Livro Governança de TI

Prévia do material em texto

GOVERNANÇA DE TI
UNIASSELVI-PÓS
Autoria: Alamir Costa Louro
Indaial - 2022
2ª Edição
CENTRO UNIVERSITÁRIO LEONARDO DA VINCI
Rodovia BR 470, Km 71, no 1.040, Bairro Benedito
Cx. P. 191 - 89.130-000 – INDAIAL/SC
Fone Fax: (47) 3281-9000/3281-9090
Ficha catalográfica elaborada pela equipe Conteúdos EdTech 
UNIASSELVI
Copyright © UNIASSELVI 2022
L892g
 Louro, Alamir Costa
 Governança de TI. / Alamir Costa Louro. – Indaial: UNIASSELVI, 
2022.
 142 p.; il.
 ISBN 978-65-5646-544-9
1. Tecnologia da informação. - Brasil. II. Centro Universitário 
Leonardo da Vinci.
CDD 004
Impresso por:
Reitor: Prof. Hermínio Kloch
Diretor UNIASSELVI-PÓS: Prof. Carlos Fabiano Fistarol
Equipe Multidisciplinar da Pós-Graduação EAD: 
Carlos Fabiano Fistarol
Ilana Gunilda Gerber Cavichioli
Norberto Siegel
Julia dos Santos
Ariana Monique Dalri
Jairo Martins
Marcio Kisner
Marcelo Bucci
Revisão Gramatical: Desenvolvimento de Conteúdos EdTech
Diagramação e Capa: 
Centro Universitário Leonardo da Vinci – UNIASSELVI
Sumário
APRESENTAÇÃO ............................................................................5
CAPÍTULO 1
O Que É E Para Que Serve A Governança De TI? ......................7
CAPÍTULO 2
Processos De Governança De TI Segundo Cobit ...................51
CAPÍTULO 3
Técnicas Para Fazer A Governança De TI Funcionar ...........105
APRESENTAÇÃO
Um dos fatores críticos de sucesso das organizações é como elas lidam 
com a informação. Existe uma ampla literatura nacional, além de internacional, 
que abarca o papel da Tecnologia da Informação (TI) para as estratégias 
das organizações. Certamente, todo esse corpo de conhecimento ganhou 
especializações com o decorrer do tempo. Até mesmo, as gerações mais novas 
conseguem, com pouco esforço, lembrar-se de grandes mudanças, como da TI, 
que vem se reformulando, incluindo a sociedade e as empresas. Essas mudanças 
foram acompanhadas pelo autor do presente livro, o qual, depois de muitos 
anos como profissional, acadêmico e gestor de TI, entende a necessidade da 
compilação de diversos conhecimentos práticos e teóricos para a criação de uma 
disciplina específica, para o que o mercado chamou de Governança de TI. 
Um primeiro aspecto que envolve a governança de TI é que as estruturas 
e os processos dela não estão limitados ao “Departamento de TI”. A área de TI 
é, apenas, o responsável técnico, a fim de prestar serviços, e não o responsável 
único pela continuidade do negócio. Assim, explanaremos mais detalhes e mais 
assuntos ao longo dos três capítulos. Acompanhe-nos!
Bons estudos!
CAPÍTULO 1
O QUE É E PARA QUE SERVE
A GOVERNANÇA DE TI?
A partir da perspectiva do saber-fazer, são apresentados os seguintes 
objetivos de aprendizagem:
• Compreender a evolução da TI e a necessidade de controle que essa evolução 
gerou.
• Identifi car as estruturas da governança de TI.
• Estabelecer como a governança de TI gera valor para o negócio.
• Esboçar um planejamento estratégico de TI.
• Diferenciar gestão de TI de governança de TI.
8
 Governança de TI
9
O QUE É E PARA QUE SERVE A GOVERNANÇA DE TI? Capítulo 1 
1 CONTEXTUALIZAÇÃO
A disponibilidade de informação, alcançada com o avanço da Tecnologia da 
Informação (TI), é uma das facilidades tecnológicas que marca o período atual 
da humanidade. A TI, e, por consequência, uma gama maior de informações 
disponíveis, vem alterando a maneira através da qual vivemos, trabalhamos, 
comunicamo-nos e organizamos as nossas atividades. Muitas pessoas acreditam 
que entramos em um período de mudança socioeconômica tão monumental 
quanto a Revolução Industrial (ORLIKOWSKI; BARLEY, 2001). 
Segundo Galliers e Leidner (2003), à medida que a TI aumentou as próprias 
capacidades de gerar e de armazenar informações, o uso dela se espalhou 
pelas organizações em um ritmo rápido. Esses autores, também, apontam que 
a TI fi cou, relativamente, mais barata, e, com isso, mudou a forma de tomada de 
decisões de toda a organização. Atualmente, com o advento de ferramentas e 
os conceitos de data warehouse, business intelligence e data science, diferentes 
níveis hierárquicos de gestão das empresas usam a TI para a melhoria da tomada 
de decisões.
Um exemplo de projeto de data science que impacta toda uma organização 
poderia ser defi nir quais são os melhores clientes da organização, para buscar 
aumentar a retenção. Um projeto, nesse sentido, transforma dados demográfi cos e 
de operações/transações de clientes em muita informação para gestores (lista dos 
melhores clientes), de forma a gerar conhecimento, como a possibilidade de predição 
(previsão) de probabilidade e quando um bom cliente pretende deixar de ser cliente.
A TI já foi vista como algo exclusivo do nível operacional das organizações, 
mas, agora, é considerada muito importante para toda a hierarquia, inclusive, e, 
especialmente, à alta gestão. Por exemplo, é comum encontrarmos painéis de 
indicadores (dashboards) que mostram a saúde fi nanceira ou operacional da 
empresa. O objetivo, agora, segundo Galliers e Leidner (2003), não é, apenas, 
melhorar a efi ciência, mas, também, a efi cácia e a efetividade do negócio, para 
gerir organizações de forma mais estratégica.
Considerando que o custo unitário da TI está cada vez menor (GALLIERS; 
LEIDNER, 2003), e que as organizações eram mais lentas, devido à difi culdade de 
se transformar dado em informação, além de informação em conhecimento, para 
serem tomadas decisões, entende-se que essas companhias mudavam, mais 
lentamente, do que atualmente, isto é, a TI acelerou o processo de mudanças 
das organizações. Pode-se esperar, então, que, quanto mais acesso à TI, e, por 
conseguinte, à informação/conhecimento para a tomada de decisões, maior é a 
competição entre as empresas e mais agressiva a necessidade de mudanças 
organizacionais. 
10
 Governança de TI
2 EVOLUÇÃO DA FUNÇÃO DA TI NOS 
NEGÓCIOS
Antes de falarmos da governança de TI, precisamos entender as funções 
da tecnologia e da TI na sociedade atual, e, especialmente, os papéis delas nas 
empresas, isto é, o presente livro focará no contexto intraorganizacional e nas 
partes interessadas (também, chamados stakeholders). 
Os termos empresa e organização, para o presente livro, são 
intercambiáveis.
Para Pinch (2008), o termo tecnologia pode ser conceituado como artefatos, 
processos, máquinas e conhecimentos. Esse mesmo autor aponta que as 
tecnologias são, muitas vezes, baseadas na engenharia, que busca projetá-
las e operá-las. Já para a grande parte da população, a tecnologia assumiu um 
signifi cado mais limitado e relacionado à TI: representa determinados dispositivos 
da "Era da Tecnologia da Informação", como computadores, internet, telefones/
celulares, e assim por diante (PINCH, 2008).
Pinch (2008), ainda, destaca que a visão atual, a qual engloba o que é 
tecnologia, muda sempre, já que, no fi nal do século XIX, por exemplo, as ferrovias, 
a telegrafi a, e, um pouco mais tarde, o telefone e a eletricidade, representavam 
sinônimos de desenvolvimento tecnológico. Portanto, a visão do que é tecnologia 
é contextual. O presente livro terá foco na Tecnologia da Informação e na 
necessidade das empresas de governá-la.
Bass, Nicholson e Subhramanian (2013) afi rmam que o papel da TI, para 
o desenvolvimento social, inclui a capacidade dela de criar efeitos em rede, 
dissipando conhecimentos que podem ser compartilhados e que estão abertos 
a grupos com mais interessados. A penetração desses efeitos em rede levou 
ao que Castells (1999) chama de "Sociedade em Rede". Para esse autor, a TI 
que possibilita quantidades crescentes de trocas de informações, acelerando as 
mudanças interpessoais, inter e intraorganizacionais. No presente livro, estaremos 
interessados na função da TI em um contexto intraorganizacional (dentro de 
uma empresa), mas é interessante entender a existência de diversas formas de 
abordar a evolução da sociedade sob aótica da Tecnologia da Informação.
11
O QUE É E PARA QUE SERVE A GOVERNANÇA DE TI? Capítulo 1 
Novamente, segundo Castells (1999), a noção da sociedade atual, como uma 
"Sociedade da Informação", deve ser abandonada. Segundo ele, o que é novo, na 
época atual, é o conjunto de Tecnologias da Informação, isto é, a sociedade não 
está mais informada, ela, apenas, tem mais acesso à TI. O famoso autor afi rma 
que essas tecnologias representam uma mudança maior na história da tecnologia 
do que o que foi feito pelas tecnologias associadas à Revolução Industrial, ou a 
outras “Revoluções da Informação” anteriores, como as invenções da escrita e da 
prensa.
Castells (1999) afi rma estarmos, apenas, no início dessa revolução 
tecnológica, e que a internet se torna uma ferramenta universal de comunicação, 
interativa, e, portanto, de fl uxo de informações, ou bolhas de informações, como, 
mais recentemente, vem se discutindo. Para Castells (1999), a informação é a 
matéria-prima para os novos paradigmas social e tecnológico, com consequências 
boas e ruins para a sociedade. Portanto, precisa ser estudada.
Aprofundando a discussão anterior e com o intuito de entendermos melhor 
o conceito de TI, tão utilizado no presente livro, será feita uma nova delimitação: 
para Castells (1999), a TI é uma convergência de tecnologias, com destaque 
para a microeletrônica, a computação, as telecomunicações etc. Portanto, 
conforme Castells (1999), a TI é um aglomerado de tecnologias, o que leva a um 
entendimento latu sensu do conceito de TI. Tal entendimento não será utilizado 
no presente livro, já que o conceito de TI adotado é o strictu sensu, e relacionado, 
apenas, ao conjunto de estruturas e processos nos contextos das organizações.
2.1 DADO, INFORMAÇÃO OU 
CONHECIMENTO?
Pressman (2005) defi ne os dados como uma informação bruta; informação, 
como a associação de fatos em algum contexto; e, conhecimento, como a 
associação de informações em contextos diferentes.
Para Pinch (2008), a tecnologia adquire signifi cados no mundo social, e 
esses signifi cados estimulam ou inibem a adoção dela. O mesmo acontece 
com a TI. Para ilustrar essa (re) signifi cação de termos, em um dos livros mais 
conhecidos da Engenharia de Software, uma das principais disciplinas da Ciência 
da Computação, Pressman (2005) traz que, durante a história da computação, 
houve uma transição sutil de terminologias: o termo "processamento de dados", 
que descrevia o uso de computadores em um contexto de negócio, deu lugar aos 
termos informática e "Tecnologia da Informação”.
12
 Governança de TI
Certamente, alguns dos leitores já ouviram falar do 
“processamento de dados” como sinônimo de TI, mas a ênfase do 
processamento de dados estava, meramente, em processar grandes 
quantidades de dados, o que foi substituído pelo objetivo de extrair 
alguma informação signifi cativa desses dados.
Pergunte a amigos, ou a parentes mais velhos, como eram as 
áreas de TI há décadas. Eles acham que, antigamente, a TI, ou o 
Centro de Processamento de Dados (CPD), ou a informática, era 
muito diferente de hoje?
Ainda, referindo-se à relação entre dado, informação e conhecimento, Weill 
e Ross (2006) afi rmam que, por muitos anos, algumas organizações conseguiram 
prosperar sem uma grande preocupação com a informação. O autor explica que 
a informação é um elemento importante e dá suporte aos “processos de negócio”. 
Provavelmente, os autores consideram que uma preocupação com a informação 
sempre existiu, mas que, na atualidade, por causa da TI, é pouco complexo obter 
informação e conhecimento a partir de dados em quantidade, com a qualidade e 
os custos que, até há algumas décadas, não eram possíveis. 
Para você, leitor, é importante entender que, da nova realidade de aumento 
exponencial da importância da informação, e, por consequência, da TI, surgem 
questões e implicações que serão discutidas ao longo do livro, não somente para 
o “departamento de TI”, mas, também, para organização, como um todo.
2.2 O QUE SÃO PROCESSOS? 
As organizações podem ser vistas como fl uxos de informação. É crescente 
a importância das tecnologias em redes (e-mail, redes sociais, WhatsApp, chats 
diversos) na sociedade moderna, para as colaborações e as interações sociais 
(DURUGBO; TIWARI; ALCOCK, 2013). Amplamente, utilizadas em empresas, 
essas tecnologias dão suporte ao rápido acesso e compartilhamento de 
informações, por meio da internet, smartphones, tablets, computadores pessoais, 
terceira e quarta gerações da telefonia móvel etc. Durugbo, Tiwari e Alcock 
(2013) afi rmam, ainda, que, analisar as organizações como "processadoras de 
informação" tem sido, tradicionalmente, aplicado para descrever as estruturas e 
os processos internos dessas organizações.
13
O QUE É E PARA QUE SERVE A GOVERNANÇA DE TI? Capítulo 1 
Já o termo “processos” é defi nido, de forma simples, como um conjunto de 
tarefas ou de atividades inter-relacionadas que resolvem uma questão específi ca 
(ŠKRINJAR; TRKMAN, 2013). Por sua vez, "processos de TI" são aqueles 
relacionados à Tecnologia da Informação, e que apoiam e se adaptam aos 
processos organizacionais (LEVSTEK; HOVELJA; PUCIHAR, 2018).
O conceito de orientação ao processo, segundo Kohlbacher e Gruenwald 
(2011) e Reijers (2006), signifi ca focar em processos de negócios, em vez de 
enfatizar estruturas funcionais ou hierarquias, como departamentos ou outros 
tipos de subdivisões. O presente autor não subestima a discussão acerca dessas 
vantagens dessa orientação, mas, como aferido da prática e de parte da literatura, 
as organizações não possuem um alto grau de orientação a processos. Além 
disso, pode-se constatar que, não é porque uma estrutura, ou um processo 
organizacional, simplesmente, exista, formalmente, ele se encontra, totalmente, 
efi caz, efi ciente e efetivo, isto é, não signifi ca que ele esteja institucionalizado na 
organização.
Segundo Hammer (2007), apesar das intenções e dos investimentos de 
centenas de empresas em direção à melhoria de processos, ou para a orientação 
a processos, poucas têm progredido. Além disso, para Reijers (2006), estruturas 
funcionais e orientação a processos não são, mutuamente, excludentes, isto é, 
a presença de um alto nível de orientação a processos não signifi ca a falta de 
estruturas, e a existência de estruturas formais não demonstra a ausência de 
orientação a processos. 
Ainda, no contexto da orientação a processos, segundo Willaert e Bergh 
(2007), a maioria dos processos de uma organização é habilitada por uma 
combinação de TI, informações, mudança organizacional e recursos humanos. 
Para esses autores, a TI é, ao mesmo tempo, uma facilitadora e implementadora 
de mudanças nos processos da organização.
Conforme Škrinjar e Trkman (2013), processos de negócio podem ser 
descritos como modelos, cujo detalhamento pode chegar a procedimentos. 
Diagramas são um conjunto de atividades interligadas, pontos de transição 
e eventos que demonstram o fl uxo de um processo; já procedimentos são 
descrições operacionais de cada uma dessas atividades. Modelos de processos 
são mais que simples diagramas. Modelos de processos são representações que 
possuem informações sufi cientes para ajudar na simulação e na análise de um 
processo. Esses modelos estão aptos a ajudar e a simular o fl uxo de informações 
das empresas.
14
 Governança de TI
ATIVIDADE DE ESTUDO:
1 - Antes de conceituar, vamos para a prática. Informe se as 
seguintes práticas/processos/estruturas, comuns na Tecnologia 
da Informação, estão MAIS LIGADOS à governança de TI (GOV) 
ou à gestão de TI (GES). Siga o seu instinto! 
( ) Administração de banco de dados
( ) ITIL
( ) Help Desk
( ) Alinhamento entre TI e alta gestão
( ) Gerenciamento de incidentes 
( ) Engenharia de requisitos
( ) Controle de versionamento de softwares
( ) COBIT
( ) Scrum
( ) Kanban
( ) Gestão de stakeholders
( ) CMMI
Obs.: Se você não conhece todas essas siglas,relaxe, elas 
aparecerão novamente, no decorrer do livro.
Depois de ler todo o Capítulo 1 do presente livro, volte a esta 
página para ver se você, ainda, tem dúvidas em relação a respostas.
Conforme o COBIT (do inglês, Control Objectives for 
Information and Related Technology), a governança garante que as 
necessidades, as condições e os opções das Partes Interessadas 
sejam avaliadas, a fi m de determinar objetivos corporativos 
acordados e equilibrados, defi nir a direção através de priorizações 
15
O QUE É E PARA QUE SERVE A GOVERNANÇA DE TI? Capítulo 1 
e tomadas de decisão, e monitorar o desempenho e a conformidade 
com a direção e os objetivos estabelecidos.
A gestão é responsável pelo planejamento, desenvolvimento, 
execução e monitoramento das atividades, em consonância com 
a direção defi nida pelo órgão de governança, a fi m de atingir os 
objetivos corporativos.
Depois de compreender esses conceitos, retorne à atividade 
anterior para verifi car se você deseja alterar alguma das respostas.
3 NECESSIDADE DE CONTROLE 
PARA A GOVERNANÇA DE TI
O objetivo fi nal da TI, no âmbito corporativo, é gerar valor para o negócio, 
e, com uma governança de TI efi caz, efi ciente e efetiva, obtêm-se controles 
sufi cientes para transformar o potencial da TI em valor. É claro que, só por meio 
de medições, isto é, processos de controle, que podemos verifi car o impacto da 
TI no negócio, portanto, os controles sugeridos pela governança de TI são os 
habilitadores da geração de valor para a empresa.
Segundo COBIT (2012), as organizações e os executivos delas 
se esforçam para:
• Manter informações de alta qualidade para apoiar decisões 
corporativas.
• Agregar valor ao negócio a partir dos investimentos em TI, ou 
seja, atingir os objetivos estratégicos e obter benefícios para a 
organização através da utilização efi ciente e inovadora da TI.
• Alcançar excelência operacional por meio da aplicação confi ável 
e efi ciente da tecnologia.
16
 Governança de TI
• Manter o risco de TI em um nível aceitável.
• Otimizar o custo da tecnologia e dos serviços de TI.
• Cumprir as leis, regulamentos, acordos contratuais e políticas 
pertinentes cada vez mais presentes.
A literatura que trata da governança de TI destaca que é importante 
entender que a TI pode ser considerada facilitadora e implementadora, também, 
de mudanças nos próprios processos, isto é, utiliza-se a TI para melhorar os 
processos de TI. 
Na literatura, há evidências de várias ferramentas de engenharia de software 
(PRESSMAN, 2005; PERSSON et al., 2009), gestão de projetos de TI (HUANG; 
WU; CHOU, 2013) e gerenciamento de riscos de TI (ZWIKAEL; SADEH, 2007; 
ALHAWARI et al., 2012), isto é, a TI evolui para ajudar outras áreas e a si mesma. 
Com o aumento da complexidade da TI, surge a necessidade de controle de mais 
de perto, e, desse controle, fazem-se a governança de TI e a entrega de valor 
para a empresa.
3.1 COMO GERAR VALOR PARA O 
NEGÓCIO?
A literatura que trata da governança de TI está mais relacionada a como 
desenvolver estruturas e processos de TI a partir de certos objetivos específi cos 
e condições corporativas. Uma parcela considerável dessa literatura está na 
concepção, na implementação e no uso de estruturas e de processos que 
representam soluções concretas para os problemas do mundo real. Portanto, a 
governança de TI tem muito em comum com a engenharia e com a arquitetura, 
pois, na engenharia, por exemplo, há a questão prática "O que funciona?", que 
acaba por direcionar o estudo. Portanto, gerar valor, para a governança de TI, é 
entregar uma TI que funcione para as organizações.
Um problema persistente durante a pesquisa e a prática da TI é identifi car 
como maximizar o próprio potencial (WILKIN; CHENHALL, 2010). Neste momento, 
o leitor deve refl etir a respeito do conceito de valor quando o assunto é TI, isto é, 
como a TI e a governança de TI geram valor para o negócio? Parte importante 
da resposta a essa pergunta é identifi car quais são as necessidades das partes 
interessadas.
17
O QUE É E PARA QUE SERVE A GOVERNANÇA DE TI? Capítulo 1 
ATIVIDADE DE ESTUDO:
1 - Para ajudar a exemplifi car perguntas comuns relacionadas à 
governança de TI, aponte Partes Interessadas Internas (I) ou 
Partes interessadas Externas (E) para a seguinte sequência de 
perguntas:
Obs.: No presente caso “externo”, são partes interessadas de fora 
da empresa. Ainda, se você já faz parte de alguma organização, 
pense na sua realidade: como são respondidas, ou não, essas 
questões na sua empresa?
( ) Os usuários estão satisfeitos com a qualidade do serviço de TI?
( ) Como posso gerenciar o desempenho de TI?
( ) Como posso explorar melhor as novas tecnologias para novas 
oportunidades estratégicas?
( ) Como posso saber se as operações do meu parceiro comercial 
são seguras e confi áveis?
( ) Como faço para criar e estruturar, da melhor forma, o meu 
departamento de TI?
( ) Qual é a minha dependência de fornecedores externos? Os 
contratos de terceirização de TI estão sendo bem administrados?
( ) Considero todos os riscos de TI?
( ) Estou conduzindo uma sólida e efi ciente operação de TI?
( ) Como posso identifi car se a organização cumpre as regras e os 
regulamentos governamentais?
( ) Como posso controlar o custo de TI? 
( ) Quais são as opções de terceirização mais efi cazes e efi cientes?
( ) Tenho pessoal sufi ciente para TI? 
( ) Como controlo o desempenho do pessoal de TI?
( ) As informações que estou processando estão bem protegidas?
( ) A TI está atrapalhando a execução da estratégia de negócios?
( ) Quão crítica é a TI para a sustentação da organização? 
( ) O que fazer se a TI não estiver disponível?
( ) Como posso saber se a organização mantém um sistema 
efi ciente de controle interno?
( ) Quais são os processos de negócios críticos que dependem de 
TI?
( ) Qual tem sido o custo adicional médio dos orçamentos 
operacionais de TI?
18
 Governança de TI
( ) Com que frequência e em que medida os projetos de TI estouram 
o orçamento?
( ) Os parceiros comerciais têm uma cadeia de informações entre 
eles sob controle?
( ) Quanto, do esforço de TI, é dedicado para apagar incêndios em 
vez de facilitar a melhoria do negócio?
( ) São disponibilizados infraestruturas e recursos de TI sufi cientes 
para alcançar os objetivos estratégicos da organização?
( ) Quanto tempo é necessário para a tomada de decisões 
importantes de TI?
Cada organização terá uma forma de medir o próprio desempenho na área de 
TI. A entrega de valor é apontada, por Hardy (2006), como um resultado esperado 
da TI. Para esse autor, a entrega de valor, apenas, pode ser obtida se o custo 
atual e o retorno sobre investimento (ROI) são, efetivamente, gerenciados. Ainda, 
os funcionários do “departamento de informática” deveriam entender a função 
global dos processos de negócio, e o desempenho da área de TI deve ser medido 
em termos de valor entregue aos clientes.
Loch (1998) explica que, para serem efi cazes, as organizações devem 
colocar a energia criativa delas no desenho, na documentação e na manutenção 
dos processos, para satisfazer às necessidades dos clientes. Ainda, a 
documentação dos processos de negócio deveria ser uma atividade do dia a dia 
das organizações.
FIGURA 1 – OBJETIVO DA GOVERNANÇA DE TI - CRIAÇÃO DE VALOR
FONTE: O autor
19
O QUE É E PARA QUE SERVE A GOVERNANÇA DE TI? Capítulo 1 
A Figura 1 explicita, de forma genérica, como criar valor. Veremos que existem 
diversas outras formas de medir a entrega de valor. Como exemplo de abordagem, 
Maidin e Arshad (2010) citam a necessidade de a entrega de valor ser medida em 
termos de retorno sobre investimento (ROI), satisfação do cliente e das partes 
interessadas e cumprimento de prazos de projetos. Esses autores ensinam que 
os riscos de TI precisam ser mitigados, a fi m de maximizar essa entrega de valor. 
Já nos resultados da pesquisa de Abu-Musa (2009), é demonstradoque 88,2% 
dos respondentes confi rmaram a importância da gestão de expectativas, e que 
60,4% deles consideraram adequado, bom, ou muito bom, o processo "comunicar 
as diretrizes e expectativas da diretoria" nas organizações.
Para COBIT (2012), CRIAR VALOR é realizar BENEFÍCIOS com 
custos otimizados dos RECURSOS e com otimização dos RISCOS. 
A Figura 1 mostra que as necessidades das partes interessadas direcionam 
os objetivos da governança de TI. Já no Quadro 1, a seguir, serão apresentados 
os objetivos corporativos e o desdobramento deles em objetivos da governança 
de TI, classifi cados como (P) Primários e (S) Secundários.
20
 Governança de TI
QUADRO 1 – OBJETIVOS CORPORATIVOS DESDOBRADOS 
EM OBJETIVOS DA GOVERNANÇA DE TI
FONTE: O autor
O Quadro 1, portanto, relaciona um conjunto de objetivos corporativos 
genéricos, e organizados segundo as dimensões do balanced scorecard (BSC) 
(KAPLAN; NORTON, 2000). A sua organização pode ter objetivos corporativos 
similares ou mais específi cos, mas é possível adaptar a listagem para a realidade 
da sua empresa. Os objetivos do COBIT são exemplifi car e ajudar as empresas a 
mapearem os próprios objetivos corporativos em objetivos de governança de TI. 
3.2 GESTÃO DE RECURSOS DE TI
A gestão de recursos de TI é uma área-foco da governança de TI, e, como 
tal, necessita que a alta administração garanta que os métodos e as competências 
adequados sejam executados na organização, para gerenciar projetos e 
processos de TI.
Para Maidin e Arshad (2010, p. 284), os critérios de sucesso para a gestão de 
recursos de TI englobam uma ótima alocação de recursos. Para eles, exemplos 
de recursos são "tecnologia, dados, infraestrutura, pessoas, hardware e software, 
a fi m de oferecer vantagem competitiva para uma organização".
21
O QUE É E PARA QUE SERVE A GOVERNANÇA DE TI? Capítulo 1 
Os fatores críticos de sucesso, relacionados ao controle de recursos de TI, 
são: consolidar, padronizar e gerenciar aplicações e infraestrutura de TI para 
otimizar os custos e o fl uxo de informação na organização; fornecer conhecimento 
e treinamento para um bom uso da TI; e atrair, desenvolver e reter profi ssionais de 
TI competitivos.
ATIVIDADE DE ESTUDO:
1 - Os resultados da pesquisa de Abu-Musa (2009) mostram que quase 
a totalidade dos respondentes (90,5%) confi rmou a importância da 
gestão de recursos humanos para as organizações, mas, apenas, 
62,2% deles consideraram adequado, bom, ou muito bom, esse 
processo na prática. Segundo o autor, uma possível explicação 
para o mau resultado da pesquisa pode ser a falta de execução 
de um plano anual de desenvolvimento de competências, ou 
plano similar que foque na capacitação de recursos humanos.
A partir da observação do Quadro 1, que objetivos corporativos 
podem ser impactados em um curto prazo (até um ano) caso um 
plano anual de desenvolvimento de competências, para a equipe 
de TI, seja bem planejado e executado? Ainda, que objetivos 
corporativos podem ser afetados a longo prazo (cinco a 10 anos)?
Como vimos, há diversas formas e recursos que precisam ser gerenciados, 
mas, para todos, a literatura deixa claro a necessidade de criação de metas e de 
indicadores (LEVSTEK; HOVELJA; PUCIHAR, 2018).
Durante os próximos capítulos, você será inserido no mundo dos indicadores 
relacionados à Governança de TI. Serão muitos mesmo, mas, para ajudar você a 
entender como eles são criados, sugerimos um passo a passo.
A gestão dos recursos de TI deve ser tratada como a gestão de desempenho 
de qualquer área da organização. A partir de indicadores, podem ser consolidadas 
informações que, por sua vez, mostrarão se as decisões estratégicas tiveram 
efeito real no desempenho esperado da TI, determinando as ações necessárias 
para aumentar o desempenho da TI ao longo do tempo.
22
 Governança de TI
FIGURA 2 – PASSO A PASSO PARA CRIAÇÃO DE INDICADORES
FONTE: O autor
A informação mais importante para se ter em mente, ao criar indicadores, é 
que eles devem ser possíveis de serem medidos, preferencialmente, de forma 
simples, pois eles são consequência de objetivos claros e possíveis.
De forma simplifi cada, siga esses passos:
1º passo: defi na o que deseja controlar (identifi ca-se ou mapeia-se a 
necessidade). Ex.: capacitação do pessoal, satisfação dos clientes, atendimento a 
incidentes, efi ciência de uma contratação.
2º passo: pergunte por que quer controlar essas informações (qual é a 
importância). É uma fi nalidade clara e possível?
3º passo: questione como obter as informações que deseja. É possível 
medir? Precisa de um sistema muito complexo que será desenvolvido no futuro? 
Se sim, simplifi que! 
4º passo: estabeleça os parâmetros. Qual é a fórmula que será utilizada? 
Satisfação dos clientes. Qual é a periodicidade e que indicador será medido? 
Quem é o responsável único por medir o indicador?
5º passo: defi na o valor desejado (meta). 
Para viabilizar a gestão dos recursos, e, de forma geral, os controles 
da governança de TI, é necessário criar, ou adaptar estruturas formais na 
organização. Para entender melhor, continue acompanhando!
4 ESTRUTURA DE GOVERNANÇA DE TI
A delimitação do objeto do presente livro são “as estruturas e processos de 
governança de TI". Um conceito importante a ser destacado é que essas estruturas 
e processos da governança de TI não estão limitados ao “Departamento de TI”, 
que, normalmente, é, apenas, o responsável técnico por prestar os serviços, e 
não o responsável único pela continuidade do negócio ou pelo patrocínio dos 
23
O QUE É E PARA QUE SERVE A GOVERNANÇA DE TI? Capítulo 1 
próprios projetos (KERZNER, 2012), isto é, sofrem infl uências, também, de fora 
da “área de informática”.
