Governança corporativa de TI_Unidade IV

Prévia do material em texto

54
Re
vi
sã
o:
 M
ár
ci
o-
 D
ia
gr
am
aç
ão
: F
ab
ríc
ia
 -
 0
9/
05
/2
01
7
Unidade IV
Unidade IV
4 O MODELO COBIT 5
É um modelo orientado que tem por finalidade direcionar uma organização a obter uma governança 
estruturada de TI. Essa governança é que norteia a empresa, ajudando‑a a sedimentar a qualidade nas 
entregas, transparência e confiabilidade.
O modelo COBIT visa não só a governança, como também a gestão de TI da organização pensando 
em fatores como segurança, risco, processos ligados às transações operacionais, táticas e estratégicas, 
além de aspectos de avaliação e monitoramento.
A família de produtos COBIT 5 é composta dos seguintes livros:
COBIT® 5
COBIT® 5: 
Habilitador processos
COBIT® 5 
implementação
COBIT® 5: 
Habilitador informação
COBIT® 5: 
para segurança 
da informação
COBIT® 5: 
para garantia 
(Assurance)
COBIT® 5: 
para risco
Outros guias 
de habilitadores
Outros guias 
profissionais
Ambiente colaborativo online do COBIT® 5
Guias de habilitadores do COBIT 5
Guias profissionais do COBIT 5
Figura 7 ‑ Família de produtos COBIT 5 – Modelo COBIT 5
Os quais são descritos a seguir:
• COBIT 5 – o modelo, que contempla uma visão geral entre a área de negócios e a gestão e 
governança de TI, apresenta os princípios do COBIT 5, seus passos e suas diretrizes. Ele também 
descreve, de forma resumida, o guia de implementação e expõe os modelos de mapeamentos para 
objetivos corporativos e de TI.
• Guia habilitador de processos (COBIT 5 Enabling Process) – um guia de modelos detalhado de cada 
processo a ser definido. Também inclui modelo cascata, objetivos e referências.
• Guia habilitador de informações (COBIT 5 Enabling Information) – um guia que explica 
detalhadamente o modelo de informação e fornece exemplos de entidades de informação 
totalmente elaboradas. É complemento para o guia de processos.
55
Re
vi
sã
o:
 M
ár
ci
o-
 D
ia
gr
am
aç
ão
: F
ab
ríc
ia
 -
 0
9/
05
/2
01
7
GOVERNANÇA CORPORATIVA DE TI
• Guia profissional de implementação (COBIT 5 Implementation) – fornece uma abordagem de boas 
práticas para a realização da governança de TI com base no ciclo de vida de melhoria contínua, 
devendo ser adaptado às necessidades específicas da empresa.
• Guia profissional para segurança da informação (COBIT 5 for Information Security) – a segurança 
da informação é essencial nas operações diárias das empresas; portanto, deve ser assegurada, 
a fim de manter a confidencialidade e a integridade, proporcionando, simultaneamente, a 
disponibilidade às pessoas que possuem direitos a ela.
• Guia profissional para risco (COBIT 5 for Risk) – visa orientar de forma específica sobre os riscos de 
informação em relação ao COBIT para os componentes de risco de informação da ISACA. O guia é 
complemento do guia de segurança da informação.
• Guia profissional para garantia (COBIT 5 for Assurance) – tendo como base o quadro COBIT 5, este 
guia centra‑se na garantia e fornece orientações mais detalhadas e práticas para os profissionais 
de certificação e outras partes interessadas em todos os níveis da empresa sobre como utilizar 
COBIT 5 para suportar as atividades de garantia de TI.
• Guia profissional do programa de avaliação (COBIT 5 Assessment Programme) – é base para a 
avaliação dos procedimentos de uma empresa para a governança e gestão de tecnologia da 
informação e serviços relacionados. Conforme descrito no COBIT 5, possui guias relacionados, tais 
como: guia de autoavaliação, guia do avaliador e modelo de avaliação de processos.
4.1 Visão geral
Visando ter empresas mais competitivas e com qualidade nas informações, o instituto 
ISACA desenvolveu o modelo COBIT, o qual está em constante desenvolvimento. Neste material 
aborda‑se o COBIT 5, e isso significa que ele possui versões anteriores, pois já são 15 anos desde 
a sua criação. Essas atualizações são necessárias, uma vez que o sistema em que a organização 
está inserida, o cenário, passa por mudanças e elas devem ser refletidas nos dados, números e 
informações.
