COBIT-2019-Framework-Introduction-and-Methodology_res_Spa_0519 pdf es pt

Prévia do material em texto

COBIT® 2019 QUADRO DE REFERÊNCIA: INTRODUÇÃO E METODOLOGIA
 
Cópia pessoal de Silvio Rodrigues (ID ISACA: 1141415)
Cópia pessoal de Silvio Rodrigues (ID ISACA: 1141415)
Cópia pessoal de Silvio Rodrigues (ID ISACA: 1141415)
Sobre ISACA 	 
Com quase 50 anos de vida, a ISACA® (isaca.org) é uma organização global que ajuda indivíduos e empresas a realizar o potencial positivo da tecnologia. A tecnologia impulsiona o mundo de hoje e a ISACA fornece aos profissionais o conhecimento, as credenciais, a educação e a comunidade para avançar em suas carreiras e transformar suas organizações. A ISACA aproveita a experiência de meio milhão de profissionais dedicados em informação e cibersegurança, governança, garantia, risco e inovação, bem como sua afiliada de desempenho de negócios, o instituto CMMI®, para contribuir com mais inovação por meio da tecnologia. A ISACA está presente em mais de 188 países, incluindo mais de 217 capítulos e escritórios, tanto nos Estados Unidos quanto na China.
 Isenção de responsabilidade 
A ISACA projetou e criou o COBIT® 2019 Reference Framework: Introdução e metodologia (o “Trabalho”) principalmente como um recurso educacional para profissionais em governança de negócios de tecnologia da informação (GETI), seguro, risco e segurança. ISACA não assume nenhuma responsabilidade de que o uso de qualquer parte da Obra garanta um bom resultado. Não se deve considerar que o Trabalho inclui todas as informações, procedimentos e testes corretos, nem exclui outras informações, procedimentos e testes que sejam razoavelmente orientados para a obtenção dos mesmos resultados. Para determinar a propriedade de qualquer informação, procedimento ou teste específico, profissionais de tecnologia da informação de governança de negócios (ITG), garantia,
 direito autoral 
© 2018 ISACA. Todos os direitos reservados. Para acessar as instruções de uso, visite www.isaca.org/COBITuse.
 
ISACA 
1700 E. Golf Road, Suite 400 
Schaumburg, IL 60173, EUA 
Telefone: +1.847.660.5505 
Fax: +1.847.253.1755 
Contate-nos: https://support.isaca.org Site: www.isaca.org 
 
Participe dos Fóruns Online ISACA: https://engage.isaca.org/onlineforums 
 
Twitter: http://twitter.com/ISACANews 
LinkedIn: www.linkedin.com/company/isaca 
Facebook: www.facebook.com/ISACAHQ 
Instagram: www.instagram.com/isacanews/
Estrutura COBIT® 2019: Introdução e metodologia 
ISBN 978-1-60420-788-0
NA MEMÓRIA: JOHN LAINHART (1946-2018)
 In Memory: John Lainhart (1946-2018) 
Dedicado a John Lainhart, Presidente do Conselho de Administração da ISACA, 1984-1985. John foi uma figura chave na criação da estrutura COBIT® e nos últimos anos atuou como presidente do grupo de trabalho COBIT® 2019, culminando na criação deste trabalho. Durante suas quatro décadas na ISACA, John participou de vários aspectos da organização, além de possuir as certificações CISA, CRISC, CISM e CGEIT da ISACA. John deixa para trás um incrível legado pessoal e profissional, e seu trabalho teve um grande impacto na ISACA.
Página intencionalmente em branco
COBIT® 2019 QUADRO DE REFERÊNCIA: INTRODUÇÃO E METODOLOGIA
COBIT® 2019 QUADRO DE REFERÊNCIA: INTRODUÇÃO E METODOLOGIA
dois
Cópia pessoal de Silvio Rodrigues (ID ISACA: 1141415)
dois
Cópia pessoal de Silvio Rodrigues (ID ISACA: 1141415)
Cópia pessoal de Silvio Rodrigues (ID ISACA: 1141415)3
OBRIGADO
Obrigado
ISACA deseja agradecer: 
 
 Grupo de Trabalho COBIT (2017-2018)
John Lainhart, Presidente, CISA, CRISC, CISM, CGEIT, CIPP / G, CIPP / US, Grant Thornton, EUA.
Matt Conboy, Cigna, EUA Ron Saull, CGEIT, CSP, Great-West Lifeco & IGM Financial (aposentado), Canadá
 
 Equipe de desenvolvimento
Steven De Haes, Ph.D., Antwerp Management School, University of Antwerp, Bélgica
Matthias Goorden, PwC, Bélgica
Stefanie Grijp, PwC, Bélgica
Bart Peeters, PwC, Bélgica 
Geert Poels, Ph.D., Universidade de Ghent, Bélgica Dirk Steuperaert, CISA, CRISC, CGEIT, IT In Balance, Bélgica
 
