AULA2_GOVERNACA_FINAL

Prévia do material em texto

NESTA AULA
 w Aspectos gerais do framework 
COqBIT
 w Princípios do COBIT
 w Modelo de Referência de 
Processos do COBIT
 w Implementação da Governança 
de TI com o COBIT
 w Avaliação da Capacidade dos 
Processos 
 w Planejamento Estratégico e 
Melhoria Contínua
METAS DE COMPREENSÃO
 w Compreender o framework COBIT
 w Compreender os princípios do COBIT e como eles são 
aplicados na implementação de uma Governança de TI
 w Avaliar como as necessidades dos stakeholders são 
desdobradas em objetivos corporativos, objetivos de TI e 
como estes são alcançados por meio da governança. 
 w Identificar como o processo de implementação é estruturado 
em fases, e como a ideia de melhoria contínua é adotada ao 
longo do modelo COBIT.
 w Avaliar o grau de capacidade de um processo, com base no 
modelo proposto pelo COBIT
APRESENTAÇÃO
Nesta aula, esperamos que você compreenda como uma orga-
nização pode mensurar seus processos e otimizá-los, num ciclo 
de melhoria contínua, de modo a amadurecer cada vez mais no 
que concerne à Governança. Para isso, apresentaremos à você o 
framework de Governança COBIT (Control Objectives for Informa-
tion and Related Technologies), amplamente adotado por organi-
zações. Abordaremos seus princípios e a forma como uma orga-
nização pode utilizá-lo para a sua iniciativa de Governança de TI. 
Discutiremos, também, como as necessidades das partes envol-
vidas são desmembradas em objetivos da organização e estes 
em objetivos de TI, para os quais verificaremos a forma de con-
trole sugerida pelo COBIT para garantir os resultados esperados, 
otimizando riscos e recursos envolvidos.
AULA 2
GOVERNANÇA DE TI 
COM O COBIT
Governança da Tecnologia da Informação46
ASPECTOS GERAIS DO 
FRAMEWORK COBIT
Sabemos que é essencial para o desenvolvimento de uma organi-
zação que a TI esteja alinhada com as expectativas do negócio. To-
davia, esta não é uma tarefa rudimentar. Até porque sabemos que 
a TI pode executar diferentes tarefas em uma organização e nem 
sempre há uma fórmula para o sucesso na implementação da Go-
vernança de TI.
Quando pensamos em implementar a Governança de TI em uma 
organização, passamos a buscar experiências de implementação, 
na tentativa de conhecer ‘como’ fazer. Em uma simples pesquisa na 
Internet, vamos encontrar o que as pessoas chamam de “Melhores 
Práticas” ou “Boas Práticas”. Há “melhor prática” para quase tudo em 
tecnologia da informação e vamos conhecer várias delas ao longo 
dos estudos desta unidade curricular. Mas compreenda uma coisa: o 
termo “melhor prática” não pode ser entendido como a melhor forma 
de fazer uma determinada tarefa. Nós temos que pensar em “melho-
res práticas” como aquelas que se referem a procedimentos padroni-
zados que foram incorporados em sistemas organizacionais. Estas 
práticas nem sempre representam a melhor forma de fazer algo, mas 
a forma daqueles que tiveram suas práticas sistematizadas primeiro. 
Compreendeu? Não pense que por ser uma “melhor prática” ela é uma 
verdade absoluta. 
O que normalmente vamos encontrar nas “melhores práticas” de 
Governança de TI?. Para responder a tal questão, vamos conhecer o 
conceito de framework. 
Pense que um framework é uma infraestrutura de controle para a TI. 
O conjunto de boas práticas é consolidado por meio de um framework. 
Esta estrutura de controle visa permitir o alinhamento entre a TI e os 
requisitos de negócio, mensurando o desempenho da TI de maneira 
transparente, além de organizar as atividades em um modelo de pro-
cessos. Como uma infraestrutura de controle, ela nos permitirá identi-
ficar os principais recursos de TI a serem gerenciados, definindo quais 
objetivos de controle serão considerados. Uma “melhor prática” não 
Estrutura de conhe-
cimento que agrega 
um conjunto de 
conceitos ou ideias, 
práticas ou soluções, 
de forma coerente, 
se constitui num 
suporte ou base de 
conhecimento para o 
estabelecimento de 
processos com obje-
tivo de realização.
Framework
Aula 2: Governança de TI com o COBIT 4747
seria bem aceita no mundo dos negócios se ela não entregasse valor, 
correto? Exato! Logo, tal framework terá foco na entrega de valor, geren-
ciando os riscos envolvidos. 
Uau! Quanta responsabilidade para um framework! Há diversos fra-
meworks que podem atuar para atingir tais objetivos, mas há um em 
específico que recebe certa notoriedade: estamos falando do frame-
work COBIT. COBIT é o acrônimo para Objetivos de Controle para Infor-
mação e Tecnologia Relacionada ou, em inglês, Control Objectives for 
Information and Related Technology. Ao longo desta aula vamos conhe-
cer em detalhes o COBIT, seus princípios e como uma empresa pode 
fazer uso do mesmo para implantar a Governança de TI. 
Para Albertin e Albertin (2010), o COBIT é constituído de estruturas 
de processos e relacionamentos para conduzir e controlar empresas 
a fim de atingir suas metas e propósitos, somando valores e anali-
sando riscos que possam afetar os investimentos de tecnologia da 
informação. 
Vamos lá!?
VISÃO GERAL DO COBIT
O COBIT é um framework que apresenta um modelo com quatro ca-
racterísticas fundamentais, que são: Ele é focado no negócio, orientado 
a processos, baseado em controles e orientado por métricas. Vamos 
conhecer um pouco mais sobre estas características.
Requisitos 
de Negócio
Processos 
de TI
Informações 
Empresariais
Recursos 
de TI
Cobit
Qu
e a
ten
dem
 ao
s
direciona aos 
investimentos em
qu
e s
ão 
 
util
iza
do
s p
or
para fornecer
Características fundamentais do COBIT.
Governança da Tecnologia da Informação48
pense nisso
O COBIT é um modelo de Governança de TI que pode ser utiliza-
do para garantir segurança e suprir as deficiências técnicas e even-
tuais riscos nos processos das empresas. O ponto mais importan-
te deste uso é alinhar, de uma maneira harmoniosa, a TI com toda 
a empresa. Como fazer isto com o menor impacto à organização e, 
principalmente, ao setor de TI?
Dizer que o COBIT é focado no negócio significa que este modelo 
observa a área de tecnologia da informação sob a ótica do negócio. 
Como assim?! O COBIT tenta enxergar os requisitos do negócio e tra-
duzi-los para a tecnologia da informação. Por ter esta visão, em todos 
os processos do COBIT há uma ligação entre as metas da organização 
e as metas da TI, buscando sempre alinhar ambas as áreas. O COBIT, 
então, irá apresentar métricas focadas no negócio. Se há um foco no 
negócio, o objetivo do COBIT será realizar uma entrega de valor e não 
na excelência técnica. O que o COBIT propõe é gerenciar e controlar os 
recursos de TI, para garantir a entrega dos serviços de TI requeridos. 
Um exemplo de um serviço de TI requerido pelo negócio é fornecer a 
informação de que a empresa necessita para atingir as suas metas. 
Você sabe me dizer a quem o COBIT se refere quando cita “recursos 
de TI”? Esta é uma definição muito importante, que precisamos ter em 
mente quando fazemos a leitura do COBIT. Quando falamos de recur-
sos de TI, estamos nos referindo a pessoas (habilidades, conhecimen-
tos, índices de produtividade, etc.) e infraestrutura (hardware, sistemas 
operacionais, bancos de dados, redes, etc.) para executar aplicações 
automatizadas e procedimentos manuais que manipulam e proces-
sam as informações de negócio (Fernandes e Abreu, 2012). 