Segundo Ferreira Neto e Souza Neto (2011), os modelos, ou frameworks, 
de “boas práticas”, de processos de TI, atualmente, mais usados, são: o eSCM, o 
CMMI, o PMBoK, o ITIL e o COBIT. Esses dois últimos, e, em especial, o COBIT, 
foram mais utilizados, durante o presente livro, para descrever as estruturas e os 
processos de governança de TI.
Normalmente, esses frameworks prescritivos trabalham sob o conceito 
de “boas práticas”, como um atalho para a obtenção de legitimação, isto é, são 
práticas assertivas que são consolidadas por ser, amplamente, utilizadas pelos 
profi ssionais da área, ou, informalmente: “aquilo que é bom se copia!”. O termo 
“boas práticas”, “best practices”, aqui, é defi nido como o uso de conhecimentos 
que são considerados superiores a outros. Segundo Gratton e Ghoshal (2005), 
essas boas práticas são, muitas vezes, desenvolvidas fora de uma unidade de 
negócio ou empresa, e, em seguida, são levadas para a organização adotar, a 
partir da tentativa de levá-las a condições de igualdade frente aos competidores. 
A efetiva implementação de “boas práticas” é uma atividade complexa, a 
qual exige planejamento, e, normalmente, traz mudanças signifi cativas para as 
estruturas e os processos organizacionais (FERREIRA NETO; SOUZA NETO, 
2011). Umas das boas práticas mais rápidas e comuns de serem feitas é adequar 
a estrutura da empresa, isto é, criam-se órgãos com nomes e funções parecidos 
aos que estão na moda no mercado. 
4.1 COMITÊ GESTOR DE TI
Para este livro, o termo “estrutura” é defi nido como a forma através da qual as 
organizações são divididas, isto é, origina-se do conceito Weberiano (Max Weber) 
de estruturas funcionais burocráticas com hierarquias, papéis e responsabilidades 
defi nidos. Portanto, as estruturas de governança de TI são defi nidas como as 
estruturas funcionais burocráticas relacionadas a como governar a TI de uma 
empresa. 
Van Grembergen e De Haes (2010) afi rmam que as estruturas de governança 
de TI incluem unidades organizacionais e papéis dos responsáveis para as 
tomadas de decisões sobre a TI, além de ser o contato entre a organização e 
essas pessoas tomadoras de decisão. Quando se fala de tomada de decisão 
sobre a TI, devemos entender que se tratade como alocar os recursos da TI, 
como realizar os investimentos, como defi nir as estruturas e processos etc. 
24
 Governança de TI
A literatura e a prática destacam o sucesso do comitê gestor de TI. Dependendo 
do contexto, esse comitê possui diferentes nomes, mas, normalmente, o intuito 
dele é aumentar o alinhamento estratégico do “departamento de TI” com a 
presidência e com outras áreas da organização.
O comitê gestor de TI está, sempre, presente na literatura (BERNROIDER; 
IVANOV, 2011; PRASAD; GREEN; HEALES, 2012; KOBELSKY, 2010; PATAS; 
BARTENSCHLAGER; GOEKEN, 2012; MAES; DE HAES; VAN GREMBERGEN, 
2011). Conforme COBIT (2012), ele está presente como um objetivo de controle 
chamado de “O Comitê Tático de Tecnologia da Informação deve ser estabelecido”. 
Alguns requisitos, para o comitê gestor de TI, podem ser elencados: (i) 
representatividade, isto é, pelo menos, as principais áreas da organização 
precisam participar, além de representantes da presidência; (ii) formalidade, 
pois as reuniões precisam ter pauta, ata, e responsáveis pelas ações e decisões 
deliberadas; (iii) periodicidade e perenidade, porque as reuniões precisam ocorrer 
de tempos em tempos e sempre, dado um aprendizado incremental; e, a partir 
disso, uma (iv) linguagem comum é defi nida, abstraindo, o quanto for possível, a 
complexidade dos assuntos técnicos de TI.
4.2 ESTRUTURAS DO COBIT
O modelo COBIT (entendido como o conjunto de processos), provavelmente, 
é o mais importante framework prescritivo de “boas práticas” de processos de 
governança de TI. O COBIT é de responsabilidade do Information Systems Audit 
and Control Association (ISACA). Para Levstek, Hovelja e Pucihar (2018), o COBIT 
é um framework utilizado como um padrão para o controle dos investimentos em 
TI e para processos de TI nas organizações. 
Outro modelo de processos de TI conhecido é o ITIL, que fornece “boas 
práticas” para a gestão de serviços de TI. Tem, como abordagens, construir e 
entregar serviços de TI por meio de processos bem defi nidos (IDEN; EIKEBROKK, 
2013). Essa abordagem de entrega de serviços, segundo Song et al. (2012), é 
uma tendência mundial, e não é exclusividade da TI.
É comum observar a adoção de frameworks prescritivos, como o COBIT 
e o ITIL, por parte das organizações. Os gestores investem tempo e recursos 
consideráveis, sem questionar a validade das próprias ações. Portanto, a 
mensagem do presente autor é: “use com moderação!”.
25
O QUE É E PARA QUE SERVE A GOVERNANÇA DE TI? Capítulo 1 
Segundo COBIT (2012), no processo “Defi nir os Processos, Organização e 
Relacionamentos de TI”, estabelece a necessidade de um framework de processos 
e estruturas para executar o planejamento estratégico de TI, e, adicionalmente, 
provê alguns exemplos de possibilidades de estruturas de TI, as quais ele defi ne, 
como controle, de “Estrutura Organizacional de TI”:
[...] deve-se estabelecer uma estrutura organizacional interna 
e externa de TI que refl ita as necessidades do negócio. 
Adicionalmente, deve-se estabelecer um processo para 
revisar, periodicamente, a estrutura organizacional de TI, e 
ajustar os requisitos de pessoal e estratégias de fornecimento 
para atender aos objetivos de negócio esperados e a possíveis 
situações de mudança (COBIT, 2012, p. 47).
É necessário destacar que, segundo COBIT (2012), a estrutura pode ser 
interna e externa, isso em relação ao que poderia ser chamado de “departamento 
de TI”. Isso se deve, como será visto, à necessidade de alinhamento desse 
departamento com outros departamentos da organização. 
4.2.1 Abordagem do COBIT
O ciclo de vida da implementação da governança de TI apresenta uma forma 
de as organizações usarem o COBIT para tratar da complexidade e dos desafi os, 
geralmente, encontrados durante as implementações.
Segundo COBIT (2012), há possíveis sete fases. A saber:
• A 1ª Fase começa com o reconhecimento e a aceitação da necessidade 
de uma implementação ou de uma iniciativa de implementação. Ela 
identifi ca os atuais pontos fracos e desencadeadores e cria um desejo de 
mudança nos níveis de gestão executiva.
• A 2ª Fase se concentra na defi nição do escopo da implementação ou 
da iniciativa de implementação, usando o mapeamento dos objetivos 
corporativos do COBIT em objetivos de TI e nos respectivos processos de 
TI, e considerando, também, como os cenários de risco poderiam destacar 
os principais processos nos quais devem se concentrar. Diagnósticos de 
alto nível podem ser úteis para defi nir o escopo e compreender as áreas 
com alta prioridade de concentração. Uma avaliação do estado atual 
é, então, realizada, e os problemas, ou defi ciências, são identifi cados, 
realizando-se uma avaliação da capacidade do processo. Iniciativas 
em larga escala devem ser estruturadas, como múltiplas interações do 
ciclo de vida. Para qualquer iniciativa de implementação superior a seis 
meses, há um risco de perda da dinâmica, do foco e da adesão das 
partes interessadas.
26
 Governança de TI
• A 3ª Fase propõe uma meta de melhoria defi nida, seguida por uma 
análise mais detalhada, que alavanca a orientação do COBIT, a fi m 
de identifi car falhas e possíveis soluções. Algumas soluções podem 
apresentar resultados rápidos, enquanto outras poderão exigir atividades 
mais desafi adoras e com um prazo maior. A prioridade deve ser dada 
às iniciativas mais fáceis de serem alcançadas e que, provavelmente, 
produzirão os melhores benefícios.
• A 4ª Fase planeja soluções práticas através da defi nição de projetos 
apoiados por estudos de caso justifi cáveis. Um plano de mudança para a 
implementação, também, é desenvolvido nesta fase. Um estudo de caso 
bem desenvolvido ajuda a garantir que os benefícios do projeto sejam 
identifi cados e monitorados.
• A 5ª fase implementa as soluções propostas na forma de práticas diárias. 
Medições podem ser defi nidas, e, o monitoramento, estabelecido, 
com o uso das metas e dos indicadores do COBIT, para garantir que o 
alinhamento da organização seja atingido e mantido, e o desempenho 
possa ser medido. O sucesso exige demonstração de envolvimento e 
empenho da alta administração, incluindo as responsabilidades dos 
envolvidos das áreas de TI e de administração.
• A 6ª Fase foca na operação sustentável dos habilitadores novos ou 
aperfeiçoados e no monitoramento do atendimento dos benefícios 
esperados.
• A 7ª Fase objetiva o sucesso da iniciativa, como um todo, ao ser 
analisado. Novos requisitos para a governança, ou a gestão de TI da 
organização, são identifi cados, e a necessidade de melhoria contínua 
é reforçada. Com o tempo, o ciclo de vida deve ser seguido de forma 
interativa, paralelamente, à criação de uma abordagem sustentável para 
a governança e a gestão de TI da organização.
5 PLANEJAMENTO ESTRATÉGICO E 
IMPLANTAÇÃO DA GOVERNANÇA DE TI
Para criar um planejamento estratégico de TI, é necessário “dividir para 
conquistar”. Segundo a literatura, os controles da governança de TI podem ser 
subdivididos em áreas-foco. O conceito de áreas-foco, para a implementação da 
governança de TI, é aprofundado por Wilkin e Chenhall (2010), e será utilizado 
nos próximos capítulos. Áreas-foco, da governança de TI, são os direcionadores 
de performance, ou resultados esperados da TI (HARDY, 2006).
Bernroider e Ivanov (2011) conceituam resultados esperados como 
indicadores que medem o histórico, isto é, se a meta da atividade foi cumprida. 
27
O QUE É E PARA QUE SERVE A GOVERNANÇA DE TI? Capítulo 1 
Já os direcionadores de performance são conceituados como medidas que levam 
em consideração realizações em andamento, portanto, são indicadores de futuro. 
Medindo previsões futuras ou realizações passadas, o importante, para o controle 
da governança de TI, é o fato de medir.
Áreas-foco têm, como objetivo, classifi car as estruturas e os processos de 
TI em grupos que, segundo Wilkin e Chenhall (2010), deveriam estar integrados. 
Para esses autores, a governançade TI requer uma abordagem holística que 
coordene as áreas-foco para fornecer os benefícios esperados, isto é, não adianta 
medir, apenas, determinado processo, todos precisam ter algum tipo de medição, 
mesmo que preliminar, para ser ter a visão do todo.
O estudo de Wilkin e Chenhall (2010) aponta a importância das pessoas 
como fator de ligação, integração entre as áreas-foco, isto é, a efetividade da TI 
está ligada ao comprometimento dos stakeholders (WILKIN; CHENHALL, 2010). 
A análise integrada da governança de TI é auxiliada, facilitada pela classifi cação 
das estruturas e dos processos de TI em áreas-foco.
Segundo Wilkin e Chenhall (2010) e COBIT (2012), as áreas-foco podem 
ser divididas em: i) Alinhamento Estratégico (AE), ii) Gestão de Riscos (RI), iii) 
Gestão de Recursos (RE), v) Mensuração de Performance (MP). Essa divisão, 
também, serviu para balizar a organização dos próximos capítulos do presente 
livro. A gestão de recursos já foi introduzida anteriormente, portanto, faremos uma 
breve introdução para as outras três áreas, e, no fi m, será tudo amarrado com o 
planejamento estratégico.
5.1 ALINHAMENTO ESTRATÉGICO
Apontado, por Hardy (2006), como o principal resultado esperado da 
governança de TI, a área-foco Alinhamento Estratégico exige que as estratégias 
e os planos de TI estejam alinhados com os objetivos estratégicos e os planos da 
organização, de modo a fornecer a capacidade de agregar valor ao negócio.
Sendo uma estratégica, deve ser conduzida pelo principal comitê de gestão 
da organização e indicar a forma através da qual todas as estruturas e processos 
de TI, com tecnologia, aplicações de suporte, pessoal, investimentos etc., estão 
em sintonia com as características de tolerância a risco e orientações estratégicas 
da organização (WILKIN; CHENHALL, 2010). 
Como exemplo de abordagem para se realizar para um planejamento 
estratégico de TI, Maidin e Arshad (2010), em um artigo que trata de processos 
28
 Governança de TI
e estruturas de TI do setor público, citam o uso de ferramentas comuns de 
planejamento, como a análise SWOT (Strength, Weakness, Opportunity, Threats), 
para ajudar a identifi car forças e oportunidades disponíveis para superar as 
ameaças e as fraquezas da organização. A técnica de análise SWOT está 
relacionada à melhoria de serviço continuada, conceito que será abordado nos 
próximos capítulos.
Um fator crítico de sucesso, relacionado ao alinhamento estratégico, é 
a proximidade entre o presidente e o gestor principal de TI, o CIO (em inglês, 
Chief Information Offi cer), ou outro nome, como secretário de TI, diretor de TI etc. 
Essa proximidade pode dar mais velocidade/celeridade para a TI apoiar melhor 
as mudanças organizacionais. Essa sugerida aproximação pode ser vital para o 
desempenho da organização, e para ajudar na gestão mais efi ciente dos recursos 
da TI.
Em outras áreas de estudo relacionadas à TI, o conceito de alinhamento 
estratégico forte é visto como muito importante, por exemplo, para o BPM (do 
inglês, Business Process Management) (ŠKRINJAR; TRKMAN, 2013) e para a 
implantação de ERP (do inglês, Enterprise Resource Planning) (BERNROIDER, 
2008). A importância do alinhamento estratégico, também, é destacada, há 
décadas, por meio de proposições de modelos de maturidade (LUFTMAN, 2000; 
LUFTMAN et al., 2008). Modelos de maturidade de alinhamento estratégico serão 
abordados, sucintamente, nos próximos capítulos.
Uma exigência comum, na literatura, é que os investimentos em TI devem 
ser, formalmente, planejados e alinhados à estratégia corporativa (PRASAD; 
GREEN; HEALES, 2012). A ausência de um conjunto comum de regras, para 
governar a implementação e o uso da TI, leva à formação de ilhas isoladas dentro 
da organização. Ilhas de uso de TI tornam a integração e a interoperabilidade 
de tecnologias mais difíceis, e, por vezes, quase impossíveis. Sem a necessária 
integração entre as áreas e a TI, há pouca possibilidade de aprendizado, além de 
melhoria das informações para as tomadas de decisões nas diversas áreas de 
uma empresa.
Quais seriam os objetivos de TI? O COBIT (2012) nos ajuda a exemplifi car 
no Quadro 2, a seguir:
29
O QUE É E PARA QUE SERVE A GOVERNANÇA DE TI? Capítulo 1 
QUADRO 2 – OBJETIVOS DE TI
FONTE: O autor
Objetivando o cumprimento dos objetivos corporativos (Quadro 1), COBIT 
(2012) sugere uma série de resultados da área de TI (Quadro 2). Destaca que 
a TI é a fonte de informações e de tecnologias relacionadas, para atingir o 
cumprimento dos objetivos corporativos. 
Apesar da importância do alinhamento estratégico, os resultados de Abu-
Musa (2009), em um estudo empírico que trata de processos do COBIT, mostram 
que a grande maioria dos respondentes (cerca de 82%) confi rmou a importância 
da defi nição de um plano estratégico de TI para as organizações, mas, apenas, 
50,4% deles consideraram adequado, bom, ou muito bom, o processo de defi nição 
desse planejamento estratégico de TI. Portanto, em muitas organizações, os 
objetivos corporativos não estão alinhados com os objetivos da área de TI.
5.2 GESTÃO DE RISCOS
A gestão de riscos é apontada, por Hardy (2006), como direcionador de 
performance da TI. Para o presente autor, deve ser entendida como um processo 
necessário para demonstrar uma boa governança corporativa a acionistas, 
reguladores, funcionários, fornecedores e clientes. Portanto, não é um assunto, 
apenas, para a governança de TI, mas, também, para a empresa como um todo.
30
 Governança de TI
Segundo Abu-Musa (2009), muitas pessoas reconhecem os potenciais 
benefícios que a tecnologia pode oferecer às organizações, no entanto, essas 
organizações devem compreender e gerir os riscos associados à implementação 
de novas tecnologias. Assim, a alta gestão da empresa precisa ter um apreço e 
uma compreensão básica dos riscos e das restrições da TI, a fi m de assegurar um 
direcionamento efi caz e controles adequados. 
Maidin e Arshad (2010) citam a necessidade de cada risco possuir um 
proprietário que seja responsabilizado. Esses autores sugerem, também, 
que é necessário haver um processo formalizado de avaliação de riscos nas 
organizações.
Os resultados da pesquisa de Abu-Musa (2009), a qual envolve estruturas 
e processos, demonstram, também, um baixo atendimento ao que a área-foco 
propõe: 86% dos entrevistados confi rmaram a importância da gestão de riscos 
para as organizações, mas, apenas, 59,8% deles determinaram adequado, bom, 
ou muito bom, esse conjunto de processos e estruturas. Além disso, na mesma 
pesquisa, é demonstrado que 85% dos respondentes asseguraram a importância 
de manter a compliance da TI com requisitos externos, contudo, apenas, 53,5% 
do total considerou adequado esse processo nas organizações. 
Murray-Webster e Pellegrinelli (2010) afi rmam que as práticas de gestão 
de risco, conforme são descritas atualmente, não são intuitivas para muitos 
profi ssionais, e são, frequentemente, ignoradas, apesar de serem, potencialmente, 
valiosas para esses autores. Essas práticas de gestão de riscos são, muitas vezes, 
concebidas como uma atividade pós-planejamento, isto é, como uma atividade de 
auditoria. Murray-Webster e Pellegrinelli (2010) propõem uma abordagem, cujo 
foco deve ser na avaliação de valor econômico, em vez da avaliação do que pode 
ser perdido caso o risco se concretize. 
Também, discordando da abordagem de riscos como uma atividade pós-
planejamento, De Bakker, Boonstra e Wortmann (2010) realizam uma análise que 
abarca a gestão de riscos em projetos de TI, relacionando-se com o sucesso de 
projetos. O resultado é que, ainda, há pouca evidência empírica de que a gestão 
de riscos é, realmente, utilizada em projetos de TI.
5.3 MENSURAÇÃO DE DESEMPENHO
Para Maidin e Arshad (2010), a mensuração de desempenho (Performance) 
permite que uma organização determine o signifi cado da entrega de valor da TI 
com base na visão e na missão organizacionais. Para esses autores, sem um 
31O QUE É E PARA QUE SERVE A GOVERNANÇA DE TI? Capítulo 1 
adequado sistema de medição de desempenho, seria muito difícil, para uma 
organização, ver se a própria operação diária alcançou os objetivos defi nidos. Um 
exemplo de sistema de medição de desempenho corporativo que é, amplamente, 
utilizado, é o BSC (do inglês, Balanced Score Card), o qual tem defi nidos objetivos, 
responsabilidades e índices de desempenho.
A mensuração de performance é apontada, por Hardy (2006), como 
direcionador da TI. Para esse autor, os membros da Alta Administração 
devem garantir que a comunicação seja via balanced scorecards e aborde as 
contribuições da empresa, a orientação dos usuários, a excelência operacional e 
a orientação para o futuro.
Quando explanam a respeito das várias terminologias (comitê de governança 
de TI, comitê estratégico de TI, comitê diretor de TI, comitê de gestão de portfólio, 
grupo de revisão de portfólio, escritório de gestão de valor, escritório de gestão de 
programas) relacionadas a estruturas de TI, Maes, De Haes e Van Grembergen 
(2011) destacam, no nível de projeto, a estrutura de TI chamada de "Escritório 
de Projetos", ou PMO (do inglês Project Management Offi ce), que fornece, aos 
gerentes de projetos, estruturas, sistemas, ferramentas, treinamento e controle 
sobre os próprios projetos, e, por conseguinte, um sistema de medição de 
desempenho bem completo.
Os resultados da pesquisa de Abu-Musa (2009) mostram que cerca de 82% 
dos entrevistados acreditam na importância da medição de performance para as 
organizações, mas que, apenas, 48% deles consideraram adequada.
5.4 HABILITADORES CORPORATIVOS 
PARA IMPLEMENTAÇÃO DA 
GOVERNANÇA DE TI
Como pode ser percebido na pesquisa de Abu-Musa (2009), diversas áreas 
da governança de TI são entendidas como importantes, mas, na realidade das 
empresas, não são adequadas. A explicação, para isso, pode ser a falta de 
apoio da alta administração e a precariedade do que COBIT (2012) chama de 
habilitadores de governança de TI.
32
 Governança de TI
FIGURA 3 – HABILITADORES DA GOVERNANÇA DE TI
FONTE: O autor
A Figura 3 mostrou os habilitadores da Governança de TI. COBIT (2012) 
conceitua esses habilitadores da seguinte forma:
• Princípios, políticas e modelos são veículos para a tradução do 
comportamento desejado em orientações práticas para a gestão diária.
• Processos descrevem um conjunto organizado de práticas e atividades 
para atingir determinados objetivos, e produz um conjunto de resultados 
para atingir, de forma geral, os objetivos de TI.
• Estruturas organizacionais são as principais entidades de tomada de 
decisão de uma organização.
• Cultura, ética e comportamento das pessoas e da organização são, 
muitas vezes, subestimados como um fator de sucesso nas atividades 
de governança e gestão.
• Informação permeia qualquer organização e inclui todas as informações 
produzidas e usadas pela organização. A informação é necessária para 
manter a organização em funcionamento e bem governada, mas, no 
nível operacional, essa informação, por si só, é, muitas vezes, o principal 
produto da organização.
• Serviços, infraestrutura e aplicativos incluem toda a infraestrutura, 
a tecnologia e os aplicativos que fornecem, à organização, o 
processamento e os serviços de tecnologia da informação.
• Pessoas, habilidades e competências são necessárias para a 
conclusão bem-sucedida de todas as atividades e para a tomada de 
decisões corretas e de medidas corretivas.
33
O QUE É E PARA QUE SERVE A GOVERNANÇA DE TI? Capítulo 1 
5.5 PLANEJAMENTO ESTRATÉGICO 
DE TI
O planejamento estratégico de TI é o grande plano de melhoria para 
os próximos X anos de uma organização, sendo que esse “X” depende da 
organização, normalmente, um ano a cinco anos. 
A partir do planejamento estratégico de TI, são apontados os objetivos e os 
desdobramentos em metas e indicadores relacionados à TI. Antes de defi nir esses 
objetivos, normalmente, são criados, ou revalidados, missão, visão e valores do 
“departamento de TI”, de forma a facilitar a criação deles.
Segundo Fernandes e Abreu (2014), o plano de Tecnologia da Informação 
é o principal produto da fase de alinhamento estratégico da governança de TI. 
Esse planejamento deve ser realizado periodicamente e atualizado sempre que 
houver mudanças na estratégia da organização. Para esses autores, inicialmente, 
o alinhamento estratégico deve ocorrer quando toda a organização está envolvida 
com o planejamento estratégico empresarial, isto é, o grande plano da empresa, 
que pode ser formal ou informal. 
Fernandes e Abreu (2014), ainda, afi rmam a necessidade de uma revisão 
anual do plano da TI, de forma a sugerir novas oportunidades de negócio com o 
uso da TI. O evento do planejamento estratégico da empresa é propício para o 
surgimento dessas oportunidades de negócio.
34
 Governança de TI
QUADRO 3 – MAPEAMENTO OBJETIVOS DE TI E OBJETIVOS CORPORATIVOS
FONTE: O autor
Objetivando o cumprimento dos objetivos corporativos (Quadro 1), COBIT 
(2012) sugere uma série de resultados na área de TI (Quadro 2). Assim, no 
Quadro 3, são mapeados os objetivos corporativos em objetivos de TI, de forma a 
demonstrar como cada objetivo corporativo é apoiado por diversos objetivos de TI 
de forma (P) Primária ou (S) Secundária. 
35
O QUE É E PARA QUE SERVE A GOVERNANÇA DE TI? Capítulo 1 
Para apoiar o esboço de um planejamento estratégico de TI, COBIT 
(2012) disponibiliza um conjunto de questionamentos relacionados à TI e faz o 
mapeamento em objetivos corporativos. Acompanhe o Quadro 4, que segue:
QUADRO 4 – PERGUNTAS RELACIONADAS À TI 
PARA PLANEJAMENTO ESTRATÉGICO
36
 Governança de TI
37
O QUE É E PARA QUE SERVE A GOVERNANÇA DE TI? Capítulo 1 
FONTE: O autor
Será que a organização na qual você trabalha já tentou responder a todas 
essas perguntas? Nem todas essas questões são aplicáveis à realidade de cada 
empresa, mas é possível adaptá-las. Portanto, tente utilizar/adaptar esse conjunto 
de perguntas para você esboçar o seu próprio planejamento estratégico de TI. 
Não precisa chegar na meta e indicadores neste momento, apenas, escolher que 
objetivos são possíveis para o alcance nos próximos X anos. 
Antes de esboçar o seu planejamento estratégico de TI, lembre-se de defi nir, 
ou de revalidar, missão, visão e valores do seu “departamento de TI”. 
Só lembrando que a missão de uma área de TI, normalmente, é uma 
declaração que engloba o que a área é, a razão de ser, os clientes e os serviços 
que presta. A missão defi ne o que é a área hoje, o propósito dela e como pretende 
38
 Governança de TI
atuar. Serve para criar o comprometimento da equipe com o trabalho que é 
realizado. A defi nição da missão da área serve de critério geral para orientar a 
tomada de decisões, para defi nir objetivos e auxiliar na escolha das decisões 
estratégicas.
Já a visão de futuro busca as intenções da área, gerando envolvimento e 
comprometimento com esse futuro. A visão busca defi nir o que é preciso mudar. 
Por último, os valores representam as convicções, em comum, entre os 
recursos humanos da área, as crenças básicas, aquilo em que os funcionários, 
realmente, acreditam. Esses valores devem descrever como uma área de TI atua 
no dia a dia e enquanto busca realizar a visão de futuro dela.
5.6 LITERATURA CIENTÍFICA PARA 
GOVERNANÇA DE TI
A literatura, para esse assunto, é repleta. Como o presente livro foca, 
consideravelmente, no framework prescritivo COBIT, acha-se mais interessante 
dar mais literatura científi ca, de forma a ajudar aqueles que querem fazer artigos, 
trabalhos de conclusão de curso, ou outros trabalhos quaisquer que precisam de 
aprofundamento acadêmico sobre o tema. O autor do presente livro realizou um 
levantamento bibliométrico, a qual abarca o assunto nos últimos cinco anos, para 
destacar as melhores revistas (journals) e referências.
Principaisrevistas que possuem artigos científi cos a respeito do 
assunto:
MIS Quartely: https://misq.org/.
Information System Research: https://pubsonline.informs.org/journal/
isre.
Journal of Management Information Systems: https://www.jmis-web.
org/.
European Journal of Information Systems: https://www.tandfonline.
com/toc/tjis20/current.
Information Systems Management: https://www.tandfonline.com/toc/
uism20/current.
Obs.: Nenhuma dessas revistas tem, como assunto, apenas, a 
Governança de TI. São revistas que tratam da gestão de sistemas de 
informação e administração. 
39
O QUE É E PARA QUE SERVE A GOVERNANÇA DE TI? Capítulo 1 
Obs.: Muitos dos sites internacionais possuem controle de acesso 
pago, mas, muitas vezes, é possível ler alguns artigos, de forma 
gratuita (Open Access ou Golden Access), e, diretamente, neles. 
Outra possibilidade são sites de auxílio, como Periódicos Capes. 
QUADRO 5 – ARTIGOS MAIS CITADOS RELACIONADOS À GOVERNANÇA DE TI
Artigo recomendado DOI (link de acesso)
LUNARDI, G. L. et al. Antecedents of IT gover-
nance effectiveness: an empirical examination 
in brazilian fi rms. Journal of Information 
Systems, v. 31, n. 1, p. 41-57, 2017. 
10.2308/isys-51626
VINCENT, N. E.; HIGGS, J. L.; PINSKER, R. E. 
IT governance and the maturity of IT risk mana-
gement practices. Journal of Information 
Systems, v. 31, n. 1, p. 59-77, 2017. 
10.2308/isys-51365
BOONSTRA, A.; U. Y. E.; OFFENBEEK, M. A. 
G. van. Stakeholders’ enactment of competing 
logics in IT governance: polarization, compro-
mise or synthesis? European Journal 
of Information Systems, v. 27, n. 4, p. 
415-433, 2018. 
10.1057/s41303-017-0055-0
ZIMMERMANN, S.; RENTROP, C.; FELDEN, 
C. A multiple case study on the nature and 
management of shadow information technology. 
Journal of Information Systems, v. 31, 
n. 1, p. 79-101, 2017. 
10.2308/isys-51579
LEVSTEK, A.; HOVELJA, T.; PUCIHAR, A. IT 
governance mechanisms and contingency fac-
tors: towards an adaptive IT governance model. 
Organizacija, v. 51, n. 4, p. 286-310, 2018. 
10.2478/orga-2018-0024
LECLERCQ-VANDELANNOITTE, A.; EMMA-
NUEL, B. From sovereign IT governance to 
liberal IT governmentality? A Foucauldian ana-
logy. European Journal of Information 
Systems, v. 27, n. 3, p. 326-346, 2018. 
10.1080/0960085X.2018.1473932
40
 Governança de TI
BECK, R.; MÜLLER-BLOCH, C.; KING, J. L. 
Governance in the blockchain economy: a 
framework and research agenda. Journal of 
the Association for Information Sys-
tems, v. 19, n. 10, p. 1020-1034, 2018. 
10.17705/1jais.00518
MAGNUSSON, J.; KOUTSIKOURI, D.; 
PÄIVÄRINTA, T. Effi ciency creep and shadow 
innovation: enacting ambidextrous IT governan-
ce in the public sector. European Journal 
of Information Systems, v. 29, n. 4, p. 
329-349, 2020. 
10.1080/0960085X.2020.1740617
VUGEC, D. S.; SPREMIĆ, M.; BACH, M. P. IT 
governance adoption in banking and insurance 
sector: longitudinal case study of cobit use. 
International Journal for Quality Re-
search, v. 11, n. 3, p. 691-716, 2017. 
10.18421/IJQR11.03-13
VATANASAKDAKUL, S.; AOUN, C.; CHEN, 
Y. Chasing success: an empirical model for IT 
governance frameworks adoption in Australia. 
Science, Technology and Society, v. 
22, n. 2, p. 182-211, 2017. 