 Revisores especialistas 
Sarah Ahmad Abedin, CISA, CRISC, CGEIT, Grant Thornton LLP, EUA.
Floris Ampe, CISA, CRISC, CGEIT, CIA, ISO27000, PRINCE2, TOGAF, PwC, Bélgica
Elisabeth Antonssen, Nordea Bank, Suécia
Krzystof Baczkiewicz, CHAMP, CITAM, CSAM, Transpectit, Polônia
Christopher M. Ballister, CRISC, CISM, CGEIT, Grant Thornton, EUA.
Gary Bannister, CGEIT, CGMA, FCMA, Áustria
Graciela Braga, CGEIT, Auditora e Consultora, Argentina
Ricardo Bria, CISA, CRISC, CGEIT, COTO CICSA, Argentina
Sushil Chatterji, CGEIT, Edutech Enterprises, Singapura
Peter T. Davis, CISA, CISM, CGEIT, Assessor COBIT 5, CISSP, CMA, CPA, PMI-RMP, PMP, Peter Davis + Associates, Canadá
James Doss, CISM, CGEIT, EMCCA, PMP, SSGB, TOGAF 9, ITvalueQuickStart.com, EUA
Yalcin Gerek, CISA, CRISC, CGEIT, ITIL Expert, Prince2, ISO 20000LI, ISO27001LA, TAC AS., Turquia James L. Golden, Golden Consulting Associates, EUA.
J. Winston Hayden, CISA, CISM, CRISC, CGEIT, África do Sul
Jimmy Heschl, CISA, CISM, CGEIT, Red Bull, Áustria
Jorge Hidalgo, CISA, CISM, CGEIT, Chile
John Jasinski, CISA, CRISC, CISM, CGEIT, Assessor COBIT 5, CSM, CSPO, IT4IT-F, ITIL Expert, Lean IT-F, MOF, SSBB, TOGAF-F, EUA.
Joanna Karczewska, CISA, Polônia
Glenn Keaveny, CEH, CISSP, Grant Thornton, EUA.
Eddy Khoo SK, CGEIT, Kuala Lumpur, Malásia
João Souza Neto, CRISC, CGEIT, Universidade Católica de Brasília, Brasil Tracey O'Brien, CISA, CISM, CGEIT, IBM Corp (aposentado), EUA.
Zachy Olorunojowon, CISA, CGEIT, PMP, Ministério da Saúde de BC, Victoria, BC Canadá
Opeyemi Onifade, CISA, CISM, CGEIT, BRMP, CISSP, ISO 27001LA, M.IoD, Afenoid Enterprise Limited, Nigéria
Abdul Rafeq, CISA, CGEIT, FCA, Diretor Administrativo, Wincer Infotech Limited, Índia Dirk Reimers, Entco Deutschland GmbH, A Micro Focus Company Steve Reznik, CISA, CRISC, ADP, LLC., EUA.
Bruno Horta Soares, CISA, CRISC, CGEIT, PMP, GOVaaS - Governance Advisors, as-a-Service, Portugal
Agradecimentos (cont.)
Revisores especialistas (cont.)
Dr. Katalin Szenes, Ph.D., CISA, CISM, CGEIT, CISSP, Faculdade de Informática John von Neumann, Universidade Obuda, Hungria
Peter Tessin, CISA, CRISC, CISM, CGEIT, Discover, EUA Mark Thomas, CRISC, CGEIT, Escoute, EUA.
John Thorp, CMC, ISP, ITCP, The Thorp Network, Canadá
Greet Volders, CGEIT, COBIT Assessor, Voquals NV, Bélgica
Markus Walter, CISA, CISM, CISSP, ITIL, PMP, TOGAF, PwC Singapura / Suíça
David M. Williams, CISA, CAMS, Westpac, Nova Zelândia Greg Witte, CISM, G2 Inc., EUA	 
 Conselho de Administração da ISACA
Rob Clyde, CISM, Clyde Consulting LLC, EUA, Presidente
Brennan Baybeck, CISA, CRISC, CISM, CISSP, Oracle Corporation, EUA, Vice-presidente Tracey Dedrick, Ex-Chief Risk Officer do Hudson City Bancorp, EUA
Leonard Ong, CISA, CRISC, CISM, CGEIT, COBIT 5 Implementador e Consultor, CFE, CIPM, CIPT, CISSP, 
CITBCM, CPP, CSSLP, GCFA, GCIA, GCIH, GSNA, ISSMP-ISSAP, PMP, Merck & Co., Inc., Singapura
RV Raghu, CISA, CRISC, Versatilist Consulting India Pvt. Ltd., Índia
Gabriela Reynaga, CISA, CRISC, COBIT 5 Foundation, GRCP, Holística GRC, México Gregory Touhill, CISM, CISSP, Cyxtera Federal Group, EUA. 
Ted Wolff, CISA, Vanguard, Inc., EUA.
Tichaona Zororo, CISA, CRISC, CISM, CGEIT, COBIT 5 Assessor, CIA, CRMA, EGIT | Governança Corporativa de TI (Pty) Ltd, África do Sul
Theresa Grafenstine, CISA, CRISC, CGEIT, CGAP, CGMA, CIA, CISSP, CPA, Deloitte & Touche LLP, EUA, Presidente do Conselho de Administração da ISACA, 2017-2018
Chris K. Dimitriadis, Ph.D., CISA, CRISC, CISM, INTRALOT, Grécia, Presidente do Conselho de Administração da ISACA, 2015-2017
Matt Loeb, CGEIT, CAE, FASAE, Diretor Executivo, ISACA, EUA
Robert E Stroud (1965-2018), CRISC, CGEIT, XebiaLabs, Inc., EUA, Presidente do Conselho de Administração da ISACA, 2014-2015 
 A ISACA lamenta profundamente o falecimento de Robert E Stroud em setembro de 2018.
ÍNDICE
ÍNDICE 
Lista de Figuras .................................................. .................................................. ............................................ 9 
Capítulo 1 Introdução.................................................. .......................................................................onze 
1.1 Governança Empresarial de Informação e Tecnologia ........................................... .......................................onze 
1.2 Benefícios da governança de tecnologia da informação ......................................... ... ................................onze 
1.3 COBIT como uma estrutura de governança de I&T ........................................... .................................................. ......... 12 
1.3.1 O que é COBIT e o que não é?.................................................. .................................................. ............ 13 1.4 Estrutura desta publicação ................................ .................................................. ................................... 14 
Capítulo 2. Público-alvo .................................................. .................................................. ..........quinze 
2.1 Partes interessadas no governo ............................................ .. ................................................ .. .................quinze 
Capítulo 3. Princípios COBIT.................................................. .................................................. 17 
3.1 Introdução ................................................ .................................................. .............................................. 17 
3.2 Seis princípios para um sistema de governo .......................................... .................................................. ..... 17 
3.3 Três princípios para uma Estrutura de Governança ........................................... .................................................. ..... 18 3.4 COBIT® 2019 ................................................. .................................................. ........................................... 19 
Capítulo 4. Conceitos básicos: Sistema de Governança e Componentes .21 
4.1 Visão geral do COBIT ............................................... .................................................. ............................vinte e um 
4.2 Objetivos de governança e gestão ............................................. .................................................. ................... 22 
4.3 Componentes do sistema de governança ............................................ .................................................. ............ 2. 3 
4.4 Áreas prioritárias ............................................... .................................................. ....................................... 24 
4.5 Fatores de projeto ............................................... .................................................. ...................................... 25 
4.6 Cascata de metas .............................................. .................................................. ........................................ 30 
4.6.1 Metas de negócios .................................................. .................................................. ........................ 31 4.6.2 Metas de alinhamento.................................................. .................................................. ..................... 33 
Capítulo 5. Objetivos de governança e gerenciamento do COBIT ......................................... 35 
5.1 Objetivo ................................................ .................................................. .................................................. 35 
Capítulo 6. Gestão de Desempenho no COBIT .................................................. ............ 39 
6.1 Definição ................................................ .................................................. ................................................. 39 
6.2 Princípios de Gestão de Desempenho do COBIT .......................................... ... .............................................. 39 6.3 Visão geral de Gerenciamento de desempenho do COBIT ........................................ ....... ................................. 39 
6.4 Gestão de desempenho de processos ........................................... ... ............................................... ... ........ 40 
6.4.1 Níveis de capacidade do processo .................................................. .................................................. ..... 40 6.4.2 Atividades de processo de qualificação .................................................. .................................................. .41 
6.4.3 Níveis de maturidade da área prioritária.................................................. ............................................... 41 
6.5 Gestão de desempenho de outros componentes do sistema de governança ........................................ ................. 42 
6.5.1 Gestão de desempenho das estruturas organizacionais.................................................. ........................ 42 6.5.2 Gestão de desempenho de elementos de informação .................................................. ............................ 43 6.5.3 Gestão de desempenho da cultura e comportamento .................................................. ....................Quatro cinco 
Capítulo 7. Projetando um Sistema de Governança Customizado ........................ 47 
7.1 Impacto dos fatores de design ............................................. .................................................. ....................... 47 7.2 Fases e etapas do processo de design .................. .................................................. ......................................... 49 
Capítulo 8. Implementar governança de TI corporativa .................................. 51 
8.1 Objetivo do guia de implementação COBIT ........................................... ................................................ 51 
8.2 Método de Implementação COBIT ............................................ .. ................................................ .. ......... 51 
8.2.1 Fase 1: Quais são os drivers? .................................................. .................................................. 0,52 
8.2.2 Fase 2: Onde estamos agora? .................................................. .................................................. ........ 52 8.2.3 Fase 3: Onde queremos estar?.................................................. .................................................. ....... 53 
8.2.4 Fase 4: O que deve ser feito?.................................................. .................................................. .............. 53 
8.2.5 Fase 5: Como chegamos lá? .................................................. .................................................. ........... 53 
8.2.6 Fase 6: Nós fizemos isso?.................................................. .................................................. ..................... 53 
8.2.7 Fase 7: Como mantemos o momentum? .................................................. ............................................. 53 8.3 Relacionamento entre o COBIT Guia de Design® 2019 e o Guia de Implementação COBIT® 2019 ........................ 54 
Capítulo 9. Introdução ao COBIT: Construindo o Caso................................... 55 
9.1 Business case ............................................... .................................................. ......................................... 55 
9.2 Resumo executivo ............................................... .................................................. ..................................... 55 
9.3 Histórico ................................................ .................................................. ............................................. 56 
9.4 Desafios de negócios ............................................... .................................................. .................................. 57 
9.4.1 Análise de lacuna e alvo.................................................. .................................................. ............... 57 
9.4.2Alternativas consideradas .................................................. .................................................. ................ 58 
9.5 Solução proposta ............................................... .................................................. ..................................... 58 
9.5.1 Fase 1. Pré-planejamento .................................................. .................................................. ................. 58 9.5.2 Fase 2. Implementação do programa.................................................. ................................................. 59 
9.5.3 Escopo do programa .................................................. .................................................. ...................... 59 
9.5.4 Metodologia e alinhamento do programa.................................................. ........................................... 60 
9.5.5 Resultados do programa .................................................. .................................................. ................ 60 
9.5.6 Risco do programa.................................................. .................................................. ........................ 61 
9.5.7 Partes interessadas.................................................. .................................................. ............................ 61 
9.5.8 Análise de custo-benefício .................................................. .................................................. .............. 61 
9.5.9 Desafios e fatores de sucesso .................................................. .................................................. ............. 62 
Capítulo 10. COBIT e outros padrões.................................................. ............................... 65 
10.1 Regras / Guia Principal ............................................. .................................................. ................................. 65 
10.2 Lista de padrões referenciados ............................................. .................................................. ................ 65 
LISTA DE FIGURAS
LISTA DE FIGURAS 
Capítulo 1 Introdução 
Figura 1.1 - O contexto da governança empresarial da Informação e Tecnologia ...................................... ...............onze 
Capítulo 2. Público-alvo 
Figura 2.1 - Stakeholders do COBIT ........................................... .. ................................................ .. ..................quinze 
Capítulo 3. Princípios COBIT 
Figura 3.1 - Princípios do Sistema de Governo .......................................... .................................................. ............ 18 
Figura 3.2 - Princípios da Estrutura de Governança .......................................... .................................................. .............. 18 
Capítulo 4. Conceitos Básicos: Sistema de Governança e Componentes 
Figura 4.1 - Generalidades do COBIT ............................................. .................................................. .............................vinte e um 
Figura 4.2 - Modelo COBIT Core ............................................ .................................................. ........................... 2. 3 
Figura 4.3 - Componentes COBIT de um sistema de governança ......................................... ........................................... 24 
Figura 4.4 - Fatores de projeto COBIT ............................................ .................................................. ....................... 25 
Figura 4.5 - Fator de desenho da estratégia da empresa ....................................... .... .............................................. .25 
Figura 4.6 - Fator de Design de Metas de Negócios ......................................... .. ................................................ .. ... 26 
Figura 4.7 - Fatores de design de perfil de risco (categorias de risco de TI) ................................. ..... .................. 26 
Figura 4.8 - Fator de projeto de problemas relacionados a I&T ....................................... .. .................................... 27 
Figura 4.9 - Fator de projeto de paisagem de ameaça ........................................ ... ................................................ 28 
Figura 4.10 - Fator de projeto dos requisitos de conformidade ....................................... ... ............................ 28 
Figura 4.11 - Fator de Design da Função de TI ........................................ ... ............................................... ... ................. 28 
Figura 4.12 - Fator de design do modelo de sourcing de TI ...................................... .... ........................................ 29 
Figura 4.13 - Fator de design dos métodos de implementação de TI ..................................... .... ........................... 29 
Figura 4.14 - Fator de design da estratégia de adoção de tecnologia ..................................... ... .......................... 29 
Figura 4.15 - Fator de design do tamanho da empresa ....................................... .... .............................................. ..30 
Figura 4.16 - Cascata de metas COBIT .......................................... .. ................................................ .. .................. 30 
Figura 4.17 - Cascata de metas: Metas e métricas de negócios ........................................ ....................................... 31 
Figura 4.18 - Cascata de Metas: Metas e Métricas de Alinhamento ...................................... .. .................................... 33 
Capítulo 5. Objetivos de governança e gerenciamento do COBIT 
Figura 5.1 - Modelo Central do COBIT: Objetivos e Propósito de Governança e Gestão ................................... .. ............... 35 
Capítulo 6. Gestão de Desempenho no COBIT 
Figura 6.1 - Níveis de capacidade ............................................. .................................................. .............................. 40 
Figura 6.2 - Níveis de capacidade dos processos ......................................... .................................................. ....... 41 
Figura 6.3 - Níveis de maturidade para áreas prioritárias .......................................... .................................................. 0,42 
Figura 6.4 - Modelo de referência da informação Critérios de qualidade para a informação ................................... .. 44 
Capítulo 7. Projetando um Sistema de Governança Customizado 
Figura 7.1 - Impacto dos fatores de design em um sistema de governança e gestão .................................. ... .............. 47 
Figura 7.2 - Fluxo de trabalho de design do sistema de governança ...................................... ..... ..................................... 49 
Capítulo 8. Implementar governança de TI corporativa 
Figura 8.1 - Roteiro de implementação do COBIT ......................................... ... ............................................... ... ... 52 
Figura 8.2 - Pontos de conexão entre o Guia de Design COBIT e o Guia de Implementação COBIT ....................... 54 
Capítulo 9. Introdução ao COBIT: Construindo o Caso 
Figura 9.1 - Desafios e ações planejadas da Acme Corporation ......................................... .................................. 62 
Página intencionalmente em branco
CAPÍTULO 1
INTRODUÇÃO
Capítulo 1 
 Introdução 
 1.1 Governança Empresarial de Informação e Tecnologia 
Diante da transformação digital, a informação e a tecnologia (I&T) tornaram-se essenciais para o suporte, a sustentabilidade e o crescimento das empresas. Anteriormente, os conselhos de governo (comitês de direção) e a alta administração podiam delegar, ignorar ou evitar decisões relacionadas a I&T. Na maioria dos setores e indústrias, essas atitudes agora não são aconselháveis. A criação de valor para as partes interessadas (por exemplo, a geração de benefícios com um custo ótimo de recursos e um risco otimizado) geralmente vemacompanhada de um alto nível de digitalização em novos modelos de negócios, processos eficientes, uma inovação de sucesso, etc. As empresas digitais dependem cada vez mais da I&T para sua sobrevivência e crescimento.
Dada a importância da I&T para a gestão de riscos de negócios e criação de valor, nas últimas três décadas, atenção especial tem sido dada à governança de negócios de tecnologia da informação (ITG). GETI é parte fundamental da governança corporativa. É exercido pelo conselho de administração, que supervisiona a definição e implementação de processos, estruturas e mecanismos relacionados na organização para permitir à empresa e ao pessoal de TI cumprir as suas responsabilidades de apoio ao alinhamento negócio / TI e à criação de valor. de negócios derivados de investimentos empresariais possibilitados por I&T (figura 1.1).
 