Pensando nisso, o COBIT baseia‑se em pontos primordiais dentro das organizações. Serão tratados 
quais são eles e qual o mérito de cada um deles. São fatores relacionados ao ganho de valor da 
corporação, pois se o COBIT está ligado à governança e esta, por sua vez, tem como foco gerar valor 
para a organização, ambas estão no mesmo sentido.
Para que uma organização consiga alcançar as metas estipuladas, é preciso que as expectativas entre 
os principais envolvidos estejam bem alinhadas. Sem esse alinhamento, o direcionamento das áreas 
pode ser divergente e o resultado não chegar. Para o COBIT, todas as partes devem discutir sobre o que 
almejam da TI e suas tecnologias envolvidas. Neste ponto das tecnologias, os pontos a serem debatidos 
envolvem fatores de custo, desempenho e risco. São coeficientes críticos em qualquer organização e 
merecem atenção redobrada, além de muito debate sobre esses temas, os quais tencionam chegar a 
um senso comum à grande maioria. Quando tratamos de custos, é impreterível que sejam expostos 
56
Re
vi
sã
o:
 M
ár
ci
o-
 D
ia
gr
am
aç
ão
: F
ab
ríc
ia
 -
 0
9/
05
/2
01
7
Unidade IV
custos reais, prováveis e até possíveis custos advindos de falhas ou pontos não programados, além dos 
elementos retorno a curto, médio ou longo prazo.
 Saiba mais
Para saber mais sobre a evolução do COBIT, suas versões anteriores e 
demais livros, produtos e características do COBIT 5, consulte o site do órgão 
responsável, o ISACA (Information Systems Audit and Control Association – 
Associação de Auditoria e Controle de Sistemas de Informação):
<https://www.isaca.org>.
Nele, além das informações sobre o COBIT, é possível também se 
cadastrar para receber informativos, consultar outros produtos auditados 
pela organização e conhecer outras certificações.
A organização está preparada para assumir o grau de risco sem que haja abalos nas suas estruturas 
internas? Este é um dos questionamentos a serem realizados neste debate. Nem todos em uma empresa 
estão qualificados para lidar com riscos elevados. Todas estas objeções são tratadas, debatidas e remoídas 
para que a organização tenha um desempenho esperado ou além dele. A transparência nas informações 
é de imenso valor, pois somente dessa forma se consegue chegar a um debate focado, direcionado e 
que produza resultados.
Reger uma estrutura de TI cada dia mais onipresente é um desafio que o COBIT procura ajudar. Com o 
passar das décadas, as TIs deixaram de ser um mal necessário e passaram a ser parte integrante, indivisível, 
indissolúvel da organização. Não basta ter áreas de negócios e de tecnologia bem estruturadas, mas que 
não se conversam. No ponto em que estamos, esta ligação vai muito além das conversas. As áreas de 
negócio e tecnologia pertencem a um único cenário integrado; uma trabalha em prol da outra. Elas se 
ajudam mutuamente, se completam com informações e procedimentos de trabalho. Este fator merece 
zelo e cuidado, pois o conflito entre elas, TI e negócios, pode ser fatal. Vale lembrar que a quantidade de 
executivos de negócios com know‑how em TI tem crescido significativamente no mundo corporativo.
Outro aspecto relevante para a organização é resguardar as áreas responsáveis pelas TIs e as áreas 
de negócio de ponta a ponta, a fim de garantir a eficiência da gestão de TI e da governança corporativa. 
Faz‑se necessário o controle total das estruturas organizacionais, políticas, processos e cultura. Este 
último ponto carece de atenção constante, pois a implantação da governança de TI impacta diretamente 
a cultura do local e mudá‑la mexe com a essência das pessoas. Se essa cultura não for direcionada 
corretamente, pode ser um problema grande para a empresa. A cobertura das áreas de negócio faz 
com que haja uma maior integração entre todas as áreas e visões na empresa, trazendo um ganho 
significativo de congruência e valor ao negócio.