10.1177/0971721817702278
FONTE: O autor
O levantamento bibliométrico realizado, também, apontou quais 
são os artigos mais importantes, dos últimos cinco anos, a respeito 
da governança de TI, isto é, os artigos mais citados. Para quem lê 
inglês e tem interesse na argumentação acadêmica, atente-se à lista 
do quadro anterior.
Para aqueles que, ainda, não falam inglês, segue uma indicação 
de um artigo acadêmico recente que, também, é uma revisão 
sistemática do assunto. O artigo sugerido é do mesmo autor do 
41
O QUE É E PARA QUE SERVE A GOVERNANÇA DE TI? Capítulo 1 
artigo mais referenciado desse assunto, o primeiro do Quadro 5. 
Para a nossa sorte, é brasileiro, e, também, escreve em português: 
SENGIK, A. R.; LUNARDI, G. L. Governança de Tecnologia da 
Informação no setor público: uma revisão sistemática da produção 
científi ca SEMEAD. 2020. Disponível em: https://login.semead.com.
br/23semead/anais/arquivos/1517.pdf. Acesso em: 24 abr. 2021.
Para ter uma ideia de que tópicos estão relacionados ao termo “IT 
governance”, foi criado um wordcloud a partir de todos os artigos da pesquisa 
bibliométrica que envolvem o assunto nos últimos cinco anos, e o resultado foi o 
seguinte:
FIGURA 4 – WORDCLOUD DE GOVERNANÇA DE TI 
NAS PRINCIPAIS REVISTAS ACADÊMICAS
FONTE: O autor
A fi gura mostra a centralidade da Governança de TI em assuntos, como 
desempenho, gestão, negócios etc. Portanto, a governança de TI não é uma 
disciplina estanque, isto é, separada de outras. Ela possui interligações com 
diversas áreas, como gestão corporativa e sistemas de informação. 
42
 Governança de TI
ATIVIDADE DE ESTUDO:
1 - Antes de fi nalizar, precisamos avaliar se você conseguiu entender 
os principais conceitos da governança de TI. Assim, assinale (V) 
Verdadeiro ou (F) Falso para as seguintes questões de fi xação:
( ) A governança de TI deve manter os riscos relacionados à TI em 
níveis aceitáveis.
( ) A governança de TI precisa garantir a colaboração entre TI e 
outras áreas de negócio da empresa, buscando a satisfação dos 
usuários em todas as áreas de negócio. 
( ) A governança de TI necessita seguir uma quantidade crescente 
de normas, leis e políticas organizacionais.
( ) A governança de TI tem o dever de eliminar todos os riscos 
operacionais da TI. 
( ) Para chegar a se tornar conhecimento, o dado precisa ser 
transformado em informação.
( ) É responsabilidade exclusiva, da área de TI, a alta qualidade das 
informações, para apoiar as decisões corporativas.
( ) Existe um processo de governança de TI para mensurar a 
capacidade dos bancos de dados.
( ) As organizações precisam confi ar em informações de qualidade 
para tomar decisões. 
( ) Há um processo de gestão de TI que exige periodicidade nas 
reuniões com a presidência.
( ) O conselho executivo da empresa, os diretores e os gerentes 
devem se preocupar com a TI como uma área estratégica. 
( ) A gestão de TI deve eliminar todos os riscos operacionais da TI.
( ) A alta administração deve apoiar a TI a manter informações de 
alta qualidade para o suporte a decisões corporativas.
( ) É responsabilidade exclusiva, da área de TI, avaliar se o 
quantitativo do pessoal é sufi ciente para a missão e a visão. 
( ) “Boas práticas” de TI podem ser utilizadas em qualquer situação 
das organizações atuais.
( ) Um risco a ser avaliado na área de TI é o baixo envolvimento da 
alta administração, o que pode colocar em risco os processos da 
governança de TI.
( ) A governança de TI deve lidar e aprender com as iniciativas/
projetos fracassados da TI.
( ) A gestão de TI responde, de forma secundária, por exigências 
regulatórias ou contratuais. 
43
O QUE É E PARA QUE SERVE A GOVERNANÇA DE TI? Capítulo 1 
( ) Um risco da TI, que é de preocupação da governança de TI, é a 
existência de gastos com TI oculta e não autorizada.
( ) A governança de TI deve evitar a duplicação, ou a sobreposição 
de iniciativas de TI na organização. Para tanto, o portfólio de 
projetos e de sistemas deve estar claro para a alta administração.
( ) Um risco de TI que deve estar presente no plano de risco é a 
eventual mudança nos cargos CEO e CIO.
ALGUMAS CONSIDERAÇÕES
Neste primeiro capítulo, inicialmente, foi discutida a evolução da função da 
TI na sociedade e nas organizações, desde o primeiro conceito, para diferenciar 
dados de informações e informações de conhecimento. 
Após o entendimento do que são processos de negócio, o leitor pôde aferir 
o nível de conhecimento dele em relação à prática da área de TI, para diferenciar 
processos de gestão de TI e processos de governança de TI. Diferenciar esses 
conceitos é de suma importância para atingir os objetivosde aprendizagem do 
livro. De forma sucinta, a governança de TI garante que as necessidades dos 
stakeholders direcionem objetivos da TI. Já a gestão está em consonância 
com a direção defi nida pelo órgão de governança, a fi m de atingir os objetivos 
corporativos.
Posteriormente, o leitor verifi cou o porquê da necessidade de controles 
para a governança de TI, além do objetivo, que é gerar valor para o negócio. Já 
gerar valor para o negócio signifi ca obter os benefícios da TI, mas otimizando os 
recursos de TI utilizados e mitigando os riscos. Adicionalmente, o leitor observou 
a importância dos indicadores quando se fala do controle dos recursos da TI. 
Um dos principais objetivos de aprendizagem do livro é entender que 
as estruturas e os processos da governança de TI não estão limitados ao 
“Departamento de TI”. A área de TI é, apenas, o responsável técnico por prestar 
os serviços, e não o responsável único pela continuidade do negócio. Essa é uma 
consequência do crescimento da importância e da complexidade da TI. Ela não 
pode ser mais vista como uma área de despesas, mas como uma área estratégica.
O comitê gestor de TI é apresentado como o órgão primordial para o 
alinhamento estratégico entre a alta administração e a área de TI. Finalmente, é, 
ainda, apresentado o COBIT, como um framework de boas práticas de governança 
de TI, o qual facilita a amarração entre objetivos corporativos, objetivos de TI 
44
 Governança de TI
e planejamento estratégico de TI. O COBIT será a grande fonte de processos 
e estruturas de governança de TI que o presente livro tentará apresentar nos 
próximos capítulos. 
Foram apresentadas as áreas-foco da governança de TI neste primeiro 
capítulo, a saber: i) Alinhamento Estratégico (AE), ii) Gestão de Riscos (RI), iii) 
Gestão de Recursos (RE), e v) Mensuração de Performance (MP).
Este primeiro capítulo foi fi nalizado com um levantamento da literatura mais 
atualizada de governança de TI das principais revistas que tratam do assunto 
no mundo. Esse tópico serve para possibilitar uma leitura científi ca e para dar 
um embasamento mais profundo para aqueles que querem seguir com projetos 
acadêmicos nessa área.
REFERÊNCIAS
ABU-MUSA, A. Exploring the importance and implementation of COBIT 
processes in Saudi organizations: an empirical study. Information Management 
& Computer Security, v. 17, n. 2, p. 73-95, 2009.
ALHAWARI, S.; KARADSHEH, L.; TALET, A.; MANSOUR, E. Knowledge-based 
risk management framework for Information Technology project. International 
Journal of Information Management, v. 32, n. 1, p. 50-65, 2012.
BASS, J.; NICHOLSON, B.; SUBHRAMANIAN, E. A framework using institutional 
analysis and the capability approach in ICT4D. Information Technologies & 
International Development, v. 9, n. 1, p. 19-35, 2013.
BECK, R.; MÜLLER-BLOCH, C.; KING, J. L. Governance in the blockchain 
economy: a framework and research agenda. Journal of the Association for 
Information Systems, v. 19, n. 10, p. 1020-1034, 2018. 
BERNROIDER, E. IT governance for enterprise resource planning supported 
by the DeLone–McLean model of information systems success. Information & 
Management, v. 45, n. 5, p. 257-269, 2008.
BERNROIDER, E.; IVANOV, M. IT project management control and the Control 
Objectives for IT and Related Technology (CobiT) framework. International 
Journal of Project Management, v. 29, p. 325-336, 2011.
45
O QUE É E PARA QUE SERVE A GOVERNANÇA DE TI? Capítulo 1 
BOONSTRA, A.; U. Y. E.; OFFENBEEK, M. A. G. van. Stakeholders’ enactment 
of competing logics in IT governance: polarization, compromise or synthesis? 
European Journal of Information Systems, v. 27, n. 4, p. 415-433, 2018. 
CASTELLS, M. A sociedade em rede. v. 1. São Paulo: Paz e Terra, 1999.
COBIT. Control Objectives for Information and Related Technology. Control 
objectives, management guidelines, maturity models in CobiT 4.1. USA: IT 
Governance Institute, 2012.
DE BAKKER, K.; BOONSTRA, A.; WORTMANN, H. Does risk management 
contribute to IT project success? A meta-analysis of empirical evidence. 
International Journal of Project Management, v. 28, n. 5, p. 493-503, 2010. 
DURUGBO, C.; TIWARI, A.; ALCOCK, J. R. Modelling information fl ow for 
organizations: a review of approaches and future challenges. International 
Journal of Information Management, v. 33, n. 3, p. 597-610, 2013.
FERNANDES, A. A.; ABREU, V. F. de. Implantando a Governança de TI 
- 4a Ed.: da estratégia à gestão de processos e serviços. 4. ed. Sao Paulo: 
BRASPORT, 2014. 
FERREIRA NETO, A. N.; SOUZA NETO, J. Metamodels of information technology 
best practices frameworks. JISTEM Journal of Information Systems and 
Technology Management, v. 8, n. 3, p. 619-640, 2011.
GALLIERS, R.; LEIDNER, D. E. Strategic information management: challenges 
and strategies in managing information systems. Butterworth-Heinemann, 2003.
GRATTON, L.; GHOSHAL, S. Beyond best practice. MIT Sloan Management 
Review, v. 46, n. 3, p. 49-57, 2005.
HAMMER, M. The process audit. Harvard Business Review, p. 111-123, 2007.
HARDY, G. Using IT governance and COBIT to deliver value with IT and respond 
to legal, regulatory and compliance challenges. Information Security Technical 
Report, v. 11, n. 1, p. 55-61, 2006.
HUANG, T. C.-K.; WU, I.-L.; CHOU, C.-C. Investigating use continuance of data 
mining tools. International Journal of Information Management, v. 33, n. 5, p. 
791-801, 2013.
46
 Governança de TI
IDEN, J.; EIKEBROKK, T. R. Implementing IT service management: a systematic 
literature review. International Journal of Information Management, v. 33, n. 3, 
p. 512-523, 2013.
KAPLAN, R. S.; NORTON, D. P. Having trouble with your strategy? Then map it. 
Harvard Business Review, v. 78, n. 5, 2000. 
KERZNER, H. How the seven deadly sins can lead to project failure. Revista de 
Gestão e Projetos – GeP, v. 3, p. 5-27, 2012.
KOBELSKY, K. Discussion of a capabilities-based approach to obtaining a deeper 
understanding of information technology governance effectiveness: evidence 
from it steering committees. International Journal of Accounting Information 
Systems, v. 11, n. 3, p. 233-235, 2010.
KOHLBACHER, M.; GRUENWALD, S. Process orientation: conceptualization and 
measurement. Business Process Management Journal, v. 17, n. 2, p. 267-283, 
2011.
LECLERCQ-VANDELANNOITTE, A.; EMMANUEL, B. From sovereign IT 
governance to liberal IT governmentality? A Foucauldian analogy. European 
Journal of Information Systems, v. 27, n. 3, p. 326-346, 2018. 
LEVSTEK, A.; HOVELJA, T.; PUCIHAR, A. IT governance mechanisms and 
contingency factors: towards an adaptive IT governance model. Organizacija, v. 
51, n. 4, p. 286-310, 2018. 
LOCH, C. Operations management and reengineering. European Management 
Journal, v. 16, n. 3, p. 306-317, 1998.
LUFTMAN, J. Assessing Business-IT alignment maturity. Communications of 
the Association for Information Systems, v. 4, p. 1-51, 2000.
LUFTMAN, J.; DOROCIAK, J.; KEMPAIAH, R.; RIGONI, E. H. Strategic alignment 
maturity: a structural equation model validation. Information Systems Journal, 
p. 1-16, 2008.
LUNARDI, G. L. et al. Antecedents of IT governance effectiveness: an empirical 
examination in brazilian fi rms. Journal of Information Systems, v. 31, n. 1, p. 
41-57, 2017. 
MAES, K.; DE HAES, S.; VAN GREMBERGEN, W. How IT enabled investments 
bring value to the business: a literature review. 2011. p. 1-10.
47
O QUE É E PARA QUE SERVE A GOVERNANÇA DE TI? Capítulo 1 
MAGNUSSON, J.; KOUTSIKOURI, D.; PÄIVÄRINTA, T. Effi ciency creep and 
shadow innovation: enacting ambidextrous IT governance in the public sector. 
European Journal of Information Systems, v. 29, n. 4, p. 329-349, 2020. 
MAIDIN, S. S.; ARSHAD, N. H. Information Technology governance practices 
in Malaysian public sector. 2010. p. 281-285.
MURRAY-WEBSTER, R.; PELLEGRINELLI, S. Risk management reconceived: 
reconciling economic rationality with behavioural tendencies.Journal of Project, 
Program & Portfolio Management, v. 1, n. 1, p. 1-16, 2010.
ORLIKOWSKI, W.; BARLEY, S. Technology and institutions: what can research 
on information technology and research on organizations learn from each other? 
MIS Quarterly, v. 25, n. 2, p. 145-165, 2001.
PATAS, J.; BARTENSCHLAGER, J.; GOEKEN, M. Resource-based view in 
empirical IT business value research-an evidence-based literature review. 
2012. p. 5062-5071.
PERSSON, J. S.; MATHIASSEN, L.; BOEG, J.; MADSEN, T. S.; STEINSON, F. 
Managing risks in distributed software projects: an integrative framework. IEEE 
Transactions on Engineering Management, v. 56, n. 3, p. 508-532, 2009.
PINCH, T. Technology and institutions: living in a material world. Theory and 
Society, p. 461-483, 2008.
PRAMOD, V.; LI, J.; GAO, P. A framework for preventing money laundering in 
banks. Information Management & Computer Security, v. 20, n. 3, p. 170-183, 
2012.
PRASAD, A.; GREEN, P.; HEALES, J. On IT governance structures and their 
effectiveness in collaborative organizational structures. International Journal of 
Accounting Information Systems, v. 13, p. 199-220, 2012.
PRESSMAN, R. S. Software engineering – A practitioner’s approach. 6. ed. 
Boston: McGraw-Hill Higher Education, 2005. 
REIJERS, H. A. Implementing BPM systems: the role of process orientation. 
Business Process Management Journal, v. 12, n. 4, p. 389-409, 2006.
48
 Governança de TI
SENGIK, A. R.; LUNARDI, G. L. Governança de Tecnologia da Informação no 
setor público: uma revisão sistemática da produção científi ca SEMEAD. 2020. 
Disponível em: https://login.semead.com.br/23semead/anais/arquivos/1517.pdf. 
Acesso em: 24 abr. 2021.
ŠKRINJAR, R.; TRKMAN, P. Increasing process orientation with business 
process management: critical practices’. International Journal of Information 
Management, v. 33, n. 1, p. 48-60, 2013.
SONG, J.; BAKER, J.; LEE, S.; WETHERBE, J. C. Examining online consumers’ 
behavior: a service-oriented view. International Journal of Information 
Management, v. 32, n. 3, p. 221-231, 2012.
VAN GREMBERGEN, W.; DE HAES, S. A research journey into enterprise 
governance of IT, business/IT alignment and value creation. International 
Journal of IT Business Alignment and Governance, v. 1, n. 1, p. 1-13, 2010.
VATANASAKDAKUL, S.; AOUN, C.; CHEN, Y. Chasing success: an empirical 
model for IT governance frameworks adoption in Australia. Science, Technology 
and Society, v. 22, n. 2, p. 182-211, 2017. 
VINCENT, N. E.; HIGGS, J. L.; PINSKER, E. R. IT governance and the maturity 
of IT risk management practices. Journal of Information Systems, v. 31, n. 1, p. 
59-77, 2017. 
VUGEC, D. S.; SPREMIĆ, M.; BACH, M. P. IT governance adoption in banking 
and insurance sector: longitudinal case study of cobit use. International Journal 
for Quality Research, v. 11, n. 3, p. 691-716, 2017. 
WEILL, P.; ROSS, J. W. Governança de TI. São Paulo: Ed. M. Books, 2006.
WILKIN, C. L.; CHENHALL, R. H. A review of IT governance: a taxonomy to 
inform accounting information systems. Journal of Information Systems, v. 24, 
n. 2, p. 107-146, 2010.
WILLAERT, P.; BERGH, J. V. D. The process-oriented organization: a holistic view 
developing a framework for business process orientation maturity. In: ALONSO, 
G.; DADAM, P.; ROSEMANN, M. Business process management SE – 1. 
Lecture notes in computer science. Germany: Springer Berlin Heidelberg, 2007. 
p. 1-15. 
49
O QUE É E PARA QUE SERVE A GOVERNANÇA DE TI? Capítulo 1 
ZIMMERMANN, S.; RENTROP, C.; FELDEN, C. A multiple case study on 
the nature and management of shadow information technology. Journal of 
Information Systems, v. 31, n. 1, p. 79-101, 2017. 
ZWIKAEL, O.; SADEH, A. Planning effort as an effective risk management tool. 
Journal of Operations Management, v. 25, n. 4, p. 755-767, 2007.
50
 Governança de TI
CAPÍTULO 2
PROCESSOS DE GOVERNANÇA DE TI 
SEGUNDO COBIT
A partir da perspectiva do saber-fazer, são apresentados os seguintes 
objetivos de aprendizagem:
• Reconhecer o mapa de objetivos corporativos e da TI.
• Interiorizar os processos principais do COBIT
• Descrever o modelo de maturidade do COBIT.
• Enumerar alguns habilitadores corporativos do COBIT.
52
 Governança de TI
53
PROCESSOS DE GOVERNANÇA DE TI SEGUNDO COBIT Capítulo 2 
1 CONTEXTUALIZAÇÃO
O autor do presente material didático, assim como quase todo profi ssional 
com formação na área de exatas, no Brasil, basicamente, só conhecia a lógica de 
pensamento da escola positivista, portanto, acreditava em uma melhor forma de se 
realizarem as atividades organizacionais, isto é, acreditava em “one best way”. Foi 
necessária uma imersão em outros paradigmas de pensamento para compreender 
que o conhecimento que envolve a governança de TI é, socialmente, construído, 
e que abordagens alternativas, não funcionalistas, podem ser interessantes para 
o aprofundamento da disciplina.
Abordagens que levam em consideração termos, como poder, cultura, 
resistência à mudança, institucionalização de práticas etc., são abordagens que 
estão além do escopo do presente livro, o qual, neste e no próximo capítulo, 
manter-se-á com a lógica prescritiva do framework mais reconhecido: COBIT, 
versão 2019. Apesar dessa delimitação do objetivo do presente livro, é importante 
destacar a ampla gama de conhecimentos da governança de TI. Por exemplo, para 
a escolha dos líderes da TI, essa necessidade de conhecimentos diversifi cados é, 
claramente, sentida.
Quando se escolhe a cúpula da TI, também, chamada de gerência sênior, 
abre-se um leque de candidatos oriundos de formações específi cas da área de 
exatas, e, todos, aparentemente, com mais contras do que prós, se comparados 
a profi ssionais mais completos e com conhecimentos além dos técnicos. Não 
basta ser, apenas, efi ciente (obter a melhor opção da relação recursos versus 
resultados) e efi caz (conseguir atingir uma meta, um objetivo, através de 
um plano), é necessário ser efetivo (gerar valor que perdure para as partes 
interessadas). Para tanto, características ligadas à liderança e outras relações 
humanas são exigidas dos profi ssionais da cúpula da TI. Entretanto, é perceptível, 
do mercado, que, geralmente, os profi ssionais seniores são técnicos em demasia, 
mas que não possuem formação relacionada à gestão.
Uma visão, puramente, orientada à capacidade de execução de planos 
parece ingênua. Especialmente, o Chief Information Offi cer (CIO) precisa ter uma 
visão mais holística da organização e do próprio relacionamento com a alta gestão. 
Ainda, necessita ser amplo e com foco em resultados a médio e longo prazos, 
para tanto, é necessário que tenha condições de discutir, de forma orientada, o 
negócio, diretamente, com o nível executivo (GREMBERGEN; HAES, 2010).
Os processos, com detalhamento, são apresentados até o nível de atividades 
dos componentes de processos, mas, apenas, para exemplifi car como ler o 
framework COBIT, segundo ISACA (2019), a partir do qual você poderá obter esse 
54
 Governança de TI
detalhamento. O presente autor acredita serem mais importantes o entendimento 
da existência de diversos indicadores e a discussão a respeito deles. São 
métricas que podem apoiar as organizações a verifi carem se as próprias ações 
de governança de TI estão, realmente, apropriadas, mas devem ser adequadas a 
cada contexto de empresa.
2 MODELO DE MATURIDADE E 
OBJETIVOS COBIT 2019
O termo governança de TI surgiu com o termo “governança corporativa”, mas 
ganhou mais vulto após o advento das fraudes fi nanceiras/contábeis da Enron, 
WorldCom e Arthur Andersen dos anos 2000, nos EUA, e uma das consequências: 
a criação da Sarbanes-Oxley (SOX) (KOHN, 2004). A governança de TI foi, 
então, talhada, mais especifi camente, por causa da necessidade de uma grande 
responsabilização (accountability) para a tomada de decisão em torno do uso da 
TI, para satisfazer às necessidades das partes interessadas (stakeholders).Devido 
à origem, esses dois termos são importantes para a disciplina: accountability e 
stakeholders.
Antes de destrincharmos os principais processos do COBIT, é necessário 
relembrar quais são os habilitadores corporativos para a implementação da 
governança de TI, isto é, sem os quais não é possível o desenvolvimento de uma 
governança de TI efi caz, efi ciente e efetiva.
FIGURA 1 – HABILITADORES DA GOVERNANÇA DE TI
FONTE: Adaptada de ISACA (2019)
55
PROCESSOS DE GOVERNANÇA DE TI SEGUNDO COBIT Capítulo 2 
Além dos habilitadores, vide Figura 1, outros dois conceitos são necessários 
para o melhor entendimento do framework COBIT 2019: objetivos corporativos e 
de TI. O COBIT 2019 disponibiliza um conjunto de objetivos bem genéricos que 
estão associados aos processos do COBIT (ISACA, 2019). Alguns são, facilmente, 
entendidos, outros terão um melhor entendimento quando o COBIT relacionar as 
próprias metas, portanto, não se preocupe em tentar entender todos antes do fi m 
do presente capítulo.
É importante demonstrarmos todo o mapa de objetivos, 
assim, iniciaremos pelos objetivos que ajudam a alinhar a TI com a 
organização:
• AG01: Conformidade de TI com leis e regulamentos externos, e 
suporte para conformidade do negócio.
• AG02: Riscos relacionados à TI gerenciados.
• AG03: Benefícios realizados a partir de investimentos em TI e 
portfólio de serviços.
• AG04: Qualidade das informações fi nanceiras relacionadas à 
tecnologia.
• AG05: Entrega de serviços de TI em linha com os requisitos de 
negócios.
• AG06: Agilidade para transformar requisitos de negócios em 
soluções operacionais.
• AG07: Segurança de informações, infraestrutura de 
processamento e aplicativos, e privacidade.
• AG08: Habilitando e apoiando processos de negócios por meio 
da integração de aplicativos e da tecnologia.
• AG09: Entregando programas no prazo, dentro do orçamento e 
com atendimento aos requisitos e aos padrões de qualidade.
• AG10: Qualidade da informação de gestão de TI.
• AG11: Conformidade de TI com as políticas internas.
• AG12: Equipe competente e motivada, com compreensão 
mútua da tecnologia e dos negócios.
• AG13: Conhecimento, experiência e iniciativas para inovação 
empresarial.
Já os objetivos corporativos incluem:
• EG01: Portfólio de produtos e de serviços competitivos.
• EG02: Riscos de negócio gerenciados.
56
 Governança de TI
• EG03: Conformidade com leis e regulamentos externos.
• EG04: Qualidade da informação fi nanceira.
• EG05: Cultura de serviços orientada para o cliente.
• EG06: Continuidade e disponibilidade dos serviços dos 
negócios.
• EG07: Qualidade da informação gerencial.
• EG08: Otimização das funcionalidades dos processos de 
negócios.
• EG09: Otimização dos custos dos processos de negócios.
• EG10: Habilidades, motivação e produtividade da equipe.
• EG11: Conformidade com as políticas internas. 
• EG12: Programas de transformação digital gerenciados.
• EG13: Inovação de produtos e negócios (ISACA, 2019).
Outro conceito muito importante do COBIT 2019 é a forma de medir a 
maturidade da governança de TI de uma organização (ISACA, 2019). A Figura 2 
demonstrará os níveis de maturidade e a descrição deles. Esse modelo é baseado 
no Capability Maturity Model Integration ® (CMMI) e varia de 0 a 5, sendo, 5, 
o nível mais otimizado. O nível de capacidade é uma medida de quão bem os 
processos do COBIT são implementados e executados.
FIGURA 2 – MODELO DE MATURIDADE COBIT
FONTE: Adaptada de ISACA (2019)
57
PROCESSOS DE GOVERNANÇA DE TI SEGUNDO COBIT Capítulo 2 
A partir de agora, basear-nos-emos na prescrição do COBIT 
2019 e na experiência do presente autor em relação aos processos 
mais importantes e à aplicabilidade real desses processos. É 
importante destacar que cada organização se encontra em níveis de 
maturidade diferentes, portanto, cada uma tem forças e fraquezas 
específi cas refl etidas nas próprias gestão e governança de TI. Outro 
ponto é que é possível que uma empresa tenha maturidade 4 ou 5 
em determinado processo e 0 ou 1 em outros. Essas nuances são 
importantes ao se desenhar um plano de adequação ao framework
COBIT (ISACA, 2019).
O COBIT apresenta cinco conjuntos de processos. Quatro serão apresentados 
no presente capítulo, e, o último, e mais importante, no próximo capítulo. São 
muitos processos, componentes de processos, atividades e indicadores. Não se 
preocupe em entender todos de uma vez, até porque a referência ISACA (2019) 
é um documento denso e teórico, com mais de 300 páginas. O objetivo, aqui, 
é apresentá-los de forma geral, e, apenas, alguns processos ganharão mais 
detalhes. 
3 ALINHAR, PLANEJAR E 
ORGANIZAR RECURSOS DE TI (APO)
Os processos de APO (do inglês Align, Plan and Organize) são: 
• APO01 Framework de Gestão de TI Gerenciada.
• APO02 Estratégia Gerenciada.
• APO03 Arquitetura Corporativa Gerenciada.
• APO04 Inovação Gerenciada.
• APO05 Portfólio Gerenciado.
• APO06 Orçamento e Custos Gerenciados.
• APO07 Recursos Humanos Gerenciados.
• APO08 Relacionamentos Gerenciados.
• APO09 Contratos de Serviços Gerenciados.
• APO10 Fornecedores Gerenciados. 
• APO11 Qualidade Gerenciada.
• APO12 Risco Gerenciado.
58
 Governança de TI
• APO13 Segurança Gerenciada.
• APO14 Dados Gerenciados.
Nem todos os processos são possíveis de ser apresentados no presente 
livro, mas foram escolhidos dois, considerados mais importantes, e destacados, 
anteriormente, em negrito.
3.1 APO01 FRAMEWORK DE GESTÃO 
DE TI GERENCIADA
O processo APO01 Framework de Gestão de TI Gerenciada é considerado 
primordial para o entendimento de todo o framework COBIT. Observe que ele é, 
substancialmente, relacionado à alta administração, e será destrinchado a seguir.
Conceito: Projete o Sistema de Gestão da TI com base nos objetivos 
corporativos e objetivos de TI. Com base nesse projeto, implemente todos os 
componentes necessários do Sistema de Gestão.
Objetivos corporativos e sugestão de métricas: 
EG03: Conformidade com leis e regulamentos externos: a. Número de 
questões de não conformidade observadas pelos reguladores; b. Número de 
questões de não conformidade relacionadas a acordos contratuais com parceiros 
de negócios.
EG08: Otimização das funcionalidades dos processos de negócios: a. Níveis 
de satisfação dos clientes com a entrega do serviço; b. Níveis de satisfação dos 
fornecedores com a cadeia de suprimentos.
EG11: Conformidade com as políticas internas: a. Número de incidentes 
relacionados ao não cumprimento das políticas internas; b. Porcentagem de 
partes interessadas que entendem as políticas internas.
EG12: Programas de transformação digital gerenciados a. Número de 
programas (conjunto de projetos) dentro do prazo e do orçamento; b. Porcentagem 
de programas de transformação digital de negócios interrompidos.
Objetivos de TI e sugestão de métricas:
59
PROCESSOS DE GOVERNANÇA DE TI SEGUNDO COBIT Capítulo 2 
AG03: Benefícios realizados a partir de investimentos em TI e portfólio de 
serviços: a. Porcentagem de serviços de TI para os quais benefícios esperados 
(segundo ANS - Acordo de Nível de Serviço) foram realizados.
AG11: Conformidade de TI com as políticas internas: a. Número de incidentes 
relacionados ao não cumprimento de políticas relacionadas à TI; b. Frequência de 
revisão e de atualização de políticas relacionadas à TI.
O componente “Processo APO01.01 Projetar o sistema de Gestão de TI” 
possui as seguintes atividades sugeridas e os respectivos níveis de Maturidade 
(M): 1. Obter uma compreensão da visão, direção e estratégia da empresa, 
incluindo o contexto atual da empresa e os desafi os dela (M:2); 2. Considerar o 
ambiente interno da empresa, incluindo cultura e fi losofi a de gestão, tolerância 
a riscos, política de segurança e privacidade, valores éticos, código de conduta, 
responsabilidade e requisitos para integridade da gestão (M:2); 3. Aplicar a 
cascata de objetivos do COBIT à estratégia e ao contextoda empresa para decidir 
as prioridades do sistema de gestão, e, portanto, para a implementação dessas 
prioridades (M:2); 4. Validar as prioridades selecionadas para a implementação 
de objetivos, com boas práticas, ou requisitos da indústria (por exemplo, 
regulamentos específi cos do setor), e com estruturas de governança adequadas 
(M:3).