	Figura 1.1 - O contexto da governança corporativa da Informação e Tecnologia
	governo
Negócios de TI
Alinhamento de 
TI / negócios
Criação de 
valor
	 
Fonte: De Haes, Steven; W. Van Grembergen; Governança Corporativa de Tecnologia da Informação: Alcançando Alinhamento e Valor,
Apresentando o COBIT 5, Springer International Publishing, Suíça, 2ª ed. 2015, https://www.springer.com/us/book/9783319145464
A governança corporativa da informação e tecnologia é complexa e multifacetada. Não existe solução mágica (ou forma ideal) para projetar, implementar e manter um GETI eficaz dentro de uma organização. Assim, os membros do conselho de administração e da alta direção são obrigados a adaptar e implementar as suas medidas do GETI de acordo com o seu contexto e necessidades específicas. Além disso, eles devem estar dispostos a aceitar uma responsabilidade maior por I&T e criar uma mentalidade e cultura diferentes para gerar valor a partir de I&T.
 1.2 Benefícios da governança de tecnologia da informação 
Fundamentalmente, o GETI preocupa-se com a criação de valor a partir da transformação digital e com a mitigação do risco empresarial decorrente dessa transformação. Mais especificamente, após a adoção bem-sucedida do GETI, três resultados principais podem ser esperados:
 Obtenção de benefícios- Consiste na criação de valor para a empresa por meio de I&T, com a manutenção e aumento do valor derivado dos atuais investimentos em I&T1e eliminando iniciativas e ativos de TI que não estão criando valor suficiente. O princípio básico do valor da I&T é oferecer serviços e soluções adequadas, no prazo e dentro do orçamento, que gerem os benefícios financeiros e não financeiros
	1	Ao longo deste texto, TI é usado para se referir ao departamento da organização cuja principal responsabilidade é a tecnologia. I&T é usado neste documento para se referir a todos emtreinamento que a empresa gera, processa e usa para alcançar 
1
seus objetivos, bem como a tecnologia que torna isso possível em toda a empresa.
esperado. O valor que a I&T entrega deve estar diretamente alinhado com os valores nos quais o negócio está focado. O valor da TI também deve ser medido de forma a evidenciar o impacto e as contribuições dos investimentos viabilizados pela TI no processo de criação de valor da empresa.
· Otimização de risco—Isso implica levar em consideração o risco comercial associado ao uso, propriedade, operação, envolvimento, influência e adoção de I&T dentro de uma empresa. O risco do negócio de informação e tecnologia consiste em eventos relacionados a I&T que podem ter um impacto sobre o negócio. Enquanto agregar valor se concentra na criação de valor, o gerenciamento de risco se concentra na preservação de valor. O gerenciamento de risco relacionado a I&T deve ser integrado à estratégia de gerenciamento de risco da empresa para garantir que esteja focado em TI para a empresa. Também deve ser medido de uma forma que mostre o impacto e a contribuição da otimização dos riscos do negócio relacionados à I&T na preservação de valor.
· Otimização de Recursos—Isso garante que as capacidades adequadas estão disponíveis para executar o plano estratégico e que recursos suficientes, adequados e eficazes são fornecidos. A otimização de recursos garante o fornecimento de uma infraestrutura de TI integrada e econômica, a introdução de novas tecnologias conforme exigido pelo negócio e a atualização ou substituição de sistemas obsoletos. Por reconhecer a importância das pessoas, além de hardware e software, concentra-se em fornecer treinamento, fomentar a retenção e garantir a competência do pessoal-chave de TI. Recursos importantes são dados e informações, e sua exploração para um valor ideal é outro elemento essencial da otimização de recursos.
Alinhamento estratégico e medição de desempenho são de suma importância e afetam todas as atividades para garantir que os objetivos relacionados a I&T estejam alinhados com os objetivos da empresa. 
Em um estudo de caso abrangente de uma companhia aérea internacional, os benefícios do GETI foram mostrados para incluir: menores custos de continuidade relacionados a TI, maior capacidade inovadora graças a TI, maior alinhamento entre investimento digital e objetivos e estratégia de negócios, maior confiança entre negócios e TI e uma mudança em direção a uma 'mentalidade de valor' em torno dos ativos digitais. doisdois 
Estudos mostram que empresas com estratégias GETI mal projetadas ou adotadas têm um alinhamento mais pobre de estratégias e processos de negócios e de I&T. Como resultado, essas empresas têm menos probabilidade de cumprir suas estratégias de negócios pretendidas e alcançar o valor de negócios que esperam da transformação digital.33 
A partir disso, é óbvio que o governo deve ser compreendido e implementado muito além da interpretação. 
(limitado) que costumamos encontrar e que é sugerido pela sigla de Governance, Risk and Compliance (GRC). A sigla GRC sugere implicitamente que a conformidade e o risco relacionado representam o espectro da governança.
 1.3 COBIT como uma estrutura de governança de I&T 
Ao longo dos anos, estruturas de melhores práticas foram desenvolvidas e promovidas para contribuir para o conhecimento, design e processo de implementação do GETI. O COBIT® 2019 se integra e se baseia em mais de 25 anos de desenvolvimento neste campo, não apenas incorporando novos conhecimentos da ciência, mas também aplicando esses conhecimentos na prática.
Desde seu nascimento na comunidade de auditoria de TI, o COBIT® evoluiu para uma estrutura de governança e gestão de I&T mais ampla e abrangente e continua a se estabelecer como uma estrutura geralmente aceita para governança de I&T. 
2 De Haes, S.; W. van Grembergen; Governança Corporativa de TI: Alcançando Alinhamento e Valor, Apresentando COBIT 5, Springer International Publishing, Suíça, 2ª ed. 2015, https://www.springer.com/us/book/9783319145464
3 De Haes, Steven; A. Joshi; W. van Grembergen; "Estado e impacto da governança da TI corporativa nas organizações: principais conclusões de um estudo internacional", ISACA®Journal, vol. 4, 2015, https://www.isaca.org/Journal/archives/2015/Volume-4/Pages/state-andimpact-of-governance-of-enterprise-it-in-organizations.aspx. Veja também op cit De Haes e van Grembergen.
COBIT® 2019 QUADRO DE REFERÊNCIA: INTRODUÇÃO E METODOLOGIA
Cópia pessoal de Silvio Rodrigues (ID ISACA: 1141415)3
dois
Cópia pessoal de Silvio Rodrigues (ID ISACA: 1141415)
Cópia pessoal de Silvio Rodrigues (ID ISACA: 1141415)3
1
INTRODUÇÃO
 1.3.1 O que é COBIT e o que não é? 
Antes de descrever a estrutura COBIT atualizada, é importante explicar o que é e o que não é COBIT: 
COBIT é uma estrutura para a governança e gestão de tecnologias de informação empresarial, 44dirigido a toda a empresa. Enterprise I&T significa toda a tecnologia da informação e processamento que a empresa usa para atingir seus objetivos, independentemente de onde ocorra na empresa. Em outras palavras, a I&T corporativa não se limita ao departamento de TI de uma organização, embora certamente esteja incluída.
A estrutura do COBIT faz uma distinção clara entre governança e gestão. Essas duas disciplinas abrangemdiferentes tipos de atividades, requerem diferentes estruturas organizacionais e servem a propósitos diferentes.
 O governo Assegura que: 
· As necessidades, condições e opções das partes interessadas são avaliadas para determinar os objetivos 	 empreendimentos comerciais equilibrados e acordados. 
· A direção é estabelecida por meio de priorização e tomada de decisões. 	 
· O desempenho e a conformidade são monitorados em relação à direção e aos objetivos acordados. 	 
Na maioria das empresas, a governança em geral é responsabilidade do conselho de administração, sob a liderança do presidente. Responsabilidades específicas de governança podem ser delegadas a estruturas organizacionais especiais em um nível apropriado, particularmente em empresas maiores e mais complexas.
· A gerencia planeja, constrói, executa e acompanha as atividades de acordo com a direção estabelecida pelo órgão de governança para atingir os objetivos da empresa. 
Na maioria das empresas, a gestão é responsabilidade da gestão executiva, sob a liderança do CEO (CEO). 
O COBIT define os componentes para criar e sustentar um sistema de governança: processos, estruturas organizacionais, políticas e procedimentos, fluxos de informação, cultura e comportamentos, habilidades e infraestrutura.5 
O COBIT define os fatores de design que devem ser considerados pela empresa para criar um sistema de governança mais adequado. 
O COBIT aborda questões de governança agrupando componentes de governança relevantes dentro de objetivos de governança e gerenciamento que podem ser gerenciados de acordo com os níveis de habilidade exigidos. 
Devemos dissipar alguns equívocos sobre o COBIT: 
· O COBIT não é uma descrição completa de todo o ambiente de TI de uma empresa. 	 
· O COBIT não é uma estrutura para organizar processos de negócios. 	 
· O COBIT não é uma estrutura técnica (TI) para gerenciar toda a tecnologia. 	 
· O COBIT não toma nem prescreve quaisquer decisões relacionadas a TI. Você não vai decidir qual é a melhor estratégia de TI,	qual é a melhor arquitetura, ou quanto a TI pode ou deve custar. Em vez disso, o COBIT define todos os componentes que descrevem quais decisões devem ser tomadas, como devem ser tomadas e quem deve tomá-las.
4 Ao longo desta publicação, as referências à “estrutura de governança de TI” implicam na totalidade desta descrição.
4
5 Esses componentes foram classificados como facilitadores no COBIT® 5.
5
 1.4 Estrutura desta publicação 
O restante desta publicação contém os seguintes capítulos: 
· O Capítulo 2 examina o público-alvo do COBIT. 	 
· O Capítulo 3 explica os princípios dos sistemas de governança para I&T e os princípios das estruturas de boas práticas. 	 governo. 
· O Capítulo 4 explica os fundamentos e a terminologia do COBIT 	® 2019, incluindo o modelo principal COBIT atualizado com seus 40 objetivos de governança e gestão. 
· O Capítulo 5 investiga os 40 objetivos de governança e gerenciamento. 	 
· Capítulo 6 explica como o monitoramento de desempenho é concebido no COBIT 	® 2019 e, em particular, como os níveis de capacidade inspirados no Integrated Capacity Maturity Model (CMMI®) são introduzidos. 
· Capítulo 7 contém uma breve introdução e visão geral do fluxo de trabalho do 	Guia de Design COBIT® 2019. 
· Capítulo 8 contém uma breve introdução e visão geral do 	Guia de implementação COBIT® 2019. 
· O Capítulo 9 contém um exemplo detalhado para ilustrar como fazer o caso para adoção e implementação 	 do COBIT em uma empresa. 
· O Capítulo 10 lista os padrões, estruturas e regulamentos que foram usados ​​durante o desenvolvimento do COBIT 	® 2019.
dois
PÚBLICO OBJETIVO
dois
 Público objetivo 
 2.1 Partes interessadas no governo 
O público-alvo do COBIT são as partes interessadas do GETI e, por extensão, as partes interessadas de governança corporativa. Essas partes interessadas e os benefícios que podem derivar do COBIT são mostrados na Figura 2.1.
 
