usam os servios de TI

Partes interessadas dentro e fora da empresa que

Aqueles que operam os servios