O componente “Processo APO01.02 Comunicar objetivos de gestão, direção 
e decisões tomadas” possui as seguintes atividades sugeridas e os respectivos 
níveis de Maturidade (M): 1. Fornecer recursos sufi cientes e qualifi cados para 
apoiar o processo de comunicação (M:2); 2. Defi nir regras básicas para a 
comunicação, identifi cando as necessidades de comunicação e implementando 
planos com base nessas necessidades, considerando a comunicação de cima 
para baixo, de baixo para cima e horizontal (M:3); 3. Comunicar, continuamente, 
os objetivos e o direcionamento da TI. Garantir que a comunicação seja apoiada, 
pela gestão executiva, com ações e palavras, utilizando todos os canais 
disponíveis (M:3); 4. Garantir que as informações comunicadas englobem uma 
missão, claramente, articulada; objetivos de serviço; controles internos; qualidade; 
código de ética/conduta; políticas e procedimentos; funções e responsabilidades 
etc. Comunique as informações, com o nível de detalhe apropriado, para os 
respectivos públicos de dentro da empresa (M:2).
O componente “Processo APO01.03 Implementar processos de gestão (para 
apoiar o cumprimento dos objetivos)” possui as seguintes atividades sugeridas e 
os respectivos níveis de Maturidade (M): 1. Desenvolver o modelo de processo 
de métricas de governança de TI específi co para a organização, com base na 
seleção de objetivos prioritários (produção de metas em cascata) (M:2); 2. Analisar 
a lacuna (Gap) entre o modelo de processo-alvo da organização e as práticas e as 
60
 Governança de TI
atividades atuais (M:3); 3. Elaborar um roteiro para a implementação de práticas 
e de atividades de processos ausentes. Use métricas práticas para acompanhar a 
implementação (M:4).
O componente “Processo APO01.04 Defi nir e implementar as estruturas 
organizacionais” possui as seguintes atividades sugeridas e os respectivos níveis 
de Maturidade (M): 1. Identifi car as decisões necessárias para a realização dos 
resultados da empresa, da estratégia da TI, e para a execução de serviços de 
TI (M:2); 2. Envolver as partes interessadas que são críticas para a tomada de 
decisões (responsáveis, responsabilizados, consultados ou informados) (M:2); 
3. Defi nir o escopo, foco, mandato e responsabilidades de cada função dentro 
da organização relacionada à TI, em linha com a direção da governança (M:2); 
4. Defi nir o escopo das funções e papéis internos e externos, e direitos de 
decisão necessários para cobrir todas as práticas, inclusive, aquelas realizadas 
por terceiros (M:3); 5. Alinhar as estruturas relacionadas à TI com os modelos 
organizacionais de arquitetura corporativa (M:3); 6. Estabelecer um comitê de 
direção de TI (ou equivalente), composto por executivos, gerentes de negócios 
e de TI, para rastrear os status dos projetos, resolver confl itos de recursos e 
monitorar os níveis e melhorias de serviço(M:3); 7. Fornecer diretrizes para 
cada estrutura de gestão (incluindo mandato, objetivos, participantes da reunião, 
tempo e supervisão) e informações necessárias e resultados esperados das 
reuniões (M:3); 8. Verifi car, regularmente, a adequação e a efi cácia das estruturas 
organizacionais (M:4).
O componente “Processo APO01.05 Estabeleça funções e responsabilidades” 
possui as seguintes atividades sugeridas e os respectivos níveis de Maturidade (M): 
1. Estabelecer, concordar e comunicar funções e responsabilidades relacionadas 
à TI para todo o pessoal da empresa, em alinhamento com as necessidades 
e os objetivos do negócio. Delinear, claramente, as responsabilidades e os 
responsabilizados, especialmente, para a tomada de decisões e as aprovações 
(M:2); 2. Considerar os requisitos da empresa e a continuidade dos serviços de 
TI ao defi nir funções, incluindo backup de equipe e requisitos de treinamento 
cruzado (M:2); 3. Fornecer informações para o processo de continuidade de 
serviço de TI, mantendo informações de contato atualizadas e descrições de 
funções na empresa (M:2); 4. Incluir requisitos específi cos nas descrições de 
funções e responsabilidades em relação à adesão às políticas e procedimentos de 
gestão, ao código de ética e às práticas profi ssionais (M:2); 5. Certifi car-se de que 
a prestação de contas seja defi nida por meio de funções e de responsabilidades 
(M:2); 6. Estruturar funções e responsabilidades para reduzir a possibilidade de 
uma única função comprometer um processo crítico (M:2); 7. Implementar práticas 
de supervisão adequadas para garantir que as funções e as responsabilidades 
sejam, devidamente, exercidas, para avaliar se todo o pessoal tem autoridade 
e recursos sufi cientes para executar essas funções e responsabilidades, além 
61
PROCESSOS DE GOVERNANÇA DE TI SEGUNDO COBIT Capítulo 2 
de revisar o desempenho. O nível de supervisão deve estar alinhado com a 
sensibilidade da posição e a extensão das responsabilidades atribuídas (M:3).
Esse mesmo processo APO01 possui outros componentes processuais, 
também, considerados importantes, mas que não serão detalhados aqui. 
O componente “Processo APO01.06 Otimize o posicionamento da função 
de TI” afi rma a necessidade de que a linha de reporte do CIO e o nível de 
representação da TI, dentro da alta administração, deve ser proporcional à 
importância da TI dentro da empresa, isto é, onde a TI é importante, o CIO lida, 
diretamente, com essa alta administração da empresa. 
O componente “Processo APO01.07 Defi na as informações (dados) e a 
propriedade dos sistemas” está relacionado à criação e à manutenção de um 
inventário de informações (sistemas e dados) que inclua uma lista de proprietários 
e a classifi cação dessas informações, como sistemas estratégico, crítico, menos 
importante etc. 
Ainda, no APO01, o componente “Processo APO01.08 Defi na as habilidades 
e competências desejadas” propugna uma análise de lacuna entre as habilidades 
desejadas para a empresa e as habilidades atuais da força de trabalho. Esse 
processo está relacionado com outro, "APO07 Recursos Humanos Gerenciados", 
e que não será detalhado aqui, mas uma sugestão de métrica é interessante 
destacar: "Número de funcionários que participaram de sessões de treinamento ou 
conscientização para as habilidades/competências/comportamentos desejados". 
Não há TI sem recursos humanos, e toda a atenção deve ser dada a esse, que é 
o recurso mais importante. 
O componente “Processo APO01.09 Defi nir e comunicar políticas e 
procedimentos" está relacionado à criação de um conjunto de políticas para 
orientar as expectativas de controle de TI em tópicos importantes, como qualidade, 
segurança, privacidade, controles internos, uso de ativos de TI, ética e direitos de 
propriedade intelectual (PI).
O processo APO01 é considerado um dos mais importantes do APO, 
adicionalmente, um dos mais detalhados. 
O componente “Processo APO01.10 Defi nir e implementar infraestrutura, 
serviços e aplicativos para apoiar o sistema de governança e gestão" trata, por 
exemplo, da arquitetura do sistema de gestão de TI, dos repositórios, da criação 
de um método de gerenciamento de risco, de ferramentas de gerenciamento 
de projeto, de ferramentas de rastreamento de custos e ferramentas de 
monitoramento de incidentes. 
62
 Governança de TI
Gerenciar a melhoria contínua do sistema de gestão de TI" está ligado 
a organizações que buscam um nível de maturidade superior nos próprios 
processos de governança de TI. Organizações desse tipo avaliam, regularmente, 
o desempenho dos componentes de cada processo e tomam medidas adequadas 
para melhorá-los.
Todos os processos do COBIT possuem uma sugestão de papéis (cargos) 
relacionadosa cada componente de cada processo. Para exemplifi car, o Quadro 
1 demonstrará essa sugestão para o APO01.
QUADRO 1 – MATRIZ DE RESPONSABILIDADES POR 
COMPONENTE PROCESSUAL DO APO01
FONTE: Adaptado de ISACA (2019)
O Quadro 1 demonstrou que papéis devem ser responsabilizados (A) 
e responsáveis (R). A diferença, nessa classifi cação, é quem paga a conta 
empresarial no caso de o processo não funcionar bem, isto é, o accountable (A), 
ou responsabilizado, em português. No caso de ações em bolsas, é apontado o 
responsabilizado (A) por determinado processo.
63
PROCESSOS DE GOVERNANÇA DE TI SEGUNDO COBIT Capítulo 2 
Duas estruturas de TI ganham destaque aqui: comitê gestor de TI (ou 
conselho de governança de TI) e comitê de segurança da informação. O primeiro 
está posicionado no nível da gestão executiva e é responsável pela implementação 
da estratégia de TI delineada. Supervisiona os principais programas da TI e 
gerencia as prioridades, os custos e a alocação de recursos (MAES; DE HAES; 
VAN GREMBERGEN, 2011). Já o segundo deve abordar, com declarações 
claras, a intenção da gestão, e demonstrar, para os funcionários, a necessidade 
de prestarem atenção na integridade, na disponibilidade e na confi dencialidade 
dos dados eletrônicos armazenados de dentro e transferidos entre sistemas de 
informação (KNAPP et al., 2009).
3.2 APO02 ESTRATÉGIA GERENCIADA
Conceito: Apoie a estratégia de transformação digital da organização e 
entregue o valor desejado por meio de um roteiro de mudanças incrementais. Use 
uma abordagem holística de TI, garantindo que cada iniciativa esteja, claramente, 
conectada a uma estratégia abrangente. Permita a mudança em todos os 
diferentes aspectos da organização, desde canais e processos até dados, cultura, 
habilidades, modelo operacional e incentivos.
O APO02 não será detalhado aqui, mas algumas informações merecem 
destaque.
Objetivos corporativos e sugestão de métricas: 
EG01: Portfólio de produtos e de serviços competitivos: a. Porcentagem de 
produtos e de serviços que atendem ou excedem metas em receitas e/ou em 
participação de mercado; b. Porcentagem de produtos e de serviços que atendem 
ou excedem metas de satisfação do cliente; c. Porcentagem de produtos e de 
serviços que fornecem vantagem competitiva; d. Tempo para comercializar novos 
produtos e serviços.
EG05: Cultura de serviços orientada para o cliente: a. Número de interrupções 
no atendimento ao cliente; b. Número de reclamações de clientes; c. Tendência de 
resultados da pesquisa de satisfação do cliente.
EG08: Otimização das funcionalidades dos processos de negócios: a. 
Níveis de satisfação do conselho e da gestão executiva com as capacidades dos 
processos de negócios; b. Níveis de satisfação dos clientes com as capacidades 
de entrega de serviços; c. Níveis de satisfação dos fornecedores com as 
capacidades da cadeia de suprimentos.
64
 Governança de TI
EG12: Programas de transformação digital gerenciados: a. Número de 
programas de transformação digital dentro do prazo e do orçamento.
Objetivos de TI e sugestão de métricas: 
AG08: Habilitando e apoiando processos de negócios por meio da integração 
de aplicativos e de tecnologia: a. Tempo de resposta para executar serviços ou 
processos de negócios; b. Número de programas relacionados à TI atrasados ou 
incorrendo em custos adicionais, devido a questões de integração tecnológica; 
c. Número de mudanças em processos de negócios com atraso ou retrabalhado, 
devido a questões de integração tecnológica; d. Número de aplicativos ou de 
infraestruturas críticas em operação não integrados.
Observe que, ao apresentar o APO01 e o APO02, foram usados níveis 
de detalhamento diferentes. O presente autor acredita que o entendimento e a 
discussão que envolve os diversos indicadores são mais ricos do que o nível de 
detalhamento que apresenta as atividades.
Existem diversas ferramentas de Strategic Corporate 
Performance Management (SCPM), e a Gartner analisa algumas 
em: https://www.gartner.com/reviews/market/corporate-performance-
management.
3.3 APO03 ARQUITETURA 
CORPORATIVA GERENCIADA
Conceito: Estabeleça uma arquitetura comum, consistindo em processos de 
negócios, informações, dados, aplicativos e camadas de arquitetura tecnológica. 
Crie os principais modelos e práticas que descrevem as arquiteturas atuais e 
desejadas, em linha com as estratégias empresarial e de TI. Defi na os requisitos 
de taxonomia, padrões, diretrizes, procedimentos, modelos e ferramentas e 
forneça uma ligação para esses componentes. Melhore o alinhamento, aumente 
a agilidade, lute pela qualidade das informações e gere potenciais economias de 
custos por meio de iniciativas, como a reutilização de componentes. 
65
PROCESSOS DE GOVERNANÇA DE TI SEGUNDO COBIT Capítulo 2 
O APO03 não será detalhado aqui, mas algumas informações merecem 
destaque.
Objetivos corporativos: são as mesmas sugestões, objetivos e métricas do 
APO02, isto é, EG01: Portfólio de produtos e serviços competitivos, EG05: Cultura 
de serviços orientada para o cliente e EG08: Otimização das funcionalidades dos 
processos de negócios.
Objetivos de TI e sugestão de métricas: 
Repete-se o objetivo AG08: Habilitando e apoiando processos de negócios 
por meio da integração de aplicativos e da tecnologia, e é adicionado o AG06: 
Agilidade para transformar requisitos de negócios em soluções operacionais, cujas 
sugestões de métricas são: a. Nível de satisfação dos executivos de negócios 
com a capacidade da TI de responder a novos requisitos; b. Tempo médio de 
lançamento, no mercado, de novos serviços relacionados à TI; c. Tempo médio 
para transformar objetivos estratégicos de TI em acordos e iniciativas aprovadas; 
d. Número de processos críticos de negócios suportados por infraestrutura e 
aplicativos atualizados tecnologicamente.
Não é necessário detalhar os componentes de processo do APO03, mas 
um componente interessante a ser destacado está relacionado à “Cultura, ética 
e comportamento" (veja, novamente, a Figura 1): “Crie um ambiente no qual a 
administração entenda a arquitetura e as necessidades dela em relação às 
metas e aos objetivos de negócios. Promova a prática efi caz de uma arquitetura 
corporativa em toda a organização (não apenas entendida por arquitetos 
empresariais). Garanta uma abordagem holística que liga os componentes de 
forma mais integrada”.
Existem diversas ferramentas de Enterprise Architecture (EA), 
e a Gartner analisa algumas em: https://www.gartner.com/reviews/
market/enterprise-architecture-tools.
66
 Governança de TI
3.4 APO04 INOVAÇÃO GERENCIADA
Conceito: Mantenha-se atualizado em relação à TI, às tendências de serviços 
relacionados e monitore as tendências emergentes em tecnologia. Identifi que, de 
forma proativa, as oportunidades de inovação e planeje como se benefi ciar da 
inovação em relação às necessidades do negócio e à estratégia de TI já defi nida. 
Analise que oportunidades de inovação ou de melhoria de negócios podem ser 
criadas por tecnologias emergentes, serviços ou inovação em negócios habilitadas 
pela TI. Infl uencie o planejamento estratégico e as decisões de arquitetura 
corporativa.
Objetivos corporativos e sugestão de métricas:
EG01: Portfólio de produtos e de serviços competitivos: a. Porcentagem 
de produtos e de serviços que atendem ou excedem as metas em receitas e/ou 
participação de mercado; b. Porcentagem de produtos e de serviços que atendem 
ou excedem as metas de satisfação do cliente; c. Porcentagem de produtos e de 
serviços que fornecem vantagem competitiva; d. Tempo para comercializar novos 
produtos e serviços.
EG13: Inovação de produtos e negócios: a. Nível de conhecimento e de 
compreensão do negócio em relação a oportunidades de inovação; b. Número de 
iniciativas de produtos e de serviços aprovadas e resultantes de ideias inovadoras.
Objetivos de TI e sugestão de métricas: 
AG06: Agilidade para transformar requisitos de negócios emsoluções 
operacionais: a. Nível de satisfação dos executivos de negócios com a capacidade 
da TI de responder a novos requisitos; b. Tempo médio de lançamento, no 
mercado, de novos serviços relacionados à TI; c. Tempo médio para transformar 
objetivos estratégicos de TI em acordos e iniciativas aprovadas; d. Número de 
processos críticos de negócios suportados pela infraestrutura e aplicativos 
atualizados.
AG13: Conhecimento, experiência e iniciativas para inovação empresarial: a. 
Nível de consciência e de compreensão do executivo de negócios em relação a 
possibilidades de inovação em TI; b. Número de iniciativas aprovadas resultantes 
de iniciativas inovadoras.
O APO04 é um dos mais buscados pelas empresas, portanto, merecem ser 
mais detalhados os componentes e as atividades dele para o leitor compreender 
como fazer. 
67
PROCESSOS DE GOVERNANÇA DE TI SEGUNDO COBIT Capítulo 2 
O componente “Processo APO04.01 Crie um ambiente propício à inovação” 
possui as seguintes atividades sugeridas e os respectivos níveis de Maturidade 
(M): 1. Criar um plano de inovação que inclua o apetite pelo risco da organização, 
uma proposta de orçamento para iniciativas e objetivos da inovação (M:2); 2. 
Fornecer infraestrutura (por exemplo, ferramentas de colaboração para aprimorar 
o trabalho entre localizações geográfi cas e/ou divisões) (M:2); 3. Manter uma 
equipe de capacitação do programa para enviar ideias de inovação e criar uma 
estrutura de tomada de decisão apropriada para avaliar e levar as ideias adiante 
(M:3); 4. Incentivar ideias de inovação de clientes, fornecedores e parceiros de 
negócios (M:3).
O componente “Processo APO04.02 Mantenha uma compreensão do 
ambiente corporativo” possui as seguintes atividades sugeridas e os respectivos 
níveis de Maturidade (M): 1. Manter uma compreensão da indústria e dos 
direcionadores de negócios (business drivers), das estratégias empresarial e de TI, 
e das operações empresariais e dos atuais desafi os dela. Aplicar o conhecimento 
para identifi car a tecnologia com potencial de criar valor agregado (M:2); 2. 
Realizar reuniões regulares com unidades de negócios, divisões e/ou outras 
entidades interessadas para entender os problemas dos negócios atuais, gargalos 
de processo ou outras restrições a partir das quais tecnologias emergentes, ou 
inovação em TI, podem criar oportunidades (M:3); 3. Compreender os parâmetros 
de investimento da empresa para inovação e novas tecnologias, de forma que 
estratégias apropriadas sejam desenvolvidas (M:3).
O componente “Processo APO04.03 Monitore e analise o ambiente de 
tecnologia” possui as seguintes atividades sugeridas e os respectivos níveis de 
Maturidade (M): 1. Compreender o apetite a riscos da empresa e o potencial para 
inovação em tecnologia. Concentrar os esforços de conscientização nas mais 
oportunas inovações tecnológicas (M:2); 2. Confi gurar um processo de observação 
de tecnologia e realizar pesquisas no ambiente externo, incluindo sites, jornais 
e conferências apropriadas, para identifi car tecnologias emergentes e o valor 
potencial delas para a empresa (M:2); 3. Consultar especialistas terceirizados, 
conforme necessário, para confi rmar pesquisas ou fornecer informações de 
tecnologias emergentes (M:2); 4. Capturar ideias de inovação em TI da equipe e 
revisar uma implementação potencial (M:2).
O componente “Processo APO04.04 Avalie o potencial de tecnologias 
emergentes e ideias inovadoras” possui as seguintes atividades sugeridas e os 
respectivos níveis de Maturidade (M): 1. Avaliar as tecnologias identifi cadas, 
considerando aspectos, como tempo para atingir a maturidade, risco inerente 
(incluindo potencial de implicações legais), adequação à arquitetura empresarial 
e ao potencial de valor, em linha com as estratégias empresarial e de TI (M:2); 2. 
68
 Governança de TI
Identifi car problemas que podem precisar ser resolvidos ou validados por meio 
de uma iniciativa de prova de conceito (do inglês Proof-Of-Concept - POC) (M:3); 
3. Defi nir o escopo da iniciativa de prova de conceito, incluindo os resultados 
desejados, o orçamento exigido, os prazos e as responsabilidades (M:3); 4. Obter 
aprovação para a iniciativa de prova de conceito (M:3); 5. Conduzir iniciativas 
de prova de conceito para testar tecnologias emergentes ou outras ideias de 
inovação. Identifi que os problemas e determine se a implementação, ou o 
lançamento, deve ser considerada, com base na viabilidade e no ROI potencial 
(M:3).
O componente “Processo APO04.05 Recomendar outras iniciativas 
apropriadas” possui as seguintes atividades sugeridas e os respectivos níveis de 
Maturidade (M): 1. Documentar os resultados das provas de conceito, incluindo 
orientações e recomendações de tendências e programas de inovação (M:3); 2. 
Comunicar oportunidades de inovação viáveis para a estratégia de TI e para os 
processos da arquitetura corporativa (M:3); 3. Analisar e comunicar as razões das 
iniciativas de prova de conceito rejeitadas (M:3); 4. Acompanhar as iniciativas de 
prova de conceito para medir o investimento real (M:4).
O componente “Processo APO04.06 Monitorar a implementação e o uso de 
inovação” possui as seguintes atividades sugeridas e os respectivos níveis de 
Maturidade (M): 1. Capturar as lições aprendidas e as oportunidades de melhoria 
(M:3); 2. Certifi car-se de que as iniciativas de inovação estejam alinhadas com 
as estratégias empresarial e de TI. Monitorar o alinhamento continuamente. 
Ajustar o plano de inovação, se necessário (M:3); 3. Avaliar novas tecnologias ou 
inovações de TI implementadas como parte da estratégia de TI e desenvolvimento 
de arquitetura empresarial (M:4); Avaliar o nível de adoção durante a gestão do 
programa de iniciativas. 4. Identifi car e avaliar o valor potencial da inovação (M:4).
Todos os processos do COBIT possuem uma sugestão de papéis (cargos) 
relacionados a cada componente de cada processo. Para exemplifi car, o Quadro 
2 demonstrará essa sugestão para o APO04. 
69
PROCESSOS DE GOVERNANÇA DE TI SEGUNDO COBIT Capítulo 2 
QUADRO 2 – MATRIZ DE RESPONSABILIDADES POR 
COMPONENTE PROCESSUAL DO APO04
FONTE: Adaptado de ISACA (2019)
Para fi nalizar, é importante destacar outro tipo de componente presente no 
processo APO04 (atente-se, novamente, à Figura 1), “Serviços, Infraestrutura e 
Aplicativos”, o qual o COBIT (ISACA, 2019) descreve: Plataformas de colaboração, 
Benchmarks da indústria, serviços e ferramentas de observação de tecnologia.
Teams Ideas: ferramenta de colaboração, para a gestão 
da inovação, reconhecida, pelo Gartner (empresa líder mundial 
em análise de mercado de tecnologia), como uma das principais 
fornecedoras desse tipo de solução no mundo, e única empresa 
da América Latina citada no estudo Market Guide for Innovation 
Management Tools. Para saber mais, acesse https://teamsideas.
com/br/business_ideation.php.
3.5 APO05 PORTFÓLIO GERENCIADO
Conceito: Execute o direcionamento estratégico defi nido para investimentos 
em linha com a visão da arquitetura empresarial e o roadmap de TI. Considere 
as diferentes categorias de investimentos e os recursos e as restrições de 
70
 Governança de TI
fi nanciamento. Avalie, priorize e equilibre programas e serviços, gerenciando 
a demanda dentro das restrições de recursos e fi nanciamento, com base no 
alinhamento com os objetivos estratégicos, o valor para a empresa e os riscos. 
Mova programas selecionados para o portfólio de produtos ou serviços ativos para 
a execução. Monitore o desempenho do portfólio geral de produtos e serviços e 
programas, propondo ajustes, conforme necessário, em resposta ao desempenho 
do programa, produto ou serviço, ou mudanças das prioridades da empresa.
ATIVIDADE DE ESTUDO: 
1 - Você já conhece, de forma limitada, os objetivos de negócio 
existentes. Não será fácil, mas, utilizando o conceito apresentado 
anteriormente, assinale os objetivos de negócio que você acredita 
que são mais pertinentesao APO05 Portfólio Gerenciado:
( ) EG01: Portfólio de produtos e de serviços competitivos.
( ) EG02: Riscos de negócio gerenciados.
( ) EG08: Otimização das funcionalidades dos processos de negócios.
( ) EG09: Otimização dos custos dos processos de negócios.
( ) EG10: Habilidades, motivação e produtividade da equipe.
( ) EG11: Conformidade com as políticas internas.
( ) EG12: Programas de transformação digital gerenciados.
As métricas EG01: Portfólio de produtos e serviços competitivos, EG08: 
Otimização das funcionalidades dos processos de negócios e EG12: Programas 
de transformação digital gerenciados já foram discutidas anteriormente, assim, 
revise onde (em que processos) elas já apareceram.
Objetivos de TI e sugestão de métricas:
AG03: Benefícios observados a partir de investimentos em TI e portfólio de 
serviços: a. Porcentagem de serviços de TI para os quais benefícios esperados 
(Segundo ANS - Acordo de Nível de Serviço) foram realizados.
AG05: Entrega de serviços de TI em linha com os requisitos de negócios: 
a. Porcentagem das partes interessadas satisfeitas com a entrega de serviço 
da TI em relação aos níveis de serviço acordados; b. Número de interrupções 
71
PROCESSOS DE GOVERNANÇA DE TI SEGUNDO COBIT Capítulo 2 
de negócios devido a incidentes de serviço de TI; c. Porcentagem de usuários 
satisfeitos com a qualidade da entrega do serviço de TI.
3.6 APO06 ORÇAMENTO E CUSTOS 
GERENCIADOS
Conceito: Gerencie as atividades fi nanceiras relacionadas à TI, abrangendo 
orçamento, gerenciamento de custos e benefícios, e priorização de gastos, por 
meio do uso de práticas orçamentárias formais e de um sistema justo e equitativo 
de alocação de custos para a empresa. Consulte as partes interessadas para 
identifi car e controlar os custos e os benefícios totais dentro do contexto dos 
planos estratégicos e táticos de TI. Inicie a ação corretiva, quando necessário.
Objetivos corporativos: EG01: Portfólio de produtos e serviços competitivos, 
EG04: Qualidade da informação fi nanceira, EG07: Qualidade da informação 
gerencial, EG08: Otimização das funcionalidades dos processos de negócios, 
EG09: Otimização dos custos dos processos de negócios e EG12: Programas de 
transformação digital gerenciados.
Objetivos de TI e sugestão de métricas: 
AG04: Qualidade das informações fi nanceiras relacionadas à tecnologia: 
a. Satisfação das principais partes interessadas em relação aos níveis de 
transparência, compreensão e precisão das informações fi nanceiras da TI; b. 
Porcentagem de serviços de TI com custos operacionais defi nidos e aprovados e 
benefícios esperados.
AG09: Entregando programas no prazo, dentro do orçamento e atendendo 
aos requisitos e padrões de qualidade: a. Número de programas/projetos 
no prazo e dentro do orçamento; b. Número de programas que precisam de 
retrabalho signifi cativo, devido a defeitos de qualidade; c. Porcentagem de partes 
interessadas satisfeitas com a qualidade do programa/projeto.
O componente “APO06.01 Gerenciar fi nanças e contabilidade” possui um 
indicador destacado: Número de desvios entre os orçamentos esperado e real.
O componente “APO06.03 Criar e manter orçamentos” possui um indicador 
destacado: Número de alterações no orçamento, devido a erros ou a omissões.
72
 Governança de TI
Existem diversas ferramentas de IT Financial Management
(ITFM), e a Gartner analisa algumas em https://www.gartner.com/
reviews/market/it-fi nancial-management-tools.
3.7 APO07 RECURSOS HUMANOS 
GERENCIADOS
Conceito: Forneça uma abordagem estruturada para garantir recrutamento/
aquisição, planejamento, avaliação e desenvolvimento de recursos humanos 
(internos e externos).
Objetivos Corporativos: EG01: Portfólio de produtos e serviços competitivos, 
EG10: Habilidades, motivação e produtividade da equipe e EG13: Inovação de 
produtos e negócios.
Objetivos de TI: AG12: Equipe competente e motivada, com compreensão 
mútua da tecnologia e dos negócios e AG13: Conhecimento, experiência e 
iniciativas para inovação empresarial.
O componente “APO07.01 Adquirir e manter uma equipe adequada e 
apropriada” possui três indicadores destacados: a. Duração média das vagas 
disponíveis; b. Porcentagem de postos de TI vagos; c. Percentual de rotatividade 
de pessoal.
O componente “APO07.02 Identifi car o pessoal-chave de TI” possui um 
indicador destacado: Porcentagem de cargos críticos nos quais a empresa 
depende de um único indivíduo.
3.8 APO08 RELACIONAMENTOS 
GERENCIADOS
Conceito: Gerencie os relacionamentos com as partes interessadas, 
formalmente, e com transparência, que garanta confi ança mútua, e um 
foco combinado em alcançar os objetivos estratégicos dentro das restrições 
de orçamentos e tolerância ao risco. Baseia os relacionamentos em uma 
73
PROCESSOS DE GOVERNANÇA DE TI SEGUNDO COBIT Capítulo 2 
comunicação aberta e transparente, em uma linguagem comum e na vontade de 
assumir a propriedade e a responsabilidade pelas decisões-chave de ambos os 
lados. Negócios e TI devem trabalhar juntos para criar resultados empresariais 
bem-sucedidos em apoio aos objetivos corporativos.
Objetivos Corporativos: EG01: Portfólio de produtos e serviços competitivos, 
EG08: Otimização das funcionalidades dos processos de negócios e EG13: 
Inovação de produtos e negócios.
Objetivos de TI: AG05: Entrega de serviços de TI em linha com os requisitos 
de negócios, AG06: Agilidade para transformar requisitos de negócios em soluções 
operacionais, AG12: Equipe competente e motivada, com compreensão mútua da 
tecnologia e dos negócios, e AG13: Conhecimento, experiência e iniciativas para 
inovação empresarial.
O componente “APO08.01 Entender as expectativas do negócio” possui um 
indicador destacado: Número de requisitos de negócios defi nidos como habilitados 
por serviços de TI.
O componente “APO08.02 Alinhar a estratégia da TI com as expectativas 
de negócios e identifi car oportunidades para a TI aprimorar os negócios” possui 
um indicador destacado: Taxa de inclusão de oportunidades tecnológicas em 
propostas de investimento.
Existem diversas ferramentas de Partner Relationship 
Managemen (PRM), e a Gartner analisa algumas em https://www.
gartner.com/reviews/market/partner-relationship-management-
applications.
3.9 APO09 CONTRATOS DE 
SERVIÇOS GERENCIADOS
Conceito: Alinhe os produtos e os serviços habilitados pela TI com as 
necessidades e as expectativas da empresa, incluindo identifi cação, especifi cação, 
design, publicação, acordo, monitoramento desses produtos e serviços de TI, 
níveis de serviço e indicadores de desempenho.
74
 Governança de TI
Objetivos corporativos: EG01: Portfólio de produtos e serviços competitivos e 
EG08: Otimização das funcionalidades dos processos de negócios.