O fato de ser orientado a processos, faz com que o COBIT organize 
as atividades de tecnologia da informação em processos, na busca por 
facilitar seu gerenciamento. Sendo orientado a processos, como estes 
processos são geridos? 
A resposta consiste no fato do COBIT ser baseado em controles. 
Isto significa que para cada processo de tecnologia da informação há 
objetivos de controle bem definidos. Tais controles nos indicam que 
Aula 2: Governança de TI com o COBIT 4949
pode ser feito em cada processo. O que vem a ser um controle? Cha-
mamos de controle o conjunto de políticas, procedimentos, práticas 
e estruturas organizacionais desenvolvidos para dar uma garantia de 
que os objetivosde negócio serão atingidos e de que eventos indesejá-
veis serão prevenidos ou mesmos detectados e corrigidos.
Um pouco mais adiante nesta aula, vamos apresentar mais detalhes 
sobre os processos do COBIT. Cada processo terá, além de sua descri-
ção, os objetivos de controle, os quais definem um resultado desejado 
ou propósito a ser atingido com a implementação de procedimentos 
de controle em uma atividade TI.. Na versão mais recente do COBIT, 
versão 5, os objetivos de controle são denominados práticas-chave. 
palavra de autor
Segundo os princípios do ITGI, as informações corporativas e a tecnologia neces-
sária para suportá-las não podem ser tratadas isoladamente, devendo a TI ser consi-
derada uma parte integrante da estratégia corporativa, em vez de simplesmente um 
meio para torna-la viável. A própria definição de “Governança de TI”, presente na ver-
são 4.1 do CobiT, ilustra a importância da TI dentro da organização: responsabilidade 
da alta direção (incluindo diretores e executivos), consiste na liderança, nas estruturas 
organizacionais e nos processos que garantem que a tecnologia da informação da em-
presa sustente e estenda as estratégias e objetivos da organização. 
O principal objetivo das práticas do CobiT é contribuir para o sucesso da entrega 
de produtos e serviços de TI a partir da perspectiva das necessidades do negócio, 
com um foco mais acentuado no controle que a execução. De acordo com o ITGI, 
neste sentido, o CobiT:
 u Estabelece relacionamentos com os requisitos de negócio.
 u Organiza as atividades de TI em um modelo de processos genérico.
 u Identifica os principais recursos de TI, nos quais deve haver mais investimento.
 u Define os objetivos de controle que devem ser considerados para a gestão.
O modelo do COBIT é genérico o bastante para representar todos os processos 
normalmente encontrado nas funções de TI e compreensível tanto para a operação 
como para os gerentes de negócio, pois cria uma ponte entre o que o pessoal opera-
cional precisa executar a visão que os executivos desejam ter para “governar”. (FER-
NANDES E ABREU, 2012, pg. 211).
Se queremos gerenciar algo, temos que saber como mensurar seu 
desempenho, correto? O fato do COBIT ser orientado por métricas in-
Instituto de Gover-
nança de TI, criado 
pela a ISACA, com 
foco em realizar pes-
quisas na área de 
governança de TI e 
temas relacionados. 
O ITGI desenvolve 
ações para auxiliar 
líderes a compreen-
der a importância do 
alinhamento entre os 
objetivos organiza-
cionais e os objeti-
vos de TI.
ITGI
Governança da Tecnologia da Informação50
dica que ele irá fornecer um conjunto de indicadores que nos permitirá 
mensurar o desempenho das atividades, dos processos e o desempe-
nho da TI como um todo. Definir o nível de profundidade da medição e 
o que deve ser mensurado é um grande desafio para as organizações. 
O COBIT vai nos trazer um modelo de capacidade para cada processo 
de TI, o qual iremos conhecer ainda nesta aula. 
Legal o COBIT, não é mesmo? Ele está muito alinhado ao que aborda-
mos na aula anterior, e pode facilitar consideravelmente a implementação 
da Governança de TI. Vamos agora conhecer um pouco de seu histórico.
O COBIT foi desenvolvido em 1994 pela ISACF (Information Systems 
Audit and Control Foundation), um órgão da ISACA (Information Sys-
tems Audit and Control). Desde então o COBIT vem evoluindo através 
da incorporação de padrões internacionais técnicos, profissionais, re-
gulatórios e específicos para processos de TI. 
No ano 2000, a ISACA lançou a terceira versão com a inclusão de 
orientações para a gestão de TI. No ano de 2005, com o COBIT 4.0, o 
modelo virou um framework de governança de TI, incluindo processos 
de governança e conformidade.
A Tabela 1 apresenta a evolução do COBIT desde a sua criação até 
a sua versão mais atual, COBIT 5, e qual foi o foco de cada versão. 
Conforme podemos observar, o COBIT evoluiu de um framework de 
auditoria para um framework de governança empresarial de TI. Na 
versão 5, o COBIT é um framework de negócio completo para a go-
vernança e gerenciamento de TI. Nesta versão, COBIT não é apenas 
um acrônimo, mas torna-se uma marca consolidada no mercado de 
Governança de TI. 
Tabela 1: Histórico de Versões do COBIT
Neste contexto, refe-
rem-se a indicadores 
de desempenho 
de processo, tam-
bém chamados KPI 
(Key Performance 
Indicator), os quais 
objetivam mensurar 
o desempenho das 
tarefas e determinar 
se a organização 
tem sido efetiva em 
seus objetivos.
Indicadores
Fundação de Con-
trole e Auditoria de 
sistemas de Informa-
ção, ligada à ISACA.
ISACF
Associação de Au-
ditoria e Controle 
de Sistemas de In-
formação. Trata-se 
de uma associação 
internacional que 
suporta e patrocina 
o desenvolvimento 
de metodologias e 
certificações para o 
desempenho das ati-
vidades de auditoria 
e controle em siste-
mas de informação.
ISACA
Aula 2: Governança de TI com o COBIT 5151
Nesta aula vamos conhecer em detalhes o COBIT 5. Nesta versão, o 
modelo apresenta 37 processos (na versão anterior, 4.1, o COBIT pos-
suía 34 processos) e a sua estrutura está baseada em cinco princípios 
de governança e gerenciamento de TI. Vamos agora conhecer os prin-
cípios do COBIT.
saiba mais
A ISACA disponibiliza o documento prin-
cipal do COBIT 5 – Modelo Corporativo para 
a Governança e Gestão de TI da Organização, 
em português, gratuitamente, a partir de seu 
site: http://www.isaca.org/COBIT/Pages/COBI-
T-5-portuguese.aspx 
PRINCÍPIOS DO COBIT 
O COBIT 5, como um modelo de Governança de TI, inicia estabelecendo 
um conjunto de princípios que irão nortear as suas práticas e recomen-
dações. São eles:
 u Satisfazer as necessidades das partes interessadas
 u Cobrir a Organização Ponta a Ponta.
 u Aplicar um framework integrado único.
 u Possibilitar uma visão holística.
 u Separar Governança de Gerenciamento.
A ideia é que, com base nestes princípios, uma organização possa 
implantar a Governança de TI de forma integrada, permitindo assim o 
gerenciamento eficiente de investimentos em recursos de tecnologia 
da informação.
Governança da Tecnologia da Informação52
Princípios-chave para a governança e oi gerenciamento 
da TI estabelecidos no COBIT 5. 
Agora vamos conhecer em detalhes cada princípio apresentado pelo 
modelo COBIT.
SATISFAZER AS NECESSIDADES DAS PARTES 
INTERESSADAS
O que os principais stakeholders de uma organização desejam quan-
do da gestão da mesma? Bom, alguns desejos são comuns, tais como: 
reduzir riscos e custos, aumentar as receitas, maximizar a produtivida-
de, etc. Ou seja, há sempre uma necessidade de que a empresa gere va-
lor para as partes interessadas. Logo, a governança de uma empresa é 
moldada pelo atendimento das necessidades das partes interessadas. 
