Cobit - control objectives for information and related technology

Prévia do material em texto

GOVERNANÇA DE 
TECNOLOGIA DA 
INFORMAÇÃO
Glauber Rogério
Barbieri Gonçalves
COBIT – Control Objectives 
for Information and related 
Technology
Objetivos de aprendizagem
Ao final deste texto, você deve apresentar os seguintes aprendizados:
 � Descrever o framework COBIT.
 � Reconhecer as principais vantagens do COBIT.
 � Compreender a relevância do COBIT para a governança em TI nas
organizações.
Introdução
A transparência deixou de ser algo que tangencia as organizações para ser 
necessária à manutenção da empresa no mercado, O relacionamento da 
empresa com seus públicos exige cada vez mais atitudes transparentes, 
e os gestores devem incorporar os conceitos da governança corporativa 
para mapear suas ações e decisões.
O atendimento à governança corporativa garantirá a busca por 
melhores resultados, o que inclui uma maior valorização da empresa, 
agregando valor ao produto e à marca. Para que a governança seja 
alcançada, as empresas também necessitam da governança em TI, 
visto que a quantidade de informações a serem processadas cresce 
em progressão geométrica.
A TI cada vez mais figura-se como suporte obrigatório para que a 
organização alcance seus objetivos e metas. Para que a governança em 
TI seja evidenciada e aplicada, necessita de ferramentas para sustentar a 
grande carga de trabalho à qual estará submetida. Entre essas ferramen-
tas surgem os frameworks (conjunto de regras = etapas padronizadas 
para a resolução de um ou vários problemas), que vêm para auxiliar as 
organizações na criação de valor para TI.
Neste capítulo, você conhecerá o COBIT, seus princípios, estrutura, 
implementação e capacidade de processos, aliados à governança em TI.
A governança em TI
Para introduzir o conceito de framework, cabe ressaltar a importância da 
governança em TI para as organizações. Não se trata do meio, mas do fim no 
que tange ao alcance dos objetivos e metas, devido à grande complexidade do 
processamento de informações e grau de transparência exigido pelo mercado 
das empresas. Mesmo empresas de pequeno porte, se não estiverem bem 
estruturadas e planejadas, tendem a não permanecer no mercado. Hoje, a 
velocidade de adaptação tem que ser muito grande, pois há uma exigência 
para tal, estamos vivendo a era do nanossegundo. E a governança em TI 
deve ficar em consonância com a governança corporativa para melhorar as 
práticas empresariais focadas no melhor relacionamento da empresa com os 
seus públicos.
Se os recursos fossem ilimitados, possivelmente a governança em TI não 
fosse hoje como conhecemos, mas essa premissa não é verdadeira, os recursos 
são limitados e devem cumprir com o planejado para serem realmente apro-
veitados ao máximo para maximizar os resultados esperados.
Nesse contexto, é a governança que dará o suporte necessário à empresa 
para o cumprimento do planejamento estratégico definido pela alta direção 
(Figura 1).
A norma técnica que estabelece um modelo para 
a governança corporativa em TI é a norma ISO/IEC 
38500 (INTERNATIONAL ORGANIZATION FOR 
 STANDARDIZATION, 2015), disponível em:
https://goo.gl/RioYK1
COBIT – Control Objectives for Information and related Technology196
Figura 1. Tarefas organizacionais existentes em governança em TI.
Fonte: IT Governance Network (c2008-2018). 
A norma pede que a governança em TI, na organização, seja composta de 
três tarefas (INTERNATIONAL ORGANIZATION FOR STANDARDIZA-
TION, 2015). A primeira é mensurar o uso atual e futuro dos componentes 
da TI, a segunda é planejar a implementação de projetos de TI para que 
contemple os objetivos traçados pela organização, e a terceira é monitorar se 
esses objetivos e metas estão sendo cumpridos de acordo com o investimento 
feito na área.
Cabe ressaltar, caro leitor, os três itens a serem buscados pelos gestores de TI:
 � Avaliar: planejar corretamente as necessidades atuais da empresa e
também as projeções de crescimento para que os investimentos cum-
pram com seu papel, que é a manutenção do nível de serviço desejado 
pela organização.
 � Dirigir: após o planejamento, os gestores responsáveis pela preparação e
implementação dos planos e políticas devem fazer cumprir o que foi alo-
cado de recursos para o correto direcionamento proposto pela alta direção.
197COBIT – Control Objectives for Information and related Technology
 � Monitorar: devem acompanhar todo o projeto com indicadores de de-
sempenho, para, assim, tomar ações de correção ou melhoria para que 
a TI fique em conformidade com as necessidades da organização.