	
	Figura 2.1 - Partes Interessadas do COBIT
	Parte interessada
	
	Benefício COBIT
	
	Tábuas de
	Stakeholders internos
	
	Fornece informações sobre como derivar valor do uso de I&T e explica as responsabilidades relevantes do conselho
	Gestão executiva
	
	Fornece diretrizes sobre como organizar e monitorar o desempenho de I&T em toda a empresa
	Gerentes de negócios
	
	Ajuda a compreender como obter as soluções de I&T de que as empresas necessitam e a melhor forma de explorar novas tecnologias para aceder a novas oportunidades estratégicas
	Gerentes de TI
	
	Fornece orientação sobre a melhor forma de criar e estruturar o departamento de TI, gerenciar o desempenho de TI, executar uma operação de TI eficiente e eficaz, controlar os custos de TI, alinhar a estratégia de TI com as prioridades de negócios, etc.
	Provedores de garantia
	
	Ajuda a gerenciar a dependência de provedores de serviços externos, fornece garantia de TI e garante a existência de um sistema de controle interno eficaz e eficiente
	Gestão de riscos
	
	Ajuda a garantir a identificação e gestão de todos os riscos relacionados com TI
	
	Partes interessadas externas
	Entidades reguladoras
	
	Ajuda a garantir que a empresa cumpra todas as regras e regulamentos aplicáveis ​​e tenha o sistema de governança adequado para gerenciar e manter a conformidade
	Parceiros de negócios
	
	Ajuda a garantir que as operações de um parceiro de negócios sejam seguras, confiáveis ​​e em conformidade com todas as regras e regulamentos aplicáveis
	Provedores de TI
	
	Ajuda a garantir que as operações de um provedor de TI sejam seguras, confiáveis ​​e cumpram todas as regras e regulamentos aplicáveis 
Um certo nível de experiência e conhecimento profundo da empresa é necessário para se beneficiar da estrutura COBIT. Tal experiência e conhecimento permitem que os usuários personalizem as diretrizes principais do COBIT (que são de natureza genérica) em diretrizes personalizadas e focadas nos negócios, considerando o contexto de negócios.
O público-alvo inclui os responsáveis ​​por todo o ciclo de vida da solução de governança, do design à execução e à garantia. Na verdade, os provedores de garantia podem aplicar a lógica e o fluxo de trabalho desenvolvidos nesta publicação para criar um programa de garantia bem documentado para a empresa.
Página intencionalmente em branco
3
PRINCÍPIOS DO COBIT
3
 Princípios COBIT 
 3.1 introdução 
O COBIT 2019 foi desenvolvido com base em dois conjuntos de princípios: 
· Princípios que descrevem os requisitos fundamentais de um 	Sistema de governo para a Informação e Tecnologia da empresa 
· Princípios para um 	estrutura de governança que pode ser usado para criar um sistema de governança para a empresa 
 3.2 Seis princípios para um sistema de governo 
Os seis princípios para um sistema de governo são (figura 3.1): 
1. Toda empresa precisa de um sistema de governança para atender às necessidades das partes interessadas e gerar 	valor do uso de I&T. O valor reflete um equilíbrio entre lucro, risco e recursos, e as empresas precisam de uma estratégia e um sistema de governança prático para concretizar esse valor.
2. Um sistema de governança para a empresa I&T é criado a partir de uma série de componentes que podem ser 	 de diferentes tipos e que funcionam em conjunto de uma forma holística. 
3. Um sistema de governo deve ser dinâmico. Isso significa que cada vez que um ou mais fatores do	(por exemplo, uma mudança na estratégia ou tecnologia), o impacto dessas mudanças no sistema GETI deve ser considerado. Uma visão dinâmica do GETI levará a um sistema GETI à prova de futuro.
4. Um sistema de governança deve distinguir claramente entre as atividades e estruturas de governança e gestão. 	 
5. Um sistema de governança deve ser customizado de acordo com as necessidades da empresa, utilizando um 	 série de fatores de design como parâmetros para customizar e priorizar os componentes do sistema de governança. 
6. Um sistema de governança deve abranger o negócio do início ao fim, focando não apenas na função de TI, 	 mas sim em toda a tecnologia e processamento de informaçõesque a empresa coloca em prática para atingir seus objetivos, independentemente de onde o processamento ocorre na empresa.61 
 
	Figura 3.1 - Princípios do Sistema de Governo
	1
. P
providenciar
 
ele
eu
ou
 
para
 eu
ás
 
partes
 
interessado
. E
dois
n
F
ou
o que
e
 
h
ou
li
Stico
. S
3
sistema
 
a partir de
 
governo
 
estrondo
para
macaco
4
. S
preparar
 
e
eu 
governo
 
a partir de
 
eu
para
 
gestão
5
. 
Para adaptar
 
para
 
eu
ás
 
precisa
 
a partir de
 eu
para
 
o negócio
6
. S
sistema
 
a partir de
 
governo
 
eu
inteira
1 6	Huygh, T.; S. De Haes; “Using the Viable System Model to Study IT Governance Dynamics: Evidence from a Single Case Study,” Proceedings of the 51st Hawaii International Conference on Systems Science, 2018, https://scholarspace.manoa.hawaii.edu/bitstream / 10125/50501 /1/paper0614.pdf
 3 .3 Três princípios para uma estrutura de governança 
Os três princípios para uma estrutura de governança são (figura 3.2): 
1. Uma estrutura de governança deve ser baseada em um modelo conceitual que identifica os componentes principais e os relacionamentos entre os componentes para maximizar a consistência e permitir a automação. 
2. Uma estrutura de governança deve ser aberta e flexível. Deve permitir a incorporação de novos conteúdos e a capacidade de abordar novos problemas da maneira mais flexível, mantendo a integridade e consistência.
3. Uma estrutura de governança deve estar alinhada com os principais padrões, estruturas e regulamentos relacionados. 
 