Aula 2: Governança de TI com o COBIT 5353
Precisamos ter em mente que as organizações existem para criar 
valor para as partes interessadas. Ora, a governança de qualquer orga-
nização existe para criar valor para alguém ou para um grupo de pes-
soas. O COBIT traz este conceito como um princípio. O framework in-
clusive nos apresentar o conceito de valor. Valor representa benefícios 
a um custo ideal e com riscos otimizados. Tá, mas quais benefícios?... 
existem diversos, os mais comuns são os benefícios financeiros (lucro, 
por exemplo), serviços prestados, produtos desenvolvidos, etc. Para 
cada decisão de governança empresarial, devem ser respondidas as 
seguintes perguntas: “Quem irá receber os benefícios”, “Quem assumi-
rá os riscos”, “Quais são os recursos necessários”. 
você sabia?
Para o COBIT a criação de valor consiste na obtenção de bene-
fícios, por meio da otimização do uso dos recursos e dos riscos a 
um nível aceitável.
Governança da Tecnologia da Informação54
O que o COBIT nos propõe é que precisamos nos concentrar em 
gerar valor para as partes interessadas, criando benefícios, mas sem 
deixar de otimizar riscos e recursos. Para isto, o modelo propõe o con-
ceito de Cascata de Objetivos. A cascatade objetivos do COBIT é um 
mecanismo utilizado para traduzir as necessidades das partes interes-
sadas em metas empresariais, metas de TI e metas de habilitadores.
Cascata de Objetivos do COBIT
Fonte: Adaptado de (ISACA, 2012, pg. 20)
O que são os habilitadores? Bom, habilitadores é o nome dado pelo 
COBIT para os elementos (tangíveis e intangíveis) usados na governan-
ça e no gerenciamento de TI.
Podemos dizer que, para o COBIT 5, um habilitador é um fator de in-
fluencia que, individual e/ou coletivamente, define se algo vai funcionar.
O COBIT 5 descreve sete categorias de habilitadores, conforme apre-
sentado a seguir:
Aula 2: Governança de TI com o COBIT 5555
 u Princípios, Políticas e Modelos são veículos para a tradução do 
comportamento desejado com orientações práticas para a ges-
tão diária.
 u Processos descrevem um conjunto organizado de práticas e ati-
vidades para o atingimento de determinados objetivos e produ-
zem um conjunto de resultados em apoio ao atingindo geral dos 
objetivos de TI.
 u Estruturas Organizacionais são as principais entidades de 
tomada de decisão de uma organização. 
 u Cultura, Ética e Comportamento das pessoas e da organização 
são muitas vezes subestimados como um fator de sucesso nas 
atividades de governança e gestão
 u Informação permeia qualquer organização e inclui todas as in-
formações produzidas e usadas pela organização. A informação 
é necessária para manter a organização em funcionamento e 
bem governada, mas no nível operacional, a informação por si só 
é muitas vezes o principal produto da organização.
 u Serviços, Infraestrutura e Aplicativos incluem a infraestrutura, 
a tecnologia e os aplicativos que fornecem à organização o pro-
cessamento e os serviços de tecnologia da informação. 
 u Pessoas, Habilidades e Competências estão associadas às 
pessoas e são necessárias para a conclusão bem-sucedida de 
todas as atividades bem como para a tomada de decisões corre-
tas e tomada de decisões corretivas”. (ISACA, 2012, pg. 30)
Começamos a cascata de objetivos com os “direcionadores das 
partes interessadas”. Estes direcionadores são elementos que vão in-
fluenciar as necessidades dos stakeholders. Por exemplo: mudanças 
na estratégia, o ambiente de negócio, novos regulamentos, novas tec-
nologias, etc. Tendo estas necessidades definidas, o COBIT visa reali-
zar os benefícios, otimizando riscos e recursos.
Para isto, o COBIT vai propor o desdobramento das necessidades 
das partes interessadas em objetivos corporativos genéricos, fazendo 
uso de técnicas tais como o Balanced Scorecard (BSC) como apoio. 
Os objetivos corporativos genéricos são desdobrados em objetivos re-
lacionados a TI, por meio de um BSC de TI, por exemplo. 
Governança da Tecnologia da Informação56
palavra de autor
A técnica de Balanced Scorecard (BSC) possibilita a definição e 
a utilização de indicadores de desempenho vinculados às estraté-
gicas de negócios corporativos. 
O BSC foi criado para entender como as organizações criam 
valor na era da informação, medindo o desempenho sob quatro 
diferentes perspectivas: financeira, clientes, processos internos, 
aprendizados e crescimento. Enquanto as perspectivas financei-
ras e de mercado explicitam o resultado desejado da aplicação da 
estratégia, a perspectiva de processos internos busca como tornar 
isso possível, por meio de processos críticos que têm maior impac-
to sobre a estratégia. A perspectiva de aprendizado e crescimento 
foca ativos intangíveis, os quais devem suportar a atividade de 
criação de valor: capital humano (atividades), capital informacional 
(sistemas) e capital organizacional (clima e cultura). 
Alinhar atividades e objetivos nestas quatro perspectivas é a 
chave para a criação de valor. (OLIVEIRA, 2006, pg. 5)
Por fim, os objetivos de TI são convertidos em objetivos para os ha-
bilitadores. Os habilitadores possuem grande influência no sucesso da 
governança e do gerenciamento da TI. No COBIT 5, cada habilitador é 
descrito em termos de suas partes interessadas, de suas metas, de 
seu ciclo de vida e de boas práticas a ele aplicáveis.
leitura indicada
Faça a leitura do Apêndice G – “Descrição Detalhada dos Habilita-
dores do COBIT 5”, do documento COBIT 5 – Modelo Corporativo para a 
Governança e Gestão de TI da Organização, 
para conhecer como um habilitador é descrito neste modelo, suas 
partes interessadas, suas metas, seu ciclo de vida, além de verificar um 
conjunto de boas práticas sugeridas.
O documento pode ser obtido após registro no site da ISACA, pelo en-
dereço: http://www.isaca.org/COBIT/Pages/COBIT-5-portuguese.aspx
Aula 2: Governança de TI com o COBIT 5757
Para que possamos compreender como fazer uso da Cascata de 
Objetivos do COBIT, vamos estudar um exemplo fornecido pelo próprio 
COBIT, disponível em (ISACA, 2012, pg. 22).
E s t u d o d E C a s o
Imagine que uma determinada organização define um conjunto de 
objetivos estratégicos. Destes objetivos estratégicos, ela considera 
que o objetivo de melhorar a satisfação do cliente é o mais importante. 
Logo, há alguma necessidade das partes envolvidas que levou ao des-
dobramento dos objetivos estratégicos, criando este objetivo.
A partir deste ponto, a organização necessita conhecer o que preci-
sa ser melhorado em todos os aspectos relativos ao cliente. Fazendo 
uso da cascata de objetivos, a organização deseja mapear como estes 
objetivos estratégicos serão desdobrados em objetivos de TI, e quais 
metas para cada habilitador deverão ter atingidas.
Bom, vamos lá então!. Primeiro passo: dado o objetivo estratégico 
“melhorar a satisfação do cliente”, a organização necessita saber quais 
objetivos corporativos deverão ser estabelecidos. O COBIT nos traz as 
melhores práticas, correto? Então, é de se esperar que ele apresente 
algumas recomendações.
Para descobrir quais são os objetivos corporativos, o COBIT disponi-
biliza em seu manual oficial a Tabela de Objetivos Corporativos, a qual 
apresenta os objetivos corporativos do COBIT 5 sob a ótica da técnica 
de BSC, e a relação destes objetivos com a governança para a criação 
de valor (realização de benefícios, otimização de riscos, otimização de 
recursos).
