Livro-Texto Unidade III Governança Corporativa de TI

Prévia do material em texto

93
GOVERNANÇA CORPORATIVA DE TI
Unidade III
5 MODELOS E PRÁTICAS DE GOVERNANÇA CORPORATIVA DE TI
Você já deve ter percebido a sequência lógica deste livro-texto. Iniciamos abordando a governança 
corporativa, incluindo todos os seus fundamentos e lastreando a base conceitual para abordarmos a 
governança corporativa de TI. Na sequência, exploramos as definições de governança de TI com foco nos 
seus motivadores, no seu histórico e nos seus fundamentos. Abordamos o ciclo da governança de TI, além 
dos papéis, responsabilidades e funções, principalmente envolvendo o processo de tomada de decisão.
Agora vamos ver os modelos de governança corporativa de TI. Esses modelos apresentam um conjunto 
de boas práticas que auxilia em um melhor governo da TI nas organizações. Começaremos pelo modelo de 
governança utilizado no Center for Information Systems Research (CISR), do Massachusetts Institute of 
Technology (MIT), apresentado por Weill e Ross (2006). Depois passaremos ao modelo estabelecido por 
Fernandes e Abreu (2014) e, por último, mencionaremos o modelo descrito na norma ISO 38500:2018. 
O modelo Cobit®, sem dúvidas o mais conhecido, será abordado mais adiante. Apresentaremos também 
modelos que suportam a governança de TI nos mais diversos aspectos da área de TI: análise de negócios; 
processos de TI; arquitetura de TI; projetos de TI; e serviços de TI.
5.1 Modelos e frameworks de governança de TI
5.1.1 Modelo e melhores práticas de governança de TI desenvolvidos pelo CISR do MIT
Boa parte do trabalho do CISR destinado à governança de TI pode ser observada em Weill e Ross (2006). 
O trabalho se baseia na ideia de sistema de governo de TI como a especificação de direitos decisórios 
e com um framework (modelo) composto de seis componentes básicos interligados e harmonizados: 
estratégia e organização da empresa; arranjos de governança de TI; metas de desempenho do negócio; 
organização da TI e comportamentos desejáveis; mecanismos de governança de TI; e métricas e 
responsabilidades de TI. A figura a seguir apresenta esse modelo.
Estratégia e 
organização da 
empresa
Arranjos de governança de TI
Metas de 
desempenho do 
negócio
Organização 
de TI e 
comportamentos 
desejáveis
Mecanismos de governança de TI
Decisões 
de TI
Métricas e 
responsabilidades 
de TI
 Harmonizar o quê? Harmonizar como?
Figura 19 – Framework de governança de TI
Adaptada de: Weill e Ross (2006).
94
Unidade III
O primeiro componente do modelo é definido como estratégia e organização da empresa. Na 
verdade, é onde tudo começa em matéria de governança de TI, compreendendo a visão de longo prazo 
da empresa e os comportamentos desejáveis sob o aspecto corporativo. Nesse componente devem ser 
incluídos todos os norteadores estratégicos empresariais do negócio.
O segundo componente, arranjos de governança de TI, é definido e está em conformidade com o 
que foi acordado pelo primeiro componente. Nesse componente encontramos estruturada a Matriz de 
Arranjos de Governança de TI da organização e apresentam-se os responsáveis pela tomada de decisão 
em princípios de TI, a arquitetura de TI, a infraestrutura de TI, as necessidades de aplicação de negócio 
e os investimentos de TI.
Ainda na parte superior do modelo, encontramos o terceiro componente, que é representado pelas 
metas de desempenho do negócio. Aqui encontramos de forma clara metas e objetivos de desempenho 
corporativos, que servirão de base para a criação de metas e objetivos de TI.
Agora, abordando a porção inferior do modelo, encontramos os desdobramentos mais concretos 
para dentro da área de TI. Comecemos pelo quarto componente, que é a organização de TI e 
comportamentos desejáveis. Esse componente é a forma de harmonizar os fundamentos estratégicos 
do negócio dentro da área de TI, ou seja, organizando-a e definindo comportamentos harmonizados 
com a governança corporativa.
O componente de número cinco é formado pelos mecanismos de governança de TI. Ele expressa a 
forma como harmonizamos os arranjos de governança de TI definidos pela alta direção. Definimos aqui 
estruturas organizacionais, processos e abordagens de comunicação.
O último componente é representado pelas métricas e responsabilidades de TI. Aqui ocorre o 
desdobramento e a harmonização das metas de desempenho de negócio em métricas de TI, apontando 
a atribuição de responsabilidades da TI, que contribui para a eficácia da governança de TI.
Weill e Ross (2006) apresentam o exemplo de um modelo de governança de TI implementado 
na empresa JPMorgan Chase, do segmento financeiro nos Estados Unidos. Esse modelo com os seus 
componentes pode ser visto a seguir:
95
GOVERNANÇA CORPORATIVA DE TI
Estratégia e organização 
da empresa
1. Constituir excelência em linhas de 
negócios individuais.
2. Prover soluções integradas aos 
clientes.
3. Melhorar a eficiência.
4. Beneficiar-se de economia de 
escala.
5. Desenvolver a cultura "uma firma – 
uma equipe".
6. Aumentar a transparência e a 
responsabilidade.
Arranjos de 
governança de TI
1. O comitê executivo de tecnologia 
e o conselho de tecnologia decidem: 
princípios de TI e investimentos 
em TI.
2. O conselho de tecnologia e os 
parceiros de negócios decidem: 
estratégias e prioridades de TI, além 
dos padrões de TI.
3. Os negócios decidem: necessidades 
de aplicações.
Metas de desempenho 
do negócio
1. Métricas distintas para cada 
unidade de negócio.
2. Nova linguagem e cultura.
3. Retenção de clientes, venda 
cruzada, recrutamento.
Organização de TI e 
comportamentos desejáveis
1. Desenvolver aplicações únicas para 
as unidades de negócio.
2. Criar uma infraestrutura 
compartilhada.
3. Simplificar a arquitetura 
geral da firma para facilitar o 
compartilhamento, a integração e a 
reutilização.
4. Implementar padrões técnicos e 
de gestão de princípios, incluindo o 
Six Sigma.
Mecanismos de 
governança de TI
1. CIO no comitê executivo.
2. Vice-chairs no comitê executivo de 
tecnologia.
3. CIOs das unidade de negócio e 
líderes de infraestrtura formam o 
conselho de tecnologia.
4. Conselhos de arquitetura e 
engenharia definem os padrões de 
tecnologia.
Métricas e 
responsabilidades de TI
1. Processo orçamentário do 
"encolher para crescer".
2. Métricas distintas para cada 
unidade de negócio.
3. ROI para os investimentos.
4. Número reduzido de produtos 
de TI utilizados e eliminação de 
produtos não aprovados.
5. Certificação na metododologia 
padrão de projetos.
 Harmonizar o quê? Harmonizar como?
Figura 20 – Modelo de governança de TI do JPMorgan Chase
Adaptada de: Weill e Ross (2006).
Ainda segundo Weill e Ross (2006), as organizações que não implementam boas práticas de 
governança de TI baseadas em estratégias, atribuição de direitos de decisão e estabelecimento de metas 
e métricas têm seu sistema de governo de TI totalmente ineficaz.
Existem pelo menos sete sintomas de ineficácia desses sistemas. São eles:
• Sintoma 1: há pouca importância dada pela alta direção para os investimentos relacionados 
à área de TI.
• Sintoma 2: a área de TI não atende às necessidades de negócios, prejudicando as estratégias corporativas.
• Sintoma 3: o processo de tomada de decisão em TI é lento, e os mecanismos utilizados são 
inexistentes ou mal concebidos.
96
Unidade III
• Sintoma 4: não há clareza sobre como a área de TI é governada pela alta direção.
• Sintoma 5: os projetos de TI normalmente resultam em fracasso relacionado ao tempo e/ou custo.
• Sintoma 6: compreende processos de terceirização, como a solução rápida de problemas de TI.
• Sintoma 7: quando existe um sistema de governança, ele muda frequentemente, sem 
qualquer controle.
Em contrapartida, para vencer a ineficácia no governo da área de TI é necessário combater aquilo 
que causa esses sintomas, revisitando e concebendo de forma correta um sistema de governança de TI. 
Os passos para essa governança eficaz da TI, baseados no modelo do CISR do MIT, podem ser vistos na 
figura a seguir:
– Mapear matriz de arranjosde governança da organização.
– Verificar a quantidade e eventuais sobreposições dos mecanismos 
de governança de TI.
– Analisar a eficácia dos mecanismos de governança de TI.
– Verificar se as metas de desempenho do negócio estão sendo atingidas.
– Verificar a necessidade de ajustes na matriz de arranjos de governança 
visando a melhoria do desempenho.
– Reajustar matriz de arranjos de governança a partir da análise da "estratégia e 
organização da empresa" e das "metas e desempenho do negócio".
– Promover e liderar ajustes na "organização da TI" e nas "métricas e 
responsabilidades de TI".
Passo 1
Passo 3
Passo 2
Passo 4
Passo 5
Figura 21 – Passos para a governança de TI eficaz
Adaptada de: Weill e Ross (2006).
5.1.2 Modelo baseado no ciclo de governança de TI
Fernandes e Abreu (2014) apresentam um modelo genérico construído a partir do ciclo de governança 
de TI, que pode ser aplicado em qualquer empresa que deseja possuir um adequado sistema de governo 
para a área de TI. A figura a seguir apresenta um esboço desse modelo com todos os seus componentes.
97
GOVERNANÇA CORPORATIVA DE TI
Plano de TI - 
Internos
Plano de TI - 
Negócios
Gerenciam
ento 
de recursos
Com
unicação
Gestão do desem
penho
Entrega do valor
M
ecanism
os 
de decisão
Clientes/usuários
Fornecedores
Operações de serviços
Projetos
Serviços
Inovação
Priorização
Riscos e com
pliance
Avaliação independente
Gestão da m
udança organizacional
Alinham
ento estratégico
Resultados de TI
Resultados para o negócio
Comunicação e reporte de resultados
Estratégia do negócio
Estratégia de TI
Portfólio 
de TI
Alinham
ento
Decisão 
Priorização
Estrutura, processos, 
operações e gestão
Gestão do valor e do desem
penho da TI
Diretrizes
Investim
entos
Diretrizes
Orçam
ento
Figura 22 – Modelo genérico baseado no ciclo da governança de TI
Adaptada de: Fernandes e Abreu (2014).