No Brasil, seguem informações sobre o ente máximo das normas técnicas: A ABNT é 
o Foro Nacional de Normalização por reconhecimento da sociedade brasileira desde 
a sua fundação, em 28 de setembro de 1940, e confirmado pelo governo federal por 
meio de diversos instrumentos legais. 
Entidade privada e sem fins lucrativos, a ABNT é membro fundador da International 
Organization for Standardization (Organização Internacional de Normalização – ISO), 
da Comisión Panamericana de Normas Técnicas (Comissão Pan-Americana de Normas 
Técnicas – Copant) e da Asociación Mercosur de Normalización (Associação Mercosul 
de Normalização – AMN). Desde a sua fundação, é também membro da International 
Electrotechnical Commission (Comissão Eletrotécnica Internacional – IEC). 
A ABNT é responsável pela produção das Normas Brasileiras (ABNT NBR), elaboradas 
por seus Comitês Brasileiros (ABNT/CB), Organismos de Normalização Setorial (ABNT/
ONS) e Comissões de Estudo Especiais (ABNT/CEE).
Fonte: Associação Brasileira de Normas Técnicas (c2014). 
COBIT 5
O Control Objectives for Information and Related Technology, ou sim-
plesmente COBIT, é um framework focado na governança em TI nas or-
ganizações. É desenvolvido pela Information Systems Audit and Control 
Association (ISACA).
Acesse o link ou o código QR a seguir para saber 
mais sobre o COBIT.
https://goo.gl/tUKFE8
COBIT – Control Objectives for Information and related Technology198
A ISACA é um organismo de classe mundial composto de várias empresas 
de TI que efetua certificações de segurança, e auditoria de governança e risco 
internacionalmente reconhecido.
O COBIT realiza a integração de outros frameworks publicados pelo insti-
tuto, caracterizando-se por ser um conjunto de boas práticas e recomendações 
de governança em TI. Hoje em sua quinta versão, conta com uma arquitetura 
formada por quatro domínios que auxiliam as organizações a criar valor 
para as soluções de TI, mantendo a obtenção de resultados pelo investimento 
destinado à TI nas empresas e otimizando a utilização dos recursos e os níveis 
de governança planejados (Figura 2).
Foi concebido conforme as exigências do COSO – Committe of Sponsoring 
Organisations of the Treadway Commission’s Internal Control – Integrated 
Framework, padrão de controles internos adotado por organizações de todo 
o mundo no que tange a gerenciamento e gestão de riscos.
Figura 2. COBIT 5 como framework da ISACA.
Fonte: Architecture Center (c2018).
Tem como objetivos centrais ofertar um framework abrangente para 
otimizar o valor gerado pela TI nas organizações e permitir o gerenciamento 
da TI de forma transparente e integrada, criando sinergia entre a TI e os 
demais departamentos da empresa, focada no alcance das metas propostas 
pela direção da empresa. A Figura 3 mostra a evolução do framework, 
desde o começo, quando foi utilizado para auditoria e controles de TI, até 
o momento atual, em que se alinha a outros padrões de mercado como
ITIL (Information Technology Infrastructure Library), ISO, Body Project
199COBIT – Control Objectives for Information and related Technology
Management of Knowledge, PRINCE2 e The Open Group Architecture 
Framework (TOGAF).
Figura 3. Gráfico demonstrando a evolução do framework.
Fonte: MindMeister (c2018).
Sendo assim, promove para as organizações um melhor gerenciamento 
das informações, mantendo qualidade e segurança necessárias para gerar 
conhecimento e os riscos sobre controle. Além disso, otimiza os custose 
deixa a empresa adequada com as leis, regulamentos e acordos nos quais está 
inserida, atendendo, assim, a todos os stakeholders (partes interessadas) da 
organização.
Princípios do COBIT
O COBIT é composto por cinco princípios, sobre os quais faremos uma breve 
explicação (Figura 4).
COBIT – Control Objectives for Information and related Technology200
Figura 4. Princípios que compõem o COBIT 5.
Fonte: Bissong (2014).
Princípio 1: Atender às necessidades dos stakeholders
A empresa existe para criar valor aos públicos a ela relacionados (stakehol-
ders), como acionistas, fornecedores, clientes, colaboradores e a socie-
dade, entre outros. Criar valor significa obter resultados por intermédio 
de recursos aplicados aos processos, controlando os riscos e atuando com 
transparência.