Objetivos de TI: AG05: Entrega de serviços de TI em linha com os requisitos 
de negócios.
O componente “APO09.01 Identifi car os serviços de TI” possui um indicador 
destacado: Número de atividades de negócios que não são apoiadas por qualquer 
serviço de TI.
O componente “APO09.02 Catálogo de serviços habilitados pela TI” possui 
um indicador destacado: Tempo desde a última atualização do portfólio de 
serviços.
O componente “APO09.03 Defi nir e preparar contratos de serviço” possui um 
indicador destacado: Número de processos de negócios com contratos de serviço 
indefi nidos.
O componente “APO09.04 Monitorar e relatar os níveis de serviço” possui um 
indicador destacado: Porcentagem de serviços sendo monitorados por acordos de 
nível de serviço.
Existem diversas ferramentas de IT Financial Management 
(ITFM), e a Gartner analisa algumas em https://www.gartner.com/
reviews/market/contract-life-cycle-management.
3.10 APO10 FORNECEDORES 
GERENCIADOS
Conceito: Gerencie produtos e serviços relacionados à TI, fornecidos por 
todos os tipos de fornecedores, para atender aos requisitos da empresa. Isso inclui 
a busca e a seleção de fornecedores, o gerenciamento de relacionamentos e de 
contratos, revisãoe monitoramento do desempenho, e efi cácia e conformidade do 
fornecedor e do ecossistema dele.
75
PROCESSOS DE GOVERNANÇA DE TI SEGUNDO COBIT Capítulo 2 
Objetivos corporativos: EG01: Portfólio de produtos e serviços competitivos e 
EG08: Otimização das funcionalidades dos processos de negócios.
Objetivos de TI: EG05: Cultura de serviços orientada para o cliente.
O componente “APO10.02 Selecionar fornecedores” possui um indicador 
destacado: Porcentagem de partes interessadas satisfeitas com os fornecedores.
O componente “APO10.03 Gerenciar relacionamentos e contratos com 
fornecedores” possui um indicador destacado: Número de disputas formais com 
fornecedores.
O componente “APO10.05 Monitorar o desempenho e a conformidade do 
fornecedor” possui um indicador destacado: Número de violações de serviço de TI 
causadas por fornecedores.
3.11 APO11 QUALIDADE GERENCIADA
Conceito: Defi na e comunique os requisitos de qualidade em todos os 
processos, procedimentos e resultados relacionados. Permita controles, 
monitoramento contínuo e uso de práticas e padrões comprovados para esforços 
de melhoria contínua e efi ciência.
Objetivos corporativos: EG01: Portfólio de produtos e serviços competitivos, 
EG04: Qualidade da informação fi nanceira, EG07: Qualidade da informação 
gerencial, EG08: Otimização das funcionalidades dos processos de negócios e 
EG12: Programas de transformação digital gerenciados.
Objetivos de TI: EG09: Otimização dos custos dos processos de negócios e 
EG10: Habilidades, motivação e produtividade da equipe.
O componente “APO11.01 Estabelecer um Sistema de Gestão da Qualidade 
(SGQ)” possui um indicador destacado: Percentual de satisfação das principais 
partes interessadas com o programa de revisão da gestão da qualidade.
O componente “APO11.03 Gerenciar padrões, práticas e procedimentos de 
qualidade” possui um indicador destacado: Número de processos com requisitos 
de qualidade defi nidos.
O componente “APO11.05 Manter a melhoria contínua” possui um indicador 
destacado: Número de análises de causa raiz realizadas.
76
 Governança de TI
Existem diversas ferramentas de Quality Management System 
Software (QMSS), e a Gartner analisa algumas em https://www.
gartner.com/reviews/market/quality-management-system-software.
3.12 APO12 RISCO GERENCIADO
Conceito: Identifi que, avalie e reduza, continuamente, os riscos relacionados 
à TI dentro dos níveis de tolerância defi nidos pela gerência executiva da empresa 
(ou comitê gestor de TI).
Objetivos corporativos: EG02: Riscos de negócio gerenciados e EG08: 
Otimização das funcionalidades dos processos de negócios.
Objetivos de TI: AG02: Riscos relacionados à TI gerenciados e AG07: 
Segurança de informações, infraestrutura de processamento e aplicativos, e 
privacidade.
O componente “APO12.02 Analisar o risco” possui um indicador destacado: 
Tempo desde a última atualização dos cenários de risco de TI.
O componente “APO12.06 Responder ao risco” possui um indicador 
destacado: Porcentagem dos planos de ação de risco de TI executados, conforme 
projetados.
Existem diversas ferramentas de Integrated Risk Management 
(IRM), e a Gartner analisa algumas em https://www.gartner.com/
reviews/market/integrated-risk-management.
77
PROCESSOS DE GOVERNANÇA DE TI SEGUNDO COBIT Capítulo 2 
3.13 APO13 SEGURANÇA 
GERENCIADA
Conceito: Defi na, opere e monitore um sistema de gestão de segurança da 
informação.
Objetivos corporativos: EG02: Riscos de negócio gerenciados e EG06: 
Continuidade e disponibilidade dos serviços de negócios.
Objetivos de TI: AG07: Segurança de informações, infraestrutura de 
processamento e aplicativos, e privacidade.
O componente “APO13.01 Estabelecer e manter um sistema de gestão 
da segurança da informação (ISMS)” possui um indicador destacado: Nível 
de satisfação das partes interessadas com o plano de segurança para toda a 
empresa.
Existem diversas ferramentas de Security Information and Event 
Management (SIEM), e a Gartner analisa algumas em https://www.
gartner.com/reviews/market/security-information-event-management.
3.14 APO14 DADOS GERENCIADOS
Conceito: Alcance e sustente o gerenciamento efi caz dos ativos de dados 
corporativos em todo o ciclo de vida dos dados, desde a criação até a entrega, 
manutenção e arquivamento.
Objetivos corporativos: EG04: Qualidade da informação fi nanceira e EG07: 
Qualidade da informação gerencial.
Objetivos de TI: AG10: Qualidade da informação de gestão de TI.
O componente “APO14.04 Defi nir uma estratégia de qualidade de dados” 
possui um indicador destacado: Porcentagem das partes interessadas satisfeitas 
com a qualidade dos dados.
78
 Governança de TI
O componente “APO14.10 Gerenciar backup de dados e arranjos de 
restauração” possui um indicador destacado: Porcentagem de tentativas bem-
sucedidas de restaurar dados de backup.
Existem diversas ferramentas de Data Preparation Tools, e 
a Gartner analisa algumas em https://www.gartner.com/reviews/
market/data-preparation-tools.
Há, também, muitas ferramentas de Data Quality, com a análise 
da Gartner em https://www.gartner.com/reviews/market/data-quality-
solutions.
Nem todos os processos possuem atividades que levam a organização aos 
mais altos níveis de maturidade. Ao desenhar um plano de adequação para o 
framework COBIT, é possível destacar alguns componentes de alguns processos.
O componente “APO14.01 Defi nir e comunicar a estratégia de gerenciamento 
de dados da organização e suas funções e responsabilidades” demonstra 
exemplos de atividades para a obtenção do maior nível de maturidade do COBIT 
(ISACA, 2019): 1- Certifi que-se de que a organização pesquisa processos de 
negócios inovadores e requisitos regulatórios emergentes para garantir que o 
programa de gerenciamento de dados é compatível com as necessidades futuras 
do negócio. 2- Faça contribuições para as melhores práticas da indústria, para o 
desenvolvimento e a implementação da estratégia de gerenciamento de dados.
4 CONSTRUIR, ADQUIRIR E 
IMPLEMENTAR RECURSOS DE TI 
(BAI)
Os processos de BAI (do inglês Build, Acquire and Implement) são:
• BAI01 Programas Gerenciados.
• BAI02 Requisitos Defi nidos e Gerenciados.
• BAI03 Identifi cação e Construção de Soluções Gerenciadas.
79
PROCESSOS DE GOVERNANÇA DE TI SEGUNDO COBIT Capítulo 2 
• BAI04 Disponibilidade e Capacidade Gerenciadas.
• BAI05 Mudanças Organizacionais Gerenciadas.
• BAI06 Mudanças de TI Gerenciadas.
• BAI07 Transição e Aceitação de Mudanças de TI.
• BAI08 Conhecimento Gerenciado.
• BAI09 Ativos gerenciados.
• BAI10 Confi guração Gerenciada.
• BAI011 Projetos Gerenciados.
Não é possível apresentar os processos no presente livro, mas foi escolhido 
um, considerado o mais importante e destacado, anteriormente, com negrito.
4.1 BAI01 PROGRAMAS 
GERENCIADOS
Conceito: Gerencie todos os programas do portfólio de investimentos, em 
alinhamento com a estratégia da empresa, de forma coordenada, com base em 
uma abordagem-padrão de gerenciamento de programa. Inicie, planeje, controle 
e execute programas, e monitore o valor esperado de um programa.
Objetivos corporativos: EG03: Conformidade com leis e regulamentos 
externos, EG08: Otimização das funcionalidades dos processos de negócios, 
EG11: Conformidade com as políticas internas, EG12: Programas de 
transformação digital gerenciados. 
Objetivos de TI e sugestão de métricas: 
AG03: Benefícios realizados a partir de investimentos em TI e portfólio de 
serviços: a. Porcentagem de serviços de TI para os quais benefícios esperados 
(Segundo ANS - Acordo de Nível de Serviço) foram realizados.
AG09: Entregando programas no prazo, dentro do orçamento e atendendo 
aos requisitos e padrões de qualidade: a. Número de programas/projetos 
no prazo e dentro do orçamento; b. Número de programas que precisam de 
retrabalho signifi cativo, devido a defeitos de qualidade; c. Porcentagem de partes 
interessadas satisfeitas com a qualidade doprograma/projeto.
O processo BAI01 Programas Gerenciados é um processo que passa por 
vários conceitos do BAI. Ele será destrinchado a seguir.
80
 Governança de TI
O componente “Processo BAI01.01 Manter uma abordagem-padrão para a 
gestão do programa” possui as seguintes atividades sugeridas e os respectivos 
níveis de Maturidade (M): 1. Manter e aplicar uma abordagem-padrão para a 
gestão do programa, alinhada ao ambiente específi co da empresa e com boas 
práticas baseadas em processos defi nidos e uso de tecnologia apropriada. 
Certifi car-se de que a abordagem cobre todo o ciclo de vida e disciplinas a 
serem seguidas, incluindo a gestão de escopo, recursos, risco, custo, qualidade, 
tempo, comunicação, envolvimento das partes interessadas, aquisições, controle 
de mudanças, integração e realização de benefícios (M:2); 2. Implementar um 
escritório de programa, ou escritório de gerenciamento de projeto (PMO), 
que mantenha a abordagem-padrão para os programas e projetos em toda a 
organização. O PMO apoia todos os programas e projetos criados, mantendo 
modelos de documentação de projetos, fornecendo treinamento e melhores 
práticas para gerentes de programa/projeto, acompanhamento de métricas 
para uso das melhores práticas de gerenciamento de projeto etc. Em alguns 
casos, o PMO, também, pode relatar o progresso dos programas/projetos para 
a alta administração e/ou partes interessadas. Adicionalmente, o PMO ajuda a 
priorizar projetos e garante que todos eles apoiem os objetivos de negócios da 
empresa (M:3). 3. Avaliar as lições aprendidas com base no uso da abordagem 
de gerenciamento do programa, e, posteriormente, atualizar a abordagem 
corretamente (M:4) 
O componente “Processo BAI01.02 Iniciar um programa” possui as seguintes 
atividades sugeridas e os respectivos níveis de Maturidade (M): 1. Acordar 
o patrocínio do programa. Nomear um conselho/comitê do programa com 
membros que tenham interesse estratégico no programa e/ou responsabilidade 
pela tomada de decisão nos investimentos, e/ou serão, signifi cativamente, 
impactados pelo programa e/ou serão necessários para permitir a entrega da 
mudança realizada por esse programa (M:3); 2. Nomear um gerente dedicado 
para o programa, com as competências e habilidades proporcionais para 
administrar de forma efi caz e efi ciente (M:3); 3. Confi rmar o mandato do programa 
com patrocinadores e partes interessadas. Articular os objetivos estratégicos 
para o programa, estratégias potenciais para entrega, melhoria e benefícios 
esperados, além de como o programa se encaixa em outras iniciativas (M:3); 
4. Desenvolver um caso de negócios detalhado para um programa. Envolver 
todas as principais partes interessadas para desenvolver e documentar uma 
compreensão completa dos resultados esperados, como eles serão medidos, 
todo o escopo das iniciativas necessárias, o risco envolvido e o impacto em todos 
os aspectos da empresa. Identifi car e avaliar cursos de ação alternativos para 
alcançar os resultados empresariais desejados (M:4); 5. Desenvolver um plano de 
realização de benefícios que será gerenciado ao longo do programa, para garantir 
que os benefícios planejados, sempre, tenham proprietários e sejam alcançados, 
sustentados e otimizados (M:4); 6. Preparar o caso de negócio inicial (conceitual) 
81
PROCESSOS DE GOVERNANÇA DE TI SEGUNDO COBIT Capítulo 2 
do programa, fornecendo informações essenciais para a tomada de decisões em 
relação ao propósito, objetivos do negócio, valor esperado criado, prazos etc. 
Enviar para a aprovação (M:4).
Com relação aos próximos componentes do BAI01, não serão detalhadas as 
atividades, mas, apenas, as métricas específi cas relacionadas. 
O componente “Processo BAI01.03 Gerenciar o engajamento das partes 
interessadas” possui os seguintes indicadores específi cos sugeridos: a. Nível 
de satisfação das partes interessadas com o envolvimento; b. Porcentagem de 
partes interessadas, efetivamente, engajadas.
O componente “Processo BAI01.04 Desenvolver e manter o plano do 
programa” possui os seguintes indicadores específi cos sugeridos: a. Frequência 
de revisões de status do programa que não atendem aos critérios de valor; b. 
Porcentagem de programas ativos realizados sem mapas de valores válidos e 
atualizados.
O componente “Processo BAI01.05 Iniciar e executar o programa” possui os 
seguintes indicadores específi cos sugeridos: a. Porcentagem de assinaturas de 
partes interessadas a partir de análises de passagem de fase para programas 
ativos; b. Número de análises de causa raiz para os desvios do plano e necessárias 
ações corretivas.
O componente “Processo BAI01.06 Monitorar, controlar e relatar os 
resultados do programa” possui os seguintes indicadores específi cos sugeridos: a. 
Porcentagem dos benefícios esperados alcançados do programa; b. Porcentagem 
de programas para os quais o desempenho foi monitorado e oportuno.
O componente “Processo BAI01.07 Gerenciar a qualidade do programa” 
possui os seguintes indicadores específi cos sugeridos: a. Porcentagem de 
pacotes(partes do programa) sem erros; b. Porcentagem dos resultados do 
programa aprovados em cada revisão.
O componente “Processo BAI01.08 Gerenciar o risco do programa” possui 
os seguintes indicadores específi cos sugeridos: a. Número de programas sem 
uma avaliação de risco adequada; b. Porcentagem de programas alinhados com o 
framework de gestão de riscos corporativos.
O componente “Processo BAI01.09 Fechar um programa” possui os seguintes 
indicadores específi cos sugeridos: a. Porcentagem de programas fechados com 
sucesso que alcançaram o valor desejado; b. Tempo entre o lançamento do 
programa e a detecção da possibilidade de obtenção de valor.
82
 Governança de TI
Um outro componente importante, para o BAI01, é a identifi cação de 
ferramentas de gestão de programas/projetos.
Existem diversas ferramentas de Portfolio Project Management 
(PPM), e a Gartner analisa algumas em https://www.gartner.com/
reviews/market/project-portfolio-management-worldwide.
4.2 BAI02 REQUISITOS DEFINIDOS E 
GERENCIADOS
Conceito: Identifi que soluções e analise os requisitos antes da aquisição ou 
da criação/implementação, para garantir que estejam alinhados aos requisitos 
estratégicos da empresa, abrangendo processos de negócios, aplicativos, 
informações/dados, infraestrutura e serviços. Coordenar a revisão das opções 
viáveis com as partes interessadas afetadas, incluindo custos e benefícios 
relativos, análise de risco e aprovação de requisitos e soluções propostas.
Objetivos corporativos: EG01: Portfólio de produtos e serviços competitivos, 
EG08: Otimização das funcionalidades dos processos de negócios.
Objetivos de TI: AG05: Entrega de serviços de TI em linha com os requisitos 
de negócios, AG06: Agilidade para transformar requisitos de negócios em soluções 
operacionais e AG09: Entregando de programas no prazo, dentro do orçamento e 
atendendo aos requisitos e padrões de qualidade.
4.3 BAI03 IDENTIFICAÇÃO E 
CONSTRUÇÃO DE SOLUÇÕES 
GERENCIADAS
Conceito: Estabeleça e mantenha produtos e serviços identifi cados 
(tecnologia, processos de negócios e fl uxos de trabalho) em linha com os 
requisitos da empresa, abrangendo design, desenvolvimento, aquisição/sourcing 
e parceria com fornecedores. Gerencie confi guração, preparação de testes, testes, 
83
PROCESSOS DE GOVERNANÇA DE TI SEGUNDO COBIT Capítulo 2 
requisitos e manutenção de processos de negócios, aplicativos, informações/
dados, infraestrutura e serviços.
Objetivos corporativos: EG01: Portfólio de produtos e serviços competitivos, 
EG08: Otimização das funcionalidades dos processos de negócios, EG12: 
Programas de transformação digital gerenciados.
Objetivos de TI: AG05: Entrega de serviços de TI em linha com os requisitos 
de negócios, AG06: Agilidade para transformar requisitos de negócios em soluções 
operacionais e AG09: Entregando programas no prazo, dentro do orçamento e 
atendendo aosrequisitos e padrões de qualidade.
Existem diversas ferramentas de automação de testes, e a 
Gartner analisa algumas em https://www.gartner.com/reviews/market/
software-test-automation.
4.4 BAI04 DISPONIBILIDADE E 
CAPACIDADE GERENCIADAS
Conceito: Equilibre as necessidades atuais e futuras de disponibilidade, 
desempenho e capacidade, com uma previsão de custo efetivo. Incluir avaliação 
das capacidades atuais, previsão das necessidades futuras e com base nos 
requisitos do negócio, análise dos impactos do negócio e avaliação do risco para 
planejar e implementar ações, de forma a atender aos requisitos identifi cados.
Objetivos corporativos: EG01: Portfólio de produtos e serviços competitivos, 
EG08: Otimização das funcionalidades dos processos de negócios.
Objetivo de TI: AG05: Entrega de serviços de TI em linha com os requisitos 
de negócios.
84
 Governança de TI
ATIVIDADE DE ESTUDO: 
1 - Agora que você já sabe como funcionam os tipos de indicadores 
específi cos, tente assinalar os indicadores que você acredita que 
são mais pertinentes ao BAI04 Disponibilidade e Capacidade 
Gerenciadas.
( ) Porcentagem do uso da capacidade real.
( ) Porcentagem da disponibilidade real.
( ) Porcentagem do desempenho real.
( ) Número de análises de causa raiz para os desvios do plano e as 
necessárias ações corretivas.
( ) Número de incidentes de disponibilidade.
( ) Número de funcionários que participaram de sessões de 
treinamento ou de conscientização para as habilidades/
competências/comportamentos desejados.
4.5 BAI05 MUDANÇAS 
ORGANIZACIONAIS GERENCIADAS
Conceito: Maximize a probabilidade de implementar, com sucesso, 
mudanças organizacionais sustentáveis em toda a empresa, rapidamente e com 
risco reduzido. Abrange o ciclo de vida completo da mudança e todas as partes 
interessadas afetadas nos negócios e na TI.
Objetivos corporativos: EG01: Portfólio de produtos e serviços competitivos, 
EG05: Cultura de serviços orientada para o cliente, EG08: Otimização das 
funcionalidades dos processos de negócios, EG12: Programas de transformação 
digital gerenciados.
Objetivo de TI: AG03: Benefícios realizados a partir de investimentos em TI 
e portfólio de serviços, AG08: Habilitando e apoiando processos de negócios por 
meio da integração de aplicativos e tecnologia, AG09: Entregando programas no 
prazo, dentro do orçamento e atendendo aos requisitos e padrões de qualidade.
85
PROCESSOS DE GOVERNANÇA DE TI SEGUNDO COBIT Capítulo 2 
4.6 BAI06 MUDANÇAS DE TI 
GERENCIADAS
Conceito: Gerencie todas as alterações de maneira controlada, incluindo 
alterações-padrão e manutenção de emergência relacionadas a processos 
de negócios, aplicativos e infraestrutura. Isso inclui padrões e procedimentos 
de mudança, avaliação de impacto, priorização e autorização, mudanças de 
emergência, rastreamento, relatórios, fechamento e documentação.
Objetivos corporativos: EG01: Portfólio de produtos e serviços competitivos.
Objetivo de TI: AG06: Agilidade para transformar requisitos de negócios em 
soluções operacionais.
4.7 BAI07 TRANSIÇÃO E ACEITAÇÃO 
DE MUDANÇAS DE TI
Conceito: Busque aceitação formal e operacionalize novas soluções. Isso 
inclui planejamento de implementação, conversão de sistemas e dados, teste 
de aceitação, comunicação, preparação de liberação, promoção à produção de 
processos de negócios novos ou alterados e serviços de TI, suporte à passagem 
para produção inicial e revisão pós-implementação.
Objetivos corporativos: EG01: Portfólio de produtos e serviços competitivos.
Objetivo de TI: AG06: Agilidade para transformar requisitos de negócios em 
soluções operacionais.
4.8 BAI08 CONHECIMENTO 
GERENCIADO
Conceito: Mantenha a disponibilidade de conhecimento relevante, atual, 
validado e confi ável, além de informações de gestão para apoiar todas as 
atividades do processo, de forma a facilitar as tomadas de decisões relacionadas 
à governança e à gestão de ITI empresariais. Planeje para a identifi cação, coleta, 
organização, manutenção, uso e descarte de conhecimento.
86
 Governança de TI
Objetivos corporativos: EG01: Portfólio de produtos e serviços competitivos, 
EG13: Inovação de produtos e negócios. 
O objetivo EG10: Habilidades, motivação e produtividade da equipe possui, 
como sugestões de métricas: a. Produtividade da equipe em comparação com 
benchmarks; b. Nível de satisfação das partes interessadas com a experiência e 
as habilidades da equipe; c. Porcentagem de funcionários cujas habilidades são 
insufi cientes para cumprir determinada função; d. Porcentagem de funcionários 
satisfeitos.
Objetivo de TI: AG13: Conhecimento, experiência e iniciativas para inovação 
empresarial.
O objetivo AG12: Equipe competente e motivada, com compreensão 
mútua da tecnologia e dos negócios, possui, como sugestões de métricas: 
a. Porcentagem de executivos experientes em TI (ou seja, aqueles que têm o 
conhecimento e a compreensão necessários para orientar a TI, direcionar, inovar 
e ver oportunidades de TI para o domínio de negócios); b. Porcentagem de 
pessoas experientes em TI (ou seja, aqueles que têm o conhecimento necessário 
e compreensão dos domínios de negócios relevantes para orientar, direcionar, 
inovar e ver oportunidades de TI); c. Número ou porcentagem de executivos com 
experiência em gestão tecnológica.
4.9 BAI09 ATIVOS GERENCIADOS
Conceito: Gerencie ativos de TI ao longo do ciclo de vida para garantir que 
o uso deles agregue valor a um custo ideal, que permaneçam operacionais 
(adequados à fi nalidade) e sejam contabilizados e protegidos fi sicamente. 
Certifi que-se de que os ativos que são críticos para suportar a capacidade do 
serviço sejam confi áveis e disponíveis. Gerencie licenças de software para 
garantir que o número ideal seja adquirido, retido e implantado em relação ao uso 
comercial necessário, e que o software instalado esteja em conformidade com os 
contratos de licença.
Objetivos corporativos: EG09: Otimização dos custos dos processos de 
negócios. 
O objetivo EG04: Qualidade da informação fi nanceira possui, como sugestões 
de métricas: a. Pesquisa de satisfação das principais partes interessadas em 
relação à transparência, compreensão e precisão das informações fi nanceiras 
da empresa; b. Custo de não conformidade com regulamentos relacionados a 
fi nanças. 
87
PROCESSOS DE GOVERNANÇA DE TI SEGUNDO COBIT Capítulo 2 
Por sua vez, o objetivo EG07: Qualidade da informação gerencial possui, 
como sugestões de métricas: a. Grau de satisfação do conselho e da gestão 
executiva com as informações para a tomada de decisão; b. Número de incidentes 
causados por decisões de negócios incorretas, com base em informações 
imprecisas; c. Tempo de resposta para fornecer informações que apoiem decisões 
de negócios efi cazes; d. Disponibilidade de informações gerenciais.
Ainda, objetivo de TI: AG04: Qualidade das informações fi nanceiras 
relacionadas à tecnologia, que possui, como sugestões de métricas: a. Satisfação 
das principais partes interessadas em relação ao nível de transparência, 
compreensão e precisão das informações fi nanceiras de TI; b. Porcentagem de 
serviços de TI com custos operacionais defi nidos e com benefícios esperados 
aprovados.
Existem diversas ferramentas de Enterprise Asset Management 
(EAM), e a Gartner analisa algumas em https://www.gartner.com/
reviews/market/enterprise-asset-management-software.
4.10 BAI10 CONFIGURAÇÃO 
GERENCIADA
Conceito: Defi na e mantenha descrições e relacionamentos entre os 
principais recursos e capacidades necessárias para fornecer serviços de TI. Inclui 
a coleta de informações de confi guração, o estabelecimento de linhas de base, a 
verifi cação e a auditoria dessas informações de confi guração e a atualização do 
repositório de confi guração.
Objetivos corporativos: EG06: Continuidade e disponibilidade dos serviços 
de negócios. 
O objetivo EG02: Riscos de negócio gerenciados possui, como sugestões de 
métricas: a. Porcentagemde objetivos de negócios e serviços críticos cobertos 
pela avaliação de risco; b. Proporção de incidentes signifi cativos que não foram 
identifi cados em avaliações de risco versus incidentes totais; c. Frequência de 
atualização do perfi l de risco. 
88
 Governança de TI
Já o objetivo de TI: AG07: Segurança de informações, infraestrutura de 
processamento e aplicativos, e privacidade possui, como sugestões de métricas: 
a. Número de incidentes de confi dencialidade que causam perdas fi nanceiras, 
interrupção de negócios ou constrangimento público; b. Número de incidentes 
de disponibilidade que causam perdas fi nanceiras, interrupção de negócios ou 
constrangimento público; c. Número de incidentes de integridade que causam 
perdas fi nanceiras, interrupção de negócios ou constrangimento público.
Existem diversas ferramentas de Continuous Confi guration 
Automation (CCA), e a Gartner analisa algumas em https://www.
gartner.com/reviews/market/continuous-confi guration-automation-tools
4.11 BAI011 PROJETOS 
GERENCIADOS
Conceito: Gerencie todos os projetos que são iniciados em alinhamento com 
a estratégia da empresa e de forma coordenada, com base na abordagem de 
gerenciamento de projetos-padrão. Inicie, planeje, controle e execute projetos e 
feche com uma revisão pós-implementação.
Objetivos corporativos: EG01: Portfólio de produtos e serviços competitivos, 
EG08: Otimização das funcionalidades dos processos de negócios, EG12: 
Programas de transformação digital gerenciados.
Objetivo de TI: AG03: Benefícios obtidos a partir de investimentos em TI e 
portfólio de serviços, AG06: Agilidade para transformar requisitos de negócios 
em soluções operacionais, AG09: Entregando programas no prazo, dentro do 
orçamento e atendendo aos requisitos e padrões de qualidade.
5 ENTREGAR, SERVIR E AUXILIAR 
SOLUÇÕES EM TI (DSS)
Os processos de DSS (do inglês Deliver, Service and Support) são:
89
PROCESSOS DE GOVERNANÇA DE TI SEGUNDO COBIT Capítulo 2 
• DSS01 Operações Gerenciadas.
• DSS02 Solicitações e Incidentes de Serviço Gerenciados.
• DSS03 Problemas Gerenciados.
• DSS04 Continuidade Gerenciada.
• DSS05 Serviços de Segurança Gerenciados.
• DSS06 Controles de Processos de Negócios Gerenciados.
Essa é a parte do COBIT (ISACA, 2019) considerada mais técnica, portanto, 
não será apresentada, de forma detalhada, no presente livro, no entanto, alguns 
indicadores específi cos serão destacados.
5.1 DSS01 OPERAÇÕES 
GERENCIADAS
Conceito: Coordene e execute as atividades e os procedimentos operacionais 
necessários para a entrega de serviços de TI internos e terceirizados. Isso inclui 
a execução de procedimentos operacionais considerados padrão, predefi nidos, e 
de atividades de monitoramento necessárias.
Objetivos corporativos: EG01: Portfólio de produtos e serviços competitivos, 
EG08: Otimização das funcionalidades dos processos de negócios.
Objetivo de TI: AG05: Entrega de serviços de TI em linha com os requisitos 
de negócios.
O componente “Processo DSS01.01 Executar os procedimentos 
operacionais” possui um indicador destacado: Número de incidentes causados 
por problemas operacionais.
O componente “Processo DSS01.05 Gerenciar instalações” possui um 
indicador destacado: Número de pessoas treinadas em diretrizes de saúde e 
segurança.
90
 Governança de TI
5.2 DSS02 SOLICITAÇÕES E 
INCIDENTES DE SERVIÇO 
GERENCIADOS
Conceito: Fornece resposta oportuna e efi caz às solicitações do usuário que 
busca a resolução de todos os tipos de incidentes. Restaura o serviço normal; 
registra e atende solicitações do usuário; e registra, investiga, diagnostica, escala 
e resolve incidentes.
Objetivos corporativos: EG01: Portfólio de produtos e serviços competitivos, 
EG08: Otimização das funcionalidades dos processos de negócios.
Objetivo de TI: AG05: Entrega de serviços de TI em linha com os requisitos 
de negócios.
O componente “Processo DSS02.01 Defi nir esquemas de classifi cação para 
incidentes e solicitações de serviço” possui um indicador destacado: Número total 
de incidentes escalados.
O componente “Processo DSS02.03 Verifi car, aprovar e atender solicitações 
de serviço” possui um indicador destacado: Tempo médio decorrido para lidar com 
cada tipo de solicitação de serviço.
O componente “Processo DSS02.06 Fechar solicitações de serviço e 
incidentes” possui um indicador destacado: Nível de satisfação do usuário com o 
atendimento da solicitação de serviço.
5.3 DSS03 PROBLEMAS 
GERENCIADOS
Conceito: Identifi que e classifi que os problemas e as causas deles. 