98
Unidade III
O modelo é formado por componentes típicos de governança, que são: riscos e compliance; avaliação 
independente; gestão da mudança organizacional; alinhamento estratégico; entrega de valor; gestão do 
desempenho; comunicação; e gerenciamento de recursos.
Existem também os componentes de gestão e operacionais, que são: estratégia do negócio; estratégia 
de TI; planos de TI; mecanismos de decisão; portfólio de TI; clientes e usuários; operações de serviços; 
fornecedores; resultados da TI; resultados para o negócio; e comunicação e reporte de resultados.
 Lembrete
O ciclo da governança de TI é formado pelos seguintes componentes: 
alinhamento estratégico; tomada de decisão; estabelecimento de estruturas 
e processos; e gerenciamento do valor e do desempenho.
Vamos começar mencionando os componentes típicos da governança de TI constantes no modelo. 
Primeiro o componente riscos e compliance, que está relacionado às questões de gestão de riscos 
inerentes às ações de TI, bem como às regulamentações internas e externas que afetam a operação da 
infraestrutura de TI da organização. Sobre os riscos, a ideia é que a governança de TI se preocupe com 
o estabelecimento de um sistema de gestão de riscos, de forma que haja avalição, monitoramento e 
resposta ao risco.
Temos como segundo componente típico a avaliação independente, que funciona como um 
desdobramento do primeiro componente (riscos e compliance). Ele é de grande importância para 
verificar se a área de TI está aderente às práticas, às políticas e aos padrões de mercado. O sistema de 
governo de TI precisa estabelecer como se dará essa avaliação por meio, é claro, de uma empresa 
de auditoria externa.
 Observação
A ideia da auditoria externa da TI é verificar os controles corporativos 
aplicados na área de TI.
O terceiro componente típico é a gestão da mudança organizacional. Esta surge da necessidade 
de administrar as mudanças promovidas com a implementação da governança de TI. Sobre esse 
componente, Fernandes e Abreu (2014) mencionam que a governança de TI traz consigo mudanças 
na forma de fazer as coisas, não somente operacionais, mas, principalmente, na forma de gerenciar. 
Os autores ainda complementam mencionando que o sucesso da implantação da governança de TI 
depende fundamentalmente de um gerenciamento da mudança organizacional. O processo de mudança 
gerado pela governança de TI é altamente influenciado por seis fatores: comunicação; visão; motivação; 
competência; recursos; e plano de ação. A figura a seguir apresenta os resultados encontrados quando 
não temos um desses fatores considerados.
99
GOVERNANÇA CORPORATIVA DE TI
Fatores considerados no processo de mudança
Efeito produzido
Comunicação Visão Motivação Competência Recursos Plano de ação
x x x x x x → Mudança consistente
x x x x x → Desconfiaça
x x x x x → Confusão
x x x x x → Mudança lenta
x x x x x → Ansiedade
x x x x x → Frustração
x x x x x → Indecisão
Figura 23 – Elementos da mudança organizacional e os efeitos produzidos
Adaptada de: Fernandes e Abreu (2014).
O quarto e o quinto componentes típicos são, respectivamente, alinhamento estratégico 
e entrega de valor. Eles são de grande importância e caros para a governança de TI, e já foram 
mencionados anteriormente.
 Lembrete
O alinhamento estratégico é crítico para a concretização da entrega de 
valor por parte da TI para os negócios, além de ser um dos processos mais 
importantes da governança de TI.
O sexto componente típico é a gestão do desempenho, que está relacionado às formas de 
medição e de uso de indicadores de governança de TI. Essas medições e indicadores estão relacionados 
diretamente à TI e/ou relacionados diretamente aos negócios. Na primeira forma de indicadores 
(relacionados diretamente à TI), medimos processos específicos de TI, como a quantidade de incidentes 
ocorridos em um dia. Na segunda forma de indicadores (relacionados diretamente aos negócios), 
medimos impactos diretos nas aplicações de negócio, por exemplo, o tempo de indisponibilidade de 
uma aplicação em um mês.
 Observação
Podemos utilizar diversas ferramentas para fazer a gestão desses 
indicadores. Uma delas é o Balanced Scorecard (BSC), que nos ajuda a criar 
um conjunto de indicadores balanceados nas perspectivas financeiras, do 
cliente, dos processos internos, do aprendizado e do crescimento.
O sétimo componente típico da governança de TI é a comunicação, considerado um dos mais críticos 
dentro da governança e da gestão. Fernandes e Abreu (2014) mencionam que a comunicação é importante 
para transmitir o valor entregue pela TI ao negócio por meio do seu desempenho. Os autores apresentam 
o dashboard como uma ferramenta gráfica que comunica, por meio de painéis, os indicadores desejados 
pelos usuários.
100
Unidade III
O quadro a seguir apresenta temas de interesse a serem colocados em dashboards de governança de 
TI e os indicadores e informações que podem ser inseridos.
Quadro 21 – Temas e indicadores de dashboards de governança de TI
Temas principais Indicadores/informações
Criação de valor Retorno do investimento do projeto, atendimento a metas de negócios e outros benefícios qualitativos.
Alinhamento de TI
Cumprimento das demandas no portfólio de TI.
Indicadores de resultados e de progresso do BSC.
Satisfação dos clientes e usuários Índice de satisfação dos clientes e usuários por serviço.
Excelência operacional e 
níveis de serviço
Disponibilidade de aplicações e serviços de TI.
Eficiência do atendimento e suporte aos usuários.
Entrega de projetos nos prazos acordados com os gestores.
Produtividade da TI.
Índices de qualidade do desenvolvimento.
Índices de qualidade dos serviços de TI.
Custos dos serviços.
Compliance
Índice de conformidade com regulamentos internos e externos.
Índice de conformidade da avaliação independente.
Riscos da TI para o negócio
Principais riscos de TI para o negócio (probabilidade e impacto).
Montante de exposição ao risco.
Projetos prioritários de TI
Curva S do projeto.
Status do projeto.
Gerenciamento de recursos e 
portfólio de TI
Índice decumprimento do orçamento de TI para a unidade de negócio.
Alocação de recursos pelo portfólio de TI.
Disciplina orçamentária.
Demanda Percentual de backlog em relação à demanda total.
Potencial de futuro
Indicadores de treinamento e capacitação do pessoal.
Pessoal certificado.
Prontidão
Indicadores de qualidade dos fornecedores.
Capacidade de recursos computacionais para a expansão do negócio.
Maturidade dos processos de TI.
Razão de terceiros sobre o total de pessoal empregado.
Inovação
Indicadores de inovação para os processos de negócio.
Indicadores de inovação tecnológica.
Inovação em TI.
Adaptado de: Fernandes e Abreu (2014).
Completando os componentes típicos da governança de TI, encontramos o gerenciamento de 
recursos. Ele consiste na administração de todos os recursos de TI envolvendo o portfólio como um 
todo, incluindo os investimentos relacionados à TI.
101
GOVERNANÇA CORPORATIVA DE TI
 Saiba mais
Para conhecer um pouco mais sobre o modelo baseado no ciclo da 
governança de TI, leia o capítulo 3 do livro a seguir:
FERNANDES, A. A.; ABREU, V. F. Implantando a governança de TI. Rio de 
Janeiro: Brasport, 2014.
5.1.3 Modelo baseado na norma ISO 38500:2018
A International Organization for Standardization (ISO) conjuntamente com a International 
Electrotechnical Commission (IEC) lançou, em 2008, a primeira edição da sua norma para governança 
corporativa de TI. A princípio, ela foi baseada no padrão australiano conhecido como AS 8015, que 
estabeleceu, em 2015, os padrões para governança corporativa da Tecnologia da Informação e da 
Comunicação para as empresas da Austrália.
A ISO/IEC lançou uma segunda edição dessa norma em 2015, que foi publicada pela ABNT em 2018 com 
pequenas alterações quando comparadas à versão de 2008. O objetivo principal da ISO 38500:2018 é 
trazer um conjunto de princípios que, associados a tarefas, trazem as práticas de governança de TI para 
as organizações de qualquer porte, públicas ou privadas. Essa norma integra uma família de padrões da 
ISO dedicada apenas à governança e à gestão de TI. O quadro a seguir apresenta essa família de normas 
da ISO para governança e gestão de TI.
Quadro 22 – Família de normas de gestão e governança de TI da ISO
Norma Escopo
38500 Governança de TI.
38501 Guia de implementação da governança de TI.
38502 Framework de governança de TI.
38503 Avaliação da governança de TI.
38504 Princípios básicos de governança de TI.
38505-1 Aplicações da governança de dados.
38505-2 Gerenciamento e governança de dados.
38506 Governança de investimentos de TI.
38507 Implicações da governança no uso da inteligência artificial.
A norma ISO 38500:2018 funciona como uma “mãe” das outras normas e promove o uso eficiente e 
eficaz da TI, garantindo a confiança dos stakeholders na TI. Ela também traz um conjunto de informações 
e orientações para aqueles que exercem o governo da TI em uma empresa.
102
Unidade III
A figura a seguir apresenta o desenho do modelo de governança de TI estabelecido pela norma com 
os seus componentes fundamentais. O modelo consiste primariamente na execução de três tarefas 
de governança de TI, que são: avaliar; dirigir; e monitorar. Essas tarefas sofrem pressões externas das 
autoridades da organização (alta direção e conselho de administração), das obrigações regulatórias 
(por exemplo, a SOX), das necessidades de negócio (novas aplicações que atendam às necessidades de 
negócio) e das expectativas das partes interessadas (entrega do valor) e do negócio, de forma geral 
(ABNT, 2018).
Avaliar
Gerentes
Sistemas de gerenciamento do uso da TI
Dirigir Monitorar
Obrigações 
regulatórias
Fonte de 
autoridade
A estrutura 
de governança
Es
tr
at
ég
ia
s e
 
po
lít
ic
as
Pr
op
os
ta
s e
 p
la
no
s
De
se
m
pe
nh
o 
e 
co
nf
or
m
id
ad
e
Pressões do 
negócio
Expectativas das 
partes interessadas
Necessidades 
do negócio
Figura 24 – Modelo da governança de TI da ISO 38500:2018
Adaptada de: ABNT (2018).
A tríade avaliar-dirigir-monitorar está diretamente relacionada ao sistema de gerenciamento da TI 
(ABNT, 2018).