	Figura 3.2 - Princípios da Estrutura de Governança
	1
. Baseado em
Conceptual
Modelo
. Aberto e
dois
Flexível
. Alinhado a
3
Padrões Principais
1
. Baseado em
o modelo 
conceptual
dois
. Aberto e
flexível
3
. Alinhado com o
regulamentos principais
 3 .4 COBIT® 2019 
O COBIT® 2019 melhora as versões anteriores do COBIT nas seguintes áreas: 
 Flexibilidade e abertura—A definição e o uso de fatores de design permitem a customização do COBIT para um maior alinhamento com um contexto específico de um usuário. A arquitetura aberta do COBIT permite incorporar novas áreas prioritárias (ver seção 4.4) ou modificar as atuais, sem implicações diretas para a estrutura e conteúdo do modelo COBIT central.
Atual e relevante—O modelo COBIT oferece suporte a referência e alinhamento com conceitos decorrentes de outras fontes (por exemplo, os mais recentes padrões e regulamentações de conformidade de TI). 
Aplicação prescritiva—Modelos como o COBIT podem ser descritivos e prescritivos. O modelo conceitual COBIT é criado e apresentado de forma que sua exemplificação (ou seja, a aplicação de componentes de governança customizados COBIT) seja percebida como uma prescrição para um sistema de governança de TI customizado.
 Gestão de desempenho de TI—A estrutura do modelo de gestão de desempenho COBIT é integrada ao modelo conceitual. Os conceitos de maturidade e capacidade são introduzidos para alcançar um maior alinhamento com o CMMI.
O guia COBIT usa os termos governança de informação e tecnologia - empresa, governança de negócios de informação e tecnologia e governança de TI e governança de TI de forma intercambiável.
CAPÍTULO 
COBIT® 2019 QUADRO DE REFERÊNCIA: INTRODUÇÃO E METODOLOGIA
	CAPÍTULO 	 
	Capítulo 	 
Cópia pessoal de Silvio Rodrigues (ID ISACA: 1141415)3
dois
Cópia pessoal de Silvio Rodrigues (ID ISACA: 1141415)
Cópia pessoal de Silvio Rodrigues (ID ISACA: 1141415)3
4
 Conceitos básicos: Sistema de Governança e Componentes 
 4.1 Visão geral do COBIT 
A família de produtos COBIT® 2019 é aberta e projetada para personalização. Atualmente, as seguintes publicações estão disponíveis: 71 
· O COBIT Framework 	® 2019: Introdução e metodologia, apresenta os principais conceitos do COBIT® 2019. 
· O COBIT Framework 	® 2019: Objetivos de governança e gestão descreve de forma abrangente os 40 principais objetivos de governança e gerenciamento, os processos dentro deles e outros componentes relacionados. Este guia também faz referência a outros padrões e estruturas.
· O Guia de Design COBIT 	® 2019 Desenho de uma solução de Governança da Informação e Tecnologia explora os fatores de design que podem influenciar a governança e inclui um fluxo de trabalho para o planejamento de um sistema de governança customizado para o seu negócio. 
· O Guia de Implementação COBIT 	® 2019: Implementação e otimização de uma solução de governança de Tecnologia e Informação representa uma evolução do Guia de Implementação COBIT® 5 e desenvolve um roteiro para a melhoria contínua da governança. Pode ser usado em combinação com o Guia de Design COBIT® 2019.
Figura 4.1 mostra uma visão geral do COBIT® 2019 e ilustra como as várias publicações da série cobrem diferentes aspectos. 
 
	Figura 4.1 - COBIT Geral
	 
	Estrutura COBIT® 2019: Introdução e metodologia
	Estrutura COBIT® 2019: 
Objetivos de governo e gerenciamento
	Guia de Design COBIT® 2019: 
Desenho de uma solução de Governança da Informação e Tecnologia
	Guia de implementação COBIT® 
2019: Implementação e otimização de uma solução governamental para 
Informação e Tecnologia
Publicações de referência do COBIT
7	No momento da publicação deste título, Estrutura COBIT® 2019: Introdução e metodologia, títulos adicionais da família de produtos COBIT planejados® 2019, embora ainda não tenham sido publicados.
1
O conteúdo identificado como áreas prioritárias na Figura 4.1 incluirá orientações mais detalhadas sobre certos aspectos. 8dois 
O COBIT® 2019 é baseado no COBIT® 5 e outras fontes confiáveis. O COBIT está alinhado com uma série de padrões e estruturas relacionados. A lista desses padrões está incluída no Capítulo 10. A análise dos padrões relacionados e o alinhamento do COBIT com eles apóiam a posição consolidada de ser o guarda-chuva da estrutura de governança da Informação e Tecnologia.
No futuro, o COBIT recorrerá à sua comunidade de usuários para propor atualizações de conteúdo, que serão aplicadas como contribuições continuamente controladas, para que o COBIT esteja atualizado com as últimas percepções e desenvolvimentos. 
As seções a seguir explicam os principais termos e conceitos usados ​​no COBIT® 2019. 
 4.2 Objetivos de governança e gestão 
Para que a informação e a tecnologia contribuam para os objetivos da empresa, uma série de objetivos de governança e gestão devem ser alcançados. Os conceitos básicos relacionados aos objetivos de governança e gestão são:
· Um objetivo de governança ou gestão 	está sempre relacionado a um processo (com um nome idêntico ou semelhante) e vários componentes relacionados de outros tipos para ajudar a atingir o objetivo. 
· Um objetivo de governança está relacionado a um processo de governança (mostrado no fundo azul escuro de 	figura 4.2), enquanto um objetivo de gerenciamento está relacionado a um processo de gerenciamento (mostrado no fundo azul claro da figura 4.2). Os conselhos de administração e a gestão executiva são geralmente responsáveis ​​pelos processos de governança, enquanto os processos de gestão pertencem ao domínio da alta e média gestão.
Os objetivos de governança e gerenciamento do COBIT são agrupados em cinco domínios. Os domínios são nomeados por verbos que expressam o propósito-chave e as áreas de atividade do objetivo que têm:
· Os objetivos de governança são agrupados no domínio 	Avalie, direcione e monitore(EDM). Neste domínio, o órgão de governo avalia as opções estratégicas, dirige a alta administração em relação às opções estratégicas escolhidas e monitora o cumprimento da estratégia.
· Os objetivos de gestão são agrupados em quatro domínios: 	 
· Alinhar, planejar e organizar 	 (APO) trata da organização geral, estratégia e atividades de suporte para I&T. 
· Construir, adquirir e implantar (BAI) é responsável pela definição, aquisição e implementação de soluções de I&T e sua integração nos processos de negócio. 
· Entregar, dar serviço e suporte (DSS) trata da execução operacional e do suporte de serviços de I&T, incluindo segurança. 
· Monitore, avalie e avalie (MEA) trata do monitoramento e conformidade de I&T com os objetivosde desempenho interno, objetivos de controle interno e requisitos externos. 
8	Alguns desses guias de conteúdo da área já estão em desenvolvimento; e outros são antecipadosEsses. Esta série de guias de áreas prioritárias está aberta e continuará a evoluir. Para obter as informações mais recentes sobre as publicações atuais
dois
disponíveis e planejados, bem como outros conteúdos, visite www.isaca.org/cobit.
 
	Figura 4.2 - Modelo COBIT Core
	
 4.3 Componentes do sistema de governança 
Para atender aos objetivos de governança e gestão, cada empresa deve estabelecer, personalizar e manter um sistema de governança criado a partir de uma série de componentes. 
· Esses componentes são fatores que, individual e coletivamente, contribuem para o bom funcionamento do 	 sistema de governança da empresa em termos de I&T. 
· Os componentes interagem entre si, resultando em um sistema holístico de governança de I&T. 	 
· Os componentes podem ser de vários tipos. Os mais comuns são processos. No entanto, os componentes de	um sistema de governo também inclui estruturas organizacionais; Política e procedimentos; elementos de informação; cultura e comportamento; habilidades e competências; e serviços, infraestrutura e aplicativos (figura 4.3).
· Os processos descrever uma série de práticas e atividades organizadas para atingir determinados objetivos e produzir uma série de resultados que contribuam para o alcance de todos os objetivos relacionados à TI. 
· Estruturas organizacionais Eles são as principais entidades de tomada de decisão em uma empresa. 
· Os princípios, políticas e estruturas Eles transformam o comportamento desejado em orientação prática para o gerenciamento diário. 
· A informação é generalizado para qualquer organização e inclui todas as informações produzidas e utilizadas pela empresa. O COBIT foca nas informações necessárias para o funcionamento eficaz do sistema de governança corporativa.
· Cultura, ética e comportamento de indivíduos e da empresa são frequentemente subestimados como um fator de sucesso das atividades de governança e gestão. 
· Pessoas, habilidades e competências eles são necessários para tomar boas decisões, executar ações corretivas e concluir satisfatoriamente todas as atividades. 
· Serviços, infraestrutura e aplicativos Eles incluem a infraestrutura, a tecnologia e os aplicativos que fornecem à empresa um sistema de governança para processamento de I&T. 
 