Nesse princípio, o COBIT definirá quem receberá os benefícios, quem 
assumirá os riscos e quais serão os recursos necessários (Figura 5).
201COBIT – Control Objectives for Information and related Technology
Figura 5. Necessidades relacionadas ao princípio 1.
Fonte: Kolb (2014a).
As necessidades viram objetivos e metas da estratégia corporativa, e são 
bem aderentes ao conceito de alinhamento estratégico de TI e do negócio 
em si.
O COBIT aplica o conceito de cascata, a fim de, assim, colocar os objetivos 
em ordem lógica para viabilizar seu atingimento. Desse modo, são alcançados 
os objetivos pela sua definição tangível, pois ela alinha o conhecimento do 
COBIT com o conhecimento do negócio, permanecendo, então, o objetivo 
comum entre as áreas (Figura 6).
COBIT – Control Objectives for Information and related Technology202
Figura 6. Objetivos de áreas segundo o COBIT.
Fonte: Redbelt (2017).
Princípio 2: Cobrir a organização de ponta a ponta
Este segundo princípio diz respeito a deixar toda a organização amparada pela 
integração da governança corporativa em TI dentro da governança corpora-
tiva. Integrando, nela, todos os processos e funções requeridos, a TI deve ser 
visualizada como um grande ativo da empresa. O nível gerencial assume o 
papel de responsável por esse alinhamento (Figura 7).
203COBIT – Control Objectives for Information and related Technology
Figura 7. Necessidades relacionadas ao princípio 2.
Fonte: Kolb (2014b).
O objetivo central é a criação de valor, quando os facilitadores de go-
vernança (recursos organizacionais usados na governança, como princí-
pios, estruturas, processos e práticas) são correlacionados com o escopo da 
governança (local de aplicação da governança) e os papéis, as atividades 
e o relacionamento que são a base (mostra quem, como e o que faz cada 
participante dentro do escopo).
Princípio 3: Aplicar um framework único e integrado
Esse é o fundamento da integração, ser uma solução única e globalizada, pois 
incorpora as demais na busca pela governança transparente em TI, ou seja, o 
COBIT figura-se como integrador para governança e gestão (Figura 8).
COBIT – Control Objectives for Information and related Technology204
Figura 8. Mapeamento do CoBIT® 5.
Fonte: Swart (c2018). 
Princípio 4: Possibilitar uma abordagem holística
A abordagem holística dentro da organização significa que o projeto deve 
abranger a empresa como um todo, áreas não podem ser deixadas de lado. O 
COBIT apoiará a governança e gestão em TI por intermédio de sete viabiliza-
dores (fatores que individual e coletivamente influenciarão o funcionamento 
da governança) (Ver Quadro 1 e Figura 9).
Viabilizadores Explanação
Princípios, políticas 
e frameworks
São os itens que traduzem o funcionamento 
desejado à organização.
Processos São os processos descritos de uma forma prática, 
utilizados para atingir as metas e os objetivos 
propostos.
Estruturas organizacionais Representam como a organização está 
organizada em níveis de decisão e execução.
Quadro 1. Fatores que influenciam o funcionamento da governança.
(Continua)
205COBIT – Control Objectives for Information and related Technology
Fonte: Adaptado de ISACA (c2018b).
Viabilizadores Explanação
Cultura, ética e 
comportamento
São a base para a formatação da TI. Têm 
que focar no mesmo objetivo.
Informação A informação deve ser única, protegida e ter 
ampla circulação dentro da empresa para 
o bom funcionamento da governança.
Serviços, infraestrutura 
e aplicações
Incluem todos os recursos de TI que 
fornecem serviços à organização.
Pessoas, habilidades 
e competências
São chave para o sucesso da governança, 
principalmente na tomada de decisão.
Quadro 1. Fatores que influenciam o funcionamento da governança.
Figura 9. Necessidades relacionadas ao princípio 4.
Fonte: Bakshi (2017). 
Esses viabilizadores têm, em conjunto, algumas dimensões para que 
forneçam uma estrutura simples que permita o gerenciamento na busca de 
resultados bem-sucedidos.
As dimensões são os stakeholders (todos os públicos a serem contemplados 
com a governança e a transparência), os objetivos (que devem ser alcançados e 
(Continuação)
COBIT – Control Objectives for Information and related Technology206
criar valor à organização), o ciclo de vida (pois cada viabilizador é planejado, 
executado e monitorado para manter a melhoria contínua), e as boas práticas 
(papel fundamental para a governança, pois são mensuradas também seguindo 
o fluxo da melhoria contínua).