• Na tarefa dirigir são estabelecidas estratégias e políticas que influenciam a gestão de TI, bem como 
toda orientação para implementá-las, garantindo que o uso da TI atenda aos objetivos do negócio.
• Na tarefa avaliar ocorre um processo de análise do uso da TI no que tange a planos e propostas 
construídos a partir das informações oriundas da gerência da TI.
• Na tarefa monitorar são aferidos o desempenho e a conformidade da TI, bem como o atendimento 
das políticas e o desempenho em relação aos planos projetados.
103
GOVERNANÇA CORPORATIVA DE TI
5.1.4 Princípios e práticas da norma ISO 38500:2018
A norma ISO 38500:2018 estabelece um conjunto de princípios que apresentam comportamentos 
que auxiliam no processo de tomada de decisão em TI. Os princípios são:
• Princípio 1 (responsabilidade): apresenta a necessidade de estabelecer papéis, responsabilidade 
e exercício de autoridade no governo da área de TI, bem como a sua comunicação clara.
• Princípio 2 (estratégia): apresenta a necessidade de existência de uma estratégia de TI totalmente 
alinhada às estratégias de negócios, atendendo necessidades atuais e futuras.
• Princípio 3 (aquisição): apresenta a importância de voltar a atenção da governança da TI para 
os processos de aquisição, inclusive de contratação de terceiros.
• Princípio 4 (desempenho): apresenta a necessidade de medir sempre e constantemente o 
desempenho da TI, comparando o executado com o planejado.
• Princípio 5 (conformidade): apresenta a necessidade de atender aos requisitos regulatórios, de 
conformidade e de compliance dentro da área de TI.
• Princípio 6 (comportamento humano): apresenta a necessidade da gestão adequada das pessoas 
dentro da área de TI, bem como a consideração de questões de ordem humana na execução 
das tarefas.
Assim, a partir dos princípios e das tarefas do ciclo avaliar-dirigir-monitorar, estabelece-se um 
conjunto de práticas. O quadro a seguir apresenta algumas dessas práticas, dispostas como uma matriz, 
relacionando linhas (tarefas) e colunas (princípios).
Quadro 23 – Modelo da governança de TI da ISO 38500:2018
Responsabilidade Estratégia Aquisição Desempenho Conformidade Comportamento humano
Avaliar
Práticas de avalição 
considerando 
o princípio da 
responsabilidade.
Práticas de 
avalição 
considerando 
o princípio da 
estratégia.
Práticas de 
avalição 
considerando 
o princípio 
da aquisição.
Práticas de 
avalição 
considerando 
o princípio do 
desempenho.
Práticas de 
avalição 
considerando 
o princípio da 
conformidade.
Práticas de 
avalição 
considerando 
o princípio do 
comportamento 
humano.
Dirigir
Práticas de direção 
considerando 
o princípio da 
responsabilidade.
Práticas 
de direção 
considerando 
o princípio da 
estratégia.
Práticas 
de direção 
considerando 
o princípio 
da aquisição.
Práticas 
de direção 
considerando 
o princípio do 
desempenho.
Práticas 
de direção 
considerando 
o princípio da 
conformidade.
Práticas de direção 
considerando 
o princípio do 
comportamento 
humano.
Monitorar
Práticas de 
monitoração 
considerando 
o princípio da 
responsabilidade.
Práticas de 
monitoração 
considerando 
o princípio da 
estratégia.
Práticas de 
monitoração 
considerando 
o princípio 
da aquisição.
Práticas de 
monitoração 
considerando 
o princípio do 
desempenho.
Práticas de 
monitoração 
considerando 
o princípio da 
conformidade.
Práticas de 
monitoração 
considerando 
o princípio do 
comportamento 
humano.
Adaptado de: ABNT (2018).
104
Unidade III
 Saiba mais
Para conhecer as práticas de governança, adquira:
ABNT. NBR ISO/IEC 38500: tecnologia da informação – governança da 
TI para a organização. Rio de Janeiro: ABNT, 2018.
5.2 Modelos que suportam a governança de TI
5.2.1 A relação entre modelos de governança de TI e de suporte à governança de TI
Os modelos e frameworks comentados até agora são utilizados para o governo da área deTI. Eles 
estabelecem uma forte ligação entre as áreas de negócios, a alta direção e a área de TI, apresentando, em 
uma visão macro, como a tecnologia da informação e as suas estratégias devem ser dirigidas, avaliadas 
e monitoradas em uma visão mais executiva.
Os princípios e as práticas apresentados como boas práticas por esses modelos devem ser desdobrados 
na TI como um todo no nível de gestão. É justamente nesse desdobramento que começa o trabalho 
dos modelos de suporte à governança de TI, adentrando cada contexto específico de TI (serviços de TI, 
projetos de TI, terceirizações em TI, aplicações de TI, processos de TI, qualidade de software, análise de 
negócios de TI, gestão de dados, dentre outros).
 Observação
Podemos nos referir a esses contextos específicos como “subáreas” de TI 
ou áreas internas de TI. Assim, temos a área interna de serviços de TI, a área 
interna de projetos de TI etc.
O quadro a seguir apresenta uma relação desses modelos de melhores práticas, bem como o seu 
escopo específico dentro dos contextos da TI, ou seja, nas áreas internas da TI.
Quadro 24 – Modelos de suporte à governança de TI
Modelos Escopo do modelo
Business Analysis Body of Knowledge 
(Babok®) Guia de conhecimento para a prática de análise de negócio.
Business Process Management Body 
of Knowledge (BPM CBOK®) Corpo de conhecimento para o gerenciamento de processos de negócio.
The Open Group Architecture 
Framework (Togaf®) Modelo que trata o desenvolvimento e a evolução de arquiteturas de TI.
Projects in Controlled Environments 
(Prince2®) Metodologia de gerenciamento de projetos.
105
GOVERNANÇA CORPORATIVA DE TI
Modelos Escopo do modelo
Project Management Body Of 
Knowledge (PMBOK®) Base de conhecimento em gestão de projetos.
Information Technology 
Infrastructure Library (Itil®)
Serviços de TI, segurança da informação, gerenciamento da 
infraestrutura, gestão de ativos e aplicativos etc.
Capability Maturity Model Integration 
(CMMI®) Desenvolvimento de produtos e projetos de sistemas e software.
Melhoria de Processos do Software 
Brasileiro (MPS.br) Modelo brasileiro para a melhoria do processo de software.
ISO 31000:2018 Trata dos princípios e guias para o gerenciamento de riscos para as organizações.
ISO 20000:2018 Norma abordando requisitos e melhores práticas para o gerenciamento de serviços de TI.
ISO 27001:2013 e ISO 27002:2013 Requisitos e código de prática para a gestão da segurança da informação.
eSourcing Capability Model (eSCM®) Outsorcing em serviços que usam TI de forma intensiva.
Organizational Project Management 
Maturity Model (OPM3) Modelo de maturidade para o gerenciamento de projetos.
Scrum Método ágil para o gerenciamento de projetos.
Balanced Scorecard (BSC) Metodologia de planejamento e gestão da estratégia.
Six Sigma Metodologia para melhoria da qualidade de processos.
Statement on Auditing Standards 
(SAS) No. 70 Regras de auditoria para empresas de serviços.
5.2.2 Modelo Babok®
Comecemos agora a mencionar alguns modelos destacados anteriormente. Comecemos pelo 
Babok®, que foi criado em 2005 pelo Instituto Internacional de Análise de Negócios, também 
conhecido como IIBA, com versões publicadas em 2005 (versão 1.4), 2006 (versão 1.6) e 2009 (versão 2.0). 
A versão 3 foi lançada em 2015, acompanhada de uma extensão para métodos ágeis.
Além do Babok®, o IIBA mantém uma série de publicações voltadas para análise e estratégia 
relacionadas à tecnologia da informação e de dados. O IIBA foi criado em outubro de 2003 em Toronto 
(Canadá) com o objetivo de apoiar a emergente comunidade de análise de negócios, por meio de 
iniciativas como a criação e o desenvolvimento da consciência e do reconhecimento da contribuição do 
analista de negócios.
 Observação
É perceptível um grande crescimento do IIBA no Brasil. Já são sete 
capítulos (filiais) situados em São Paulo, Rio de Janeiro, Belo Horizonte, 
Porto Alegre, Curitiba, Brasília e Recife.
A ideia do Babok® é apresentar a análise de negócios como um conjunto de tarefas e técnicas 
utilizadas para servir como ligação entre as partes interessadas no intuito de compreender a estrutura, 
as políticas e as operações de uma organização, e para recomendar soluções que permitam que a 
organização alcance seus objetivos (IIBA, 2015).
106
Unidade III
Essa análise de negócios é composta por seis elementos principais. São eles:
• Mudanças (changes): é a ação que ocorre para atender à necessidade e transformar o contexto 
de forma controlada.
• Soluções (solutions): é o resultado da análise que vai resolver o problema ou aproveitar a 
oportunidade.
• Contexto (contexts): é formado pela cultura, pelos processos e pelas regras da organização que 
influenciam na análise de negócio.
• Valor (value): é formado pelos benefícios que são entregues às pessoas.
• Partes interessadas (stakeholders): são aqueles que precisam ter os seus requisitos atendidos.
• Necessidades (needs): pode ser um problema a ser resolvido ou uma oportunidade a ser aproveitada.
Os elementos principais podem ser vistos a seguir:
Needs Solutions
Value
Changes
Stakeholders Contexts
Figura 25 – Elementos da análise de negócios
Adaptada de: IIBA (2015).
O Babok® apresenta um conjunto de práticas geralmente aceitas no campo de análise de negócios, 
não se tratando de uma imposição para todos os casos, mas de um conjunto de técnicas inovadoras que 
pode agregar valor à análise de negócio. Essas práticas estão distribuídas em seis áreas de conhecimento: 
107
GOVERNANÇA CORPORATIVA DE TI
planejamento e monitoramento da análise de negócios; análise da estratégia; elicitação e colaboração; 
gerenciamento do ciclo de vida dos requisitos; análise de requisitos e definição de desenho; e avaliação 
da solução (IIBA, 2015).
A primeira área de conhecimento é o planejamento e monitoramento da análise de negócios, que 
tem como objetivo planejar a abordagem, as atividades e a comunicação da análise de negócios, além de 
conduzir a análise das partes interessadas e gerenciar o desempenho da análise de negócios.