57
Re
vi
sã
o:
 M
ár
ci
o-
 D
ia
gr
am
aç
ão
: F
ab
rícia
 -
 0
9/
05
/2
01
7
GOVERNANÇA CORPORATIVA DE TI
Nenhuma área de TI trabalha sozinha, ela possui uma série de conexões que são responsáveis pelas 
suas entregas e sua existência. A área de tecnologia depende de conexões externas, links de internet, de 
dados, de manutenção de equipamentos que pode ser interna ou outsource, além de consultores, clientes 
e um aglomerado de serviços e mecanismos necessários para que as atividades fluam corretamente. 
Essa dependência deve ser cuidada com primor, pois o cuidado não é apenas com os equipamentos 
e serviços, e sim com as pessoas envolvidas no processo como um todo. O bom funcionamento desta 
estrutura resulta no aumento de valor para o negócio.
A tomada de decisão correta em uma organização depende de uma série de aspectos e um deles 
diz respeito à integridade e consistência dos dados que geraram esta informação. Para isso, é valoroso 
que a origem dos dados seja confiável, íntegra e correta; desse modo, o processamento dos dados pode 
gerar informações relevantes, ou seja, dados que colaboram para a tomada de decisão assertiva, direta 
e que traz ganhos de valor para a empresa. Também é importante tratar da quantidade das informações 
geradas. É preciso separar o importante no momento daquilo que não se faz significativo agora, mas 
será útil em um dado momento do futuro. Deve‑se ter essa acuidade, pois o volume de informações 
existentes em uma organização é prodigioso e nem sempre consegue se ter essa dimensão.
Neste ponto, alguém pode estar se perguntando: mas tudo tem como objetivo final gerar ganho de valor 
para a organização? A resposta é simples: sim. A governança de TI tem esse propósito e se estamos estruturando 
a instituição tendo como base o modelo COBIT, por qual motivo ele seria diferente? Estes pontos apresentados 
são os fatores que motivaram a construção do modelo COBIT e todos eles são, de alguma forma, relevantes.
Ter controle de todas as aplicações que são processadas em uma organização parece uma missão 
quase impossível, uma vez que os usuários também baixam soluções ou desenvolvem pequenas 
ferramentas utilizando os recursos internos, ferramentas essas como planilhas de controles ou 
minibanco de dados para controles diários. Essas aplicações, muitas vezes, somam um grande número 
de dados da corporação que está sendo acompanhando ou produzido em ferramentas extraoficiais, mas 
é preciso, através de um mapeamento interno, monitorar e controlar essas soluções, pois pode‑se perder 
informações importantes.
Por fim, o COBIT 5 tem a necessidade de atingir alguns pontos cruciais à sua existência, que é ter uma 
TI inovadora e eficiente que conceba valor para a organização por intermédio de sua presença; satisfaça os 
usuários de negócios e TI; cumpra leis, regulamentos, acordos contratuais e políticas internas pertinentes, 
e sempre melhore as relações entre a visão corporativa e os objetivos de tecnologia da informação.
4.1.1 Benefícios com sua utilização
Por ser um modelo bem estruturado, o COBIT 5 agrega valores e benefícios para a organização no qual ele 
foi implantado. Porém esses proveitos só serão possíveis se todo o processo de implementação for realizado 
corretamente e possuir posteriormente um acompanhamento diário. Todo processo que visa a qualidade 
necessita atenção e dedicação constantes, sendo passível de ajustes visando sempre a melhoria continuada. 
Os benefícios são inúmeros com a utilização contínua do COBIT 5 como modelo de governança de TI; são eles:
• apresentar uma visão clara dos facilitadores da TI e suas vulnerabilidades;
58
Re
vi
sã
o:
 M
ár
ci
o-
 D
ia
gr
am
aç
ão
: F
ab
ríc
ia
 -
 0
9/
05
/2
01
7
Unidade IV
• maior assertividade na tomada de decisão, uma vez que se tenha processos definidos, estruturados 
e controlados, obtendo mais transparência nas informações e melhor visibilidade ao negócio;
• gerenciar informações de alta qualidade para suportar as decisões de negócios;
• atingir metas estratégicas e entregar benefícios de negócio por meio do efetivo uso da TI, gerando 
assim ganho de valor dos investimentos em TI;
• tanger a excelência operacional por intermédio da aplicação confiável e eficiente da TI;
• reduzir a exposição a riscos relacionados com a TI;
• aperfeiçoar e equilibrar os custos de serviços de TI;
• manter a conformidade com leis, regulamentos, acordos contratuais e políticas;
• reduzir os custos operacionais e o acervo de TI;
• aumentar significativamente a visibilidade a todos os níveis da organização, em decorrência dos 
esforços de melhoria implantados pelos processos;
• maior solidez no planejamento estratégico, pois possuem dados mais confiáveis e íntegros.