	Figura 4.3 - Componentes COBIT de um sistema de governança
	Processos
Serviços, 
a infraestrutura 
e aplicativos
Estruturas 
organizacional
Cultura, 
ética e 
comportamento
Em formação
Pessoas, 
Habilidades 
e competências
Começo, 
políticas, 
procedimentos
Sistema 
do governo
Componentes de qualquer tipo podem ser genéricos ou variantes de componentes genéricos: 
· Os componentesOs genéricos são descritos no modelo principal do COBIT (consulte a figura 4.2) e se aplicam, em princípio, a qualquer situação. No entanto, eles são de natureza genérica e muitas vezes requerem adaptação antes de serem implementados na prática.
· As alternativas Eles são baseados em componentes genéricos, mas são ajustados para um propósito ou contexto específico dentro de uma área prioritária (por exemplo, para segurança da informação, DevOps, um regulamento específico). 
 4.4 Áreas prioritárias 
Uma área prioritária descreve um tópico, domínio ou problema de governança que pode ser tratado por uma série de objetivos de governança e gerenciamento e seus componentes. Alguns dos exemplos de áreas prioritárias são: pequenas e médias empresas, cibersegurança, transformação digital, computação em nuvem, privacidade e DevOps.93 As áreas prioritárias podem incluir uma combinação de componentes de governança genéricos e variantes. 
3 9	DevOps é um exemplo de uma variante de componente e uma área de prioridade. Por quê? DevOPs é um tópico importante no mercado e, sem dúvida, requer algumas diretrizes
específico, tornando-o uma área prioritária. O DevOps inclui uma série de objetivos genéricos de governança e gerenciamento do modelo principal do COBIT, junto com uma série de variantes de processos e estruturas organizacionais relacionadas ao desenvolvimento, operação e monitoramento.
O número de áreas prioritárias é praticamente ilimitado. Isso torna o COBIT aberto. Novas áreas prioritárias podem ser adicionadas conforme necessário ou conforme especialistas no assunto e especialistas contribuem para o modelo COBIT aberto.
 4.5 Fatores de design 
Fatores de design são fatores que podem influenciar o desenho do sistema de governança de uma empresa e posicioná-lo para o sucesso usando I&T. 
Os possíveis impactos que os fatores de design podem ter no sistema de governança são descritos na seção 7.1. Mais informações e orientações detalhadas sobre como usar fatores de design ao projetar um sistema de governança podem ser encontradas no COBIT® 2019 Design Guide.
Os fatores de design incluem qualquer combinação dos seguintes (Figura 4.4): 
 
	Figura 4.4 - Fatores de projeto COBIT
	
	Estratégia de negócio
	
	Objetivos de negócios
	
	Perfil de risco
	
	Questões relacionadas a I&T
	
	Paisagem de ameaças
	Requerimentos de 
conformidade
	 
	Função de TI
	
	Modelo de aquisição para TI
	
	Métodos de 
implementação
de você
	 
	Estratégia de adoção de tecnologia
	
	Tamanho da empresa
	Fatores futuros
1. Estratégia da Empresa - As empresas podem ter diferentes estratégias, que podem ser expressas como um ou mais dos arquétipos mostrados na Figura 4.5. As organizações costumam ter uma estratégia primária e, no máximo, uma estratégia secundária.
 
	Figura 4.5 - Fator de desenho da estratégia da empresa
	Arquétipo de estratégia
	Explicação
	Crescimento / Aquisição
	A empresa está focada no crescimento (receita).10
4
	Inovação / Diferenciação
	A empresa deve focar em oferecer produtos e serviços diferenciados e / ou inovadores aos seus clientes.onze5
	Liderança de custos
	A empresa deve focar na minimização de custos no curto prazo.12
6
	Atendimento ao cliente / estabilidade
	A empresa se concentra em fornecer um serviço estável e orientado para o cliente 
cliente.137
10 Corresponde ao garimpeiro da tipologia Miles-Snow. Consulte "Miles and Snow's Typology of Defender, Prospector, Analyzer, and Reactor," Elibrary, https://ebrary.net/3737/management/miles_snows_typology_defender_prospector_analyzer_reactor.
11 Veja Reeves, Martin; Claire Love, Philipp Tillmanns, “Your Strategy Needs a Strategy,” Harvard Business Review, setembro de 2012, https://hbr.org/2012/09/your-strategy-needs-a-strategy, especialmente relacionado a visão e modelagem.
12 Corresponde à liderança de custos; consulte University of Cambridge, “Porter's Generic Competitive Strategies (way of competing),” Institute for Manufacturing (IfM) Management Technology Policy, https://www.ifm.eng.cam.ac.uk/research/dstools/porters-generic -estratégias competitivas /. Também corresponde à excelência operacional; veja Treacy, Michael; Fred Wiersema, “Customer Intimacy and Other Value Disciplines,” Harvard Business Review, janeiro / fevereiro de 1993, https://hbr.org/1993/01/customer-intimacy-and-other-value-disciplines
13 Depende dos proponentes da tipologia Miles-Snow. Veja op cit "Tipologia de Miles e Snow de Defensor, Prospector, Analisador e Reator."
7
2. Objetivos de negóciosque apóiam a estratégia de negócios - a estratégia de negócios é alcançada por meio do cumprimento de (uma série de) metas de negócios. Esses objetivos são definidos na estrutura do COBIT, são estruturados em torno das dimensões do balanced scorecard e incluem os elementos mostrados na Figura 4.6.
 
	
	Figura 4.6 - Fator de Design de Metas de Negócios
	Referência
	Dimensão de scorecard integrado (Balanced Scorecard, BSC)
	Objetivo de negócios
	EG01
	Financeiro
	Portfólio competitivo de produtos e serviços
	EG02
	Financeiro
	Gestão de risco empresarial
	EG3
	Financeiro
	Conformidade com leis e regulamentos externos
	EG4
	Financeiro
	Qualidade da informação financeira
	EG5
	Cliente
	Cultura de serviço orientada parao cliente
	EG6
	Cliente
	Continuidade e disponibilidade do serviço comercial
	EG7
	Cliente
	Qualidade da informação de gestão
	EG8
	interno
	Otimização da funcionalidade dos processos internos de negócios 
	EG9
	interno
	Otimização de custos dos processos de negócios
	EG10
	interno
	Habilidades, motivação e produtividade da equipe
	EG11
	interno
	Conformidade com as políticas internas
	EG12
	Aumentar
	Gestão de programas de transformação digital
	EG13
	Aumentar
	Inovação de produtos e negócios
A seção 4.6 inclui mais informações sobre a cascata de metas do COBIT, que é a elaboração detalhada desse fator de design. 
3. O perfil de riscoProblemas e questões atuais relacionados a I&T - O perfil de risco identifica os tipos de riscos relacionados a I&T aos quais a empresa está exposta atualmente e indica quais áreas de risco excedem o apetite de risco. Categorias de risco148 listados na Figura 4.7 merecem consideração. 
 
	Figura 4.7 - Fatores de design do perfil de risco (categorias de risco de TI)
	Referência
	Categoria de risco
	1
	Tomada de decisão sobre investimentos em TI, definição e manutenção do portfólio
	dois
	Gestão do ciclo de vida de programas e projetos
	3
	Custo e supervisão de TI
	4
	Experiência, habilidades e comportamentos de TI
	5
	Arquitetura empresarial / TI
	6
	Incidentes de infraestrutura operacional de TI
	7
	Ações não autorizadas
	8
	Problemas de adoção / uso de software
	9
	Incidentes de hardware
	10
	Bugs de software
	onze
	Ataques lógicos (hacking, malware)
	12
	Incidentes de terceiros / terceiros
	13
	Violação
	14
	Problemas geopolíticos
	quinze
	Ação sindical
	16
	Desastres naturais
	17
	Inovação tecnológica
	18
	Meio Ambiente
	19
	Gestão de informação e dados
14	Alterado por ISACA: The IT Risk Professional's Guide, EUA, 2009
8
4. Questões relacionadas a I&T—Um método associado para uma avaliação de risco de I&T da empresa é considerar quais problemas relacionados a I&T ela enfrenta, ou em outras palavras, que risco relacionado a I&T se materializou. O problema mais comum de todos 159 Eles estão incluídos na figura 4.8. 
 
	Figura 4.8 - Fator de projeto de problemas relacionados a I&T
	Referência
	Descrição
	PARA
	Frustração entre diferentes unidades de TI em toda a organização devido a uma baixa contribuição percebida para o valor do negócio
	B
	Frustração entre os diferentes departamentos da empresa (por exemplo, cliente de TI) e o departamento de TI devido a iniciativas malsucedidas ou baixa contribuição percebida para o valor do negócio
	C
	Incidentes significativos relacionados a TI, como perda de dados, violações de segurança, falha de projeto e erros de aplicativo, relacionados a TI
	D
	Problemas de entrega de serviço por terceiros de TI
	E
	Não conformidade com requisitos contratuais ou regulamentares relacionados a TI
	F
	Constatações de auditoria comuns ou outros relatórios de avaliação de baixo desempenho de TI ou notificação de problemas de qualidade de serviço de TI 
	G
	Gastos de TI ocultos e fraudulentos significativos, ou seja, gastos de TI por departamentos de usuários fora do controle dos mecanismos normais de decisão de investimento e orçamentos de TI aprovados
	H
	Duplicação ou sobreposição entre várias iniciativas ou outras formas de desperdício de recursos 
	eu
	Recursos de TI insuficientes, equipe com habilidades inadequadas ou equipe exausta / insatisfeita
	J
	Mudanças ou projetos habilitados para TI geralmente não atendem às necessidades de negócios e atrasam ou ultrapassam o orçamento
	K
	Resistência de membros do conselho, executivos ou gerência sênior ao envolvimento em TI ou falta de patrocínio corporativo comprometido com TI
	eu
	Modelo operacional de TI complexo e / ou mecanismos de decisão confusos para decisões relacionadas a TI
	M
	Custo de TI excessivamente alto
	N
	Implementação dificultada ou malsucedida de novas iniciativas ou inovações causadas pela arquitetura e sistemas de TI atuais
	OU
	Lacuna entre tecnologia e conhecimento de negócios, levando a usuários de negócios e especialistas em TI falando idiomas diferentes
	P
	Problemas comuns com qualidade de dados e integração de dados de diferentes fontes
	Q
	Alto nível de computação do usuário final, o que gera (entre outros problemas) a falta de supervisão e controle de qualidade sobre os aplicativos que estão sendo desenvolvidos e colocados em operação
	R
	Os departamentos de negócios implementam suas próprias soluções de informação com pouco ou nenhum envolvimento do departamento de TI da empresa.1610
	S
	Ignorância e / ou violação dos regulamentos de privacidade
	T
	Incapacidade de explorar novas tecnologias ou inovar usando I&T
5. Paisagem de ameaças—O cenário de ameaças sob o qual a empresa opera pode ser classificado como mostrado na Figura 4.9. 
 