A segunda área de conhecimento é a análise da estratégia, que se preocupa com os cenários atuais 
e o projeto para o futuro. Ela também contempla uma avaliação de riscos e a definição das estratégias 
de mudanças, considerando os seus impactos e os motivos para a mudança.
A elicitação e colaboração é a terceira área de conhecimento e, ao pé da letra, significa “trazer à 
tona”, “expor”. É considerada uma área-chave porque expõe os requisitos das partes interessadas por 
meio de: brainstorming; análise documental; grupos focais; análise de interface; entrevistas; observação; 
prototipagem; workshop de requisitos; pesquisa; e questionário.
A quarta área de conhecimento trata do gerenciamento do ciclo de vida dos requisitos, 
preocupando-se com o rastreamento, com a manutenção e com a priorização dos requisitos. Aqui 
ocorre a administração eficiente dos requisitos a partir de um ciclo de vida.
A análise de requisitos e definição de desenho está relacionada às tarefas de exame dos requisitos 
declarados com o objetivo deliberar quais capacidades uma solução potencial deve possuir para atender 
às necessidades das partes interessadas. A análise de requisitos descreve a priorização e elaboração 
progressiva dos requisitos das partes interessadas e da solução para permitir que a equipe da iniciativa 
ou projeto implemente a solução que deverá atender à necessidade do negócio.
A avaliação da solução é a área de conhecimento que define as tarefas voltadas para a garantia de 
atendimentos das necessidades do negócio por parte das soluções implementadas. Nessa área também 
se verificam as limitações das soluções e da organização.
Ainda é importante acrescentar que o Babok® estabelece a análise de negócios a partir de cinco 
perspectivas e, em cada uma delas, encontramos técnicas, tarefas e ferramentas recomendadas. As perspectivas 
são: Business Intelligence (BI); Tecnologia da Informação (TI); gerenciamento de processos de negócio;arquitetura de negócios; e ágil (IIBA, 2015).
 Saiba mais
Para conhecer um pouco mais sobre o Babok®, leia:
IIBA. Babok®: a guide to the business analysis body of knowledge. 3. ed. 
Pickering: IIBA, 2015.
108
Unidade III
5.2.3 Modelo BPM CBOK®
Continuando a nossa passagem pelos modelos que suportam a governança de TI, avancemos 
agora conhecendo um pouco sobre o BPM CBOK®. Ele foi desenvolvido pela Association of Business 
Process Management Professionals (ABPMP), que, traduzindo para o português, significa Associação 
de Profissionais de Gerenciamento de Processos de Negócio. A ABPMP é uma associação profissional 
sem fins lucrativos que atua de forma independente de fornecedores, orientada e conduzida por 
profissionais e dedicada ao desenvolvimento dos conceitos de gerenciamento de processos de negócio 
e suas práticas. Ela foi fundada em 2003 nos Estados Unidos e possui capítulos espalhados por todo o 
mundo, inclusive no Brasil.
O BPM CBOK® é o Guia para o corpo comum de conhecimentos sobre BPM (Business Process 
Management). Ele apresenta boas práticas e lições aprendidas e praticadas pelas organizações visando 
auxiliar o profissional de gestão de processos de negócio (ABPMP, 2019). O guia fornece um documento 
de consulta básica para os profissionais de processos de negócio. Sua finalidade principal é identificar e 
fornecer uma visão geral das áreas de conhecimento que são geralmente reconhecidas e aceitas como 
melhores práticas. Ele fornece links e referências para outras fontes de informação, que são parte do 
corpo mais amplo de conhecimentos comuns de BPM (ABPMP, 2019).
 Observação
Uma disciplina emergente como o BPM encontra grupos diferentes 
que utilizam a linguagem de maneiras distintas e que resultam em 
definições conflitantes sobre os termos, o que pode causar confusão sobre 
diversos termos.
O guia BPM CBOK® pode ser utilizado como uma referência para os profissionais de processos na 
realização de suas tarefas de gerenciamento de processos de negócio. Ele está estruturado em áreas de 
conhecimento, habilidades e técnicas (FERNANDES; ABREU, 2014).
• Primeira área de conhecimento: gerenciamento de processos de negócio. Trata dos conceitos 
fundamentais de BPM. Um dos maiores ganhos que essa área de conhecimento traz para a 
comunidade profissional internacional é o estabelecimento formal de que BPM é uma disciplina 
de gestão, e não apenas uma tecnologia de software (BPMS).
• Segunda área de conhecimento: modelagem de processos. Essa área trata do conjunto crítico 
de habilidades e processos que habilitam pessoas a compreender, comunicar, medir e gerenciar os 
componentes primários de processos de negócio. Isso envolve a modelagem de processos, e não 
apenas a sua diagramação.
109
GOVERNANÇA CORPORATIVA DE TI
• Terceira área de conhecimento: análise de processos. Essa área está relacionada às atividades, 
aos princípios e às técnicas utilizados para a compreensão dos processos de negócio. É nessa área 
de conhecimento que se ratificam o momento e a necessidade de buscar uma visão real do atual 
estado dos processos.
• Quarta área de conhecimento: desenho de processos. Trata da criação das especificações para 
processos de negócio após a realização da sua análise, cobrindo desde as atividades e técnicas 
mais essenciais até as atividades mais específicas, tal qual a simulação de cenários. É nessa área 
de conhecimento que os princípios de desenho de processos de negócio são estabelecidos.
• Quinta área de conhecimento: gerenciamento de desempenho de processos. Trata das definições 
de formas de monitoria e gerenciamento do desempenho dos processos. Além disso, estabelece 
que seu monitoramento deve estar relacionado ao controle efetivo das operações corporativas e 
o seu alinhamento em relação aos objetivos da organização.
• Sexta área de conhecimento: transformação de processos. Trata da transformação dos processos 
corporativos de maneira disciplinada e planejada. O objetivo dessa abordagem é assegurar que 
os processos continuem suportando os objetivos do negócio e que sua evolução seja tratada de 
forma planejada e estruturada por métodos conhecidos e largamente adotados pelo mercado, tais 
como Seis Sigma, Lean, TQM, SCOR, VCOR, custeio baseado em atividades, APQC e outros.
• Sétima área de conhecimento: organização de gerenciamento de processos. Trata das mudanças 
estruturais decorrentes da aplicação da gestão por processos no ambiente corporativo. Caracteriza 
claramente como é uma organização centrada em processos, descrevendo sua estrutura, 
organização, gerenciamento e medição a partir dos seus processos primários.
• Oitava área de conhecimento: gerenciamento de processos corporativos – EPM. Trata da 
grande necessidade de maximizar resultados dos processos de negócio de acordo com as 
estratégias do negócio.
• Nona área de conhecimento: tecnologias de gerenciamento de processos de negócio. Tratam 
das tecnologias que facilitam a aplicação prática da disciplina de BPM e, dessa forma, apresentam 
a arquitetura comum aos produtos encontrados no mercado atual, bem como as características 
específicas que os caracterizam formalmente como ferramentas de execução, monitoria e 
gerenciamento de processos, ou Business Process Management Systems/Suites (BPMS).
5.2.4 Modelo Togaf
O modelo Togaf (The Open Group Architecture Framework) é um framework de arquitetura que 
fornece métodos e ferramentas para auxiliar na aceitação, na produção e no uso de manutenção de uma 
arquitetura empresarial. A princípio, era destinado apenas às questões de tecnologia da informação, mas 
teve o seu escopo ampliado ao longo de sua evolução.
110
Unidade III
 Observação
Um framework de arquitetura é uma estrutura básica ou um conjunto 
de estruturas que pode ser usado para o desenvolvimento de uma gama de 
arquiteturas de tipos diferentes, como arquitetura empresarial, de sistemas, 
de aplicações, de dados, de processos etc.
A versão 9.2 (lançada em 2018) do Togaf é a mais atual. Segundo Togaf (2018), o modelo é composto 
de sete partes:
• Parte 1 (introdução): apresenta os conceitos-chave de arquitetura empresarial de alto nível.
• Parte 2: método de desenvolvimento de arquitetura. Apresenta a metodologia para 
desenvolvimento de arquiteturas, que é composta de um roteiro em etapas.
• Parte 3: Guia ADM (Architecture Development Method) e técnicas. Apresenta a coleção de guias 
de orientação e técnicas disponíveis para aplicar o Togaf e o método ADM.
• Parte 4: framework de conteúdo de arquitetura. Descreve o metamodelo estruturado para 
artefatos de arquitetura, o uso de componentes reutilizáveis da arquitetura e uma visão geral dos 
entregáveis típicos de arquitetura.
• Parte 5: contínuo empresarial e ferramentas. Discute taxonomias apropriadas, assim como 
ferramentas para categorizar e armazenar as saídas das atividades de arquitetura dentro de 
uma empresa.
• Parte 6: modelos de referência Togaf. Fornece uma seleção de modelos de arquitetura de referência.
• Parte 7: framework de capacidade de arquitetura. Discute a organização, os processos, as 
habilidades, os papéis e as responsabilidades requeridas para estabelecer e operar uma função de 
arquitetura dentro de uma empresa.
Ao nível da modelagem, o Togaf não introduz qualquer notação, mas apenas um conjunto de 
princípios e diretrizes. O modelo Togaf aplica-se para o projeto e implementação de arquiteturas 
de negócio, de sistemas de informação e de tecnologia.
Segundo Fernandes e Abreu (2014), dentre os benefícios do modelo encontram-se: redução de custos 
de desenvolvimento; mais portabilidade das aplicações; melhoria da interoperabilidade; redução da 
complexidade da infraestrutura de TI; e flexibilidade para fazer, comprar ou terceirizar as soluções de TI.
5.2.5 Modelos para a gestão de projetos de TI
A gestão de projetos é considerada uma das áreas internas de TI mais importantes, na qual 
encontramos o uso de frameworks e metodologias bem conhecidas. Pelo menos três modelos são 
bastanteutilizados: PMBOK®, Prince2® e Scrum.
111
GOVERNANÇA CORPORATIVA DE TI
O guia PMBOK® foi elaborado pelo Project Management Institute (PMI) conjuntamente com 
diversos profissionais e especialistas filiados. Teve sua primeira versão em 1996, uma segunda lançada 
em 2000, a terceira em 2004 e a quarta em 2008. Em 2013 foi lançada a quinta versão, e em 2017 a 
sexta. O principal objetivo desse método é delimitar um conjunto de conhecimentos em gestão de 
projetos amplamente reconhecidos como “boa prática”, fornecendo vocabulário comum aos gerentes 
de projetos, assim como um guia de processos, ferramentas e técnicas extremamente úteis na condução 
dos projetos de uma organização.