Tudo isso é gerenciado e acompanhado pela gestão, por exemplo, se as
necessidades foram atingidas, se os objetivos foram alcançados, se o ciclo 
ainda está acontecendo, se as boas práticas realmente estão sendo seguidas 
ou se deve se fazer alguma intervenção para melhorar algum processo.
Princípio 5: Separar a governança da gestão
Neste momento, devem ser separadas gestão de governança, para que as duas 
sejam atingidas. A governança, para assegurar que as necessidades sejam aten-
didas, ou seja, obrigação da alta direção da empresa para garantir os recursos 
necessários, tudo bem planejado. A gestão, por sua vez, para certificar que as 
atividades alinhadas com a direção estratégica estabelecida pela governança 
sejam planejadas, construídas, executadas e monitoradas. Veremos mais sobre 
governança e gestão no modelo de referência do COBIT.
Modelo de referência de processos do COBIT 5
Aqui, o COBIT subdivide os 37 processos de TI nas duas áreas – governança 
e gestão –, as quais são divididas em domínios de processos, conforme mostra 
a Figura 10.
Figura 10. Processos de TI nas áreas de governança e gestão. 
Fonte: Malcher Jr. (2017).
207COBIT – Control Objectives for Information and related Technology
A governança tem um domínio de “avaliar, dirigir e monitorar” (EDM) 
com cinco processos de governança os quais ditam as responsabilidades da 
alta direção para a utilização dos recursos de TI.
Ficam cobertos os processos de uso do framework de governança, o estabe-
lecimento das responsabilidades, os fatores de risco e recursos e a transparência 
exigida por todos os stakeholders.
Já o processo de gestão contém quatro domínios de acordo com as áreas de 
responsabilidade de planejar, criar, executar e monitorar (PBRM), explicados 
no Quadro 2.
Fonte: Adaptado de ISACA (c2018b).
Domínio Explanação
APO – Alinhar, Planejar 
e Organizar
Diz respeito à forma como a TI contribuirá 
melhor com o alcance dos objetivos do negócio. 
Aqui encontram-se os processos referentes à 
estratégia e às táticas de TI e os gerenciamentos 
(orçamento, qualidade, riscos e segurança).
BAI – Construir, Adquirir 
e Implementar
Refere-se a operacionalizar a estratégia 
montada em TI, cuida do gerenciamento da 
disponibilidade e capacidade, das mudanças 
organizacionais, transição de processos, enfim, 
auxilia a tornar a TI um ativo da organização.
DSS – Entregar, 
Servir e Suportar
Trata da entrega dos serviços para atendimento 
aos objetivos da organização. O domínio 
tem poder de gerenciar processos, garantir 
a segurança da informação, ou seja, 
controlar os processos do negócio.
MEA – Monitorar, 
Avaliar e Medir
Mensura o desempenho dos processos de TI, 
avaliando aconformidade com os objetivos 
e com os requisitos externos, garantindo 
a transparência e a criação de valor.
Quadro 2. Quatro domínios de acordo com as áreas de responsabilidade.
COBIT – Control Objectives for Information and related Technology208
Veja o quadro-resumo na Figura 11.
Figura 11. Resumos dos processos gerenciais de TI. 
Fonte: Veras (2015). 
Esses processos são desdobrados em práticas de governança ou práticas 
de gestão, que perfazem os objetivos do COBIT. Os processos, por sua vez, 
seguem estruturas e modelos baseados na metodologia de projetos.
Enfim, a governança em TI e a governança corporativa podem auxiliar 
muito as organizações na criação de valor, permitindo que as informações 
gerem conhecimento por meio de boas práticas e transparência. Sem isso, as 
organizações encontram barreiras no seu crescimento.
209COBIT – Control Objectives for Information and related Technology
A ISACA dispõe de um guia de implementação do 
COBIT 5, que é baseado em um ciclo de melhoria 
contínua. O conteúdo é bastante importante para 
que o COBIT tenha aderência dentro da organização, 
é documento indispensável para que o framework 
funcione adequadamente. O guia é apoiado por um 
conjunto de ferramentas de implementação que 
contém uma variedade de recursos. Acesse o site 
da ISACA (c2018a) e obtenha maiores informações, 
ainda mais se gostar e for exercer papel de gestor ou 
facilitador dentro de uma organização. Disponível em:
https://goo.gl/TA6yP4
ARCHITECTURE CENTER. COBIT5-logo. London, c2018. Disponível em: <https://archi-
tecture-center.com/images/course-logo/COBIT5-logo.jpg>. Acesso em: 16 fev. 2018.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. Conheça a ABNT. Rio de Janeiro: 
ABNT, c2014. Disponível em: <http://www.abnt.org.br/abnt/conheca-a-abnt>. Acesso 
em: 29 jan. 2018.