Governança da Tecnologia da Informação58
Objetivos Corporativos do COBIT 5
Fonte: (ISACA, 2012, pg. 21)
Nesta tabela, a relação dos objetivos corporativos com os objetivos 
da governança é identificada por duas letras: P e S. “P” significa primá-
rio, e indica que há uma relação direta importante entre o objetivo cor-
porativo e o objetivo da governança. “S”, por sua vez, significa secundá-
rio, representando uma relação ainda forte, mas de caráter secundário. 
Com base na análise da tabela de objetivos corporativos, a organiza-
ção define que os seguintes objetivos corporativos deverão ser atendidos:
 u 6 – Cultura de serviço Orientada ao Cliente
 u 7 – Continuidade e disponibilidade do serviço ao negócio
 u 8 – Respostas rápidas para um ambiente de negócios em mu-
dança
Uma vez estabelecido os três objetivos corporativos, a organização 
pode fazer uso da tabela de Objetivos de TI para determinar os objetivos 
da tecnologia da informação que serão atendidos (selecionando os ob-
jetivos que de TI que estão com relação identificada como primária – P).
Aula 2: Governança de TI com o COBIT 5959
Mapeamento dos objetivos corporativos do COBIT 5 em Objetivos de TI
Fonte: (ISACA, 2012, pg. 52)
Logo, os objetivos de TI selecionados serão:
 u 01 – Alinhamento da estratégia de TI e de negócios
 u 04 – Gestão do risco organizacional de TI
Governança da Tecnologia da Informação60
 u 07 – Prestação de serviços de TI em consonância com os requi-
sitos de negócio
 u 09 – Agilidade de TI
 u 10 – Segurança da informação, infraestrutura de processamen-
to e aplicativos
 u 11 – Disponibilidade de informações úteis e confiáveis para a 
tomada de decisão
 u 17 – Conhecimento, expertise e iniciativas para inovação dos ne-
gócios.
Ótimo! Percebeu o que foi feito? A Organização tinha objetivos estra-tégicos definidos a partir das necessidades de seus stakeholders. Es-
tes objetivos foram desdobrados em objetivos corporativos, os quais 
foram desdobrados em objetivos de TI. 
Vamos agora considerar que a organização validou tal lista de obje-
tivos de TI e decidiu que os quatro primeiros objetivos (01, 04, 07 e 09) 
serão considerados prioridade. Qual o próximo passo? De acordo com 
a cascata de objetivos, os objetivos de TI são desdobrados em objeti-
vos de habilitadores. 
Estes habilitadores, como vimos, podem ser desde processos até 
cultura organizacional. Por exemplo, com base no apêndice C do ma-
nual do COBIT (ISACA, 2012), será possível extrair quais processos do 
COBIT 5 (um dos sete tipos de habilitadores) irão apoiar os objetivos 
de TI, como, por exemplo: para o objetivo de TI de Segurança da In-
formação, infraestrutura de processamento e aplicativos”, o COBIT 5 
apresenta como processos com relação primária:
 u Garantir a otimização do risco;
 u Gerenciar Riscos;
 u Gerenciar Segurança
 u Gerenciar mudanças;
 u Gerenciar Serviços de Segurança.
Obviamente a organização não pode focar apenas em desenvolver 
os habilitadores de processo, mas também os demais habilitadores, 
tais como cultura, comportamento e técnica; modelos organizacionais 
ou habilidades e expertise são igualmente importantes e requerem um 
conjunto de objetivos bem definidos.
Ao final deste exercício, a organização terá um conjunto de metas 
para todos os habilitadores que permitirão que ela alcance os objetivos 
Aula 2: Governança de TI com o COBIT 6161
estratégicos estabelecidos, além de um conjunto de indicadores para 
medir o desempenho. 
pense nisso
O princípio “Satisfazer as necessidades das partes interessa-
das” está intimamente relacionado ao conceito de alinhamento es-
tratégico entre TI e o negócio.
COBRIR A ORGANIZAÇÃO DE PONTA A PONTA
Para o COBIT, a implementação da governança e gestão da tecnologia 
da informação deve abranger a organização de ponta a ponta. Mas o que 
isso significa? Segundo o manual oficial (ISACA, 2012, pg. 25), o COBIT 
integra a governança corporativa de TI dentro da governança corporati-
va da organização, cobrindo todas as funções e processos necessários 
para regular e controlar as informações da organização e tecnologias 
correlatas onde quer que estas informações possam ser processadas.
O COBIT, então, não foca apenas nas funções de TI, mas trata a in-
formação e as tecnologias relacionadas como ativos. E, como vimos 
na aula anterior, todo ativo precisa ser protegido e alvo de investimento.
Quando o COBIT propõe um conjunto de habilitadores, compreenda 
que estes habilitadores não são apenas para a TI. Eles são para a toda 
a organização, aplicáveis a todas as pessoas e coisas, sejam elas inter-
nas ou externas. 
A mensagem mais importante deste princípio do COBIT é que os 
gestores de negócio têm a responsabilidade de tratar a TI como um 
ativo estratégico, gerenciando tal ativo assim como eles gerenciam os 
demais ativos organizacionais. 
pense nisso
O COBIT 5 não foca apenas no departamento de TI. Neste mo-
delo, TI é um ativo estratégico que tem que ser gerenciado por to-
dos os gestores de negócio da organização. 
Governança da Tecnologia da Informação62
Como vimos, no modelo COBIT o objetivo da governança é criar va-
lor por meio da realização de benefícios e da otimização de riscos e de 
recursos. Como ele faz isso? Vimos que com uso da cascata de obje-
tivos, os objetivos estratégicos são transformados em habilitadores. 
Para que a governança cubra a organização de ponta a ponta, o CO-
BIT nos traz o conceito de sistema de governança. 
O que o COBIT quer dizer com escopo da governança? Embora o 
escopo do COBIT 5 seja toda a organização, o COBIT reconhece que a 
governança pode ser a aplicada a toda organização, a um ativo tangível 
ou ainda a um ativo intangível. Dessa forma, organizações de diferen-
tes portes podem fazer uso do COBIT seja para a organização como 
um todo, ou parte dela apenas. 
Além disso, o COBIT nos apresenta “Funções, Atividades e Relacio-
namentos”, definindo quem está envolvido com a governança, como 
estão envolvidos, o que fazem e como interagem dentro do escopo da 
governança. Para o COBIT, as partes interessadas delegam para o con-
selho de administração da organização a definição de orientações para 
as atividades de gestão do corpo diretivo. O corpo diretivo, por sua vez, 
instrui e alinha as operações de TI da organização. A parte operacional 
da organização, representada pelos executores, reportam os resulta-
dos de suas atividades para o corpo diretivo, o qual é monitorado pelo 
conselho de administração, na busca por prestar contas do desempe-
nho da organização para as partes interessadas. 
Principais funções, atividades e relacionamentos definidos no COBIT
Fonte: (ISACA, 2012, pg. 26)
APLICAR UM FRAMEWORK 
ÚNICO E INTEGRADO
O COBIT, em sua versão 5, buscou se estruturar de modo a integrar 
todos os conhecimentos anteriormente apresentados em outros docu-
mentos da ISACA: COBIT 4.1, Val IT (valor de TI para o negócio), Risk 
Aula 2: Governança de TI com o COBIT 6363
IT (risco relacionado ao uso de TI), The Business Model for Information 
Security - BMIS (segurança).
saiba mais
Embora o COBIT 5 tenha incorporado o Val IT, Risk IT e BMIS em 
seu modelo, é importante conhecer o que cada um representa no 
mundo da governança de tecnologia da informação:
O Val IT é um framework, definido pelo IT Governance Institute 
(ITGI), com o objetivo de auxiliar a gerencia a assegurar que as orga-
nizações obtenham o máximo retorno dos investimentos de TI para 
suporte ao negócio, a um custo razoável e com um nível de risco 
conhecido e aceitável (Fernandes e Abreu, 2012).