4.2 Princípios do COBIT 5
Embasado por princípios básicos como apresentado na figura a seguir, o COBIT busca atender a cada 
um deles e, dessa forma, prover uma governança e gestão de TI competentes.
1. 
Atender às 
necessidades 
das partes 
interessadas
2. Cobrir a 
empresa de 
ponta a ponta
Princópios 
do COBIT 5
5. Distinguir a 
governança da 
gestão
3. Aplicar 
um framework 
único e 
integrado
4. Permitir 
uma abordagem 
holística
Figura 8 – Princípios do COBIT 5 – Modelo Cobit 5
59
Re
vi
sã
o:
 M
ár
ci
o-
 D
ia
gr
am
aç
ão
: F
ab
ríc
ia
 -
 0
9/
05
/2
01
7
GOVERNANÇA CORPORATIVA DE TI
Para entender como funciona este modelo, serão comentados cada um dos princípios apresentados.
4.2.1 Atender às necessidades das partes interessadas
Objetivando apoiar a criação de valor com o uso da TI, esse princípio trabalha os processos e as 
habilidades para que a organização alcance os seus objetivos. Vale ressaltar que cada empresa possui 
características particulares, e mesmo que pareçam idênticos, eles possuem suas particularidades. Para 
atender a essas singularidades, o COBIT 5 pode ser customizado de forma a atender com mais amplitude 
o contexto de cada companhia. Desse modo é possível refletir os objetivos corporativos de alto nível em 
propósitos de TI que são passiveis de gerenciamento.
Necessidades das 
partes interessadas
Realização de 
benefícios
Otimização 
do risco
Otimização 
dos recusros
Objetivo da governança: criação de valor
Di
re
ci
on
am
Figura 9 – Objetivo da governança: criação de valor – Modelo Cobit 5
Quem são as partes interessadas? Esta deve ser a primeira pergunta que vem à mente quando olhamos 
essa figura. As partes interessadas são muitas. Os stakeholders são todas as pessoas que têm interesse 
de alguma forma na organização, em seus bens, lucros e valores, os quais podem ser clientes, acionistas, 
funcionários, diretores, beneficiários, entre outros. Todos eles com um interesse em comum: o crescimento 
e o aumento de valor da organização. A governança, por sua vez, tem o papel de negociar, ser a mediadora 
entre as partes, pois nem sempre as partes interessadas têm o mesmo interesse ou a mesma opinião sobre 
um determinado assunto. Para embasar essa tomada de decisão na criação de valor conforme figura 
anterior, é importante se estabelecer a resposta para três perguntas básicas:
• Quem recebe os benefícios?
• Quem assume os riscos?
• Quais são os recursos necessários?
Após, com as respostas levantadas, é preciso ajustar esse alinhamento entre a governança de TI e 
a área de negócios da organização. Para ajudar nesta estruturação, o COBIT 5 possui um mecanismo 
denominado cascata de objetivos. Esse artifício realiza a interpretação das necessidades das partes 
interessadas em fins corporativos específicos, personalizados, objetivos de TI, cooperando efetivamente 
para o alinhamento entre as necessidades corporativas e os serviços e soluções de TI.
60
Re
vi
sã
o:
 M
ár
ci
o-
 D
ia
gr
am
aç
ão
: F
ab
ríc
ia
 -
 0
9/
05
/2
01
7
Unidade IV
A cascata de objetivos permite a definição de prioridades para implementação, aprimoramento e 
garantia de governança corporativa de TI com base em objetivos estratégicos e riscos relacionados. 
Com este mecanismo se ganha objetivos tangíveis, relevantese melhores definidos, estrutura de uma 
base detalhada dos objetivos do próprio negócio da organização, além de estabelecer uma forma de 
comunicação clara e transparente.