Forneça uma resolução oportuna para evitar incidentes recorrentes. Forneça 
recomendações para melhorias.
Objetivos corporativos: EG01: Portfólio de produtos e serviços competitivos, 
EG08: Otimização das funcionalidades dos processos de negócios.
Objetivo de TI: AG05: Entrega de serviços de TI em linha com os requisitos 
de negócios.
91
PROCESSOS DE GOVERNANÇA DE TI SEGUNDO COBIT Capítulo 2 
5.4 DSS04 CONTINUIDADE 
GERENCIADA
Conceito: Estabeleça e mantenha um plano para permitir que os negócios 
e a TI respondam a incidentes e se adaptem, rapidamente, às interrupções. Isso 
permite operações contínuas de processos de negócios e serviços de TI críticos e 
mantém a disponibilidade de recursos, ativos e informações em um nível aceitável 
para a empresa
Objetivos corporativos: EG01: Portfólio de produtos e serviços competitivos, 
EG06: Continuidade e disponibilidade dos serviços de negócios, EG08: Otimização 
das funcionalidades dos processos de negócios.
Objetivo de TI: AG05: Entrega de serviços de TI em linha com os requisitos 
de negócios, AG07: Segurança de informações, infraestrutura de processamento 
e aplicativos, e privacidade.
O componente “Processo DSS04.01 Defi nir a política de continuidade de 
negócios, objetivos e escopo” possui um indicador destacado: Porcentagem das 
principais partes interessadas participando, defi nindo e concordando em relação 
ao escopo e à política de continuidade.
O componente “Processo DSS04.02 Manter a resiliência dos negócios” 
possui um indicador destacado: Tempo de inatividade total resultante de um 
grande incidente ou interrupção.
O componente “Processo DSS04.03 Desenvolver e implementar uma 
resposta de continuidade de negócios” possui um indicador destacado: Número 
de sistemas críticos de negócios não cobertos pelo plano.
Existem diversas ferramentas de Business Continuity 
Management (BCM), e a Gartner analisa algumas em: https://www.
gartner.com/reviews/market/business-continuity-management-
program-solutions.
92
 Governança de TI
5.5 DSS05 SERVIÇOS DE 
SEGURANÇA GERENCIADOS
Conceito: Proteja as informações da empresa para manter o nível de risco 
à segurança da informação aceitável, de acordo com a política de segurança. 
Estabeleça e mantenha funções de segurança da informação e privilégios de 
acesso. Realize o monitoramento da segurança.
Objetivos corporativos: EG02: Riscos de negócio gerenciados, EG06: 
Continuidade e disponibilidade dos serviços de negócios.
Objetivo de TI: AG07: Segurança de informações, infraestrutura de 
processamento e aplicativos, e privacidade. 
Já o objetivo AG02: Riscos relacionados à TI gerenciados possui, como 
sugestões de métricas: a. Frequência de atualização do perfi l de risco; b. 
Porcentagem de avaliações de risco corporativo, incluindo riscos de TI; c. Número 
de incidentes signifi cativos relacionados à TI que não foram identifi cados em uma 
avaliação de risco.
O componente “Processo DSS05.01 Proteger-se contra software malicioso” 
possui dois indicadores destacados: a. Número de ataques de software malicioso 
bem-sucedidos; b. Porcentagem de funcionários que falharam nos testes de 
ataques maliciosos (por exemplo, teste de e-mail de phishing). 
O componente “Processo DSS05.02 Gerenciar a segurança da rede e da 
conectividade” possui um indicador destacado: Porcentagem de tempo em que a 
rede e/ou os sistemas não estão disponíveis, devidoa incidentes de segurança.
Existem diversas ferramentas de controle de acesso, e a Gartner 
analisa algumas em https://www.gartner.com/reviews/market/access-
management.
93
PROCESSOS DE GOVERNANÇA DE TI SEGUNDO COBIT Capítulo 2 
Existem diversas ferramentas de Endpoint Protection Platform 
(EPP), e a Gartner analisa algumas em https://www.gartner.com/
reviews/market/endpoint-protection-platforms.
5.6 DSS06 CONTROLES DE 
PROCESSOS DE NEGÓCIOS 
GERENCIADOS
Conceito: Defi na e mantenha controles de processos de negócios apropriados 
para garantir que as informações relacionadas e processadas internamente, ou 
por terceirizados, contemplem todos os requisitos de controle de informações 
relevantes. Identifi que esses requisitos de controle de informações relevantes. 
Gerencie e opere controles adequados de entrada, produção e saída (controles de 
aplicativos), para garantir que as informações e o processamento das informações 
atendam a esses requisitos.
Objetivos corporativos: EG01: Portfólio de produtos e serviços competitivos, 
EG05: Cultura de serviços orientada para o cliente, EG08: Otimização das 
funcionalidades dos processos de negócios, EG12: Programas de transformação 
digital gerenciados.
Objetivo de TI: AG08: Habilitando e apoiando processos de negócios por 
meio da integração de aplicativos e da tecnologia.
O componente “Processo DSS06.05 Garantir a rastreabilidade e a 
responsabilidade por eventos de informação” possui dois indicadores destacados: 
a. Número de incidentes que contabiliza o histórico de transações que não pode 
ser recuperado. b. Porcentagem de logs de transações rastreáveis e íntegros.
94
 Governança de TI
ATIVIDADE DE ESTUDO: 
1 - A partir de agora, já que você já entende como funcionam os 
tipos de indicadores específi cos, assinale que indicadores você 
acredita que são mais pertinentes a que componentes. 
Componentes:
(DSS01.05) Gerenciar instalações.
(DSS02.06) Fechar solicitações de serviço e incidentes.
(DSS04.02) Manter a resiliência dos negócios.
(DSS06.03) Gerenciar funções, responsabilidades, privilégios de 
acesso e níveis de autoridade.
(DSS02.03) Verifi car, aprovar e atender solicitações de serviço.
Indicadores que estão relacionados aos componentes anteriores:
(DSS0) Tempo de inatividade total resultante de um grande 
incidente ou interrupção.
(DSS0) Número de incidentes e resultados de auditoria, devido a 
violações de acesso.
(DSS0) Nível de satisfação do usuário com o atendimento da 
solicitação de serviço.
(DSS0) Número de pessoas treinadas em diretrizes de saúde e 
segurança.
(DSS0) Tempo médio decorrido para lidar com cada tipo de 
solicitação de serviço.
6 MONITORAR E AVALIAR A TI (MEA)
Os processos de MEA (do inglês Monitor, Evaluate and Assess) são:
• MEA01 Monitoramento de Desempenho e Conformidade Gerenciado.
• MEA02 Sistema de Controles Internos Gerenciado.
• MEA03 Conformidade e Requisitos Externos Gerenciados.
• MEA04 Sistema de Avaliações Gerenciado.
95
PROCESSOS DE GOVERNANÇA DE TI SEGUNDO COBIT Capítulo 2 
6.1 MEA01 MONITORAMENTO DE 
DESEMPENHO E CONFORMIDADE 
GERENCIADO
Conceito: Colete, valide e avalie metas e métricas corporativas e de 
alinhamento. Monitore o desempenho dos processos e das práticas em relação 
às metas e às métricas de desempenho e de conformidade acordadas. Forneça 
relatórios sistemáticos e oportunos.
Objetivos corporativos: EG01: Portfólio de produtos e serviços competitivos, 
EG04: Qualidade da informação fi nanceira, EG07: Qualidade da informação 
gerencial, EG08: Otimização das funcionalidades dos processos de negócios.
Objetivo de TI: AG05: Entrega de serviços de TI em linha com os requisitos 
de negócios. 
Já o objetivo AG10: Qualidade da informação de gestão de TI possui, 
como sugestões de métricas: a. Nível de satisfação do usuário com qualidade, 
pontualidade e disponibilidade de informações de gestão relacionadas à TI, 
levando em conta os recursos disponíveis; b. Proporção e extensão de decisões 
de negócios equivocadas para as quais informações erradas ou indisponíveis 
relacionadas à TI eram fator-chave; c. Porcentagem de informações que atendem 
aos critérios de qualidade.
O componente “Processo MEA01.01 Estabelecer uma abordagem de 
monitoramento” possui um indicador destacado: Porcentagem de processos com 
metas e métricas defi nidas.
O componente “Processo MEA01.05 Garantir a implementação de ações 
corretivas” possui um indicador destacado: Número de ações corretivas 
implementadas.
Existem diversas ferramentas de Application Performance 
Monitoring (APM), e a Gartner analisa algumas em: https://www.
gartner.com/reviews/market/application-performance-monitoring.
96
 Governança de TI
Existem diversas ferramentas de Corporate Compliance, e a 
Gartner analisa algumas em https://www.gartner.com/reviews/market/
corporate-compliance-and-oversight-solutions.
6.2 MEA02 SISTEMA DE CONTROLES 
INTERNOS GERENCIADO
Conceito: Monitore e avalie, continuamente, o ambiente de controle, incluindo 
autoavaliações e autoconsciência. Permita que a gestão identifi que defi ciências e 
inefi ciências de controle e inicie ações de melhoria. Planeje, organize e mantenha 
padrões para avaliação de controles internos e efi cácia de controles de processos.
Objetivos corporativos: EG03: Conformidade com leis e regulamentos 
externos, EG11: Conformidade com as políticas internas.
Objetivo de TI: AG11: Conformidade de TI com as políticas internas.
O componente “Processo MEA02.03 Realizar autoavaliações de controle” 
possui um indicador destacado: Número de autoavaliações realizadas.
O componente “Processo MEA02.04 Identifi car e relatar defi ciências de 
controle” possui um indicador destacado: Percentual de implementação de ações 
corretivas decorrentes de avaliações de controle.
6.3 MEA03 CONFORMIDADE 
E REQUISITOS EXTERNOS 
GERENCIADOS
Conceito: Avalie se os processos de TI e os processos de negócios 
suportados de TI estão em conformidade com as leis, os regulamentos e os 
requisitos contratuais. Obtenha garantia de que os requisitos foram identifi cados 
e atendidos. Integre a conformidade de TI com a conformidade geral da empresa.
Objetivos corporativos: EG03: Conformidade com leis e regulamentos 
externos.
97
PROCESSOS DE GOVERNANÇA DE TI SEGUNDO COBIT Capítulo 2 
Objetivo de TI: AG01: Conformidade de TI com leis e regulamentos externos, 
e suporte para conformidade do negócio, que possui, como sugestões de 
métricas: a. Custo de não conformidade com TI, incluindo acordos e multas, e 
impacto da perda de reputação; b. Número de problemas de não conformidade 
relacionados à TI relatados ao comitê gestor, ou causando comentários públicos 
ou constrangimento; c. Número de questões de não conformidade relacionadas a 
acordos contratuais com provedores de serviços de TI.
O componente “Processo MEA03.01 Identifi car os requisitos de conformidade 
externos” possui um indicador destacado: Frequência de revisões de requisitos de 
conformidade.
O componente “Processo MEA03.02 Otimiza a resposta aos requisitos 
externos” possui um indicador destacado: Tempo médio para a identifi cação de 
problemas de conformidade externa.
O componente “Processo MEA03.03 Confi rmar a conformidade externa” 
possui um indicador destacado: Número de problemas críticos de não 
conformidade identifi cados por ano.
O componente “Processo MEA03.04 Obter a garantia de conformidade 
externa” possui um indicador destacado: Tempo entre a identifi cação da lacuna de 
conformidade e a ação corretiva. 
6.4 MEA04 SISTEMA DE AVALIAÇÕES 
GERENCIADO
Conceito: Planeje, defi na o escopo e execute iniciativas de garantia (do inglês 
assurance) para cumprir os requisitos internos, leis, regulamentos e objetivos 
estratégicos. 
Permita que a administração forneça uma auditoria adequada e sustentável, 
realizando análises e atividades de auditoria independentes.
Esse é o processo que busca assegurar que os controles internos e externossejam seguidos de forma garantida. Para tanto, é necessário compreender os 
contextos interno e externo da empresa, as prioridades, a estratégia e traçar um 
plano de garantia para serem atingidos os objetivos da empresa.
98
 Governança de TI
Objetivos corporativos: EG03: Conformidade com leis e regulamentos 
externos, EG11: Conformidade com as políticas internas.
Objetivo de TI: AG11: Conformidade de TI com as políticas internas.
O componente “Processo MEA04.01 Garantir que os provedores de garantia 
(auditoria) sejam independentes e qualifi cados” possui um indicador destacado: 
Porcentagem de processos (de negócio ou de TI) que recebem revisão 
independente.
O componente “Processo MEA04.02 Desenvolver iniciativas de garantia 
(auditoria) baseadas no planejamento de riscos” possui um indicador destacado: 
porcentagem de iniciativas do plano de garantia (auditoria) com base em riscos.
Existem diversas ferramentas de gestão de auditoria, e a Gartner 
analisa algumas em: https://www.gartner.com/reviews/market/audit-
management-solutions.
ATIVIDADE DE ESTUDO:
1 - Antes de terminar o capítulo, precisamos consolidar os conceitos 
de alguns processos. Assim, relacione os conceitos aos nomes 
dos processos. 
As opções de processos são:
(APO01) Framework de Gestão de TI Gerenciada. 
(APO04) Inovação Gerenciada.
(APO07) Recursos Humanos Gerenciados.
(APO13) Segurança Gerenciada.
(DSS01) Operações Gerenciadas.
(DSS03) Problemas Gerenciados.
(BAI05) Mudanças Organizacionais Gerenciadas.
(BAI011) Projetos Gerenciados.
(MEA03) Conformidade e Requisitos Externos Gerenciados.
99
PROCESSOS DE GOVERNANÇA DE TI SEGUNDO COBIT Capítulo 2 
Agora, associe com os conceitos que seguem:
( ) Avalie se os processos de TI e os processos de negócios 
suportados de TI estão em conformidade com as leis, os 
regulamentos e os requisitos contratuais. Obtenha garantia 
de que os requisitos foram identifi cados e atendidos. Integre a 
conformidade de TI com a conformidade geral da empresa.
( ) Forneça uma abordagem estruturada para garantir recrutamento/
aquisição, planejamento, avaliação e desenvolvimento de 
recursos humanos (internos e externos).
( ) Mantenha-se atualizado em relação à TI, às tendências de 
serviços relacionados e monitore as tendências emergentes em 
tecnologia. Identifi que, de forma proativa, as oportunidades de 
inovação e planeje como se benefi ciar da inovação em relação às 
necessidades do negócio e à estratégia de TI já defi nida. Analise 
que oportunidades de inovação ou de melhoria de negócios podem 
ser criadas por tecnologias emergentes, serviços ou inovação 
em negócios habilitadas pela TI. Infl uencie o planejamento 
estratégico e as decisões de arquitetura corporativa.
( ) Coordene e execute as atividades e os procedimentos 
operacionais necessários para a entrega de serviços de TI 
internos e terceirizados. Isso inclui a execução de procedimentos 
operacionais considerados padrão, predefi nidos, e de atividades 
de monitoramento necessárias.
( ) Defi na, opere e monitore um sistema de gestão de segurança da 
informação.
( ) Gerencie todos os projetos que são iniciados em alinhamento 
com a estratégia da empresa e de forma coordenada, com base 
na abordagem de gerenciamento de projetos-padrão. Inicie, 
planeje, controle e execute projetos e feche com uma revisão 
pós-implementação.
( ) Projete o Sistema de Gestão da TI com base nos objetivos 
corporativos e objetivos de TI. Com base nesse projeto, 
implemente todos os componentes necessários do Sistema de 
Gestão.
( ) Identifi que e classifi que os problemas e as causas deles. Forneça 
uma resolução oportuna para evitar incidentes recorrentes. 
Forneça recomendações para melhorias.
( ) Maximize a probabilidade de implementar, com sucesso, 
mudanças organizacionais sustentáveis em toda a empresa, 
rapidamente e com risco reduzido. Abrange o ciclo de vida 
completo da mudança e todas as partes interessadas afetadas 
nos negócios e na TI.
100
 Governança de TI
2 - Preencha os espaços com os indicadores que você acredita 
que são mais pertinentes aos componentes de processos que 
seguem:
(APO11.05) Manter a melhoria contínua.
(APO11.03) Gerenciar padrões, práticas e procedimentos de 
qualidade.
(APO12.06) Responder ao risco.
(APO14.10) Gerenciar backup de dados e arranjos de restauração.
(DSS01.05) Gerenciar instalações.
(DSS02.06) Fechar solicitações de serviço e incidentes.
(DSS04.02) Manter a resiliência dos negócios.
(DSS06.03) Gerenciar funções, responsabilidades, privilégios de 
acesso e níveis de autoridade.
(MEA01.01) Estabelecer uma abordagem de monitoramento.
(MEA01.05) Garantir a implementação de ações corretivas.
(MEA03.04) Obter a garantia de conformidade externa. 
Indicadores que estão relacionados aos componentes anteriores 
(Aproveite as dicas!):
(M . ) Tempo entre a identifi cação da lacuna de conformidade e a 
ação corretiva. 
( . ) Tempo de inatividade total resultante de um grande incidente 
ou interrupção.
( . ) Porcentagem dos planos de ação de risco de TI executados, 
conforme projetados.
(M . ) Número de ações corretivas implementadas.
( .03) Número de incidentes e resultados de auditoria, devido a 
violações de acesso.
( .03) Número de processos com requisitos de qualidade defi nidos.
(D . ) Nível de satisfação do usuário com o atendimento da 
solicitação de serviço.
( . ) Porcentagem de tentativas bem-sucedidas de restaurar dados 
de backup.
( .05) Número de pessoas treinadas em diretrizes de saúde e 
segurança.
( .05) Número de análises de causa raiz realizadas.
( . ) Porcentagem de processos com metas e métricas defi nidas.
101
PROCESSOS DE GOVERNANÇA DE TI SEGUNDO COBIT Capítulo 2 
ALGUMAS CONSIDERAÇÕES
As limitações da abordagem prescritiva precisam ser conhecidas. De certo, é 
necessário ponderar que “melhores práticas” não são panaceias, pois assumem 
que é possível defi nir o sucesso e tendem a ignorar os contextos. Deveriam ser, 
apenas, um direcionamento de como se fazer, e não encaradas como soluções 
herméticas, isto é, os gestores que as utilizam deveriam se sensibilizar quanto 
à necessidade da interação entre recomendações normativas e adaptação 
contextual.
É claro que cada organização tem um contexto, as próprias estratégias 
corporativas, e, certamente, a estratégia, em relação à TI, será diferente. 
Portanto, os investimentos em habilitadores, para a implantação da governança 
de TI, também, serão bem distintos, incluindo o nível de maturidade. Assim, foram 
apontados, neste capítulo, diversos indicadores e atividades para a obtenção de 
uma melhor maturidade, mas nem todos serão pertinentes para a sua organização.
Para alguns modelos de negócio, a transformação digital já chegou, já para 
outros, nem tanto. Isso, também, infl uencia a existência de um forte interesse em 
uma governança de TI com maturidade e alicerçada em habilitadores corporativos. 
É importante entender que é necessário cuidado ao fazer benchmarking entre 
organizações, em relação aos gastos com a TI. Esses gastos com a TI são 
correlacionados com a maturidade desejada e com os habilitadores já existentes, 
portanto, passam pela defi nição de estratégias, pela posição de mercado e 
outras infl uências externas (por exemplo, compliance) e internas (dos próprios 
colaboradores).
Apesar das ponderações que abarcam a adaptação ao contexto e o formato 
prescritivo do COBIT, é fato que muitas empresas não possuem métodos e/ou 
ferramentas de apoio e/ou medem indicadores relacionados à governança de TI 
de forma ideal (PRASAD; GREEN; HEALES, 2012; PATAS; BARTENSCHLAGER; 
GOEKEN, 2012; MAES; DE HAES; VAN GREMBERGEN, 2011), portanto, o 
presente livro aponta métodos, diversas ferramentas de mercado e um grande 
quantitativo de indicadores escolhidos, os melhores e mais pertinentes à realidade 
nacional na visão do presente autor.
Uma sugestão, aos leitores, é analisarem a aplicabilidade,no contexto de 
cada empresa, de cada indicador apresentado neste capítulo. Esse é um exercício 
que fomentará muitas discussões de melhorias para a governança de TI da sua 
organização. 
102
 Governança de TI
Os processos detalhados do APO foram APO01 Framework de Gestão de 
TI Gerenciada e APO04 Inovação Gerenciada. O primeiro porque passa por toda 
a criação de um framework de gestão de TI, apontando os caminhos de todo 
COBIT. Já o processo relacionado à inovação é um assunto muito discutido, mas 
pouco organizado nas empresas. A partir de MEA e DSS, não foram destrinchadas 
atividades, e, de BAI, foi escolhido o processo BAI01 Programas Gerenciados, 
em consonância com o APO01, isto é, os programas/projetos de melhoria de 
governança de TI são a fonte/instrumento de mudança objetivada pelo framework
COBIT.
No capítulo que se encerra, foram discutidas quatro das cinco partes do 
COBIT 2019, cuja referência é o material disponibilizado pela ISACA (2019). 
Assim, no próximo capítulo, será apresentada a parte faltante e considerada, pelo 
presente autor, a mais importante do framework COBIT 2019.
REFERÊNCIAS
ISACA. Governance and management objectives COBIT® 2019 Framework. 
Schaumburg: ISACA, 2019. Disponível em: https://www.isaca.org/resources/cobit. 
Acesso em: 24 abr. 2021.
KNAPP, K. J. et al. Information security policy: an organizational-level process 
model. Computers and Security, v. 28, n. 7, p. 493–508, 2009. 
KOHN, S. Whistleblower law: a guide to legal protections for corporate 
employees. Westport, Conn: Praeger, 2004.
MAES, K.; DE HAES, S.; VAN GREMBERGEN, W. How IT enabled investments 
bring value to the business: a literature review. 2011. p. 1-10.
PATAS, J.; BARTENSCHLAGER, J.; GOEKEN, M. Resource-based view in 
empirical IT business value research-an evidence-based literature review. 
2012. p. 5062-5071.
PRAMOD, V.; LI, J.; GAO, P. Framework for preventing money laundering in 
banks. Information Management & Computer Security, v. 20, n. 3, p. 170-183, 
2012.
PRASAD, A.; GREEN, P.; HEALES, J. On IT governance structures and their 
effectiveness in collaborative organizational structures. International Journal of 
Accounting Information Systems, v. 13, p. 199-220, 2012.
103
PROCESSOS DE GOVERNANÇA DE TI SEGUNDO COBIT Capítulo 2 
VAN GREMBERGEN, W.; DE HAES, S. A research journey into enterprise 
governance of IT, business/IT alignment and value creation. International 
Journal of IT/Business Alignment and Governance, v. 1, n. 1, p. 1-13, 2010.
104
 Governança de TI
CAPÍTULO 3
TÉCNICAS PARA FAZER A GOVERNANÇA 
DE TI FUNCIONAR
 A partir da perspectiva do saber-fazer, são apresentados os seguintes 
objetivos de aprendizagem:
• Entender como os métodos ágeis trabalham com a governança de TI.
• Conhecer as ferramentas e as práticas de governança de TI e as novas 
tendências dela.
• Enumerar as principais características de um CIO efetivo.
• Organizar os processos principais do modelo integrado do COBIT em um 
diagrama.
106
 Governança de TI
107
TÉCNICAS PARA FAZER A GOVERNANÇA DE TI FUNCIONAR Capítulo 3 
1 CONTEXTUALIZAÇÃO
É possível entender que, apesar de um gestor de TI controlar e gerenciar 
a estrutura e os processos de TI de forma positiva, em relação ao planejado e 
acordado com a alta administração, esse profi ssional pode não ser um bom gestor 
sob a ótica da governança de TI. Um exemplo disso é quando o gestor toma 
decisões estratégicas que deveriam ser de responsabilidade da alta gestão, o que 
Weill e Ross (2006) classifi cam de "monarquia da TI", isto é, o CIO é tipo um rei 
que decide questões relacionadas a assuntos que deveriam ser compartilhados 
com outros gestores. Nesse cenário, é necessário diferenciar os papéis gestão e 
governança, porque, sem diferenciar, fi ca mais difícil a argumentação que aponta 
o papel que a alta administração precisa desempenhar para se ter uma boa 
governança de TI.
A gestão e o controle da TI, também, envolvem muitas possibilidades de 
frameworks específi cas para tratar de problemas específi cos, como o ITIL (do 
inglês, Information Technology Infrastructure Library), ou a versão ISO/IEC, de 
número 20000, para o controle dos serviços prestados pela TI, normalmente, 
associado às centrais de “service desks” (ISO, 2018). Importante destacar que o 
conceito de service desk é, apenas, uma pequena parte do que é estipulado pelos 
cinco longos livros que descrevem os processos da framework ITIL. O ITIL não 
está no escopo do presente livro porque ele é para a gestão de TI, para o caso 
específi co de serviços de TI.
Há outras frameworks mais específi cas ainda, e longe do escopo do 
presente livro, como as relacionadas ao acompanhamento e à avaliação da 
maturidade do desenvolvimento de software, como o CMMI (Capability Maturity 
Model Integration), ou a versão brasileira, o MPS.BR (Melhoria de Processos do 
Software Brasileiro).
Uma das possíveis razões pelas quais a alta gestão tem difi culdades 
para tomar decisões estratégicas sobre a TI e se responsabilizar por elas é, 
exatamente, a confusão conceitual gerada por uma enorme quantidade de normas, 
metodologias e frameworks relacionadas com a TI. Por exemplo, a engenharia 
de software, que é, apenas, uma subdisciplina da ciência da computação, é, 
reconhecidamente, fecunda em novos termos relacionados às frameworks de 
processos, metodologias, padrões, normas e procedimentos que estão no dia a 
dia dos programadores e dos analistas, e que, no entanto, pouco fazem sentido 
para os gestores corporativos.
É comum encontrar, em livros e artigos acadêmicos, os conceitos de gestão 
e controle de TI confundidos com outros conceitos que seriam, na verdade, 
108
 Governança de TI
modelos de ciclo de vida de software, ou abordagens de desenvolvimento de 
software: desde o antigo modelo em cascata, passando pelos modelos interativos 
e incrementais, como o Rational Unifi ed Process (RUP) (KRUCHTEN, 2004), 
até outras opções mais recentes e ligadas, de alguma forma, ao Manifesto Ágil 
(AGILE MANIFESTO, 2001), como o Scrum (SCHWABER; SUTHERLAND, 2004), 
o extreme programming (XP) (BECK, 2005) e o Feature Driven Development 
(FDD) (COAD, 1999), esses assuntos tangenciam a governança de TI e serão 
melhor abordados no fi m deste capítulo.
Há uma infi nidade de normas internacionais relacionadas à TI: 
ISO/IEC 27001:2005 e 27002:2005, para a área de segurança da 
informação; ISO/IEC 31000:2009, para a gestão de riscos; ISO/IEC 
12207:2008, ISO/IEC 15504:2003 e ISO/IEC 29110:2012, também, 
relacionadas ao processo de desenvolvimento de software. 
FONTE: https://www.iso.org/standard/42103.html; https://www.
iso.org/standard/50297.html; https://www.iso.org/standard/43170.
html; https://www.iso.org/standard/43447.html; https://www.iso.org/
standard/37458.html; https://www.iso.org/standard/60389.html.
O papel do CIO, ou do nome que quiser ser dado para o representante 
principal da TI, é abstrair toda essa miríade de conceitos para focar no papel dele, 
o de infl uenciador da alta gestão.
Segundo Gartner (2016, s.p.), os CIOs têm uma oportunidade única para 
desempenhar um papel mais abrangente (pervasivo) e escalar uma infl uência nos 
negócios. Ainda, nessa mesma reportagem 
Para liderar suas organizações em uma jornada digital de 
sucesso, os CIOs devem trabalhar em estreita colaboração com 
seus colegas das unidades de negócios, e seus CEOs devem 
construir uma visão para levar o digital ao centro da empresa. 
Ao fazer isso, eles renovam a TI e suas organizações, mas 
devem abordar seus estilos de liderança também. A boa notícia 
é que os CEOs e outros líderes empresariais seniores têm uma 
opinião mais elevada a respeito da infl uência dos CIOs e do 
poder deles – ainda mais do que os próprios CIOs percebem –, 
sugerindo que, agora, é a hora de aproveitar a oportunidade da 
liderança para transformar o negócio.
109
TÉCNICAS PARA FAZER A GOVERNANÇA DE TI FUNCIONARCapítulo 3 
Gartner (2016) aponta as opções de tipos de CIOs:
• Aliados confi áveis, CIOs e organizações, rotineiramente, adotam papéis 
de liderança ou propriedade de questões de negócios, e são, geralmente, 
executivos de nível C se reportando a CEOs.
• Parceiros, CIOs e organizações costumam discutir futuras oportunidades 
de negócios e ameaças com líderes seniores de negócios.
• Transacionais, CIOs e organizações interagem, principalmente, com o 
resto da empresa, para entender a demanda e fornecer serviços de TI.
• CIOs e organizações, em risco, envolvem-se, principalmente, e, 
reativamente, com o desempenho de TI.
Entretanto, antes de falarmos das novas tendências para a governança de 
TI e do método ágil, precisamos encerrar o último e mais importante módulo do 
COBIT (2019).
2 AVALIAR, DIRECIONAR E 
MONITORAR (EDM)
Os processos de EDM são:
• EDM01 Garantia da Confi guração e Manutenção da Estrutura de 
Governança.
• EDM02 Garantia da Entrega de Benefícios.
• EDM03 Garantia da Otimização de Riscos.
• EDM04 Garantia da Otimização de Recursos.
• EDM05 Garantia do Engajamento das Partes Interessadas.
Todas as métricas de objetivos corporativos e de TI foram exemplifi cadas no 
capítulo anterior, portanto, não serão repetidas no presente capítulo. Como são 
consideradas a parte mais importante do COBIT, as atividades e as respectivas 
maturidades serão mais detalhadas aqui. Perceba que essas são atividades, 
intimamente, ligadas ao CIO, e que exigem características diversas, como 
poderes de infl uência e negociação, bem distantes do tecnicismo da TI.
110
 Governança de TI
2.1 EDM01 GARANTIA DA 
CONFIGURAÇÃO E MANUTENÇÃO DA 
ESTRUTURA DE GOVERNANÇA
Conceito: Analise e articule os requisitos da Governança de TI. Implemente 
e mantenha componentes de governança com clareza de autoridade e de 
responsabilidades para contemplar a missão, as metas e os objetivos da 
organização.
O componente “Processo EDM01.01 Avaliar o sistema de governança” 
possui as seguintes atividades sugeridas e os respectivos níveis de Maturidade 
(M): 1. Analisar e identifi car os fatores ambientais internos e externos (obrigações 
legais, regulamentares e contratuais) e as tendências, para o ambiente de 
negócios, que podem infl uenciar o projeto de governança (M:2); 2. Determinar 
a importância da TI e o papel dela em relação ao negócio (M:2); 3. Alinhar o uso 
ético, o processamento da informação e o impacto dela na sociedade, no ambiente 
natural e frente aos interesses internos e externos das partes interessadas, com 
a direção, as metas e os objetivos da empresa (M:3); 4. Articular princípios que 
orientarão o desenho da governança e a tomada de decisões da TI (M:3); 5. 