O PMBOK® apresenta um projeto gerenciado por meio de um ciclo de vida entrelaçado com áreas de 
conhecimento. O ciclo de vida do gerenciamento do projeto é o conjunto de processos que necessitam 
ser seguidos para o bom gerenciamento do projeto. Ele se divide em cinco grandes grupos de processos 
de gerenciamento, que são compostos de processos individuais e relacionados. Esses grupos são: 
grupo de processos de iniciação; grupo de processos de planejamento; grupo de processos de execução; grupo 
de processos de monitoramento e controle; e grupo de processos de encerramento.
As áreas de conhecimento do PMBOK® são: gerenciamento da integração do projeto; gerenciamento 
do escopo do projeto; gerenciamento do cronograma do projeto; gerenciamento dos custos do projeto; 
gerenciamento da qualidade do projeto; gerenciamento de recursos do projeto; gerenciamento das 
comunicações do projeto; gerenciamento de riscos do projeto; gerenciamento de aquisições do projeto; 
e gerenciamento de stakeholders.
Outro modelo interessante para o gerenciamento de projetos é o Prince2®. Ele foi desenvolvido em 
1989 pelo Central Computer and Telecommunications Agency (CCTA), ligado ao governo britânico, a 
partir de uma metodologia mais antiga em gerenciamento de projetos chamada Promptii, criada em 
1975 pela empresa Simpact Systems Ltda. Em 1996, após o CCTA ser integrado ao Office of Government 
Commerce (OGC), foi lançada uma melhoria dessa metodologia denominada Prince2®, que atualmente 
se encontra em sua quinta edição, publicada em 2009, e é o padrão utilizado no governo britânico, além 
de ser bastante difundida e reconhecida na Europa.
Fernandes e Abreu (2014) afirmam que o Prince2®, de modo similar ao PMBOK®, tem como base 
a experiência de gerentes e equipes de projetos nos seus erros, acertos e sucesso. Os autores ainda 
mencionam que a ideia do Prince2® é fornecer um método que:
• tenha repetibilidade em todos os projetos;
• possa ser difundido por meio de treinamentos;
• deixe claro o que se espera de membros de uma equipe de projetos;
• gere proatividade na gestão de projetos, mas que não deixe de considerar mudanças repentinas 
em consequência de eventos inesperados;
• facilite o planejamento, o controle e a comunicação em um projeto.
O Prince2® é composto por dois livros que orientam o uso da metodologia, do modelo de processos 
e da lista de atividades por processo. Os livros são: Managing successful projects using Prince2®; e 
112
Unidade III
Directing sucessful projects using Prince2®. A metodologia é constituída de oito processos, que são 
divididos em atividades. Os processos da metodologia são: 
• processo DP – dirigindo um projeto; 
• processo SU – instalando um projeto; 
• processo IP – iniciando um projeto; 
• processo SB – gerenciando os limites de um projeto; 
• processo CS – controlando um estágio; 
• processo MP – gerenciando a entrega do produto; 
• processo CP – encerrando um projeto; 
• processo PL – planejamento.
Já os métodos ágeis para o gerenciamento de projetos surgiram após o Manifesto Ágil, que teve 
início na década de 1990. O Manifesto Ágil é um documento que reúne as principais práticas e técnicas 
desse modelo ágil para desenvolvimento de projetos de software. O Manifesto Ágil é uma espécie de 
declaração de todos os princípios que servem de base para o desenvolvimento ágil de software e possui 
quatro aspectos fundamentais:
• As pessoas mais do que as ferramentas e procedimentos.
• O correto funcionamento do software mais do que a documentação bastante abrangente.
• A colaboração com as necessidades do cliente mais do que a negociação com os contratos.
• A capacidade de adaptação às mudanças mais do que seguir o plano que foi estabelecido.
A partir da criação do Manifesto Ágil, começaram a aparecer várias outras propostas referentes a 
métodos ou metodologias ágeis, e, entre elas, está o Scrum, método ágil mais usado na área de TI.
 Observação
Em sua essência, a maioria dos métodos ágeis (inclusive o Scrum) 
procura mitigar o risco inerente ao desenvolvimento de software sob 
diversos aspectos.
O Scrum foi apresentado por Jeff Sutherland, John Scumniotales e Jeff McKenna, que conceberam, 
documentaram e implementaram o Scrum na empresa Easel Corporation em 1993. Em 1995, Ken 
Schwaber formalizou a definição de Scrum e ajudou a implantá-lo no desenvolvimento de softwares 
ágeis em todo o mundo. Em 2000, Ken Schwaber implantou a metodologia na empresa Patient Keeper 
e, nos anos seguintes, lançou três livros, sendo o primeiro deles Agile software development with Scrum.
113
GOVERNANÇA CORPORATIVA DE TI
Uma característica importante do Scrum é forçar as pessoas a seguirem uma sequência de passos 
predefinida, com pouca flexibilidade para mudança. A abordagem do Scrum visa o oposto ao modelo 
em cascata, iniciando-se na análise assim que alguns requisitos estiverem disponíveis. O projeto Scrum 
começa com uma visão composta por requisitos e funcionalidades, que concretizam uma lista de tarefas 
denominada product backlog. As prioridades dos itens desse documento determinam o quanto de valor 
cada item gera para o negócio.
Depois de priorizados os itens, antes de cada iteração (sprint), a equipe se reúne para dizer quantos 
itens é possível entregar em um sprint, que, segundo Schwaber, deve durar cerca de trinta dias como boa 
prática. Quando cada iteração termina, o que foi desenvolvido é apresentado ao cliente (product owner) 
em uma reunião, e, antes do início da próxima iteração, é feita uma reunião de retrospectiva, em que é 
possível extrair lições aprendidas.
5.2.6 Modelos para a gestão de serviços de TI
Já mencionamos que a área de TI não é mais considerada uma simples provedora de infraestrutura. 
Em seu processo evolutivo, a TI cada vez mais tem sido considerada uma área prestadora de serviços. 
Dentro desse contexto, a figura do usuário foi perdendo espaço para a figura do cliente, mesmo que 
seja interno à corporação. Desse modo, foi perdendo força a ideia de gerenciamento de infraestrutura 
de TI, de modo que as empresas foram assimilando a ideia do gerenciamento de serviços de TI. Até os 
frameworks e as boas práticas de TI, antes relacionados à infraestrutura, deram espaço aos modelos de 
gestão de serviços de TI.
Assim, é possível encontrar uma série de boas práticas na gestão de serviços de TI. Elas encontram-se 
agrupadas em frameworks e modelos bem conhecidos no mercado. Dentre eles, destacam-se o 
Information Technology Infrastructure Library (Itil®) e a ISO 20000.
O Itil® é o modelo mais apropriado aos profissionais, possuindo um esquema de certificação que 
promove um itinerário no conhecimento das boas práticas de gestão de serviços de TI. A ISO 20000 
é mais apropriada para as empresas, porque comprova que o seu sistema de gestão de serviços de TI 
está de acordo com as melhores práticas de mercado. Não obstante, há outras normas que também 
promovem o uso de boas práticas de gestão de serviços de TI, tais como o Modelo Capability Maturity 
Model – Integration for Services (CMMI-SVC), criado pelo Software Engineering Institute (SEI), e o 
Microsoft Operations Framework (MOF), criado pela Microsoft.
O Itil® é um framework para gerenciamento de serviços de TI apresentado por meio de boas práticas 
contidas em uma biblioteca de livros. Nãoé uma regra rígida, mas a definição de recomendações para 
uma eficiente e eficaz gestão de serviços de TI. Ele foi desenvolvido na década de 1980 no Reino Unido 
pela Agência Central de Computadores e Comunicações como um método que objetivava o governo da 
infraestrutura de tecnologia da informação em departamentos e órgãos públicos do Reino Unido.
A sua primeira versão consistia em 31 livros, que mencionavam aspectos importantes da provisão 
de serviços de TI com foco muito forte em infraestrutura, mais especificamente em planejamento e 
contingência. Essa versão também se referia fortemente à manutenção e operação dos recursos 
de infraestrutura de TI. Sua segunda versão surgiu em 2000, quando o modelo foi completamente 
114
Unidade III
reformulado e passou a ter apenas sete livros. Nessa versão, uma das principais características era a forte 
aderência ao modelo PDCA (Plan, Do, Check, Action) e suas práticas de melhoria contínua em processos.
A partir dessa segunda versão, o Itil® foi bastante disseminado como conjunto de boas práticas 
em gerenciamento de serviços de TI. No entanto, o mercado, de modo geral, considerava o conjunto 
de livros um pouco “desconectado”, fazendo com que os especialistas em TI voltassem a sua atenção 
apenas para os livros de “suporte ao serviço” e de “entrega de serviço”.
É de se destacar que em 2001 foi fundado o Fórum de Gerenciamento de Serviços de TI, conhecido 
pelo seu acrônimo em inglês ITSMF (Information Technology Service Management Forum). Seu objetivo 
era promover e desenvolver o gerenciamento de serviços de TI no mundo por meio da troca constante 
de informações e compartilhamento de experiências.
Em 2007 foi lançada uma nova versão da Itil®, agora a versão 3. Contendo cinco livros abordando uma 
visão completa dos processos do gerenciamento de serviços de TI na forma de um ciclo denominado “ciclo 
de vida do serviço”. Essa nova versão tem um número de livros inferior à versão anterior, não obstante 
sendo mais denso em conteúdo. Em 2011 a versão 3 passou por alguns aprimoramentos, ampliando um 
pouco o seu escopo e produzindo a Itil® V.3 Edição 2011. Em 2019 foi lançada a versão 4 da Itil®.
O Itil® 4 é a versão mais atualizada do framework que trouxe muitas novidades, como, por exemplo, 
o alinhamento aos modelos Lean e Ágil. Outro conceito importante estabelecido pela atualização do 
modelo foi a criação das quatro dimensões do gerenciamento de serviços e o Sistema de Valor de 
Serviços (SVS).
As quatro dimensões do gerenciamento de serviços são: organizações e pessoas; informação e 
tecnologia; parceiros e fornecedores; e fluxo de valor e processos. A figura a seguir apresenta esse 
modelo de quatro dimensões, que se configuram como perspectivas relevantes na gestão de serviços de 
TI e são influenciadas por fatores externos.