Partes interessadas
Necessidades das partes interessadas
Otimização 
do risco
Otimização 
de benefícios
Otimização 
dos recursos
Objetivos corporativos
Objetivos de TI
Objetivos de habilitador
Influência
Desdobra em
Desdobra em
Desdobra em
Figura 10 – Visão geral da cascata de objetivos
O mecanismo de cascata é composto de cinco passos, como demonstra a figura anterior. A seguir, 
será descrito o passo a passo em cada uma de suas etapas:
• 1º passo: apresentar os direcionadores das partes interessadas. Por se tratar de diversas partes, 
elas nem sempre convergem em uma única direção. Neste passo serão apontados os motivadores, 
quais mudanças de estratégia são esperadas, ou qual regulamento, política precisa ser revisto. 
Neste momento é apenas feita a apresentação deles.
• 2º passo: desdobrar as necessidades das partes interessadas em objetivos corporativos. Em posse 
delas, podemos comparar se elas não estão presentes nos objetivos corporativos genéricos da 
organização. Esses objetivos foram definidos em algum momento através de outras ferramentas 
estratégicas como balanced scorecard, ou até mesmo podem ter sido levantados utilizando uma 
tabela de mapeamento de objetivos corporativos. Nela se responde perguntas diversas sobre a 
necessidade das partes interessadas, como, por exemplo:
— Como faço para obter valor com o uso de TI?
61
Re
vi
sã
o:
 M
ár
ci
o-
 D
ia
gr
am
aç
ão
: F
ab
ríc
ia
 -
 0
9/
05
/2
01
7
GOVERNANÇA CORPORATIVA DE TI
— Os usuários finais estão satisfeitos com a qualidade do serviço de TI?
— Como posso gerenciar o desempenho de TI?
— Como posso explorar melhor as novas tecnologias para novas oportunidades estratégicas?
— Como faço para criar e estruturar da melhor forma o meu departamento de TI?
— Tenho pessoal suficiente para TI? Como faço para desenvolver e manter sua capacitação, e 
como controlo seu desempenho?
— Como faço para obter garantia do funcionamento de TI?
— As informações que estou processando estão bem protegidas?
Entre outras tantas perguntas, esse mapeamento torna‑se apoio para o desdobramento dos objetivos.
 Observação
As dimensões necessárias para a elaboração dos objetivos corporativos 
e dos objetivos de TI são as quatro dimensões presentes no BSC (Balanced 
Scorecard): financeira, cliente, interna e treinamento e crescimento.
• 3º passo: desdobrar os objetivos corporativos em TI. Com base nos objetivos corporativos se direciona 
os resultados esperados em TI, sempre estruturados de acordo com as dimensões do balanced 
scorecard de TI (IT BSC). Para esse passo, o COBIT 5 define 17 objetivos de TI.
• 4º passo: desdobrar os objetivos de TI em objetivos do habilitador. Atingir metas e objetivos 
não é fácil e requer propósitos bem definidos. Além disso, é necessária a aplicação de diversos 
habilitadores para o sucesso dos fins. Estão inclusos nos habilitadores os processos, as estruturas 
organizacionais e as informações, e para cada habilitador, um conjunto específico de metas 
relevantes que podem ser utilizadas como fundamento aos objetivos de TI.
4.2.2 Cobrir a organização de ponta a ponta
Pensando não somente na TI de forma isolada como uma simples função, o modelo COBIT 5 a 
vê como um ativo. Ao ser pensado dessa forma, ele deve ser tratado como qualquer outro ativo da 
organização, recebendo a mesma atenção que os demais. Ele poderá, sim, ter perdas, mas os ganhos, 
com certeza, serão maiores, pois a TI será refletida por quem a entende e por quem não entende muito, 
mas que a vê com importância fundamental à empresa. Outro quesito importante neste princípio diz 
respeitos aos habilitadores (processos, pessoas, regras etc.) da governança de TI que são aplicáveis a toda 
organização e não de forma restrita apenas à TI. Este ponto faz com que a instituição crie uma estrutura 
organizada, concisa e transparente.
62
Re
vi
sã
o:
 M
ár
ci
o-
 D
ia
gr
am
aç
ão
: F
ab
ríc
ia
 -
 0
9/
05
/2
01
7
Unidade IV
No segundo princípio do COBIT 5 é relevante pensar na integração da governança corporativa de 
TI dentro da governança corporativa, cobrir todas as funções e os processos requeridos, não focando 
apenas nas funções de TI, e sim tratando as informações e tecnologias relacionadas como ativos que 
precisam ser tratados como qualquer outro ativo por todos na organização.