BAKSHI, S. Portfolio, program and project management using COBIT 5. [S.l.]: ISACA, 2017. 
Disponível em: <http://www.isaca.org/COBIT/focus/Pages/portfolio-program-and- 
project-management-using-cobit-5.aspx>. Acesso em: 31 jan. 2018.
BISSONG, J. COBIT 5 key principles. [S.l.]: ISACA COBIT5 Fundermentals, 2014. Disponível 
em: <http://jobenoncobit5.blogspot.com.br/2014/01/cobit-5-key-principles.html>. 
Acesso em: 16 fev. 2018.
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO/IEC 38500:2015. Geneva: 
ISO, 2015. Disponível em: <https://www.iso.org/standard/62816.html>. Acesso em: 
30 jan. 2018.
ISACA. COBIT 5 publications directory. [S.l.], c2018a. Disponível em: <http://www.isaca.
org/COBIT/Pages/Product-Family.aspx>. Acesso em: 31 jan. 2018.
ISACA. What is COBIT 5? [S.l.], c2018b. Disponível em: <http://www.isaca.org/cobit/
pages/default.aspx>. Acesso em: 31 jan. 2018.
COBIT – Control Objectives for Information and related Technology210
IT GOVERNANCE NETWORK. Implementing the ISO 38500 standard for corporate gover-
nance. [S.l.], c2008-2018. Disponível em: <http://www.itgovernance.co.za/3/index.
php/ict-governance/88-it-governance/161-implementing-the-iso-38500-standard- 
for-corporate-governance>. Acesso em: 16 fev. 2018.
KOLB, J. J. Cobit 5: princípio 1. [S.l.]: Compartilhando, 2014a. Disponível em: <http://
jkolb.com.br/wp-content/uploads/2014/11/Cobit-5-princ%C3%ADpio-1.png>. Acesso 
em: 16 fev. 2018.
KOLB, J. J. Cobit 5: princípio 2. [S.l.]: Compartilhando, 2014b. Disponível em: <http://
jkolb.com.br/wp-content/uploads/2014/11/Cobit-5-princ%C3%ADpio-2.png>. Acesso 
em: 16 fev. 2018.
MALCHER JR., J. Necessidades do negócio. [S.l.], 2017. Disponível em: <http://josemalcher.
net/wp-content/uploads/2017/02/image11-1.png>. Acesso em: 31 jan. 2018.
MINDMEISTER. Governance of enterprise IT. San Francisco, c2018. Disponível em: 
<https://www.mindmeister.com/generic_files/get_file/7568876?filetype=image_
file&img=22974780&cb=80b221>. Acesso em: 16 fev. 2018.
REDBELT. Visão geral da cascata de objetivos do COBIT 5. São Paulo, 2017. Disponível 
em: <https://www.redbelt.com.br/blog/wp-content/uploads/2017/11/Bobit-5-2.
jpg>. Acesso em: 16 fev. 2018.
SWART, D. COBIT 5 mapping. [S.l.]: Pinterest, c2018. Disponível em: <https://br.pinterest.
com/pin/480126010250017229/>. Acesso em: 16 fev. 2018.
VERAS, M. Governança de TI corporativa. [S.l.], 2015. Disponível em: <http://manoelveras.
com.br/blog/wp-content/uploads/2015/04/image004.png>. Acesso em: 31 jan. 2018.
Leituras recomendadas
ANTÓNIO, N. S. Estratégia organizacional: do posicionamento ao movimento. 2. ed. 
Lisboa: Sílabo, 2006.
BRASIL. Conheça seu direito. Brasília, DF, c2018. Disponível em: <http://www.acesso-
ainformacao.gov.br/assuntos/conheca-seu-direito>. Acesso em: 30 jan. 2018.
BRASIL. Lei nº 12.527, de 18 de novembro de 2011. Brasília, DF, 2011. Disponível em: <http://
www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm>. Acesso em: 30 
jan. 2018.
BRASIL. Planalto. Presidência da República. Brasília, DF, c2018. Disponível em: <http://
www2.planalto.gov.br/>. Acesso em: 30 jan. 2018.
TRANSPARENCY International. Berlin, c2017. Disponível em: <https://www.transpa-
rency.org/>. Acesso em: 30 jan. 2018.
211COBIT – Control Objectives for Information and related Technology