	Figura 4.9 - Fator de projeto de paisagem de ameaça
	Paisagem de ameaças
	Explicação
	Normal
	A empresa opera sob o que são considerados níveis de ameaça normais.
	Alto 
	Devido à sua situação geopolítica, setor da indústria ou perfil específico, a empresa opera em um ambiente de alta ameaça.
15 ISACA, Consulte também a Seção 3.3.1 Pontos Críticos Típicos, no Guia de Implementação COBIT® 2019: Implementação e Otimização de uma Solução de Governança de Tecnologia e Informação, EUA, 2019
9
16 Esse problema está relacionado à computação do usuário final, que geralmente surge da insatisfação com soluções e serviços de TI.
10
6. Requisitos de conformidade—Os requisitos de conformidade aos quais a empresa está sujeita podem ser classificados de acordo com as categorias listadas na figura 4.10. 
 
	Figura 4.10 - Fator de projeto dos requisitos de conformidade
	Ambientes regulatórios
	Explicação
	Requisitos de baixa conformidade
	A empresa está sujeita a um conjunto de requisitos mínimos de conformidade que estão abaixo da média.
	Requisitos normais de conformidade
	A empresa está sujeita a um conjunto de requisitos de conformidade comuns a diferentes setores.
	Requisitos de alta conformidade
	A empresa está sujeita a requisitos de conformidade acima do normal, na maioria dos casos relacionados ao setor industrial e às condições geopolíticas.
7. Função de TI—- A função de TI para a empresa pode ser classificada como mostrado na figura 4.11. 
 
	
	Figura 4.11 - Fator de Design da Função de TI
	Função de TI17
onze
	
	Explicação
	Médio
	
	A TI não é crucial para a operação e continuidade dos processos e serviços de negócios ou para sua inovação.
	Fábrica
	
	Quando a TI falha, há um impacto imediato na operação e continuidade dos processos e serviços de negócios. No entanto, a TI não é vista como um impulsionador de processos de negócios e inovação de serviços.
	Mudar
	
	A TI é vista como um impulsionador de processos de negócios e inovação de serviços. No momento, no entanto, não há nenhuma dependência crítica da TI para a operação atual e a continuidade dos processos e serviços de negócios.
	Estratégico
	
	A TI é crítica para a operação e inovação dos processos e serviços de negócios da organização.
8. Modelo de aquisição para TI—O modelo de fornecimento que a empresa adota pode ser classificado conforme mostrado na figura 4.12. 
 
	Figura 4.12 - Fator de design do modelo de sourcing de TI
	Modelo de terceirização
	Explicação
	Terceirização / terceirização
	A empresa requer os serviços de um terceiro para fornecer serviços de TI.
	Nuvem
	A empresa maximiza o uso da nuvem para fornecer serviços de TI a seus usuários.
	Internalizado (interno)
	A empresa oferece sua própria equipe e serviços de TI.
	Híbrido
	É aplicado um modelo híbrido que combina os outros três modelos em vários graus.
17	As funções incluídas nesta tabela foram retiradas de McFarlan, F. Warren; James L. McKenney; Philip Pyburn; “The Information Archipelago - Plotting a Course,” Harvard Business Review, janeiro de 1993, https://hbr.org/1983/01/the-information-
onze
arquipélago-traçando-um-curso.
9. Métodos de implementação de TI—Os métodos que a empresa adota podem ser classificados conforme mostradona figura 4.13. 
 
	Figura 4.13 - Fator de Design dos Métodos de Implementação de TI
	Método de implementação de TI
	Explicação
	Ágil
	A empresa usa métodos de desenvolvimento de trabalho Agile para o seu desenvolvimento de software.
	DevOPs
	A empresa usa métodos de trabalho DevOps para criação, implantação e operações de software.
	Tradicional
	A empresa usa uma abordagem mais clássica para o desenvolvimento de software (cascata) e separa o desenvolvimento de software das operações.
	Híbrido
	A empresa usa uma combinação de TI tradicional e implementação de TI moderna, geralmente chamada de "TI bimodal".
10. Estratégia de adoção de tecnologia—A estratégia de adoção de tecnologia pode ser classificada como mostrado na figura 4.14. 
 
	Figura 4.14 - Fator de design da estratégia de adoção de tecnologia
	Estratégia de adoção de tecnologia
	Explicação
	Aquele que se move primeiro (primeiro a mover)
	A empresa geralmente adota novas tecnologias o mais cedo possível e tenta alcançar a "vantagem do pioneiro".
	Seguidor
	A empresa freqüentemente espera que novas tecnologias se tornem difundidas e testadas antes de adotá-las.
	Adotantes lentos
	A empresa leva muito tempo para adotar novas tecnologias.
11. Tamanho da empresa—Duas categorias são identificadas, conforme mostrado na figura 4.15, para o desenho de um sistema de governança corporativa.12 
 
	Figura 4.15 - Fator de design do tamanho da empresa
	Tamanho da empresa
	Explicação
	Grande empresa (padrão)
	Empresa com mais de 250 funcionários em tempo integral (FTE)
	Pequenas e medias empresas
	Empresa com entre 50 e 250 funcionários em tempo integral (FTE)
18	Nesta publicação, não foram consideradas microempresas, ou seja, empresas com menos de 50 funcionários.
12
 4.6 Cascata de gols 
As necessidades das partes interessadas devem ser transformadas em uma estratégia viável para a empresa. A cascata de metas (Figura 4.16) apóia as metas de negócios, que é um dos principais fatores de design para um sistema de governança. Oferece suporte à priorização de objetivos de gerenciamento com base na priorização de metas de negócios.
 
	Figura 4.16 - Cascata de Metas COBIT
	Motoristas e 
precisa 
das partes 
interessado
Metas 
o negócio
Objetivos de 
alinhamento
objetivos de 
governo e 
gestão
Recaída em
Recaída em
Recaída em
A cascata de metas também apóia a conversão de metas de negócios em prioridades para metas de alinhamento. A cascata de metas foi amplamente atualizada no COBIT® 2019:
· as metas de negócios foram consolidadas, reduzidas, atualizadas e esclarecidas. 	 
· As metas de alinhamento enfatizam o alinhamento de todos os esforços de TI com os objetivos de negócios. 	1913 Esse termo atualizado também tem o objetivo de evitar o equívoco comum de que essas metas indicam exclusivamente metas internas do departamento de TI de uma empresa. Assim como as metas de negócios, as metas de alinhamento foram consolidadas, reduzidas, atualizadas e esclarecidas quando necessário. 
19	As metas de alinhamento foram chamadas de metas relacionadas a TI no COBIT 5.
13
 4.6.1 Metas de negócios 
As necessidades das partes interessadas afetam os objetivos de negócios. A Figura 4.17 mostra o conjunto de 13 objetivos de negócios junto com uma série de amostras de métricas associadas.
 
	Figura 4.17 - Cascata de Metas: Metas e Métricas de Negócios
	Referência
	Dimensão de 
BSC
	Objetivo de negócios
	Métricas de exemplo
	EG01
	Financeiro
	Portfólio competitivo de produtos e serviços
	· Porcentagem de produtos e serviços que atendem ou excedem as metas de receita e / ou participação de mercado 
· Porcentagem de produtos e serviços que atendem ou excedem as metas de satisfação do cliente 
· Porcentagem de produtos e serviços que fornecem uma vantagem competitiva 
· Tempo de lançamento de novos produtos e serviços no mercado
	EG02
	Financeiro
	Gestão de risco empresarial
	· Porcentagem de metas de negócios críticas e serviços cobertos pela avaliação de risco 
· Taxa (proporção) de incidentes significativos que não foram identificados na avaliação de risco em relação ao total de incidentes 
· Frequência adequada de atualização do perfil de risco
	EG03
	Financeiro
	Conformidade com leis e regulamentos externos
	· Custo de não conformidade regulatória, incluindo acordos e multas 
· Número de problemas de não conformidade regulamentar que causam comentários públicos ou publicidade negativa 
· Número de problemas de não conformidade relatados por reguladores ou autoridades de supervisão 
· Número de questões de não conformidade regulamentar relacionadas a acordos contratuais com parceiros de negócios
	EG04
	Financeiro
	Qualidade da informação financeira
	· Pesquisa de satisfação das principais partes interessadas em relação ao nível de transparência, compreensão e exatidão das informações financeiras da empresa 
· Custo de não conformidade regulatória com relação a regulamentos financeiros
	EG05
	Cliente
	Cultura de serviço orientada para o cliente
	· Número de interrupções de atendimento ao cliente 
· Porcentagem das partes interessadas da empresa satisfeitas com o fato de a entrega do serviço ao cliente atender aos níveis de serviço acordados 
· Número de reclamações de clientes 
· Tendência dos resultados da pesquisa de satisfação do cliente
	EG06
	Cliente
	Continuidade e disponibilidade do serviço comercial
	· Número de interrupções no atendimento ao cliente ou nos processos de negócios que causaram incidentes significativos 
· Custo comercial causado por incidentes 
· Número de horas de processamento perdidas pela empresa devido a interrupções inesperadas de serviço 
· Porcentagem de reclamações com base nas metas de disponibilidade de serviço acordadas
	EG07
	Cliente
	Qualidade da informação de gestão
	· Grau de satisfação do conselho de administração e da diretoria executiva com as informações para a tomada de decisão 
· Número de incidentes causados ​​por más decisões de negócios com base em informações incorretas 
· Tempo que leva para fornecer as informações de suporte para permitir uma tomada de decisão de negócios eficaz 
· Pontualidade na entrega de informações gerenciais
	Figura 4.17 - Cascata de Metas: Metas e Métricas de Negócios (cont.)
	Referência
	Dimensão de 
BSC
	Objetivo de negócios
	Métricas de exemplo
	EG08
	interno
	Otimização da funcionalidade dos processos internos de negócios
	· Níveis de satisfação do conselho de administração e da gestão executiva com as capacidades do processo de negócios 
· Níveis de satisfação do cliente com recursos de entrega de serviço 
· Níveis de satisfação do fornecedor com os recursos da cadeia de suprimentos
	EG09
	interno
	Otimização de custos dos processos de negócios
	· Relação entre custos e níveis de serviço alcançados 
· Níveis de satisfação do conselho de administração e da gestão executiva com os custos do processo de negócios 
	EG10
	interno
	Habilidades, motivação e produtividade da equipe
	· Produtividade da equipe em comparação com benchmarks 
· Nível de satisfação das partes interessadas com os níveis de habilidade e experiência da equipe 
· Porcentagem de pessoal cujas habilidades são insuficientes no que diz respeito à competência exigida para suas funções  Porcentagem da equipe satisfeita
	EG11
	interno
	Conformidade com as políticas internas
	· Número de incidentes relacionados ao não cumprimento da política 
· Porcentagem de partes interessadas que entendem as políticas 
· Porcentagem de políticas apoiadas por padrões e práticas de trabalho eficazes
	EG12
	Aumentar
	Gestão de programas de transformação digital
	· Número de programas executados no prazo e dentro do orçamento 
· Porcentagem de partes interessadas satisfeitas com a execução do programa 
· Porcentagem de programas de transformação de negócios suspensos 
· Porcentagem de programas de transformação de negócios com atualizações de status informadas regularmente
	EG13
	Aumentar
	Inovação de produtos e negócios
	· Nível de consciência e compreensão das oportunidades de inovação empresarial 
· Satisfação daspartes interessadas com os níveis de experiência e ideias sobre inovação e produtos 
· Número de iniciativas de produtos e serviços aprovadas como resultado de ideias inovadoras
 4.6.2 Metas de alinhamento 
As metas de negócios têm um efeito cascata sobre as metas de alinhamento. A Figura 4.18 inclui um conjunto de metas e métricas de alinhamento de amostra.
 