Valor
1
Organizações 
e pessoas
Fatores 
políticos
Fatores 
econômicos
Fatores 
sociais
Fatores 
ambientais
Fatores 
legais
Fatores 
tecnológicos
3
Parceiros e 
fornecedores
Fatores
Cada dimensão é afetada 
por múltiplos fatores
2
Informação e 
tecnologia
4
Fluxos de valor 
e processos
Produtos 
e serviços
Figura 26 – Modelo de quatro dimensões
Adaptada de: Axelos (2019).
115
GOVERNANÇA CORPORATIVA DE TI
Os fatores externos são: fatores políticos; fatores econômicos; fatores sociais; fatores tecnológicos; 
fatores legais; e fatores ambientais. A depender da organização, seu ramo de atuação, seu porte e 
localização geográfica, podemos encontrar fatores que exercem maior ou menor influência. Outro 
detalhe interessante na figura, que esboça as quatro dimensões do gerenciamento de serviços, é a 
parte central. Lá encontramos o valor dos produtos e serviços, que é visto a partir de cada uma das 
perspectivas (dimensões). Além das quatro dimensões do gerenciamento de serviços, temos o SVS como 
um elemento de destaque. Ele é composto de: princípios orientadores; governança; cadeia de valor do 
serviço; práticas; e melhoria contínua.
Uma mudança interessante que veio com o Itil® 4 foi a ideia de cocriação de valor, que apresenta a 
ideia de criação de valor envolvendo o cliente. Assim, temos prestadores de serviços e consumidores de 
serviços, juntos, gerando valor, ou seja cocriando valor um para o outro.
As principais características do modelo Itil® são:
• Modelo não proprietário, que independe da plataforma de infraestrutura tecnológica.
• Modelo altamente flexível, de fácil adoção e prescrito para qualquer porte de empresa.
• Modelo fornecedor de boas e melhores práticas no gerenciamento de serviços de TI.
• Modelo utilizado em milhares de empresas no mundo.
• Modelo que contribui com a aderência aos requisitos da norma ISO 20000.
6 MODELO COBIT®
Vamos agora adentrar o modelo de governança de TI mais conhecido mundialmente: Cobit®. 
A ideia é apresentar o contexto histórico em que o modelo foi construído, além da sua evolução e 
uma apresentação geral sobre as versões 4.1 e 5. Será necessário também apresentar alguns conceitos 
frequentemente vistos no framework Cobit®.
Conhecer um pouco sobre as versões 4.1 e 5 é fundamental para a compreensão da versão 2019 
(mais atual). Devemos também considerar que algumas poucas empresas ainda utilizam algo da 
versão 4.1 e da versão 5, devido à versão 2019 ser um pouco recente e ainda não estar completamente 
consolidada no mercado. Mais adiante vamos abordar a versão mais atual, que é a 2019, com todos os 
seus conceitos, estruturas de processos, objetivos de governança, dentre todas as temáticas inerentes a 
essa nova edição.
116
Unidade III
6.1 Histórico e introdução ao Cobit®
6.1.1 Contexto histórico do Cobit®
Para entendermos bem o contexto em que se deu o surgimento e o sucesso do framework Cobit®, 
precisamos primeiro considerar a evolução da governança corporativa nas empresas. Também devemos 
levar em conta a ação da Information Systems Audit and Control Association (Isaca), que mantém o 
Cobit® e a sua estrutura de certificação.
Sobre a evolução da governança corporativa, já intensamente vista neste livro-texto, percebemos 
que a sua chegada e o seu despertar se deram a partir de um processo evolutivo, que vem desde o 
estabelecimento do capitalismo, passando pelo gigantismo das empresas e auxiliado pelo desenvolvimento 
da administração como ciência. Também observamos que, recentemente, por volta da década de 1990, 
os marcos da governança corporativa fomentaram a valorização de princípios para a formação de um 
sistema de governo eficiente para as empresas.
 Lembrete
Os marcos recentes da governança corporativa são: ativismo de 
Robert Monks; Relatório Cadbury; princípios da OCDE; e surgimento da 
Lei Sarbanes-Oxley.
Esses princípios (equidade, conformidade, transparência e prestação de contas) formavam 
praticamente a base para o estabelecimento de comportamentos desejáveis em todas as áreas do 
ambiente organizacional. Também se verifica que esses princípios encaminharam um entendimento de 
governança corporativa como uma estrutura de controles.
A partir deste cenário e com a constatação de existência de fraudes financeiras nas corporações 
ao longo do processo evolutivo da governança corporativa, surge, em 1985, nos Estados Unidos, uma 
organização chamada Committee of Sponsoring Organizations of the Treadway Commission (Coso). 
O Coso funcionou inicialmente como um auxiliar da Nacional Commission on Fraudulent Financial 
Reporting (Comissão Nacional sobre Fraudes em Relatórios Financeiros), mas depois se consolidou como 
emissora de recomendações sobre controle interno de governança corporativa.
O sucesso dos trabalhos do Coso foi tão grande que em 1992 as suas recomendações foram 
convertidas em um documento chamado Internal Control – Integrated Framework (Controles 
Internos – Um Modelo Integrado). Mais adiante e até os dias de hoje esse documento é chamado 
de Modelo Coso, considerado referência em controles internos corporativos. Paralelamente a 
esses fatos, ganha força no mundo da tecnologia uma entidadefundada no final da década de 1960 
chamada de Isaca. O foco dessa entidade foi inicialmente formar profissionais voltados para 
auditoria de sistemas. No entanto, o seu escopo de atuação foi aumentando, e outras formações 
profissionais foram agregadas ao portfólio da Isaca.
117
GOVERNANÇA CORPORATIVA DE TI
Hoje, a Isaca conta com mais de 200 capítulos (filiais) espalhados em pelo menos 180 países no 
mundo, além de ter mais de 140 mil associados. Assim, incluindo trabalhos voltados para a auditoria em 
sistemas, a Isaca tem grande atuação voltada para certificações em privacidade de dados, cybersecurity, 
segurança da informação, riscos em TI, além de governança de TI.
Foi nesse ambiente fortemente influenciado por práticas de controle interno corporativo que a 
Isaca desenvolveu, em 1994, o modelo Cobit®. Ele foi formado a partir do Modelo Coso, além de vários 
padrões internacionais e práticas de gestão de TI oriundas de diversas instituições que trabalham com 
modelos de administração da TI. O Cobit® em sua primeira versão foi oficialmente lançado em 1996.
Sobre a relação entre o Cobit® e o Coso, o ITGI (2007, p. 7) menciona que:
 
A governança de TI integra e institucionaliza boas práticas para garantir 
que a área de TI da organização suporte os objetivos de negócios. A governança 
de TI habilita a organização a obter todas as vantagens de sua informação, 
maximizando os benefícios, capitalizando as oportunidades e ganhando em 
poder competitivo. Esses resultados requerem um modelo para controle 
de TI que se adeque e dê suporte ao Coso (“Committe of Sponsoring 
Organisations of the Treadway Commission’s Internal Control – Integrated 
Framework”), um modelo para controles internos amplamente aceito para 
governança e gerenciamento de riscos empresariais, e outros modelos 
similares. As organizações devem satisfazer os requisitos de qualidade, 
guarda e segurança de suas informações, bem como de todos seus bens. 
Os executivos devem também otimizar o uso dos recursos de TI disponíveis, 
incluindo os aplicativos, informações, infraestrutura e pessoas. Para cumprir 
essas responsabilidades, bem como atingir seus objetivos, os executivos 
devem entender o estágio atual de sua arquitetura de TI e decidir que 
governança e controles ela deve prover. O Control Objectives for Information 
and related Technology (Cobit®) fornece boas práticas através de um 
modelo de domínios e processos e apresenta atividades em uma estrutura 
lógica e gerenciável. As boas práticas do Cobit® representam o consenso 
de especialistas. Elas são fortemente focadas mais nos controles e menos 
na execução. Essas práticas irão ajudar a otimizar os investimentos em TI, 
assegurar a entrega dos serviços e prover métricas para julgar quando as 
coisas saem erradas.
6.1.2 Evolução do Cobit®
Até os dias de hoje, chegamos a sete versões do Cobit® criadas ao longo do seu processo evolutivo. 
Quando ele foi criado em 1994, o seu foco era auditoria, devido às fortes influências da Isaca e do Coso 
na formação do framework, bem como em seus processos, objetivos e práticas.
118
Unidade III
A segunda versão do Cobit® sofreu uma influência ainda maior do Coso e teve um viés muito forte 
em controles. Ela foi lançada pela Isaca em 1998 e começou a dar ênfase na ideia de objetivos de 
controle como fatores críticos de sucesso para o sistema de governo da TI.
A terceira versão foi lançada em 2000 com foco no gerenciamento da TI. Nesse dado momento 
da evolução da Cobit®, o framework sofre grandes influências dos modelos de gestão de TI (Itil®, por 
exemplo). É também a partir dessa versão que a Isaca cria o Instituto de Governança de TI, conhecido 
como ITGI®. O ITGI® funcionou até a versão 5 do framework como uma divisão da Isaca, responsável por 
administrar o Cobit®.
O Cobit® 4 foi lançado em 2005 e, em 2007, sofreu uma atualização com a versão 4.1. O foco dessas 
versões foi, de fato, a governança de TI de forma geral e a aderência às normas e regulamentações como 
a Lei Sarbanes-Oxley, por exemplo. Também nessa versão encontramos um forte alinhamento do Cobit® 
com inúmeros padrões modernos de gestão de TI, abrangendo projetos, serviços, processos, segurança 
da informação, dentre outros.
 Observação
A versão 4.1 do Cobit® foi criada de forma a mapear completamente 
todos os requisitos do Coso e da Lei Sarbanes-Oxley.
Em 2012 a Isaca lança o Cobit® na sua versão 5. Ela recebeu forte influência da norma ISO 38500:2008, 
estabelecendo as diferenças entre governança e gestão (até então um conceito pouco claro na versão 4.1). 
O Cobit® 5 também trouxe o conceito inovador de habilitadores, além de apresentar guias profissionais 
para segurança da informação, risco, garantia, avaliação e implementação.
 Saiba mais
Para conhecer um pouco mais sobre a versão 5 do Cobit®, leia o Sumário 
Executivo do Information Systems Audit and Control Association (Isaca).