Determinar o modelo ideal de tomada de decisão para TI (M:3); 6. Determinar os 
níveis apropriados de delegação de autoridade, incluindo regras de limite, para as 
decisões de TI (M:3). Um indicador destacado para esse componente é: Número 
de executivos seniores envolvidos na defi nição da direção da governança de TI.
O componente “Processo EDM01.02 Direcionar o sistema de governança” 
possui as seguintes atividades sugeridas e os respectivos níveis de Maturidade 
(M): 1. Comunicar os princípios da governança de TI e acordar com a gestão 
executiva a fi m de estabelecer uma liderança comprometida (M:2); 2. Estabelecer 
um conselho de governança de TI (ou equivalente) no nível da presidência da 
organização. Esse conselho deve assegurar que a governança de TI, como parte 
da governança corporativa, seja tratada de forma adequada, aconselhando a 
respeito da direção estratégica e determinando a priorização de programas de 
investimento habilitados pela TI, alinhados com a estratégia e as prioridades de 
negócios da empresa (M:2).
No que se refere ao nível de maturidade 3, outras atividades do componente 
EDM01.02 são: 3. Alocar responsabilidades e autoridade pelas decisões de TI 
em linha com os princípios de governança acordados (M:3); 4. Assegurar-se de 
que os mecanismos de comunicação e relatório forneçam, aos responsáveis pela 
supervisão e tomada de decisões, as informações adequadas (M:3); 5. Instruir a 
equipe a seguir as diretrizes relevantes dos comportamentos ético e profi ssional e 
111
TÉCNICAS PARA FAZER A GOVERNANÇA DE TI FUNCIONAR Capítulo 3 
garantir que as consequências do descumprimento sejam conhecidas e aplicadas 
(M:3); 6. Direcionar o estabelecimento de um sistema de recompensa para 
promover a mudança cultural que se deseja (M:3). Um indicador destacado para 
esse componente é: Frequência de relatórios de governança de TI para o comitê 
executivo. 
O componente “Processo EDM01.03 Monitorar o sistema de governança” 
possui as seguintes atividades sugeridas e os respectivos níveis de Maturidade 
(M): 1. Comunicar os princípios da governança de TI e acordar com a gestão 
executiva, a fi m de estabelecer o comprometimento da alta gestão (M:2); 2. 
Estabelecer, ou delegar, a formalização de estruturas, processos e práticas de 
governança em linha com os princípios acordados (M:2); 3. Estabelecer um 
conselho de governança de TI (ou equivalente) no nível da alta gestão. Esse 
conselho deve assegurar que a governança de TI, como parte da governança 
corporativa, seja tratada de forma adequada, e determinar a priorização de 
programas de investimento para TI, alinhados com a estratégia e as prioridades 
de negócios da empresa (M:2).
Com relação ao nível de maturidade 3, outras atividades do componente 
EDM01.03 são: 4. Alocar responsabilidades e autoridade pelas decisões de TI em 
linha com os princípios de governança acordados e com os modelos de tomada de 
decisão e delegação corporativos (M:3); 5. Assegurar-se de que os mecanismos 
de comunicação e relatório (report) forneçam, aos responsáveis pela supervisão 
e tomada de decisões, as informações adequadas (M:3); 6. Instruir a equipe a 
seguir as diretrizes relevantes dos comportamentos ético e profi ssional e garantir 
que as consequências do descumprimento sejam conhecidas e aplicadas(M:3); 
7. Direcionar o estabelecimento de um sistema de recompensa para promover a 
mudança cultural desejada (M:3).
ATIVIDADE DE ESTUDO: 
1 - Como você já tem certo conhecimento dos objetivos de negócio 
existentes comentados no Capítulo 2, não será fácil, mas, 
utilizando a leitura feita da atividade realizada anteriormente, 
e do conceito do presente processo, assinale os objetivos de 
negócio que você acredita que são mais pertinentes ao processo 
EDM01 Garantia da Confi guração e Manutenção da Estrutura de 
Governança.
Conceito: Analise e articule os requisitos da Governança de TI. 
112
 Governança de TI
Implemente e mantenha componentes de governança com 
clareza de autoridade e de responsabilidades para contemplar a 
missão, as metas e os objetivos da organização.
( ) EG01: Portfólio de produtos e de serviços competitivos.
( ) EG02: Riscos de negócio gerenciados.
( ) EG03: Conformidade com leis e regulamentos externos.
( ) EG08: Otimização das funcionalidades dos processos de 
negócios.
( ) EG10: Habilidades, motivação e produtividade da equipe.
( ) EG11: Conformidade com as políticas internas.
( ) EG12: Programas de transformação digital gerenciados.
ATIVIDADE DE ESTUDO: 
1 - A respeito dos objetivos de negócio do EDM01, assinale que 
indicadores você acredita que são mais pertinentes a eles:
EG03: Conformidade com leis e regulamentos externos.
EG08: Otimização das funcionalidades dos processos de negócios.
EG12: Programas de transformação digital gerenciados.
( ) Número de programas (conjunto de projetos) dentro do prazo e 
do orçamento.
( ) Níveis de satisfação dos clientes com a entrega do serviço.
( ) Número de incidentes relacionados ao não cumprimento das 
políticas internas. 
( ) Níveis de satisfação dos fornecedores com a cadeia de 
suprimentos.
( ) Número de questões de não conformidade observadas pelos 
reguladores. 
( ) Porcentagem de partes interessadas que entendem as políticas 
internas.( ) Número de questões de não conformidade relacionadas a 
acordos contratuais com parceiros de negócios.
113
TÉCNICAS PARA FAZER A GOVERNANÇA DE TI FUNCIONAR Capítulo 3 
2.2 EDM02 GARANTIA DA ENTREGA 
DE BENEFÍCIOS
Conceito: Otimize o valor para o negócio a partir de investimentos em 
processos de negócios, serviços de TI e ativos de TI.
O componente “EDM02.01 Estabelecer o mix (a escolha estratégica do 
portfólio) de investimentos-alvo” possui as seguintes atividades sugeridas e os 
respectivos níveis de Maturidade(M): 1. Criar e manter portfólios de programas 
de investimentos habilitados pela TI, serviços de TI e ativos de TI, que formam 
a base para o orçamento de TI corrente que dá suporte aos planos táticos e 
estratégicos de TI (M:2); 2. Obter um entendimento comum entre a TI e as outras 
áreas de negócios acerca das oportunidades potenciais que a TI pode habilitar e 
contribuir para a estratégia corporativa (M:2); 3. Identifi car as amplas categorias de 
sistemas de informação, aplicativos, dados, serviços de TI, infraestrutura, ativos 
de TI, recursos, habilidades, práticas, controles e relacionamentos necessários 
para apoiar a estratégia empresarial (M:2); 4. Acordar os objetivos de TI, levando 
em consideração as inter-relações entre a estratégia da empresa e os serviços, 
ativos e outros recursos de TI. Identifi car e aproveitar as sinergias que podem ser 
alcançadas (M:2). 
Com relação ao nível de maturidade 3, a única atividade do componente 
EDM02.01 é: 5. Defi nir uma combinação de investimentos que alcance o equilíbrio 
certo entre uma série de dimensões, incluindo um equilíbrio adequado quanto 
aos retornos de curto e longo prazos; benefícios fi nanceiros e não fi nanceiros; 
e investimentos de alto e baixo riscos (M:3). Um indicador destacado para esse 
componente é: Porcentagem de investimentos em TI rastreáveis em relação à 
estratégia empresarial.
Existem diversas ferramentas de Portfolio Project Management 
(PPM), e a Gartner analisa algumas em https://www.gartner.com/
reviews/market/project-portfolio-management-worldwide.
O componente “EDM02.02 Avaliar a otimização do valor” possui as seguintes 
atividades sugeridas e os respectivos níveis de Maturidade (M): 1. Compreender 
os requisitos das partes interessadas; as questões estratégicas, como a 
dependência da TI; os insights tecnológicos; e as capacidades relacionadas aos 
signifi cados real e potencial da TI para a estratégia da empresa (M:2).
114
 Governança de TI
Com relação ao nível de maturidade 3, outras atividades do componente 
EDM02.02 são: 2. Compreender os principais elementos de governança 
necessários para a entrega de valor de forma confi ável, segura e econômica 
em relação aos serviços, ativos e recursos de TI existentes e novos (M:3); 3. 
Entender e discutir, regularmente, as oportunidades que podem surgir para a 
empresa a partir das mudanças possibilitadas pelas tecnologias atuais, novas 
ou emergentes, e otimizar o valor criado a partir dessas oportunidades (M:3); 
4. Entender o que constitui valor para a empresa e considerar quão bem isso é 
comunicado, compreendido e aplicado em todos os processos dessa organização 
(M:3).
Continuando, para a maturidade 4, algumas atividades do componente 
EDM02.02 são: 5. Avaliar a efi cácia com que as estratégias da empresa e de 
TI foram integradas e alinhadas para a entrega de valor (M:4); 6. Compreender 
e considerar a efi cácia das funções, responsabilidades e órgãos de tomada de 
decisão atuais para garantir a criação de valor dos investimentos, serviços e 
ativos habilitados pela TI (M:4); 7. Considerar o quão bem o gerenciamento de 
investimentos, serviços e ativos habilitados pela TI se alinha com o gerenciamento 
de valor da empresa e as práticas de gerenciamento fi nanceiro (M:4); 8. Avaliar 
o portfólio de investimentos, serviços e ativos em relação ao alinhamento com os 
objetivos estratégicos e o valor da empresa, seja fi nanceiro ou não fi nanceiro; e 
aos riscos, sejam negativos ou positivos. Ainda, ao alinhamento com os processos 
de negócios; à efi cácia, em termos de usabilidade, disponibilidade e capacidade 
de resposta; e à efi ciência em relação ao custo, à redundância e à saúde técnica 
(M:4). Um indicador destacado para esse componente é: Desvio entre o mix de 
investimento-alvo e o real.
O componente “EDM02.03 Direcionar a otimização de valor” possui a seguinte 
atividade sugerida e o respectivo nível de Maturidade: 1. Defi nir e comunicar o 
portfólio e os tipos de investimentos a partir dele, categorias, critérios e pesos 
relativos, de forma a criar critérios relativos para pontuações (scores) gerais (M:2).
Tratando-se do nível de maturidade 3, outras atividades do componente 
EDM02.03 são: 2. Defi nir riscos associados e requisitos das etapas de 
investimento, cronogramas de programas e planos de fi nanciamento (M:3); 3. 
Direcionar a gestão para considerar os potenciais usos inovadores da TI que 
permitem, à empresa, responder a novas oportunidades ou desafi os, empreender 
novos negócios, aumentar a competitividade ou melhorar processos (M:3); 4. 
Direcionar todas as mudanças necessárias para a atribuição de responsabilidades 
pela execução do portfólio de investimentos e pela entrega de valor a partir de 
processos e de serviços de negócios (M:3); 5. Direcionar todas as mudanças 
necessárias para o portfólio de investimentos e para os serviços para realinhar 
com os objetivos e/ou restrições empresariais atuais e esperados (M:3); 6. 
115
TÉCNICAS PARA FAZER A GOVERNANÇA DE TI FUNCIONAR Capítulo 3 
Recomendar potenciais inovações, mudanças organizacionais ou melhorias 
operacionais que possam gerar valor para a empresa a partir de iniciativas 
habilitadas pela TI (M:3).
A única atividade relacionada ao nível de maturidade 4, do componente 
EDM01.03, é: 7. Defi nir e comunicar as metas de entrega de valor de nível 
empresarial e as medidas de resultados para permitir um monitoramento efi caz 
(M:4). Um indicador destacado para esse componente é: Porcentagem de 
iniciativas de TI no portfólio geral da empresa, a partir do qual o valor é gerenciado 
durante todo o ciclo de vida.
Observe que o componente “EDM02.04 Monitorar a otimização do valor” já 
inicia com a maturidade 4 e com as seguintes atividades sugeridas: 1. Defi nir um 
conjunto equilibrado de objetivos de desempenho, métricas, metas e benchmarks. 
As métricas devem cobrir as atividades e os resultados, incluindo indicadores de 
avanço e atraso para esses resultados, e um equilíbrio adequado de indicadores 
fi nanceiros e não fi nanceiros. Revisar e chegar a um acordo que os envolva com 
outras áreas de negócios e outras partes interessadas relevantes (M:4); 2. Coletar 
dados relevantes, oportunos, completos, confi áveis e precisos, para relatar 
o progresso da entrega de valor em relação às metas. Obter uma visão geral 
sucinta, de alto nível, abrangente do portfólio, dos programas e do desempenho 
da TI (capacidades técnicas e operacionais) que apoiam a tomada de decisões. 
Certifi car-se de que os resultados esperados estão sendo alcançados (M:4); 
3. Obter relatórios regulares e relevantes do portfólio, dos programas e do 
desempenho da TI (tecnológico e funcional). Revisar o progresso da empresa 
em relação às metas identifi cadas e até que ponto os objetivos planejados foram 
alcançados; as entregas, obtidas; as metas de desempenho, atingidas; e, os 
riscos, mitigados (M:4); 4. Após a revisão dos relatórios, certifi car-se de que a 
ação corretiva apropriada foi iniciada e controlada (M:4).
Finalmente, marca presença a maturidade 5 (máxima), pertencente ao 
componente EDM02.04: 5. Após a revisão dos relatórios, tomar as medidas 
apropriadas, conforme necessário, para garantir que o valor seja otimizado 
(M:5). Um indicador destacado para esse componente é: Número de novas 
oportunidades empresariais realizadas como resultado direto da TI.
2.3 EDM03 GARANTIA DA 
OTIMIZAÇÃO DE RISCOS
Conceito:Garanta que o apetite e a tolerância ao risco da empresa sejam 
compreendidos, articulados e comunicados, e que o risco, para o valor da 
empresa, relacionado ao uso de TI, seja identifi cado e gerenciado.
116
 Governança de TI
O componente “DM03.01 Avaliar o gerenciamento de riscos” possui as 
seguintes atividades sugeridas e os respectivos níveis de Maturidade (M): 1. 
Compreender a organização e o contexto dela, relacionado aos riscos de TI (M:2); 
2. Determinar o apetite a risco da organização, ou seja, o nível de risco relacionado 
à TI que a empresa está disposta a assumir em busca dos próprios objetivos 
(M:2); 3. Determinar os níveis de tolerância ao risco em relação ao apetite ao 
risco, ou seja, o quanto é, temporariamente, aceitável o desvio do apetite ao risco 
(M:2); 4. Determinar a extensão do alinhamento da estratégia de risco de TI com 
a estratégia de risco da empresa, e se certifi car de que o apetite ao risco está 
abaixo da capacidade de risco da organização (M:2).
Relacionadas ao nível de maturidade 3, outras atividades do componente 
EDM03.01 são: 5. Avaliar, proativamente, os fatores de risco de TI antes das 
decisões empresariais estratégicas e garantir que as considerações de risco 
façam parte do processo de decisão estratégica da empresa (M:3); 6. Avaliar 
as atividades de gerenciamento de risco para garantir o alinhamento com a 
capacidade da empresa frente a perdas relacionadas à TI e a tolerância da 
liderança em relação a isso (M:3); 7. Atrair e manter as habilidades e o pessoal 
necessário para a gestão de risco de TI (M:3). Um indicador destacado para esse 
componente é: Porcentagem de riscos de TI que excedem a tolerância ao risco 
empresarial.
O componente “EDM03.02 Direcionar o gerenciamento de riscos” possui 
as seguintes atividades sugeridas e os respectivos níveis de Maturidade (M): 1. 
Direcionar a tradução e a integração da estratégia de riscos de TI às práticas de 
gestão de riscos e atividades operacionais (M:2); 2. Direcionar o desenvolvimento 
de planos de comunicação de riscos (cobrindo todos os níveis da empresa) (M:2); 
3. Direcionar a implementação de mecanismos apropriados para responder, 
rapidamente, aos riscos e mudanças, e relatar, imediatamente, aos níveis 
apropriados de gestão, apoiados por princípios acordados de escalonamento (o 
que relatar, quando, onde e como) (M:2); 4. Instruir que riscos, oportunidades, 
problemas e preocupações podem ser identifi cados e relatados, por qualquer 
pessoa, à parte apropriada e a qualquer momento. O risco deve ser gerenciado, 
de acordo com as políticas e os procedimentos publicados, e escalado para os 
tomadores de decisão relevantes (M:2).
Relacionada ao nível de maturidade 3, outra atividade do componente 
EDM03.02 é: 5. Identifi car os principais objetivos e métricas dos processos de 
gestão e governança de riscos a serem monitorados. Aprovar as abordagens, 
métodos, técnicas e processos para capturar e relatar as informações de medição 
(M:3). Um indicador destacado para esse componente é: Porcentagem de projetos 
corporativos que consideram os riscos de TI.
117
TÉCNICAS PARA FAZER A GOVERNANÇA DE TI FUNCIONAR Capítulo 3 
O componente “EDM03.03 Monitorar o gerenciamento de riscos” possui 
as seguintes atividades sugeridas e os respectivos níveis de Maturidade (M): 1. 
Relatar quaisquer questões de gerenciamento de riscos ao conselho ou comitê 
executivo (M:2); 2. Monitorar até que ponto o perfi l de riscos é gerenciado dentro 
dos limites de tolerância e apetite da empresa (M:3).
No que compete ao nível de maturidade 4, encontramos outras atividades do 
componente EDM03.03: 3. Monitorar as principais metas e métricas em relação 
aos alvos, analisar a causa de qualquer desvio e iniciar ações corretivas para 
abordar as causas subjacentes (M:4); 4. Permitir revisões pelas principais partes 
interessadas quanto ao progresso da empresa em direção às metas identifi cadas 
(M:4). Dois indicadores foram destacados para esse componente: a. Porcentagem 
de riscos críticos que foram, efetivamente, mitigados; b. Porcentagem de planos 
de ação de riscos de TI executados no prazo.
Existem diversas ferramentas de Integrated Risk Management 
(IRM), e a Gartner analisa algumas em https://www.gartner.com/
reviews/market/integrated-risk-management.
2.4 EDM04 GARANTIA DA 
OTIMIZAÇÃO DE RECURSOS
Conceito: Certifi que-se de que recursos de negócios e de TI (pessoas, 
processos e tecnologia) são adequados e sufi cientes e estejam disponíveis para 
apoiar os objetivos da empresa de forma efi caz e a um custo ideal.
O componente “EDM04.01 Avaliar o gerenciamento de recursos” possui 
as seguintes atividades sugeridas e os respectivos níveis de Maturidade (M): 
1. Partindo das estratégias atuais e futuras, examinar as opções potenciais 
para fornecer recursos relacionados à TI (tecnologia, recursos fi nanceiros e 
humanos) e desenvolver capacidades para atender às necessidades atuais e 
futuras (incluindo opções de sourcing) (M:2); 2. Defi nir os princípios-chave para a 
alocação e a gestão de recursos e as capacidades, para que a TI possa atender 
às necessidades da empresa, de acordo com as prioridades acordadas e as 
restrições orçamentárias. Por exemplo, defi nir opções de sourcing preferenciais 
118
 Governança de TI
para determinados serviços e limites fi nanceiros por opção de sourcing (M:2); 3. 
Revisar e aprovar o plano de recursos e as estratégias de arquitetura corporativa 
para agregar valor e mitigar riscos frente aos recursos alocados (M:2). 
A respeito do nível de maturidade 3, outras atividades do componente 
EDM04.01 são: 4. Entender os requisitos para alinhar o gerenciamento de recursos 
de TI com o planejamento de recursos humanos e fi nanceiros da empresa (RH); 
5. Defi nir princípios para o gerenciamento e o controle da arquitetura corporativa 
(M:3). Um indicador destacado para esse componente é: Número de desvios do 
plano de recursos.
Quando se fala de sourcing, signifi ca dizer terceirizar, ou não, 
alguma atividade.
O componente “EDM04.02 Direcionar o gerenciamento de recursos” possui 
as seguintes atividades sugeridas e os respectivos níveis de Maturidade (M): 
1. Atribuir responsabilidades para executar o gerenciamento de recursos (M:2); 
2. Estabelecer princípios relacionados à salvaguarda de recursos (M:2); 3. 
Comunicar e orientar a adoção de estratégias de gestão de recursos, princípios, 
plano de recursos acordado e estratégias de arquitetura empresarial (M:3); 4. 
Alinhar o gerenciamento de recursos com o planejamento fi nanceiro e de RH da 
empresa (M:3).
Relacionada ao nível de maturidade 4, uma outra atividade do componente 
EDM04.02 é: 5. Defi nir os principais objetivos, medidas e métricas para o 
gerenciamento de recursos (M:4). Um indicador destacado para esse componente 
é: Porcentagem de reutilização de componentes de arquitetura empresarial.
Finalmente, o componente “EDM04.03 Monitore o gerenciamento de 
recursos” possui as seguintes atividades sugeridas e os respectivos níveis de 
Maturidade (M): 1. Monitorar a alocação e a otimização de recursos, de acordo 
com os objetivos e as prioridades da empresa, usando metas e métricas acordadas 
(M:4); 2. Monitorar estratégias de sourcing relacionadas à TI, estratégias de 
arquitetura corporativa e recursos relacionados a negócios de TI, para garantir 
que as necessidades e os objetivos atuais e futuros da empresa possam ser 
atendidos (M:4); 3. Monitorar o desempenho dos recursos em relação às metas, 
analisar as causas de desvios e iniciar a ação corretiva para abordar as causas 
subjacentes (M:4). Dois indicadores foram destacados para esse componente: 
119
TÉCNICAS PARA FAZER A GOVERNANÇA DE TI FUNCIONAR Capítulo 3 
a. Número de metas de desempenho de gerenciamento de recursos realizadas; 
b. Porcentagem de projetos e de programas com status de médio ou alto risco, 
devido a problemas de gerenciamento de recursos.
2.5 EDM05 GARANTIA DO 
ENGAJAMENTODAS PARTES 
INTERESSADAS
Conceito: Garanta que as partes interessadas sejam identifi cadas e 
engajadas no sistema de governança de TI, e que o desempenho corporativo de 
TI e as medições e relatórios de conformidade sejam transparentes, com as partes 
interessadas aprovando as metas, as métricas e as ações corretivas necessárias.
O componente “EDM05.01 Avaliar o engajamento das partes interessadas 
e os requisitos de relatórios de compliance” possui as seguintes atividades 
sugeridas e os respectivos níveis de Maturidade (M): 1. Identifi car todas as partes 
interessadas relevantes para a TI dentro e fora da empresa. Agrupar as partes 
interessadas em categorias, com requisitos semelhantes (M:2); 2. Examinar e 
fazer julgamentos a respeito dos requisitos de compliance obrigatórios atuais e 
futuros, relacionados ao uso de TI dentro da empresa (regulamentação, legislação, 
contratos) (M:2); 3. Examinar e fazer julgamentos a respeito dos requisitos de 
comunicação atuais e futuros para outras partes interessadas em relação ao uso 
da TI dentro da empresa, incluindo o nível necessário de envolvimento/consulta e 
extensão da comunicação/nível de detalhe (M:2).
Pertencente ao nível de maturidade 3, a atividade do componente EDM05.01 
é: 4. Manter os princípios de comunicação com as partes interessadas externas 
e internas, incluindo formatos e canais de comunicação (M:3). Um indicador 
destacado para esse componente é: Data da última revisão dos requisitos dos 
relatórios de compliance.
O componente “EDM05.02 Direcionar o envolvimento, comunicação e 
relatórios com as partes interessadas” possui as seguintes atividades sugeridas 
e os respectivos níveis de Maturidade (M): 1. Direcionar o estabelecimento da 
estratégia de consulta e comunicação para stakeholders externos e internos (M:2); 
2. Orientar a implementação de mecanismos para garantir que as informações 
atendam a todos os critérios para os requisitos obrigatórios de relatórios de TI 
da empresa (M:2); 3. Estabelecer mecanismos para validação e aprovação de 
relatórios obrigatórios (M:2).
120
 Governança de TI
 Já relacionada ao nível de maturidade 3, mais uma atividade do componente 
EDM05.02 é: 4. Estabelecer mecanismos de encaminhamento de relatórios 
(M:3). Um indicador destacado para esse componente é: Satisfação das partes 
interessadas com a comunicação e os relatórios de compliance.
Para fi nalizar, o componente “EDM05.03 Monitore o engajamento das partes 
interessadas” possui as seguintes atividades sugeridas e os respectivos níveis 
de Maturidade (M): 1. Avaliar, periodicamente, a efi cácia dos mecanismos para 
garantir a precisão e a confi abilidade dos relatórios de compliance obrigatórios 
(M:4); 2. Avaliar, periodicamente, a efi cácia dos mecanismos e dos resultados do 
envolvimento e da comunicação com as partes interessadas externas e internas 
(M:4); 3. Determinar se os requisitos das diferentes partes interessadas são 
atendidos e avaliar os níveis de engajamento das partes interessadas (M:4). 
Um indicador destacado para esse componente é: Porcentagem de relatórios 
de compliance entregues no prazo. Verifi que que esse componente já inicia com 
Maturidade 4.
ATIVIDADE DE ESTUDO:
1 - Observe a fi gura a seguir, para se lembrar dos níveis de 
maturidade:
MODELO DE MATURIDADE COBIT
FONTE: Adaptada de ISACA (2019)
 Levando em consideração o modelo de maturidade do COBIT, além 
da descrição de algumas atividades do EDM apresentadas a seguir, 
defi na o nível de maturidade mais pertinente a cada uma delas:
121
TÉCNICAS PARA FAZER A GOVERNANÇA DE TI FUNCIONAR Capítulo 3 
Obs.: Dentre as atividades, há, apenas, uma opção para cada nível 
de maturidade, mas nem todos estão representados.
(M: ) Avaliar o portfólio de investimentos, serviços e ativos em 
relação ao alinhamento com os objetivos estratégicos e o valor da 
empresa, seja fi nanceiro ou não fi nanceiro; e aos riscos, sejam 
negativos ou positivos. Ainda, ao alinhamento com os processos 
de negócios; à efi cácia, em termos de usabilidade, disponibilidade 
e capacidade de resposta; e à efi ciência em relação ao custo, à 
redundância e à saúde técnica.
(M: ) Alinhar o uso ético, o processamento da informação e o impacto 
dela na sociedade, no ambiente natural e frente aos interesses 
internos e externos das partes interessadas, com a direção, as 
metas e os objetivos da empresa.
(M: ) Após a revisão dos relatórios, tomar as medidas apropriadas, 
conforme necessário, para garantir que o valor seja otimizado.
(M: ) Executar as atividades de TI, apenas, consultando as áreas de 
negócio, sem compartilhar as decisões com a alta gestão.
(M: ) Comunicar os princípios da governança de TI e acordar 
com a gestão executiva a fi m de estabelecer uma liderança 
comprometida.
122
 Governança de TI
3 DIAGRAMA COM PRINCIPAIS 
PROCESSOS DO COBIT
FIGURA 1 – PROCESSOS COBIT
FONTE: Adaptada de ISACA (2019)
É importante revermos os objetivos que ajudam a alinhar a TI 
com a organização:
• AG01: Conformidade de TI com leis e regulamentos externos, 
e suporte para conformidade do negócio.
• AG02: Riscos relacionados à TI gerenciados.
• AG03: Benefícios realizados a partir de investimentos em TI e 
portfólio de serviços.
• AG04: Qualidade das informações fi nanceiras relacionadas à 
tecnologia.
• AG05: Entrega de serviços de TI em linha com os requisitos de 
negócios.
• AG06: Agilidade para transformar requisitos de negócios em 
soluções operacionais.
• AG07: Segurança de informações, infraestrutura de 
processamento e aplicativos, e privacidade.
• AG08: Habilitando e apoiando processos de negócios por meio 
da integração de aplicativos e da tecnologia.
123
TÉCNICAS PARA FAZER A GOVERNANÇA DE TI FUNCIONAR Capítulo 3 
• AG09: Entregando programas no prazo, dentro do orçamento 
e com atendimento aos requisitos e aos padrões de qualidade.
• AG10: Qualidade da informação de gestão de TI.
• AG11: Conformidade de TI com as políticas internas.
• AG12: Equipe competente e motivada, com compreensão 
mútua da tecnologia e dos negócios.
• AG13: Conhecimento, experiência e iniciativas para inovação 
empresarial (ISACA, 2019).
Utilizando esses objetivos da TI, é possível criar um mapa de processos do 
COBIT, a partir do qual são apontados que objetivos são atingidos de forma P 
(primária) ou S (secundária), conforme a Figura 2.
Uma avaliação que cada organização precisa fazer é: Que objetivos são mais 
pertinentes para as necessidades e para a realidade da empresa? Que processos 
já realizam algumas das atividades prescritas pelo COBIT? Quais dessas 
atividades devo reforçar para considerar atingidos os objetivos mais pertinentes?
A partir da Figura 2, você poderá guiar a sua empresa frente aos processos 
mais pertinentes, e fazer uma avaliação de maturidade para cada um deles, de 
forma a traçar um plano. Claro, existem ferramentas para isso, são as chamadas 
Corporate Compliance and Oversight (CCO).
Existem diversas ferramentas de Corporate Compliance and 
Oversight (CCO), e a Gartner analisa algumas em https://www.
gartner.com/reviews/market/corporate-compliance-and-oversight-
solutions.
124
 Governança de TI
FIGURA 2 – PROCESSOS COBIT VERSUS OBJETIVOS DE TI
FONTE: Adaptada de ISACA (2019)
Utilizando uma análise simples, que verifi ca o número de objetivos de TI 
cobertos por cada processo, podemos verifi car que os processos APO01, APO08, 
MEA02 e MEA04 são os que abarcam o maior número. Não obstante, destacamos 
que os processos do presente capítulo, EDM, conforme ISACA (2019), devem, 
também, fi gurar entre os mais importantes, já que estão, intimamente, ligados à 
fi gura do CIO e ao relacionamento dele com as demais áreas de negócio e com 
a alta administração. Assim, atente-se, a seguir, à Figura 3, que apresentará os 
processos considerados essenciais.
125
TÉCNICAS PARA FAZER A GOVERNANÇA DE TI FUNCIONAR Capítulo 3 
FIGURA 3 – PRINCIPAIS PROCESSOS COBITFONTE: Adaptada de ISACA (2019)
Além dos conceitos já apontados, quando foi realizada a descrição dos 
referidos processos, detalharemos, aqui, um pouco mais, os propósitos desses 
principais processos:
APO01 - Framework de Gestão de TI Gerenciada
Implementar uma abordagem de gerenciamento consistente para que os 
requisitos de governança corporativa sejam atendidos, abrangendo componentes 
de governança, como processos de gerenciamento, estruturas organizacionais, 
papéis e responsabilidades, atividades confi áveis e repetíveis, itens de informação, 
políticas e procedimentos, habilidades e competências, cultura e comportamento, 
serviços, infraestrutura e aplicativos.