O Risk IT é um framework desenvolvido pela ISACA como parte 
da iniciativa de riscos de TI, de modo a auxiliar no gerenciamento 
de riscos relacionados a TI. Um de seus objetivos é entender como 
responder aos riscos, tomando decisões bem informadas sobre a 
extensão dos riscos, assim como sobre a tolerância e o apetite por 
riscos da organização (Fernandes e Abreu, 2012).
O BMIS, por sua vez, propõe uma abordagem holística e orien-
tada para o negócio para gerenciar a segurança da informação e 
uma linguagem comum para a segurança da informação e gestão 
de negócios para falar sobre proteção de informação (ISACA, 2012).
A proposta da ISACA para o COBIT 5 foi fazer deste um integrador 
de frameworks de governança e de gestão, alinhando-o com os mais 
atuais e relevantes padrões e frameworks utilizados. Este foi um bom 
passo dado pela ISACA já que, em virtude dos múltiplos frameworks e 
modelos de governança existentes, a tarefa de escolher qual modelo 
será adotado para a implementação da governança não é trivial.
Neste ponto, como um integrador de frameworks, o COBIT 5 foi di-
vidido em uma família de produtos. O próprio framework do COBIT é 
um dos produtos. Outro produto é o guia de habilitadores do COBIT 
5, o qual detalha e discute os habilitadores de governança e gestão. 
Há também guias profissionais do COBIT, focados em: implementação, 
Segurança da Informação, Garantia, Risco, etc.
Governança da Tecnologia da Informação64
você sabia?
Como o COBIT 5 foi dividido em uma família de produtos, al-
guns produtos são pagos. O produto principal, o qual explica o fra-
mework é gratuito. Já a parte dos habilitadores, assim como o guia 
de implementação do COBIT são pagos.
POSSIBILITAR UMA VISÃO HOLÍSTICA
Para o COBIT, diversos habilitadores, quando aplicados individual ou 
coletivamente, influenciam para que algo funcione na governança e no 
gerenciamento de TI. Dessa forma, a organização não pode enxergar 
um habilitador como um elemento isolado. Cada habilitador necessita 
das informações dos demais habilitadores para ser plenamente efeti-
vo. Por exemplo: habitador de processos precisam de informações, as 
quais constituem outro habilitador. 
Um determinado habilitador produzirá benefícios para outro habili-
tador, por exemplo,o habilitador de “pessoas, habilidades e competên-
cias” irá beneficiar o habilitador de “processos”, tornando os processos 
mais eficientes. 
Ou seja, a ideia de definir habilitadores do COBIT e fazer com que es-
tes tenham um relacionamento entre si, permite uma visão holística da 
Governança de TI. Cada habilitador do COBIT é muito bem detalhado 
nos documentos oficiais do documento. 
Dimensões dos habilitadores
Compreender os fe-
nômenos na sua to-
talidade e globalida-
de. A palavra vem de 
holos, que em grego 
significa “todo” ou “ 
inteiro”. Na área de 
governança, dizemos 
que a visão holística 
é a visão global de 
uma organização, de 
todos os seus ele-
mentos, estratégias 
e atividades.
Holística
Aula 2: Governança de TI com o COBIT 6565
Para cada habilitador, você conseguirá um conjunto básico de infor-
mações, denominadas dimensões. O COBIT criou as dimensões como 
uma maneira simples e estruturada para tratar dos habilitadores. As 
dimensões dos habilitadores são:
 u Partes interessadas: cada habilitador possui partes interessa-
das, as quais ou executam um papel ativo neste habilitador ou 
possuem interesse na execução do mesmo. Por exemplo, pro-
cessos organizacionais possuem diversas partes interessadas 
(quem executa e quem aguarda a execução, por exemplo);
 u Metas: o COBIT estabelece uma série de objetivos para cada ha-
bilitador, de modo que a realização destes objetivos cria valor à 
organização. As metas são o último passo no desdobramento 
de objetivos que vimos na cascata de objetivos;
 u Ciclo de vida: cada habilitador tem um ciclo de vida, desde a sua 
criação, passando pela fase operacional até o seu descarte;
 u Boas práticas: para cada habilitador, o COBIT define algumas 
boas práticas que podem ser adotadas. Tais práticas auxiliam 
na realização dos objetivos do habilitador. 
você sabia?
O Manual do COBIT 5 apresenta diversos exemplos para facili-
tar a compreensão do modelo. Por exemplo, para compreender o 
princípio da visão holística, o manual nos traz o seguinte exemplo 
de interdependência entre os habilitadores (ISACA, 2012, pg. 30):
- A necessidade de segurança da informação exige a criação e 
adoção de diversas políticas e procedimentos. Essas políticas, por 
sua vez, exigem a implementação de diversas práticas de seguran-
ça. No entanto, se a cultura e a ética da organização e das pessoas 
não forem apropriadas, os processos e os procedimentos de segu-
rança das informações não serão efetivos.
Considere, por exemplo, o habilitador “processos” do COBIT. Como 
seriam as suas dimensões? Podemos dizer que as partes interessadas 
deste habilitador são os atores do processo, ou seja, todas as partes 
responsáveis, consultas ou informadas (podemos fazer uso da tabela 
RACI para isto). E as metas? Para cada processo do COBIT haverá um 
RACI é uma ferra-
menta utilizada para 
atribuição de respon-
sabilidades, dentro 
de um processo ou 
projeto. Por meio da 
RACI, identificamos 
para cada tarefa 
quem é o respon-
sável (R) por execu-
ta-la, a pessoa res-
ponsável por tomar 
decisões (A), quem 
deve ser consultado 
e participar da deci-
são ou atividade no 
momento da execu-
ção (C) e quem deve 
ser informado (I) 
quando a execução 
da atividade for con-
cluída.
RACI
Governança da Tecnologia da Informação66
conjunto de metas que podem ser utilizadas. Podemos usar a meta 
existência de bons relacionamentos entre a organização a área de TI”. 
Toda meta vem associada com uma métrica, até porque só assim con-
seguiremos saber se a meta está sendo cumprida ou não. Uma métri-
ca para meta que definimos pode ser a classificação dos usuários em 
uma pesquisa de satisfação sobre a TI. 
E o ciclo de vida?. Bom, cada processo tem um ciclo de vida. Nós po-
demos definir um ciclo de vida básico formado pelas atividades: definir 
responsabilidades, desmembrar o processo em práticas e atividades, 
definir os produtos de trabalho do processo (entradas e saídas), etc. 
Uma vez estabelecidas estas dimensões, vamos para a última dimen-
são, a de “boas práticas”. O COBIT vai estabelecer como boas práticas 
como, por exemplo, o uso de tabelas RACI para a descrição das fun-
ções e responsabilidades. 
SEPARAR GOVERNANÇA DO GERENCIAMENTO
O COBIT, em sua versão 5, nos apresenta uma clara distinção entre 
as disciplinas de governança e de gerenciamento (gestão). 
A governança vai, então, assegurar que os objetivos de negócio da 
organização sejam realizados, avaliando as necessidades dos stakehol-
ders, definindo prioridades, tomada de decisões, além de monitorar o 
desempenho, conformidade e progresso em relação aos objetivos.
A governança é de responsabilidade do corpo diretivo da instituição.
Já o gerenciamento, por sua vez, planeja, constrói executa e monito-
ra as atividades, alinhadas com a direção estabelecida pela equipe de 
governança. O gerenciamento é de responsabilidade da gerência exe-
cutiva da organização, normalmente representado na figura do CEO. 
Essa distinção entre tais disciplinas acompanha o modelo do CO-
BIT como um todo. Você irá encontrar ao longo do modelo duas áreas 
principais de processos: processos de governança e processos de 
gerenciamento. Os processos de governança vão focar no atendimen-
to das necessidades das partes interessadas, enquanto que os pro-
cessos de gerenciamento vão focar na utilização eficiente de diversos 
meios (recursos, pessoas, processos, práticas, etc.) para alcançar um 
objetivo específico. 