Dessa forma, os gestores de negócio têm a responsabilidade de tratar a TI como um ativo estratégico, 
gerenciando‑a da mesma forma como fazem com os outros ativos da organização. Para que essa 
abordagem funcione corretamente, é necessário seguir o modelo da figura a seguir:
Realização de 
benefícios
Habilitadores 
da governança
Otimização 
do risco
Funções, atividades e relacionamentos
Otimização 
dos recusros
Escopo da 
governança
Objetivo da governança: criação de valor
Figura 11 – Governança e gestão de TI no COBIT 5 – Modelo Cobit 5
Exploraremos o que representa cada vertente desta representação.
• Habilitadores da governança: são facilitadores, recursos que visam proporcionar meios pelos 
quais os objetivos posam ser alcançados, são eles: modelos, processos, princípios, como, por 
exemplo, toda a infraestrutura de TI desenhada, detalhada com suas regras, funções, papéis 
e aplicações.
• Escopo da governança: define‑se nesta vertente em qual ponto a governança será aplicada. Pode 
ser em toda a organização, uma entidade, um ativo tangível ou intangível, entre outros. Faz‑se 
necessário essa definição para poder direcionar corretamente o programa.
• Papéis, atividades e relacionamentos: configura quais elementos estão envolvidos com a 
governança e como eles estabelecem sua ligação. Os elementos aqui citados são papéis, atividades 
e relacionamentos de governança.
Na figura a seguir podemos visualizar essa interação entre os papéis, funções e as suas áreas 
correlatas.
63
Re
vi
sã
o:
 M
ár
ci
o-
 D
ia
gr
am
aç
ão
: F
ab
ríc
ia
 -
 0
9/
05
/2
01
7
GOVERNANÇA CORPORATIVA DE TI
Funções, atividades e relacionamentos
Proprietários 
e partes 
interessadas
Conselho de 
administração
Operações e 
execução
Corpo 
diretivo
Delegam Define orientação Instrui e alinha
Responsabiliza Monitora Reportam
Figura 12 – Principais funções, atividades e relacionamentos – Modelo Cobit 5
4.2.3 Aplicar um modelo único integrado
Tencionando uma abrangência muito maior do que apenas a área de TI, o modelo busca realizar uma 
integração de práticas e conceitos que atendam a toda estrutura organizacional. Ela está arquitetada 
em vários modelos, criando assim um conjunto de atividades, padrões e modelos que fazem do COBIT 
essencial não apenas para TI, mas para a organização como um todo, fazendo com que a empresa tenha 
domínio e governança sobre toda a sua estrutura.
Habilitadores 
do COBIT 5
COBIT 5
Guias de 
habilitadores do COBIT
Guias profissionais 
do COBIT 5
Ambiente colaborativo 
on‑line do COBIT 5
Orientação ISACA 
(COBIT, Val IT, Fisk IT, 
BMS, ...)
Novos materiais 
de orientação da 
ISACA
Outros 
padrões e 
frameworks
Base de conhecimento 
do COBIT 5
Filtro de conteúdo para a 
base de conhecimento
• Orientação e conteúdo atuais
• Estrutura para conteúdos 
futuros
Família de produtos COBIT 5
Figura 13 – Modelo único integrado e alinhado – Modelo Cobit 5
64
Re
vi
sã
o:
 M
ár
ci
o-
 D
ia
gr
am
aç
ão
: F
ab
ríc
ia
 -
 0
9/
05
/2
01
7
Unidade IV
4.2.4 Permitir uma abordagem holística
Quando pensamos em governança, fica muito difícil tentar compreender o que pode ser uma visão 
holística dela, ainda mais em governança de TI. No entanto, a visão holística se faz necessária, uma 
vez que cria um modelo mais eficiente e eficaz para o cenário da organização. Essa visão leva em 
conta diversos componentes interligados que podemos definir como habilitadores da governança, os 
quais estão divididosem categorias. São elas: princípios, políticas e modelos; processos; estruturas 
organizacionais; cultura, ética e comportamento; informação; serviços, infraestrutura e aplicativos; 
pessoas, habilidades e competências.
No quarto princípio, são trabalhados os habilitadores ou facilitadores para uma melhor compreensão 
do termo.