APO08 - Relacionamentos Gerenciados
Capacitar o conhecimento, as habilidades e os comportamentos certos para 
criar melhores resultados, confi ança, confi ança mútua e uso efi caz de recursos 
que estimulam um relacionamento produtivo entre as partes interessadas do 
negócio.
MEA02 - Sistemas de Controle Interno Gerenciados
Obter transparência, para as principais partes interessadas, a respeito da 
adequação dos sistemas de controle interno, e, assim, proporcionar confi ança 
126
 Governança de TI
nas operações e para o cumprimento dos objetivos da empresa, incluindo um 
entendimento adequado do risco residual.
MEA04 – Sistema de Avaliações Gerenciado
Permitir que a organização projete e desenvolva iniciativas de garantia 
efi cientes e efi cazes, fornecendo orientação para planejamento, defi nição do 
escopo, execução e acompanhamento das revisões de garantia, usando um 
roteiro baseado em abordagens de garantia bem aceitas.
EDM01 Garantia da Confi guração e Manutenção da Estrutura de 
Governança
Fornecer uma abordagem consistente, integrada e alinhada com a abordagem 
de governança corporativa. As decisões relacionadas à TI são tomadas, de acordo 
com as estratégias e os objetivos da empresa, e o valor desejado é realizado. 
Para esse fi m, certifi car-se de que os processos relacionados à TI sejam 
supervisionados de forma efi caz e transparente. O cumprimento dos requisitos 
legais, contratuais e regulatórios é confi rmado, e os requisitos de governança, 
para a alta administração, são atendidos.
EDM02 Garantia da Entrega de Benefícios
Garantir o valor ideal de iniciativas, serviços e ativos habilitados pela TI, a 
entrega de soluções e de serviços econômicos, e uma imagem confi ável e precisa 
dos custos e dos prováveis benefícios para que as necessidades dos negócios 
sejam atendidas de maneira efi caz e efi ciente.
EDM03 Garantia da Otimização de Riscos
Certifi car-se de que os riscos corporativos relacionados à TI não excedam o 
apetite e a tolerância ao risco da empresa, que os impactos dos riscos de TI, para 
o valor da empresa, sejam identifi cados e gerenciados, e o potencial para falhas 
de conformidade seja minimizado.
EDM04 Garantia da Otimização de Recursos
Garantir que as necessidades de recursos da empresa sejam atendidas 
de maneira ideal, que os custos de TI sejam otimizados e que haja uma grande 
probabilidade de realização de benefícios e prontidão para mudanças futuras.
127
TÉCNICAS PARA FAZER A GOVERNANÇA DE TI FUNCIONAR Capítulo 3 
EDM05 Garantia do Engajamento das Partes Interessadas
Certifi que-se de que as partes interessadas apoiem a estratégia da TI; que 
a comunicação, com essas partes, seja efi caz e oportuna; e que a base, para 
os relatórios de compliance, seja estabelecida para aumentar o desempenho. 
Identifi que as áreas de melhoria e confi rme se os objetivos e as estratégias 
relacionados à TI estão alinhados com a estratégia da empresa.
Claro que há subjetividade para a escolha dos principais processos, e que 
outros autores podem não concordar, não obstante, o importante é entender 
que cada organização tem mais maturidade em processos diferentes, além de 
que não é possível a governança de TI evoluir sem abarcar os objetivos de TI 
e corporativos. Os processos EDM são os que mais exigem do CIO, fi gura de 
liderança central no processo de formação de uma boa governança de TI.
Para fi nalizar a apresentação do COBIT, será realizado um resumo dos 
processos, dos componentes e dos respectivos níveis de maturidade do EDM 
(AVALIAR, DIRECIONAR E MONITORAR).
128
 Governança de TI
FIGURA 4 – MAPA MENTAL DOS PROCESSOS E DOS 
COMPONENTES DO EDM - COMPLETO
FONTE: Adaptada de ISACA (2019)
Também, será apresentado o mapa mental dos processos, dos componentes 
e dos respectivos níveis de maturidade dos dois processos destacados como 
principais do APO (ALINHAR, PLANEJAR E ORGANIZAR RECURSOS DE TI).
129
TÉCNICAS PARA FAZER A GOVERNANÇA DE TI FUNCIONAR Capítulo 3 
FIGURA 5 – MAPA MENTAL DOS PROCESSOS E DOS 
COMPONENTES DO APO - PRINCIPAIS
FONTE: Adaptada de ISACA (2019)
Por último, serão elencados os processos destacados do MEA (MONITORAR 
E AVALIAR A TI), os componentes e os respectivos níveis de maturidade dele.
130
 Governança de TI
FIGURA 6 – MAPA MENTAL DOS PROCESSOS E DOS 
COMPONENTES DO MEA - PRINCIPAIS
FONTE: Adaptada de ISACA (2019)
Esses mapas mentais foram criados com facilidade, utilizando 
uma ferramenta on-line disponível em https://www.mindmeister.com/.
ATIVIDADE DE ESTUDO:
1 - Antes de terminarmos o livro, precisamos consolidar os conceitos 
vistos nos dois últimos capítulos, os quais envolvem alguns 
processos. Assim, tente relacionar esses conceitos com os 
respectivos nomes dos processos. 
As opções de processos são:
(APO01) Framework de Gestão de TI Gerenciada. 
(APO08) Relacionamentos Gerenciados.
(APO13) Segurança Gerenciada.
(DSS01) Operações Gerenciadas.
131
TÉCNICAS PARA FAZER A GOVERNANÇA DE TI FUNCIONAR Capítulo 3 
(DSS03) Problemas Gerenciados.
(BAI05) Mudanças Organizacionais Gerenciadas.
(BAI011) Projetos Gerenciados.
(MEA03) Conformidade e Requisitos Externos Gerenciados.
(MEA04) Sistema de Avaliações Gerenciado.
(EDM01) Garantia da Confi guração e Manutenção da Estrutura de 
Governança.
(EDM02) Garantia da Entrega de Benefícios.
(EDM03) Garantia da Otimização de Riscos.
(EDM04) Garantia da Otimização de Recursos.
(EDM05) Garantia do Engajamento das Partes Interessadas.
Agora, associe com os conceitos a seguir:
( ) Conceito: Maximize a probabilidade de implementar, com 
sucesso, mudanças organizacionais sustentáveis em toda a 
empresa, rapidamente e com risco reduzido. Abrange o ciclo 
de vida completo da mudança e todas as partes interessadas 
afetadas nos negócios e na TI.
( ) Conceito: Otimize o valor para o negócio a partir de investimentos 
em processos de negócios, serviços de TI e ativos de TI.
( ) Conceito: Avalie se os processos de TI e os processos de 
negócios suportados de TI estão em conformidade com as leis, 
os regulamentos e os requisitos contratuais. Obtenha garantia 
de que os requisitos foram identifi cados e atendidos. Integre a 
conformidade de TI com a conformidade geral da empresa.
( ) Conceito: Certifi que-se de que recursos de negócios e de TI 
(pessoas, processos e tecnologia) são adequados e sufi cientes 
e estejam disponíveis para apoiar os objetivos da empresa de 
forma efi caz e a um custo ideal.
( ) Conceito: Garanta que as partes interessadas sejam identifi cadas 
e engajadas no sistema de governança de TI, e que o desempenho 
corporativo de TI e as medições e relatórios de conformidade 
sejam transparentes, com as partes interessadas aprovando as 
metas, as métricas e as ações corretivas necessárias.
( ) Conceito: Coordene e execute as atividades e os procedimentos 
operacionais necessários para a entrega de serviços de TI 
internos e terceirizados. Isso inclui a execução de procedimentos 
operacionais considerados padrão, predefi nidos, e de atividades 
de monitoramento necessárias.
( ) Conceito: Defi na, opere e monitore um sistema de gestão de 
segurança da informação.
132
 Governança de TI
( ) Conceito: Gerencie os relacionamentos com as partes 
interessadas, formalmente,e com transparência, que garanta 
confi ança mútua, e um foco combinado em alcançar os objetivos 
estratégicos dentro das restrições de orçamentos e tolerância 
ao risco. Baseia os relacionamentos em uma comunicação 
aberta e transparente, em uma linguagem comum e na vontade 
de assumir a propriedade e a responsabilidade pelas decisões-
chave de ambos os lados. Negócios e TI devem trabalhar juntos 
para criar resultados empresariais bem-sucedidos em apoio aos 
objetivos corporativos.
( ) Conceito: Analise e articule os requisitos da governança de TI. 
Implemente e mantenha componentes de governança com 
clareza de autoridade e de responsabilidades para contemplar a 
missão, as metas e os objetivos da organização.
( ) Conceito: Planeje, defi na o escopo e execute iniciativas de 
garantia (do inglês assurance) para cumprir os requisitos 
internos, leis, regulamentos e objetivos estratégicos. Permita que 
a administração forneça uma auditoria adequada e sustentável, 
realizando análises e atividades de auditoria independentes.
( ) Conceito: Gerencie todos os projetos que são iniciados em 
alinhamento com a estratégia da empresa e de forma coordenada, 
com base na abordagem de gerenciamento de projetos-padrão. 
Inicie, planeje, controle e execute projetos e feche com uma 
revisão pós-implementação.
( ) Conceito: Projete o Sistema de Gestão da TI com base nos 
objetivos corporativos e objetivos de TI. Com base nesse projeto, 
implemente todos os componentes necessários do Sistema de 
Gestão.
( ) Conceito: Garanta que o apetite e a tolerância ao risco da 
empresa sejam compreendidos, articulados e comunicados, e 
que o risco, para o valor da empresa, relacionado ao uso de TI, 
seja identifi cado e gerenciado.
( ) Conceito: Identifi que e classifi que os problemas e as causas 
deles. Forneça uma resolução oportuna para evitar incidentes 
recorrentes. Forneça recomendações para melhorias.
133
TÉCNICAS PARA FAZER A GOVERNANÇA DE TI FUNCIONAR Capítulo 3 
4 MÉTODOS ÁGEIS E TENDÊNCIAS 
PARA GOVERNANÇA DE TI
Dentre as principais atividades que acompanham a governança de TI de 
uma organização, a literatura de gestão de sistemas de informação observou um 
interesse emergente em metodologias ágeis (HUANG; WU; CHOU, 2013; KOHL; 
PRIKLADNICKI, 2018).
As metodologias ágeis foram, então, conceituadas, no presente livro, 
como um modelo de entrega ágil baseado em ciclos iterativos e incrementais, 
que oferecem fl exibilidade e adaptabilidade (LARSON; CHANG, 2016), isto é, a 
melhoria contínua é um dos pilares do Agile, assim como é da governança de TI. 
Larson e Chang (2016) destacam que o Agile aborda muitos dos problemas 
presentes no mundo da TI, por causa das seguintes características dele:
▪ Nossa maior prioridade é contemplar o cliente através da 
entrega adiantada e contínua de um software de valor.
▪ A aceitação de mudanças de requisitos é fundamental mesmo 
no fi m do desenvolvimento.
▪ Processos ágeis se adequam a mudanças, para que o cliente 
possa tirar vantagens competitivas.
▪ A entrega do software funcionando com frequência, na escala 
de semanas até meses, com preferência para os períodos 
mais curtos, torna-se essencial.
▪ Pessoas relacionadas a negócios e desenvolvedores devem 
trabalhar em conjunto e diariamente, durante todo o curso do 
projeto.
▪ A construção de projetos ao redor de indivíduos motivados 
se faz presente, dando, a eles, o ambiente e o suporte 
necessários, confi ando que farão o trabalho.
▪ O método mais efi ciente e efi caz de transmitir informações 
para e por dentro de um time de desenvolvimento é através de 
uma conversa cara a cara.
▪ O software funcional é a medida primária de progresso.
▪ Processos ágeis promovem um ambiente sustentável. 
Os patrocinadores, desenvolvedores e usuários devem ser 
capazes de manter, indefi nidamente, passos constantes.
▪ Uma contínua atenção à excelência técnica e ao bom design 
aumenta a agilidade.
▪ Simplicidade é a arte de maximizar a quantidade de trabalho 
que não precisou ser feita.
▪ As melhores arquiteturas, requisitos e designs emergem de 
times auto-organizáveis.
▪ Em intervalos regulares, o time refl ete a respeito de como 
fi car mais efetivo, então, ajusta-se e aperfeiçoa o próprio 
comportamento de acordo (AGILE MANIFESTO, 2001, s.p.).
134
 Governança de TI
A literatura existente não oferece uma defi nição única quanto à agilidade, o 
que torna mais trabalhoso o processo de busca por mais informação acadêmica a 
respeito da abordagem ágil (CONBOY, 2009). Esse fato é apresentado no trabalho 
de Krawatzeck e Dinter (2015), no qual o catálogo de ações remete à agilidade 
sob diferentes pontos de vista. Não obstante, é importante compreender que 
metodologias ágeis são úteis para lidar com as constantes mudanças de escopo, 
novas necessidades do cliente e inovação tecnológica (LARSON; CHANG, 2016), 
como a tão falada transformação digital.
Delinearam-se as ideias centrais que abarcam as metodologias ágeis, como 
indivíduos e interações, mais do que processos e ferramentas; software funcional, 
mais do que documentação efi ciente; colaboração do cliente, mais do que 
negociação de contratos; e respostas às mudanças, mais do que o seguimento 
de um plano. Essas ideias geraram o processo de desenvolvimento de software 
como um processo menos formal, mais dinâmico, focado no cliente e na melhoria 
contínua para equipes e processos. 
O principal objetivo da governança de TI está na entrega de valor para o 
cliente, ou seja, esse cliente deve alcançar os resultados desejados com o 
serviço/recurso/ativo de TI que foi disponibilizado a ele. O Manifesto Ágil, citado 
anteriormente, dita, no conjunto dos próprios valores, a seguinte premissa: “nossa 
maior prioridade é contemplar o cliente através da entrega adiantada e contínua 
de software de valor” (AGILE MANIFESTO, 2001). Logo, os métodos ágeis 
objetivam essa entrega.
Originalmente, os métodos ágeis mantinham o foco no desenvolvimento de 
software, mas o Agile se expandiu para diversas áreas das empresas, assim, 
atualmente, a gestão de projetos não anda sem o Agile e sem o foco no cliente. 
Por exemplo, no Scrum, o principal responsável pelo produto é o Dono do Produto 
(Product Owner), o qual deve maximizar o valor do produto e do trabalho da 
equipe de desenvolvimento. Portanto, o Agile e a governança de TI se coadunam 
em objetivo (entregar valor) e método de melhoria contínua.
4.1 TENDÊNCIAS DE GOVERNANÇA 
DE TI
O primeiro recado que engloba as tendências é: a governança de TI é a 
tendência. Acompanhe o exposto a seguir:
135
TÉCNICAS PARA FAZER A GOVERNANÇA DE TI FUNCIONAR Capítulo 3 
TABELA 1 – RELATÓRIO GARTNER COM AS GRANDES 
PREOCUPAÇÕES PARA OS CEOs
FONTE: Adaptada de Gartner (2020)
Por que a governança de TI deveria fi gurar no topo das preocupações 
dos CEOs de 2021? Segundo Gartner (2020), devido à abrupta mudança para 
o trabalho remoto, o que acelerou a virtualização dos processos de negócio e 
a criação de rotinas e de procedimentos digitais, fazendo com que muitas 
organizações avançassem anos no espaço de algumas semanas. 
A COVID-19, que, primeiramente, foi noticiada em Wuhan, no fi nal de 
2019, na China, também, chamada de SARS-CoV2, espalhou-se, rapidamente, 
pelo mundo, e estimulou a rápida adoção de novas tecnologias por todos 
os atores negociais, pelo funcionário, pela gestão da organização, pelos 
clientes e fornecedores, apresentando novos desafi os para a produtividade, as 
preferências do consumidor e a proteção contra vulnerabilidades de segurança. 
As organizações precisaram criar novas rotinas e procedimentos para adequar 
a infraestrutura e viabilizar o trabalho remoto. Os service desks, das grandes e 
médias empresas, tiveram uma explosão de demanda por VPNs (Virtual Private 
Network), adequações em computadores pessoais e pedidos de acesso externo 
às organizações.
As organizações com uma governança de TI, e, em especial, com uma 
estrutura de serviços de TI, mais maduras,puderam responder, de forma mais 
precisa, a essa grande demanda, mas, para além desse primeiro momento, com o 
136
 Governança de TI
passar dos meses, a governança de TI tem se mostrado importante, novamente, 
para realinhar os processos de negócio e alavancar inovações tecnológicas já no 
novo cenário, no qual muitos continuarão trabalhando remotamente.
Outro assunto destacado pela Gartner (2020), e relacionado à governança 
de TI, é a governança de dados. Durante a pandemia, as organizações passaram 
a coletar mais informações pessoais confi denciais de funcionários e clientes do 
que nunca. Esse é um ponto de atenção, levando em consideração as exigências 
da LGPD.
A adequação dos órgãos e das entidades em relação à LGPD 
envolve uma transformação cultural que deve alcançar os 
níveis estratégico, tático e operacional da instituição. Essa 
transformação envolve: considerar a privacidade dos dados 
pessoais do cidadão, desde a fase de concepção do serviço ou 
produto até a execução (Privacidade by Design); e promover 
ações de conscientização de todo corpo funcional, no sentido 
de incorporar o respeito à privacidade dos dados pessoais nas 
atividades institucionais cotidianas (BRASIL, 2021, s.p.).
“Privacidade by Design”, certamente, não estava entre as preocupações dos 
CIOs em um momento de pandemia, no qual a primeira necessidade era garantir 
a continuidade do negócio. 
Apesar da infl uência da LGPD, segundo Gartner (2020, s.p.), devido à 
pandemia,
as práticas de governança de dados estão regredindo, com 
menos recursos dedicados à privacidade de dados do que 
nos anos anteriores. As organizações enfrentam ambientes 
de dados cada vez mais complexos, nos quais os dados 
são armazenados. O crescimento do software, como serviço 
(SaaS), e os atrasos, para a atualização dos sistemas legados, 
criaram ambientes de trabalho nos quais os dados são 
distribuídos em plataformas, softwares e servidores distintos. 
Essas complexidades continuam a testar os executivos de 
auditoria, com, apenas, 45% deles expressando alta confi ança 
na capacidade de gerenciar o risco de governança de dados.
Existem diversas ferramentas de Data Preparation Tools, e 
a Gartner analisa algumas em https://www.gartner.com/reviews/
market/data-preparation-tools.
137
TÉCNICAS PARA FAZER A GOVERNANÇA DE TI FUNCIONAR Capítulo 3 
Ainda, há diversas ferramentas de Data Quality, também, 
analisadas, pela Gartner, em https://www.gartner.com/reviews/
market/data-quality-solutions.
Outro ponto que tangencia a governança de TI, e que está, intimamente, 
ligado à governança de dados, são as vulnerabilidades cibernéticas.
As vulnerabilidades cibernéticas foram, especialmente, graves 
no ano de 2020, devido às rápidas mudanças organizacionais 
necessárias para proteger os funcionários e atender clientes 
em meio a uma pandemia. Apesar do aumento dos gastos 
com segurança cibernética, apenas 24% das organizações 
seguem, rotineiramente, as melhores práticas de segurança 
cibernética, o que gerará ataques cibernéticos que devem 
custar, às organizações, US $ 6 trilhões por ano até 2021 
(GARTNER, 2020, s.p.).
Existem diversas ferramentas de avaliação de vulnerabilidade, 
e a Gartner analisa algumas em https://www.gartner.com/reviews/
market/vulnerability-assessment.
A abordagem de Privacidade desde a Concepção (PdC) 
é caracterizada por medidas proativas e não reativas, ou 
seja, essa abordagem antecipa e evita eventos invasivos de 
privacidade antes que eles aconteçam. Desse modo, não 
se espera que riscos de privacidade se materializem nem 
ofereçam soluções para as infrações de privacidade após a 
ocorrência, mas se objetiva impedir que eles ocorram. Em 
resumo, a Privacidade desde a Concepção vem antes do fato, 
não depois. Se aplicada a tecnologias da informação, práticas 
organizacionais, projeto físico ou em rede de ecossistemas de 
informação, a PdC começa com um reconhecimento explícito 
do valor e dos benefícios da adoção de práticas de privacidade 
fortes, de forma precoce e consistente. Por exemplo, 
prevenindo a ocorrência de violações de dados, internas ou 
externas (BRASIL, 2021, s.p.).
A LGPD e os problemas atuais de vulnerabilidades cibernéticas têm tudo a 
ver com a governança de TI. Sem um compromisso claro da alta administração 
em defi nir e fazer cumprir altos padrões de governança de TI, não é possível, para 
138
 Governança de TI
o CIO, garantir a confi dencialidade, a integridade e a disponibilidade dos dados 
pessoais durante todo o ciclo da informação. 
Os impulsionadores dos riscos incluem falhas nos controles 
de segurança e vulnerabilidade dos funcionários à engenharia 
social. Mais da metade dos funcionários está usando dispositivos 
pessoais para trabalhar remotamente, enquanto 61% deles 
indicaram que o empregador não forneceu ferramentas para 
proteger esses dispositivos. Lapsos de segurança adicionais 
incluem a falta de atenção à segurança da rede doméstica do 
funcionário e ao status do software antivírus (GARTNER, 2020, 
s.p.).
Outro argumento, para o fortalecimento da governança de TI, está na 
necessidade de um compromisso, acordado pelas partes interessadas, de se 
inserirem em uma cultura de melhoria contínua, de forma a garantir a entrega de 
valor. Essa cultura está relacionada à proatividade, apontando projetos e práticas 
de privacidade inadequados e corrigindo quaisquer impactos negativos bem antes 
de eles ocorrerem. 
Voltando à necessidade de liderança do CIO, Gartner (2016, s.p.) aponta 
algumas ações para envolver as partes interessadas, especialmente, os membros 
da equipe de TI:
1. Clareza de propósito: Com um claro senso de propósito, 
os membros sentem que os objetivos pessoais se alinham, 
estreitamente, com a direção geral da equipe, e têm orgulho 
em ser membros. Isso empodera a tomada de decisões.
2. Clareza de funções e contribuições: Os membros são 
escolhidos devido a habilidades e a pontos fortes específi cos 
que eles oferecem, e funcionam bem juntos, pois se 
complementam.
3. Clareza de comunicação: As equipes de alto desempenho 
são ótimas na comunicação, de forma aberta e honesta, 
enfrentando, até mesmo, tópicos, potencialmente, sensíveis 
de frente, ao mesmo tempo em que são encorajadores e dão 
suporte.
4. Clareza de propriedade: Uma compreensão clara de 
propriedade e delegação é importante quando confi amos 
uns nos outros para completar tarefas complexas. Isso evita 
lacunas e sobreposições que diminuem a efi cácia da equipe, 
criam incerteza e tensão.
5. Celebração do sucesso: As equipes de alto desempenho 
dedicam tempo para comemorar os sucessos alcançados, 
para enfatizar o trabalho em equipe e refl etir a respeito da 
conquista coletiva.
O CIO efi caz, portanto, deve ser claro e objetivo frente à equipe, e, ao mesmo 
tempo, atento às tendências tecnológicas, para buscar oportunidades para 
as áreas de negócio. Tudo isso, sem perder de vista a grande necessidade de 
139
TÉCNICAS PARA FAZER A GOVERNANÇA DE TI FUNCIONAR Capítulo 3 
relacionamento com a alta administração, de forma a serem vistos como aliados 
confi áveis do negócio.
ALGUMAS CONSIDERAÇÕES
No presente capítulo, abordamos o papel e as características que um 
CIO efetivo precisa exercer, como: poderes de infl uência e de negociação, 
relacionamento e clareza com a equipe interna e com as partes interessadas 
externas à TI da organização.
Foram apresentados, também, os principais processos do COBIT (ISACA, 
2019). No entanto, é importante destacar que a literatura que tangencia a 
governança de TI é bem profícua. Apenas, para citar algumas áreas importantes 
e alguns autores relacionados: gerenciamento de projetos de TI (BERNROIDER; 
IVANOV, 2011; HUANG; WU; CHOU, 2013), gerenciamento de riscos de TI 
(ZWIKAEL; SADEH, 2007; ALHAWARI et al., 2012), gerenciamento de recursos 
de TI (MAIDIN; ARSHAD, 2010; NFUKA; RUSU, 2011) e compliance/assurance 
de TI (ABU-MUSA, 2009; HUANG et al., 2011).
Conforme Weille Ross (2006), a governança de TI é a especifi cação 
dos direitos decisórios e do framework de responsabilidade para estimular 
comportamentos desejáveis para a utilização de TI, ou seja, para esses autores, 
a governança de TI permite defi nir quem decide o que e quando. É uma defi nição 
simples, porém, nada fácil de se colocar em prática de maneira efi caz.
Nesse mesmo sentido, os autores, ainda, afi rmam que uma governança de 
TI efi caz deve tratar de três questões: (i) que decisões devem ser tomadas para 
garantir a gestão e o uso efi cazes de TI?; (ii) quem deve tomar essas decisões?; e 
(iii) como essas decisões serão tomadas e monitoradas?
Com relação à primeira pergunta (que decisões), o presente livro responde 
com uma grande lista de atividades para cada processo do COBIT (ISACA, 
2019). Certamente, não estão todas as atividades possíveis, mas foram cobertas 
muitas das principais. Já quanto à segunda pergunta (quem), é importantíssimo o 
entendimento de que muitas das decisões são da alta administração, e, algumas, 
do CIO, compartilhadas com essa alta administração. A última questão (como 
monitorar) abarca diversos indicadores que, assim como tudo que é prescrito 
pelo COBIT (ISACA, 2019), precisam ser adaptados para a realidade de cada 
organização, afi nal, não existe um “one best way” sempre.
140
 Governança de TI
Por último, foram apresentadas algumas tendências relacionadas à 
governança de TI, como a ubiquidade do método ágil, que iniciou na área de 
software e, atualmente, é utilizado por diversas áreas; o fortalecimento da 
importância da governança de dados; o advento da LGPD; e a iminência de 
vulnerabilidades cibernéticas advindas do momento pandêmico no qual vivemos, 
demonstrando, assim, a atualidade da governança de TI.
REFERÊNCIAS
ABU-MUSA, A. Exploring the importance and implementation of COBIT 
processes in Saudi organizations: an empirical study. Information Management 
& Computer Security, v. 17, n. 2, p. 73-95, 2009.
AGILE MANIFESTO. Manifesto for Agile Software Development. 2001. 
Disponível em: agilemanifesto.org. Acesso em: 24 abr. 2021.
ALHAWARI, S.; KARADSHEH, L.; TALET, A.; MANSOUR, E. Knowledge-based 
risk management framework for information technology project. International 
Journal of Information Management, v. 32, n. 1, p. 50-65, abr. 2012.
BECK, K. Extreme programming explained: embrace change. Boston: Addison-
Wesley, 2005. 
BERNROIDER, E.; IVANOV, M. IT project management control and the Control 
Objectives for IT and Related Technology (CobiT) framework. International 
Journal of Project Management, v. 29, p. 325-336, 2011.
BRASIL. Guia de Boas Práticas - Lei Geral de Proteção de Dados Pessoais 
(LGPD). 2021. Disponível em: https://www.gov.br/governodigital/pt-br/
governanca-de-dados/guia-lgpd.pdf. Acesso em: 24 abr. 2021.
COAD, P. Java modeling in color with UML: enterprise components and 
process. NJ: Prentice Hall PTR, 1999. 
CONBOY, K. Agility from fi rst principles: reconstructing the concept of agility in 
information systems development. Information Systems Research, v. 20, n. 3, 
p. 329-354, 2009. 
GARTNER. Gartner says audit chiefs identify IT governance as top risk 
for 2021. 2020. Disponível em: https://www.gartner.com/en/newsroom/press-
releases/2020-11-19-gartner-says-audit-chiefs-identify-it-governance-as-top-risk-
for-2021. Acesso em: 24 abr. 2021.
141
TÉCNICAS PARA FAZER A GOVERNANÇA DE TI FUNCIONAR Capítulo 3 
GARTNER. CIO leadership. 2016. Disponível em: https://www.gartner.com/
imagesrv/cio/pdf/Gartner_CIO_Leadership.pdf. Acesso em: 24 abr. 2021.
HONG, W. et al. A framework and guidelines for context-specifi c theorizing in 
information systems research. Information Systems Research, v. 7047, n. 2004, 
p. 1-26, 2013.
HUANG, S. M. et al. IT governance: objectives and assurances in internet 
banking. Advances in Accounting, v. 27, n. 2, p. 406-414, 2011.
 
HUANG, T. C.-K.; WU, I.-L.; CHOU, C.-C. Investigating use continuance of data 
mining tools. International Journal of Information Management, v. 33, n. 5, p. 
791-801, 2013.
ISACA. Governance and management objectives COBIT® 2019 Framework. 
Schaumburg: ISACA, 2019. Disponível em: https://www.isaca.org/resources/cobit. 
Acesso em: 24 abr. 2021.
ISO. ISO/IEC 20000-1:2018. Information tecnology – Service management – Part 
1: Service management system requirements. Disponível em: https://www.iso.org/
standard/70636.html. Acesso em: 24 abr. 2021.
KOHL, K.; PRIKLADNICKI, R. Perceptions on diversity in brazilian agile 
software development teams. 2018.
KRAWATZECK, R.; DINTER, B. Agile business intelligence: collection and 
classifi cation of agile business intelligence actions by means of a catalog and 
a selection guide. Information Systems Management, v. 32, n. 3, p. 177-191, 
2015. 
KRUCHTEN, P. The rational unifi ed process: an introduction. Boston: Addison-
Wesley, 2004. 
LARSON, D.; CHANG, V. A review and future direction of agile, business 
intelligence, analytics and data science. International Journal of Information 
Management, v. 36, n. 5, p. 700-710, 2016. 
MAIDIN, S. S.; ARSHAD, N. H. Information Technology governance practices 
in Malaysian public sector. 2010. p. 281-285.
NFUKA, E. N.; RUSU, L. The effect of critical success factors on IT governance 
performance. Industrial Management and Data Systems, v. 111, n. 9, p. 1418–
1448, 2011. 
142
 Governança de TI
SCHWABER, K.; SUTHERLAND, J. The Scrum guide. 2004. Disponível em: 
http://www.scrum.org/Scrum-Guides. Acesso em: 24 abr. 2021.
WEILL, P.; ROSS, J. W. Governança de TI. São Paulo: Ed. M. Books, 2006.
ZWIKAEL, O.; SADEH, A. Planning effort as an effective risk management tool. 
Journal of Operations Management, v. 25, n. 4, p. 755-767, 2007.