ISACA. Cobit® 5: a business framework for the governance and 
management of enterprise IT. Rolling Meadows: Isaca, 2012.
No ano de 2019, a Isaca lança uma nova versão do Cobit® e deixa de utilizar uma numeração 
sequencial de versões, utilizando agora as novas edições de acordo com o ano de lançamento. Assim, 
chega ao mercado corporativo o Cobit® 2019, apresentado agora como um modelo para governança 
corporativa de informações e tecnologia, utilizando o acrônimo Egit, que significa Enterprise Governance 
of Information and Technology.
119
GOVERNANÇA CORPORATIVA DE TI
 Saiba mais
Sobre a versão 2019 do Cobit®, leia o capítulo 1 (introdução) do 
seguinte material:
ISACA. Cobit® 2019: introduction and methodology. Rolling Meadows: 
Isaca, 2019.
O próximo quadro apresenta um resumo da evolução do Cobit®.
Quadro 25 – Evolução do Cobit®
Ano do lançamento Versão Foco
1996 1 – Auditoria em TI.
1998 2 – Controle interno para a TI.
2000 3 – Gerenciamento da TI.
2005 4 – Governança de TI.
2007 4.1 – Governança de TI.
2012 5 – Governança e gestão.
2019 2019 – Governança corporativa de informação e tecnologia.
6.1.3 Características do Cobit®
Ao consultar o framework Cobit®, percebemos diversas características. Apresentaremos algumas 
bem atuais, constatadas não só na versão de 2019, mas também na versão 5, e algumas referências da 
versão 4.1. A seguir apresentaremos pelo menos quatro dessas características.
A primeira característica do Cobit® é a orientação para os negócios. O Cobit® é um framework 
que estabelece um diálogo entre as áreas de negócios e a área de TI, por isso, é comum dizer que ele 
é um modelo totalmente orientado ao negócio. Isso se dá por meio da valorização do alinhamento 
estratégico da TI, que visa desdobrar objetivos corporativos em objetivos concretos para a área de TI. 
Tudo isso concorre para o atendimento das necessidades e dos requisitos das partes interessadas.
Uma segunda característica do Cobit® é a utilização de métricas e indicadores. Estes são utilizados 
não apenas para a área de TI de uma forma macro, mas também para práticas, processos e recursos de 
TI. Os indicadores e métricas apresentados pelo Cobit® permitem medir a aderência da TI às estratégias 
de negócio e, assim, propiciar a entrega de valor.
A forma integrada e única que o framework se apresenta pode ser compreendida como uma 
terceira característica do Cobit®. Percebemos essa característica por meio dos outros modelos, que são 
referenciados nas contínuas versões do Cobit® implementadas ao longo de anos pela Isaca.
120
Unidade III
Uma quarta característica bem interessante é o estabelecimento de processos e de objetivos. Por 
exemplo, na versão 4.1, o Cobit® apresenta 34 processos. Já na versão 5 encontramos 37 processos. 
E, ao analisarmos a versão 2019, encontramos 40 processos que são chamados de objetivos de 
governança e gestão.
6.1.4 Aplicação e benefícios do Cobit®
O modelo Cobit® é um dos mais completos encontrados na área da TI. Dessa forma, encontramos 
aplicabilidade nas mais diversas oportunidades dentro das empresas. Dentre as aplicações,Fernandes e 
Abreu (2014) mencionam:
• Avaliação de processos da área de TI a partir dos processos e objetivos de governança definidos no 
Cobit®, de forma a encontrar forças e fraquezas, permitindo a implementação de melhorias que 
atendam às necessidades de negócio.
• Implementação de auditorias relacionadas aos riscos operacionais da TI de forma a mensurar a 
probabilidade de ocorrência de eventos adversos e a severidade dos impactos mapeados.
• Estabelecimento de modularidade na implementação da governança de TI, dando ênfase a 
processos, práticas e objetivos de governança/gestão mais específicos e importantes em detrimento 
de outros que não possuem tanta importância.
• Possibilidade de realizar um benchmarking, permitindo comparações com padrões internacionais 
praticados pelo mercado.
• Estabelecimento de processos de qualificação de fornecedores de produtos e serviços de TI.
Ainda é possível citar inúmeros benefícios alcançados por meio da aplicação do Cobit® nas 
organizações. Fernandes e Abreu (2014, p. 226) mencionam os seguintes benefícios:
Responsabilidades e protocolos de comunicação bastante claros, tornando a 
circulação de informações mais direta e precisa entre os grupos interessados.
Visão clara acerca da situação atual dos processos de TI e de seus pontos de 
vulnerabilidade.
Redução da exposição a riscos (obviamente, caso sejam tomadas ações de 
melhoria preventivas em relação aos pontos negativos dos processos).
Maior solidez e assertividade no planejamento encadeado das ações de 
melhoria, devido ao entendimento das dependências entre os processos e 
dos recursos necessários a serem envolvidos.
Alta visibilidade, por parte de todos os níveis da organização, acerca do 
impacto dos esforços de melhoria nos processos de negócio, através das 
medições de resultados e dos indicadores de desempenho.
121
GOVERNANÇA CORPORATIVA DE TI
Redução de custos operacionais e de propriedade do acervo de TI (aplicativos 
e infraestrutura).
Melhoria da imagem perante os clientes, através do aumento do grau de 
satisfação e da confiabilidade em relação aos serviços de TI.
6.2 Cobit® 4.1 e Cobit® 5
6.2.1 Cobit® 4.1
Lançada em 2007, a versão 4.1 tem o seu foco na governança de TI e aprimora a sua versão anterior, 
sendo totalmente aderente às regulamentações de mercado e ao controle interno preconizado pelo 
Coso. O Cobit® 4.1 apresenta como principais características: foco no negócio; orientação a processos; 
orientação por métricas; e fundamentação em controles.
Segundo o ITGI (2007), essa versão tem por princípio que os requisitos de negócios direcionem os 
investimentos nos recursos de TI, que, por sua vez, são utilizados pelos processos de TI para gerar a 
informação organizacional requisitada pelo negócio. A figura a seguir apresenta esses princípios básicos 
do Cobit® 4.1.
Cobit®
Requisitos de 
negócios
Processos
de TI
Recursos 
de TI
Informação 
organizacional
os quais 
respondem a
para entregar
direcionam 
investimentos em
usados por
Figura 27 – Princípios básicos do Cobit® 4.1
Fonte: ITGI (2007, p. 12).
O Cobit® 4.1 é muito focado em processos, e eles são dispostos em quatro domínios que objetivam 
ações de planejamento, construção, processamento e monitoramento. A estrutura de processos é a base 
do framework nessa versão, que tem os seus domínios apresentados a seguir:
122
Unidade III
Planejar e organizar
Entregar
e suportar
Monitorar e avaliar
Adquirir 
e implementar
Os quatro domínios inter-relacionados do Cobit®
Figura 28 – Domínios de processos do Cobit® 4.1
Fonte: ITGI (2007, p. 14).
6.2.2 Estrutura do Cobit® 4.1
A estrutura do Cobit® 4.1 apresenta-se com um conjunto de três componentes fundamentais: 
requisitos de negócios; processos de TI; e recursos de TI. A figura a seguir apresenta os componentes do 
Cobit® 4.1 na forma de um cubo. Os processos, conforme já mencionados, integram a base do modelo, 
cobrindo as atividades-padrão de uma área de TI. Eles são 34, divididos em quatro domínios: planejar e 
organizar (PO); adquirir e implementar (AI); entregar e suportar (ES); e monitorar e avaliar (MA).
O domínio planejar e organizar cobre as estratégias e táticas da corporação, preocupando-se na 
forma como a TI pode contribuir para que o negócio alcance os seus objetivos. O domínio adquirir e 
implementar abrange a identificação, desenvolvimento e/ou aquisição de soluções de TI para executar 
a estratégia de TI estabelecida. O domínio entregar e suportar trata da entrega dos serviços solicitados, 
do gerenciamento da segurança e da continuidade, e do gerenciamento de dados e recursos operacionais. 
O domínio monitorar e avaliar aborda o gerenciamento do desempenho, o monitoramento do controle 
interno, a aderência regulatória e a governança.
Domínios
Efe
tivi
dad
e
Efic
iên
cia
Con
fide
nci
alid
ade
Inte
grid
ade
Dis
pon
ibil
ida
de
Con
for
mid
ade
Con
fiab
ilid
ade
Processos
Rec
urs
os d
e TI
Ap
lic
at
iv
os
In
fo
rm
aç
õe
s
In
fr
ae
st
ru
tu
ra
Pe
ss
oa
s
Atividades
Requisitos de negócios
Pr
oc
es
so
s d
e 
TI
Figura 29 – Estrutura do Cobit® 4.1
Fonte: ITGI (2007, p. 27).
123
GOVERNANÇA CORPORATIVA DE TI
Os processos do Cobit® 4.1 com seus respectivos códigos podem ser vistos a seguir:
Quadro 26 – Processos do Cobit®
Domínio Código Processo
Pl
an
ej
ar
 e
 o
rg
an
iz
ar
PO1 Definir um plano estratégico de TI.
PO2 Definir a arquitetura da informação.
PO3 Determinar o direcionamento tecnológico.
PO4 Definir processos, organização e relacionamentos de TI.
PO5 Gerenciar o investimento de TI.
PO6 Comunicar as diretrizes e expectativas da diretoria.
PO7 Gerenciar os recursos humanos de TI.
PO8 Gerenciar a qualidade.
PO9 Avaliar e gerenciar os riscos de TI.
PO10 Gerenciar projetos.
Ad
qu
iri
r e
 im
pl
em
en
ta
r AI1 Identificar soluções automatizadas.
AI2 Adquirir e manter software aplicativo.
AI3 Adquirir e manter infraestrutura de tecnologia.
AI4 Habilitar operação e uso.
AI5 Adquirir recursos de TI.
AI6 Gerenciar mudanças.
AI7 Instalar e homologar soluções e mudanças.
En
tr
eg
ar
 e
 su
po
rt
ar
ES1 Definir e gerenciar níveis de serviços.
ES2 Gerenciar serviços terceirizados.
ES3 Gerenciar o desempenho e a capacidade.
ES4 Assegurar a continuidade dos serviços.
ES5 Assegurar a segurança dos sistemas.
ES6 Identificar e alocar custos.
ES7 Educar e treinar os usuários.
ES8 Gerenciar a central de serviço e os incidentes.