	
	Figura 4.18 - Cascata de Metas: Metas e Métricas de Alinhamento
	Referência
	Dimensão BSC de TI
	Metas de alinhamento
	Métricas
	AG01
	Financeiro
	Conformidade e suporte de I&T para conformidade comercial com leis e regulamentos externos
	· Custo padrão de TI, incluindo acordos e multas, e o impacto da perda de reputação 
· Número de problemas de não conformidade relacionados a TI relatados ao conselho de administração ou causando comentários públicos ou descrédito 
· Número de questões de não conformidade relacionadas a acordos contratuais com provedores de serviços de TI
	AG02
	Financeiro
	Gestão de riscos relacionados a I&T
	· Frequência adequada de atualização do perfil de risco 
· Porcentagem de avaliações de risco de negócios, incluindo risco relacionado a I&T 
· Número de incidentes significativos relacionados a I&T que não foram identificados na avaliação de risco
	Figura 4.18 - Cascata de Metas: Metas e Métricas de Alinhamento (cont.)
	Referência
	Dimensão BSC de TI
	Metas de alinhamento
	Métricas
	AG03
	Financeiro
	Benefícios obtidos com o portfólio de investimentos e serviços relacionados a I&T
	· Porcentagem de investimentos habilitados para I&T nos quais os benefícios esperados são atendidos ou excedidos 
· Porcentagem de serviços de I&T para os quais os benefícios esperados foram alcançados (indicado nos acordos de nível de serviço)
	AG04
	Financeiro
	Qualidade das informações financeiras relacionadas à tecnologia
	· Satisfação das principais partes interessadas em relação ao nível de transparência, compreensão e precisão das informações financeiras de TI 
· Porcentagem de serviços de I&T com custos operacionais claramente definidos e aprovados e benefícios esperados
	AG05
	Cliente
	Fornecimento de serviços de I&T de acordo com os requisitos de negócios
	· Porcentagem das partes interessadas da empresa satisfeitas de que a entrega de serviços de TI atende aos níveis de serviço acordados 
· Número de interrupções de negócios devido a incidentes de serviço de TI 
· Porcentagem de usuários satisfeitos com a qualidade da prestação de serviços de TI
	AG06
	Cliente
	Agilidade para converter requisitos de negócios em soluções operacionais
	· Nível de satisfação dos executivos de negócios com a capacidade de resposta de TI aos novos requisitos 
· Tempo médio de entrada no mercado para novos serviços e aplicativos relacionados a I&T 
· Tempo médio para converter objetivos estratégicos de I&T em uma iniciativa acordada e aprovada 
· Número de processos de negócios críticos suportados por infraestrutura e aplicativos atualizados
	AG07
	interno
	Segurança da informação, infraestrutura de processamento e aplicativos e privacidade
	· Número de incidentes de confidencialidade que causam perdas financeiras, interrupção de negócios ou descrédito público 
· Número de incidentes de disponibilidade que causam perda financeira, interrupção de negócios ou descrédito público 
· Número de incidentes de integridade causando perda financeira, interrupção de negócios ou descrédito público
	AG08
	interno
	Habilite e apóie processos de negócios por meio de integração de aplicativos e tecnologia
	· Prazo para execução de serviços e processos de negócio 
· Número de programas de negócios facilitados por I&T atrasados ​​ou incorrendo em custos adicionais devido a problemas de integração de tecnologia 
· Número de mudanças nos processos de negócios a serem adiadas ou revisadas devido a problemas de integração de tecnologia 
· Número de aplicativos ou infraestruturas críticas que operam em silos e não estão integrados
	AG09
	interno
	Execução de programas dentro do prazo, sem ultrapassar o orçamento, e que atendam aos requisitos e padrões de qualidade
	· Número de programas / projetos executados no prazo e dentro do orçamento 
· Número de programas que precisam de revisão significativa devido a defeitos de qualidade 
· Porcentagem de partes interessadas satisfeitas com a qualidade do programa / projeto
	AG10
	interno
	Qualidade da informação sobre gestão de I&T
	· Nível de satisfação do usuário com a qualidade, oportunidade e disponibilidade da informação de gestão relacionada a I&T, após considerar os recursos disponíveis 
· Relacionamento e extensão de decisões de negócios errôneas em que informações errôneas ou indisponíveis relacionadas a I&T foram um fator chave 
· Porcentagem de informações que atendem aos critérios de qualidade 
	Figura 4.18 - Cascata de Metas: Metas e Métricas de Alinhamento (cont.)
	Referência
	Dimensão BSC de TI
	Metas de alinhamento
	Métricas
	AG11
	interno
	Conformidade de I&T com as políticas internas
	· Número de incidentes relacionados à não conformidade com políticas relacionadas a TI 
· Número de exceções às políticas internas 
· Revisão da política e frequência de atualização
	AG12
	Aprendizagem e crescimento
	Equipe competente e motivada com um entendimento mútuo de tecnologia e negócios
	· Porcentagem de empreendedores proficientes em I&T (ou seja, aqueles que têm o conhecimento e a compreensão necessários de I&T para orientar, direcionar, inovar e ver oportunidades de I&T em sua área de especialização) 
· Porcentagem de empreendedores proficientes em TI (ou seja, aqueles que têm o conhecimento e a compreensão de importantes domínios de negócios necessários para orientar, direcionar, inovar e ver oportunidades de I&T para seu ambiente de negócios) 
· Número ou porcentagem de empreendedores com experiência em gestão de tecnologia
	AG13
	Aprendizagem e crescimento
	Conhecimento, experiência e iniciativas para inovação empresarial
	· Nível de conscientização dos executivos de negócios e compreensão das possibilidades de inovação de I&T 
· Número de iniciativas aprovadas como resultado de ideias inovadoras de I&T 
· Número de campeões de inovação reconhecidos / premiados
CAPÍTULO 4 
CONCEITOS BÁSICOS: SISTEMA DE GOVERNANÇA E COMPONENTES
Capítulo 	 
COBIT® 2019 QUADRO DE REFERÊNCIA: INTRODUÇÃO E METODOLOGIA
CAPÍTULO 4 CONCEITOS BÁSICOS: SISTEMA DE GOVERNANÇA E COMPONENTES
Cópia pessoal de Silvio Rodrigues (ID ISACA: 1141415)3
dois
Cópia pessoal de Silvio Rodrigues (ID ISACA: 1141415)
Cópia pessoal de Silvio Rodrigues (ID ISACA: 1141415)3
5
OBJETIVOS DE GOVERNANÇA E GESTÃO DO COBIT
capítulo 5 Objetivos de governança e gerenciamento do COBIT 
	Figura 5.1 - Modelo Central do COBIT: Objetivos e Propósito de Governança e Gestão
	Referência
	Nome
	Objetivo
	EDM01
	Garantir o estabelecimento e manutenção da estrutura de governança
	Proporcionar uma abordagem uniforme, integrada e alinhada com a abordagem de governança da empresa.As decisões relacionadas a I&T devem ser tomadas em linha com as estratégias e objetivos da empresa e o valor esperado é alcançado. Nesse sentido, você deve garantir que os processos relacionados à I&T sejam monitorados de forma eficaz e transparente; conformidade com requisitos legais, contratuais e regulatórios; e que os requisitos de governança para os membros do conselho de administração sejam atendidos.
	EDM02
	Garanta a entrega de benefícios.
	Garantir o valor ideal das iniciativas, serviços e ativos habilitados pela I&T; entrega lucrativa de soluções e serviços; e uma imagem confiável e precisa dos prováveis ​​custos e benefícios para que as necessidades de negócios sejam atendidas de forma eficaz e eficiente.
	EDM03
	Garanta a otimização do risco
	Certifique-se de que o risco de negócios relacionado a I&T não exceda o apetite e tolerância de risco da empresa, que o impacto do risco de I&T no valor do negócio seja identificado e gerenciado e que potenciais falhas de conformidade sejam minimizadas.
	EDM04
	Garanta a otimização de recursos
	Certifique-se de que as necessidades