1. Princípios, políticas e frameworks
2. Processos
5. Informação
3. Estruturas 
organizacionais
6. Serviços, 
infraestrutura e 
aplicativos
4. Cultura, ética e 
comportamento
7. Pessoas, 
habilidades e 
competências
Recursos
Figura 14 – Habilitadores corporativos – Modelo Cobit 5
Os facilitadores são coeficientes individuais ou coletivos que intervêm no funcionamento da 
governança e gestão de TI. No modelo COBIT 5 são apresentadas sete categorias de habilitadores ou 
facilitadores, são elas:
• Princípios, políticas e frameworks: é a forma de representar o comportamento esperado em boas 
práticas constantes em um guia prático para a gestão ordinária.
• Processos: descreve um conjunto de passos organizados de práticas e atividades que visam atingir 
determinados objetivos e que, ao final, produzem artefatos que auxiliam no cumprimento das 
metas relacionadas à TI.
• Estruturas organizacionais: composta de entidades‑chaves responsáveis pela tomada de decisão 
em uma organização.
• Cultura, ética e comportamento: ponto vultoso em uma organização, é ela que de define a 
estrutura de sucesso nas atividades de governança e gestão.
65
Re
vi
sã
o:
 M
ár
ci
o-
 D
ia
gr
am
aç
ão
: F
ab
ríc
ia
 -
 0
9/
05
/2
01
7
GOVERNANÇA CORPORATIVA DE TI
• Informação: representa todas as informações produzidas e utilizadas pela organização. É 
imprescindível para mantê‑la no foco da boa governança.
• Serviços, infraestrutura e aplicações: representa toda a infraestrutura, tecnologias e suas aplicações 
fornecidas à organização pelos serviços de TI.
• Pessoas, habilidades e competências: concernente com as pessoas que executam as atividades 
necessárias para o sucesso da demanda, também são elas as responsáveis pelas práticas 
relacionadas às decisões e ações corretivas para que sejam realizadas de forma correta.
Todos os habilitadores possuem um conjunto de dimensões comuns que buscam apresentar uma 
característica compartilhada, simples e estruturada de tratamento, permitindo que cada grupo controle 
suas interações, além de facilitar o resultado de cada habilitador/facilitador. As dimensões são:
• Stakeholders: cada habilitador possui stakeholders (partes interessadas) que podem ser internos 
ou externos à organização, porém todos com seus interesses e necessidades.
• Objetivos (goals): para cada habilitador existe uma série de objetivos que fornecem valor pela 
sua realização. Eles podem ser definidos em termos de resultados esperados do habilitador ou 
aplicação ou operação do próprio habilitador. Os objetivos dos habilitadores incluem qualidade 
intrínseca; qualidade contextual; acessibilidade e segurança; ciclo de vida e boas práticas. Um 
exemplo de habilitadores na prática consta no guia COBIT 5, conforme apresentado a seguir:
Uma organização nomeou ‘gerentes de processo’ de TI, encarregados de 
definir e operar processos de TI eficientes e eficazes, no contexto da boa 
governança e gestão de TI da organização. Primeiramente, os gerentes 
de processo se concentraram no habilitador do processo, considerando 
as dimensões do habilitador: partes interessadas. Partes interessadas 
incluem todos os atores do processo, ou seja, todas as partes responsáveis, 
consultadas ou informadas (RACI) sobre, ou durante, as atividades do 
processo. Para tanto, a tabela RACI, descrita no COBIT 5: Habilitador 
Processos, poderá ser utilizada.
Metas: Cada processo deve definir metas adequadas e indicadores 
correspondentes. Por exemplo, para o processo Gerenciar Relacionamentos 
(processo APO08 do COBIT 5: Habilitador Processos), pode‑se encontrar um 
conjunto de metas e indicadores de processo tais como:
— Meta: Bom entendimento, documentação e aprovação das estratégias, 
planos e requisitos do negócio.
— Métrica: Percentual de programas alinhados com os requisitos/
prioridades de negócios da organização.
66
Re
vi
sã
o:
 M
ár
ci
o-
 D
ia
gr
am
aç
ão
: F
ab
ríc
ia
 -
 0
9/
05
/2
01
7
Unidade IV
— Meta: Existência de bons relacionamentos entre a organização e a 
área de TI.
— Métrica: Classificações de usuário e pesquisas de satisfação do 
pessoal de TI.