ES9 Gerenciar a configuração.
ES10 Gerenciar problemas.
ES11 Gerenciar os dados.
ES12 Gerenciar o ambiente físico.
ES13 Gerenciar as operações.
M
on
ito
ra
r e
 
av
al
ia
r
MA1 Monitorar e avaliar o desempenho de TI.
MA2 Monitorar e avaliar os controles internos.
MA3 Assegurar a conformidade com requisitos externos.
MA4 Prover governança de TI.
Adaptado de: ITGI (2007).
124
Unidade III
O segundo componente da estrutura são os critérios da informação, também conhecidos como 
requisitos de negócios. Eles apresentam o critério adequado que as informações precisam atender para 
que os usuários da TI tenham o valor esperado entregue. O próximo quadro apresenta esses critérios e 
uma pequena descrição.
Quadro 27 – Critérios de informação
Critério de informação Descrição
Efetividade Remete à informação importante para os processos de negócio entregues no tempo e modo corretos, consistente e utilizável.
Eficiência Define a entrega da informação com o uso mais produtivo possível dos recursos.
Confidencialidade Relaciona-se à segurança de informações no que tange ao aspecto confidencialidade para evitar a divulgação indevida.
Integridade Remete à fidedignidade, inteireza e totalidade da informação além da sua validade quando comparada aos requisitos de negócios solicitados.
Disponibilidade Trata-se da disponibilidade da informação quando exigida pelo processo de negócio hoje e no futuro.
Conformidade Está relacionada ao cumprimento de questões de compliance que os processos de negócios estão sujeitos.
ConfiabilidadeRemete à entrega da informação apropriada solicitada pelo negócio.
Adaptado de: ITGI (2007).
O terceiro componente da estrutura do Cobit® 4.1 é formado pelos recursos de TI, que são a base 
para a execução dos processos de TI. Os recursos de TI descritos no Cobit® 4.1 são: aplicativos (sistemas 
automatizados utilizados pelo usuário); informações (conjunto de dados estruturados que geram valor 
para o usuário); infraestrutura (conjunto de recursos tecnológicos que possibilitam o processamento de 
aplicativos); e pessoas.
6.2.3 Cobit® 5
O Cobit® teve a sua versão 5 lançada em 2012 como um modelo para governança e gestão de TI. Ele 
apresenta algumas diferenças quando comparado com a versão 4.1, e os benefícios obtidos por meio de 
sua implementação são maiores. Dentre eles, a Isaca (2012) menciona:
• Apresentação de uma visão clara dos habilitadores de TI e suas vulnerabilidades.
• Maior assertividade na tomada de decisão, a partir de processos definidos, estruturados e 
controlados.
• Gerenciamento de informações com alta qualidade para suportar as decisões de negócios.
• Atingimento de metas estratégicas e entrega de benefícios de negócio por meio do efetivo uso da 
TI, gerando assim ganho de valor dos investimentos em TI.
125
GOVERNANÇA CORPORATIVA DE TI
• Redução da exposição aos riscos relacionados com a TI.
• Aperfeiçoamento e equilíbrio dos custos de serviços de TI.
• Manutenção da conformidade com leis, regulamentos, acordos contratuais e políticas.
• Aumento significativo da visibilidade a todos os níveis da organização em decorrência dos esforços 
de melhoria implantados pelos processos.
• Maior solidez no planejamento estratégico.
A família de produtos do Cobit® 5 é composta de:
• Cobit® 5: visão geral do framework contendo de forma resumida princípios, habilitadores, e 
passos e diretrizes para o seu uso.
• Guia habilitador de processos (Cobit® 5 Enabling Process): guia de referência detalhado do 
habilitador de processos.
• Guia habilitador de informações (Cobit® 5 Enabling Information): guia que explica 
detalhadamente o modelo de informação e fornece exemplos de entidades de informação 
totalmente elaboradas.
• Guia profissional de implementação (Cobit® 5 Implementation): fornece uma abordagem de 
boas práticas para a implementação da governança de TI com base no ciclo de vida de melhoria 
contínua devendo ser adaptado às necessidades específicas da empresa.
• Guia profissional para segurança da informação (Cobit® 5 for Information Security): guia 
essencial nas operações diárias das empresas mencionando questões de segurança da informação.
• Guia profissional para risco (Cobit® 5 for Risk): guia de orientação específica sobre os 
riscos de TI.
• Guia profissional para garantia (Cobit® 5 for Assurance): guia centrado na garantia, 
fornecendo orientações mais detalhadas e práticas para os profissionais de certificação e outras 
partes interessadas em todos os níveis da empresa sobre como utilizar o Cobit® 5 para suportar as 
atividades de garantia de TI.
• Guia profissional de programa de avaliação (Cobit® 5 Assessment Program): guia para 
avaliação dos processos de TI.
A figura a seguir apresenta a família de produtos do Cobit® 5.
126
Unidade III
Cobit® 5
Ambiente colaborativo online do Cobit® 5
Cobit® 5 
Implementação
Cobit® 5 para 
Segurança da 
Informação
Cobit® 5 
para Garantia 
(Assurance)
Cobit® 5 
para Risco
Outros guias 
profissionais
Outros guias de 
habilitadores
Cobit® 5
Habilitador 
Informação
Cobit® 5
Habilitador Processos
Guias de habilitadores do Cobit® 5
Guias de profissionais do Cobit® 5
Figura 30 – Família de produtos Cobit® 5
Fonte: Isaca (2012, p. 13).
6.2.4 Estrutura do Cobit® 5
O Cobit® 5 é estruturado a partir de cinco princípios, que podem ser vistos a seguir:
Princípios do 
Cobit® 5
1. Atender às 
necessidades 
das partes 
interessadas
5. Distinguir a 
governança da 
gestão
4. Permitir 
uma abordagem 
holística
2. Cobrir a 
empresa de 
ponta a ponta
3. Aplicar um 
framework único 
e integrado
Figura 31 – Princípios do Cobit® 5
Fonte: Isaca (2012, p. 15).
O primeiro princípio menciona o atendimento às necessidades das partes interessadas, a fim de 
equilibrar a realização de benefícios, a otimização do risco e a utilização de recursos. Por isso, o Cobit® 
127
GOVERNANÇA CORPORATIVA DE TI
apresenta a cascata de objetivos, que auxilia no desdobramento de objetivos corporativos de alto nível 
em objetivos de TI, e estes, por sua vez, em práticas para a área de TI. A figura a seguir apresenta a 
cascata de objetivos do Cobit® 5.
Necessidades das partes interessadas
Direcionadores das partes interessadas
(ambiente, evolução tecnológica etc.)
Realização de 
benefícios
Otimização 
do risco
Otimização 
dos recursos
Objetivos corporativos
Influencia
Desdobra em Apêndice D
Figura 5
Figura 6
Desdobra em Apêndice B
Desdobra em Apêndice C
Objetivos de TI
Objetivos de habilitador
Figura 32 – Cascata de objetivos do Cobit® 5
Fonte: Isaca (2012, p. 20).
O segundo princípio trata da cobertura de ponta a ponta da organização, integrando a governança 
de TI à governança corporativa. A ideia desse princípio é fazer o Cobit® 5 ir além da função de TI, 
considerando as tecnologias relacionadas como ativos da organização.
O terceiro princípio menciona a aplicação de um framework único e integrado, provendo as 
orientações de melhores práticas para a TI. Considerando esse princípio, o Cobit® relaciona-se a diversos 
outros modelos, tendo as suas práticas desdobradas para as outras áreas internas da TI.
O quarto princípio apresenta o Cobit® por meio de uma abordagem holística de habilitadores, como 
componentes interligados. O Cobit® 5 apresenta sete habilitadores que ajudam a atingir objetivos 
estratégicos da organização. Esses são considerados também componentes do Cobit® 5 e podem ser 
vistos a seguir:
128
Unidade III
1. Princípios, políticas e frameworks
2. Processos
5. Informação
3. Estruturas 
organizacionais
6. Serviços, 
infraestrutura e 
aplicativos
4. Cultura, ética e 
comportamento
7. Pessoas, 
habilidades e 
competências
Recursos
Figura 33 – Habilitadores do Cobit® 5
Fonte: Isaca (2012, p. 28).
O quinto e último princípio apresenta as diferenças entre governança e gestão, colocando as duas 
disciplinas de formas completamente diferentes. Esse princípio pode ser verificado inclusive no modelo 
dos processos do Cobit® 5, que é composto de um domínio de governança (avaliar; dirigir; monitorar) e 
quatro domínios de gestão (planejar; construir; entregar; monitorar).
Planejar
(APO)
Construir
(BAI)
Entregar
(DSS)
Monitorar
(MEA)
MonitorarDirigir
Avaliar
Gestão
Governança
Necessidades do negócio
Feedback da gestão
Figura 34 – Domínios de processos do Cobit® 5
Fonte: Isaca (2012, p. 34).
129
GOVERNANÇA CORPORATIVA DE TI
O Cobit® 5 apresenta 37 processos agrupados nesses domínios, conforme pode ser visto a seguir:
AP001 gerenciar 
a estrutura de 
gestão de TI
BAI01 gerenciar 
programas e 
projetos
DSS01 gerenciar 
operações
APO08 gerenciar 
relacionamentos
BAI08 gerenciar 
conhecimento
APO02 gerenciar 
a estratégia
BAI02 gerenciar 
definição de 
requisitos
DSS02 gerenciar 
solicitações e 
incidentes de 
serviços
APO09 gerenciar 
contratos de 
prestação de 
serviços
BAI09 gerenciar 
ativos
APO03 gerenciar 
arquitetura da 
organização
BAI03 gerenciar 
identificação e 
desenvolvimento 
de soluções
DSS03 gerenciar 
problemas
APO10 gerenciar 
fornecedores
BAI10 gerenciar 
configuração
APO04 gerenciar 
inovação
BAI04 gerenciar 
disponibilidade e 
capacidade
DSS04 gerenciar 
continuidade
APO11 gerenciar 
qualidade
APO05 gerenciar 
portfólio
BAI05 gerenciar 
capacidade 
de mudança 
organizacional
DSS05 gerenciar 
serviços de 
segurança
APO12 gerenciar 
riscos
APO06 gerenciar 
orçamento e 
custos
BAI06 gerenciar 
mudanças
DSS06 gerenciar 
controles do 
processo de 
negócio
APO13 gerenciar 
segurança
APO07 gerenciar 
recursos humanos