Esta é uma sigla 
inglesa para Chief 
Executive Officer. 
Em português signi-
fica Diretor Executi-
vo da organização. 
Normalmente um 
CEO é a pessoa 
responsável pelas 
estratégias e pela 
visão da empresa.
CEO
Aula 2: Governança de TI com o COBIT 6767
MODELO DE REFERÊNCIA DE PROCESSO 
DO COBIT 
O modelo COBIT defende que as organizações implementem pro-
cessos de governança e gestão, de modo a que as principais áreas da 
organização sejam cobertas. Uma vez que o COBIT divide a implemen-
tação de seus processos em duas disciplinas, governança e gestão (ou 
gerenciamento), ele nos apresenta um modelo de referência de proces-
so, o qual define e descreve em detalhes um conjunto de processos de 
governança e gestão. 
A ideia da ISACA ao produzir o modelo de referência foi listar os pro-
cessos normalmente encontrados nas organizações e que são relacio-
nados às atividades de TI. Por que ela fez isto? Simples, para facilitar 
a compreensão do modelo proposto, principalmente pelos gerentes 
operacionais de TI. 
O que este modelo de referência do COBIT nos oferece? A ideia do 
COBIT é apresentar um modelo operacional, com uma linguagem co-
mum para todas as partes da organização que estão envolvidas com 
atividades de TI. Por meio deste modelo, ficam estabelecidas formas de 
mensurar e monitorar o desempenho da TI, promovendo assim a con-
formidade e garantia da TI, comunicação com provedores de serviço e 
melhor integração com as práticas da administração (ISACA, 2012).
Áreas de Processos definidos no Modelo de Referência 
de Processo do COBIT 5.
Governança da Tecnologia da Informação68
O modelo de referência de processo do COBIT divide os processos 
de governança e gerenciamento de TI em duas áreas de processos 
principais (área de governança e área de gestão), de modo a nos apre-
sentar um total de 37 processos. 
Você se recorda que no início desta aula lhe apresentamos o conceito de 
“melhores práticas”? Estas melhores práticas são reunidas em 05 grandes 
domínios do COBIT, quais sejam (FERNANDES e ABREU, 2014, pg. 213). 
Na área de governança, há um único domínio, contendo cinco pro-
cessos:
 u Avaliar, Dirigir e Monitorar (Evaluate, Direct and Monitor – EDM): 
neste domínio da área de governança encontraremos cinco pro-
cessos, dentro dos quais são definidas práticas de avaliação, 
direção e monitoração.
Na área de gestão, encontraremos quatro domínios, os quais, ao 
todo, contêm 32 processos:
 u Alinhar, Planejar e Organizar (Align, Plan and Organise – APO): 
este domínio contém 13 processos,e diz respeito à identifica-
ção de como a tecnologia da informação pode contribuir de 
forma efetiva com os objetivos corporativos. Vamos encontrar 
processos relacionados ao alinhamento entre a estratégia da 
organização e a estratégia da TI, gerenciamento de portfólio de 
TI, orçamento, qualidade, riscos e segurança;
 u Construir, Adquirir e Implementar (Build, Acquire and Imple-
ment – BAI): neste domínio vamos encontrar 10 processos, os 
quais vão auxiliar na concretização da estratégia de TI. Neste 
domínio há processos que tratam do gerenciamento da dispo-
nibilidade e capacidade de TI, mudança organizacional, geren-
ciamento de mudanças de TI, gerenciamento de ativos, configu-
ração e conhecimento;
 u Entregar, Serviços e Suporte (Deliver, Service and Support – 
DSS): neste domínio encontraremos 6 processos ligados à 
entrega dos serviços de TI, os quais são necessários ao aten-
dimento dos planos táticos e estratégicos. Há processos para 
gerenciar operações de TI, requisições de serviços e incidentes, 
gerenciamento de problemas, etc. 
 u Monitorar, Avaliar e Analisar (Monitor, Evaluate, Assess – MEA): 
encontraremos três processos que buscam monitorar o desem-
penho dos processos de TI, na avaliação da conformidade com 
os objetivos e com os requisitos externos. 
Aula 2: Governança de TI com o COBIT 6969
Processos dos domínios do COBIT. 
(Adaptado Fernandes e Abreu, 2014, pg. 214)
palavra de autor
Cada um dos 37 processos de TI é descrito através de seus compo-
nentes inter-relacionados: 
 u Identificação do processo (código, nome, área chave e domínio).
 u Descrição do processo.
 u Propósito geral do processo.
 u Metas em cascata relacionadas (metas relacionadas à TI suporta-
das primariamente e métricas sugeridas para medi-las).
 u Metas e exemplos de métricas específicas do processo.
 u Matriz de responsabilidades (modelo RACI), associando os papéis 
e tarefas.
 u Descrição detalhada das práticas do processo (para cada prática):
• Título e descrição.
• Entradas e saídas (com origens e destinos).
• Detalhamento das atividades.
 u Orientações relacionadas, referenciando outros modelos e pa-
drões, além de documentação adicional. (FERNANDES e ABREU, 
2014, pg. 215)
Governança da Tecnologia da Informação70
dica
No documento COBIT 5: Enabling Process, encontramos cada 
um dos 37 processos, os quais serão desdobrados em práticas de 
governança ou práticas de gestão. Em versões anteriores estas 
práticas eram chamadas de objetivos de controle. 
IMPLEMENTAÇÃO DA 
GOVERNANÇA DE TI COM 
O COBIT
No documento COBIT 5: Implementation, a ISACA elaborou um guia de 
implementação do COBIT. Você se recorda de que na primeira aula des-
ta unidade curricular nós estudamos o conceito de melhoria contínua? 
Ele aparece aqui! Como dissemos anteriormente, implantar governança 
não é algo trivial, mesmo usando um modelo de referência como o CO-
BIT. Neste caso, entende-se que a implementação da governança com o 
COBIT será também com base no princípio da melhoria contínua.
Normalmente as pessoas já querem ler o documento de implemen-
tação sem compreender os conceitos do COBIT. Eu até entendo a an-
siedade e pressa, principalmente quando consideramos o dinamismo 
do ambiente de TI. Mas já lhe adianto: não vamos encontrar uma re-
ceita de como implantar a governança lendo este documento. O que 
vamos encontrar é um conjunto de boas práticas para evitar os proble-
mas mais comuns encontrados, e nos auxiliar na geração dos resulta-
dos esperados. 
O que nos vamos encontrar neste documento oficial é o conjunto de 
ferramentas de auto avaliação, medição e diagnóstico, artigos relacio-
nados, experiências nas mais diversas áreas, etc. 
Mas, cabe aqui uma pergunta que você pode estar se fazendo: En-
tendemos os princípios do COBIT, vimos que pela cascata de objetivos 
nós desdobramos as necessidades das partes interessadas em obje-
Aula 2: Governança de TI com o COBIT 7171
tivos estratégicos e, consequentemente, metas para os habilitadores, 
que irão auxiliar na obtenção da governança. Mas, como começar a 
implementação de um COBIT em uma organização?
Para responder a isto, entenda uma palavra importante: depende! ... 
O que quero dizer com isto, é que cada organização precisa desenvol-
ver seu próprio plano de implementação, levando em consideração o 
momento da implementação, o contexto interno e externo da organiza-
ção, dentre outros aspectos.
Uma das primeiras tarefas é criar um ambiente apropriado para a im-
plementação. Para isto, precisamos compreender o contexto em que a 
Governança de TI será implementada, e que nos fique claro o que espera-
mos alcançar com ela. Um dos pontos mais importantes para criar este 
contexto é obter um bom patrocinador deste processo de mudança. 