‑ Ciclo de Vida: Cada processo tem um ciclo de vida, ou seja, ele deve 
ser criado, executado, monitorado e ajustado conforme necessário. 
Eventualmente, o processo deixa de existir. Neste caso, os gerentes 
de processo terão de conceber e definir o processo primeiro. Eles 
podem usar vários elementos do COBIT 5: Habilitador Processos para 
conceber os processos, ou seja, definir responsabilidades e desmembrar 
o processo em práticas e atividades, bem como definir os produtos do 
trabalho do processo (entradas e saídas). Em um segundo momento, 
o processo deverá ser criado de forma mais sólida e eficiente e para 
isso os gerentes de processo podem elevar o nível de capacidade do 
processo. O Modelo de Capacidade de Processo do COBIT 5 inspirado 
no ISO/IEC 15504 e os atributos de capacidade do processo podem ser 
usados para essa finalidade (ISACA, 2012, p. 31).
4.2.5 Distinguir a governança da gestão
Para o COBIT 5, se faz necessário ter bem claro a diferença entre gestão e governança. Para isso, ele descreve 
a governança em seu guia do COBIT 5 como:
A governança garante que as necessidades, condições e opções das Partes 
Interessadas sejam avaliadas a fim de determinar objetivos corporativos 
acordados e equilibrados; definindo a direção através de priorizações e 
tomadas de decisão; e monitorando o desempenho e a conformidade com a 
direção e os objetivos estabelecidos (ISACA, 2012, p.16).
Deixando claro o papel e suas intenções dentro da organização, para que ela não se torne algo 
genérico e sem foco. Já para o mesmo autor, a gestão significa: “A gestão é responsável pelo planejamento, 
desenvolvimento, execução e monitoramento das atividades em consonância com a direção definida 
pelo órgão de governança a fim de atingir os objetivos corporativos” (ISACA, 2012, p.16). Desse modo, é 
possível implementar uma gestão coerente.
Com a utilização da governança e da gestão, além de se seguir esses conceitos básicos e em conjunto 
com os princípios fundamentais, é possível, sim, se implantar ambas nas organizações e obter eficiência, 
otimização e transparência para as partes interessadas.
Assim, temos uma divisão estruturada conforme demonstra a figura a seguir:
67
Re
vi
sã
o:
 M
ár
ci
o-
 D
ia
gr
am
aç
ão
: F
ab
ríc
ia
 -
 0
9/
05
/2
01
7
GOVERNANÇA CORPORATIVA DE TI
Necessidades do negócio
Governança
Gestão
Feedback da gestão
Avaliar
Dirigir
Planejar 
(APO)
Construir 
(BAI)
Entregar 
(DSS)
Monitorar 
(MEA)
Monitorar
Figura 15 – Principais áreas de governança – Modelo Cobit 5
Na figura, podemos visualizar a divisão em duas partes de governança com apenas um domínio, 
o EDM (avaliar, dirigir e monitorar). Este domínio contempla cinco processos de TI e na divisão de 
gestão temos quatro domínios APO (alinhar, planejar e organizar) com 13 processos; BAI (construir, 
adquirir e implementar), com dez processos; DSS (entregar, reparar e suportar) com seis processos; e 
MEA (monitorar, avaliar e medir), com apenas três processos. É o conjunto desses 37 processos bem 
definidos e estruturados que faz com que se alcance a governança e gestão de TI com qualidade, 
segurança e transparência.
 Observação
As siglas utilizadas não são traduzidas pois nem sempre coincidem com 
o texto traduzido. Por exemplo, BAI (build, acquire and implement), na 
tradução fica construir, adquirir e implementar, porém não se cria novas 
siglas, mantém‑se a original.
 Resumo
Nesta unidade teve início a abordagem do modelo COBIT 5. Foram 
estudados quais os conceitos e livros que são contempladosno COBIT 5. 
Também foram apresentadas as características sobre a visão geral do COBIT 
e seu funcionamento dentro das organizações. Além disso, foram tratados 
os benefícios que o COBIT agrega às empresas as quais ele está inserido e 
mapeado.
São princípios do COBIT 5: atender às necessidades das partes 
interessadas; cobrir a organização de ponta a ponta; aplicar um modelo 
único integrado; permitir uma abordagem holística e distinguir a 
governança da gestão.