As empresas normalmente formalizam a governança criando um comi-
tê diretivo de TI. Este comitê será o responsável pelo uso da TI dentro da or-
ganização e tomará as decisões relacionadas a TI que afetam a empresa. 
leitura indicada
Conheça a íntegra do documento, disponível em: https://goo.gl/WcxptK
Assim como estabelecer um comitê diretivo, a análise dos pontos 
de dor e eventos desencadeadores. Os pontos de dor mostram as fra-
quezas e/ou fragilidades da organização, e a organização buscará mi-
tiga-los com a implementação da governança. Já os eventos desen-
cadeadores são aqueles que sinalizam a necessidade de a instituição 
focar em governança. Um exemplo de ponto de dor é a frustação da 
organização com iniciativas fracassadas, aumentando os custos de 
TI e a percepção de baixo valor para o negócio, ou ainda, gastos com 
TI ocultos e não autorizados. Como exemplo de um desencadeador, 
podemos citar uma mudança no mercado, uma nova diretoria para a 
organização, dentre outros (ISACA, 2012).
Já abordamos bastante a importância de considerarmos que o pro-
cesso de implementação da Governança de TI é um processo de mu-
danças. A organização necessita se preparar para mudanças que serão 
necessárias na área de gestão de pessoas, cultura organizacional, etc. 
Governança da Tecnologia da Informação72
O COBIT 5 vai propor um ciclo de vida de implementação, como uma 
sugestão para as organizações lidarem com a complexidade e os desa-
fios que serão encontrados ao longo da implementação da governança. 
Ciclo de Vida de implementação do COBIT 5.
Fonte: (adaptado de ISACA, 2012, pg. 39)
Aula 2: Governança de TI com o COBIT 7373
saiba mais
Uma instituição brasileira que apresenta iniciativas de Governança 
de TI é o Tribunal de Contas da União (TCU). O TCU estabeleceu, por 
meio da Portaria TCU n. 22, de 2013, seu comitê diretivo de TI, denomi-
nado “Comitê Gestor de Tecnologia da Informação”, ao qual compete: 
I - coordenar a formulação de propostas de políticas, diretrizes, 
objetivos e estratégias de Tecnologia da Informação (TI); 
II - coordenar a elaboração do PDTI e do Plano de Ações de TI e clas-
sificar as informações neles contidas; 
III - aprovar a alocação dos recursos orçamentários destinados à TI; 
IV - manifestar-se sobre as demandas que tratam do provimento cen-
tralizado de soluções de TI de natureza corporativa; 
V - decidir sobre a classificação de soluções de TI como corporativas 
ou departamentais; 
VI - submeter periodicamente à Comissão de Coordenação Geral 
(CCG) informações consolidadas sobre a situação da governança, da 
gestão e do uso de TI no âmbito do Tribunal; 
VII - promover a adequada publicidade e transparência das informa-
ções a que se refere o inciso anterior.
O ciclo de implementação é formado por três componentes, repre-
sentados visualmente como anéis, que são inter-relacionados. O pri-
meiro componente é o ciclo de vida de melhoria contínua. Outro com-
ponente é a capacitação da mudança, por meio da abordagem dos 
aspectos comportamentais e culturais. O terceiro ciclo, por sua vez, 
trata da gestão do programa de implementação da governança. 
O que o COBIT nos quer dizer com este ciclo? Ele indica que não se 
implanta a governança sem tratarda mudança cultural e comporta-
mental que esta irá impor à organização; e que esta implementação é 
faseada e baseada no conceito da melhoria contínua.
Por falar em fases, o COBIT propõe 7 fases. A primeira fase (quais 
são os direcionadores?) inicia com o reconhecimento da necessida-
de de implementação da governança. É nesta fase que a organização 
identifica os atuais pontos fracos (pontos de dor) e desencadeadores, 
criando um desejo de mudança nos níveis de gestão executiva.
Governança da Tecnologia da Informação74
A segunda fase do ciclo de vida (onde estamos agora?) foca na defi-
nição do escopo da implementação usando a cadeia de objetivos, com 
a qual iremos mapear os objetivos corporativos do COBIT em objetivos 
de TI e nos respectivos processos de TI. 
Na terceira fase (onde queremos estar?) estabelecemos então uma 
meta a ser atingida no ciclo de melhoria contínua. Neste ponto, o CO-
BIT sugere que a organização foque em metas que são mais fáceis de 
realizar e as susceptíveis de produzir os maiores benefícios, antecipan-
do quando possível a entrega de valor.
Na quarta fase (o que precisa ser feito?) vamos então planejar solu-
ções práticas para atingir a meta definida. Precisamos também definir 
um plano de mudanças. Na quinta fase (como chegaremos lá?) as so-
luções propostas na fase anterior serão implementadas na forma de 
práticas diárias. Nesta etapa a organização define uma forma de men-
surar a execução e como se dará o monitoramento. 
A sexta fase (já chegamos lá?) foca na operação dos habilitadores 
novos e no monitoramento da realização dos benefícios esperados. A 
última fase (como mantemos essa dinâmica?) revisa a execução da ite-
ração, identificando necessidades de melhorias. Ao término, uma nova 
iteração do ciclo de vida é iniciada. 
AVALIAÇÃO DA CAPACIDADE DOS PROCESSOS
Em versões anteriores ao COBIT, os processos eram avaliados com 
base em um modelo de maturidade. Em sua versão 5, o COBIT adota 
um modelo de capacidade de processos. Você se recorda que um dos 
princípios do COBIT 5 é “Aplicar um framework único e integrado”? De 
acordo com este princípio, o COBIT tornou-se alinhado ao padrão de 
Avaliação de Processo – Engenharia de Software estabelecido na ISO/
IEC 15504, o qual é reconhecido internacionalmente.
Recorde-se de que “processo” é apenas um dos sete habilitadores do 
COBIT, então, para avaliar a governança de uma instituição deve-se ado-
tar uma abordagem holística, observando os outros habilitadores, ok?
O foco nesta seção será conhecer como o COBIT classifica os pro-
cessos em graus de capacidade. Nós fazemos uso deste modelo de 
capacidade para medir o ‘estado atual em que se encontra’ um deter-
minado processo de TI de uma organização. Antes de conhecermos 
Aula 2: Governança de TI com o COBIT 7575
os seis níveis de capacidade estabelecidos pelo COBIT, precisamos 
conhecer um conceito fundamental: atributos de processo (em inglês, 
Process Atributes – PA). 
Atributo representa uma característica de um determinado objeto. É 
de se esperar, portanto, que um atributo de processo represente uma 
característica de um processo. Cada atributo irá medir um aspecto par-
ticular do atributo. É com base na avaliação dos atributos do processo 
que determinamos a capacidade de um processo. Há nove atributos, 
os quais avaliam aspectos como: desempenho do processo, gestão 
dos produtos do trabalho, implementação do processo, controle do 
processo, otimização do processo, dentre outros. 
Não vou entrar em detalhes aqui sobre os atributos de processos e 
o que eles mensuram, mas é importante você conhece-os se pretender 
obter uma certificação profissional em COBIT, ok?. No COBIT, um pro-
cesso é descrito em termos de seu objetivo e resultados. Agora que sa-
bemos que é por meio da mensuração de atributos de processos que 
mensuramos a capacidade de um processo, vamos conhecer os seis 
níveis de capacidade que um processo pode possuir (ISACA, 2012):
 u Nível 0 – Processo incompleto: neste nível de capacidade o pro-
cesso não foi implementado ou não atingiu seu objetivo. Há pou-
ca ou nenhuma evidência de qualquer atingimento sistemático 
do objetivo do processo;
 u Nível 1 – Processo executado: este nível é obtido com base no 
atendimento de um atributo de processo. Representa que o pro-
cesso implementado atinge seu objetivo;
 u Nível 2 – Processo Gerenciado: este nível é obtido com base no 
atendimento de dois atributos de processo, e indica que o pro-
cesso agora é implementado com atividades de planejamento, 
monitoramento e ajustes. Além disto, os produtos do trabalho 
são adequadamente estabelecidos, controlados e mantidos;
 u Nível 3 – Processo Estabelecido: quando outros dois atributos 
de processo são satisfeitos, o processo torna-se estabelecido, 
indicando que o mesmo agora é implementado utilizando um 
processo definido capaz de atingir seus resultados;
 u Nível 4 – Processo Previsível: com mais outros dois atributos, o 
processo opera agora dentro dos limites definidos para produzir 
seus resultados;
Governança da Tecnologia da Informação76
 u Nível 5 – Processo Otimizado: atendendo outros dois atributos 
de processo, o processo torna-se otimizado. Isto é, ele agora é 
alvo de melhorias continuas, de modo a otimizar o atingimento 
dos objetivos corporativos, sejam atuais ou futuros. 
Entenda que um nível superior exige o atendimento do nível anterior, 
tudo bem? Isto é, não há como um processo ser nível 3 – Estabelecido, 
se ele não satisfizer os atributos de processo dos níveis antecessores 
(1 e 2, neste caso).
pense nisso
O grau de esforço de uma organização para sair do nível 0 para o 
nível 1 é o mesmo para sair do nível 2 para o nível 3? O COBIT, em seu 
manual oficial, destaca que para uma organização obter o nível 1 de 
capacidade de um processo, mesmo em uma escala de 1 a 5, é uma 
conquista, uma vez que agora o seu processo está sendo realizado 
com sucesso e os resultados estão sendo obtidos pela organização.
Vamos voltar um pouco e refletir sobre estes níveis de capacidade. 
Se você se recorda, no ciclo de vida do COBIT, em sua segunda fase 
(“onde estamos agora? “), há a necessidade de mensurar como estão 
os processos da organização. Nós podemos fazer uso do modelo de 
capacidade para avaliar o processo. Agora você pode estar se pergun-
tando: Eu sei quais são os seis níveis de capacidade de um processo, 
mas como avalia-lo? 
É aí que entra a parte final do manual oficial do COBIT 5. Vou tentar 
lhe apresentar um exemplo, para ficar mais claro, de modo que você 
compreenda como utilizamos o COBIT na prática. Imagine que que-
remos avaliar a capacidade de um processo na área de governança, 
denominado “EDM01 – Assegurar o estabelecimento e manutenção do 
framework de governança”.
Para definirmos a capacidade deste processo temos que observar 
os atributos do processo, correto? Eu disse anteriormente que temos 
que mensurar este atributo. Como fazemos isto?. Bem, o COBIT propõe 
uma escala de mensuração, esta escala é a seguinte:
 u Cada processo é medido com base na escala padrão da ISO/IEC 
15504, a qual consiste em:
Aula 2: Governança de TI com o COBIT 7777
• N (Não alcançado) – Há pouca ou nenhuma evidência de que 
os atributos definidos são alcançados no processo avaliado. 
Os requisitos deste atributo são atendidos dentro da faixa de 
0 a 15%.
• P (Parcialmente alcançado) – Há alguma evidência do cum-
primento dos atributos definidos no processo avaliado. Al-
guns aspectos do processo podem ser imprevisíveis. Os re-
quisitos deste atributo são atendimentos dentro da faixa de 
15% e 50%. 
• L (Amplamente alcançado) – há evidência de uma abordagem 
sistemática, com o alcance significativo dos atributos defini-
dos no processo avaliado. Pode ocorrer algumas falhas. Con-
sidera-se o atendimento dos requisitos entre 50% e 85%.
• F (Completamente alcançado) – há evidência de uma aborda-
gem sistemática completa, assim como o alcance completo 
dos atributos definidos para o processo avaliado.Não existe 
falha significante relativa aos atributos. Considera-se que mais 
de 85% dos requisitos estão sendo atendidos.
Se avaliarmos o processo EDM01, de nosso exemplo, e ele obtiver 
uma classificação L ou F, ele já é classificado como nível 1. Todavia, se 
quisermos classifica-lo como nível 2, o que irá nos exigir analisar outros 
atributos do processo, este processo deverá atingir obrigatoriamente a 
classificação F no nível anterior.
leitura indicada
Santos, Diana; Neto, João. Avaliação da Capacidade dos Processos de 
Governança Corporativa de TI baseada no COBIT 5. IX SEGET 2012: Sim-
pósio de Excelência em Gestão e Tecnologia. Brasil, 2012. 
O artigo apresenta passo-a-passo como os processos de uma organi-
zação foram avaliados de modo a se determinar seus níveis de capacida-
de. Em virtude do caráter explanatório deste artigo e, por ele ser repleto de 
exemplos práticos, é uma leitura excelente para compreender o processo 
de avaliação da capacidade de um processo.
Disponível em: http://www.aedb.br/seget/arquivos/artigos12/26716234.pdf. 
Acesso em 10/05/2017
Governança da Tecnologia da Informação78
pense nisso
Um processo pode receber classificação L ou F para estar no ní-
vel 1. Todavia, se ele está no nível 2, isto significa que no nível ante-
rior, o nível 1, o processo obrigatoriamente recebeu classificação F. 
síntese
Praticar a Governança de TI é uma tarefa complexa, a qual 
normalmente envolve pessoas, competências, processos, meca-
nismos de comunicação e controle, dentre outros. Dispor de um 
modelo de referência, um framework, para auxiliar na implemen-
tação da governança é uma prática muito adotada por diversas 
instituições.
O COBIT é um framework maduro, reconhecido na área, o qual 
dispõe de um rol de melhores práticas para a implementação da 
Governança de TI. Seus princípios ajudam a nortear a implemen-
tação das atividades necessárias à governança, as quais são rea-
lizadas com base em um ciclo de vida. 
O COBIT adota uma cascata de objetivos como um dos princí-
pios para transformar necessidades dos stakeholders em objetivos 
corporativos, objetivos de TI e, assim, determinar os habilitadores 
que permitirão a implementação da Governança de TI. Dentre os 
sete tipos de habilitadores, há um destaque para os processos. 
Os processos são avaliados em níveis de capacidade, os quais 
indicam o estado atual do processo, com relação a seus objetivos 
e resultados. 
Nesta aula conhecemos um pouco do COBIT, seus princípios, 
seu ciclo de vida e as recomendações para uma organização que 
deseja implantar a Governança de TI com base neste modelo.
Atividades 
01. Você trabalha em uma organização que atua no segmento de 
venda on-line. Os stakeholders apresentam uma necessidade 
de que o website de vendas, torne-se mais disponível para os 
Aula 2: Governança de TI com o COBIT 7979
clientes, já que um ponto de dor identificado foi o alto índice 
de reclamação de que o site está fora do ar. Os stakeholders 
querem, com isto, estabelecer uma cultura voltada para aten-
dimento às necessidades dos clientes. Você foi encarregado 
de desdobrar esta necessidade dos stakeholders em objetivos 
corporativos e objetivos de TI. 
Fazendo uso da Tabela de Objetivos Corporativos do COBIT 5 e 
da Tabela de Mapeamento dos objetivos corporativos do COBIT 
5 em Objetivos de TI, desenvolvidas no estudo de caso apre-
sentado nesta aula, identifique qual objetivo corporativo mais se 
adequa a necessidade que seus stakeholders estão indicando. 
Após isto, a partir do objetivo corporativo, identifique quais obje-
tivos de TI serão mais adequados. 
Uma vez identificado os objetivos de TI, reflita sobre quais tipos 
de habilitadores poderão ser utilizados para alcançar os objeti-
vos propostos. 
02. Você está participando da avaliação de processos da sua orga-
nização, e foi informado que determinado processo está com 
grau de capacidade 2 e a organização deseja com que o proces-
so fique com capacidade 4. Dessa forma, o que a organização 
necessita fazer para atingir tal objetivo?
Governança da Tecnologia da Informação80
Anotações