Resumo das aulas de 1 a 10 GOVERNANÇA EM TECNOLOGIA DA INFORMAÇÃO

Prévia do material em texto

Governança em Tecnologia da Informação 
Prof. Web Aula: André Moura 
Os impactos gerados pela adoção das tecnologias da informação nos negócios necessitam de novos 
profissionais com competências para atuação na gestão da tecnologia da informação, evidenciando o potencial 
tecnológico aumentando a produtividade e lucratividade das organizações. 
A disciplina de Governança em Tecnologia da Informação atua no desenvolvimento profissional na área de 
Gestão da Tecnologia da Informação com base nos princípios e metodologia da Governança de TI com foco em 
ferramentas e técnicas avançadas. 
Ao final dessa disciplina você será capaz de: 
• Compreender a importância da governança de TI 
• Identificar responsabilidades e objetivos da governança de TI 
• Identificar os principais controles e técnicas para a governança de TI 
Aula 1: Introdução à Governança Corporativa 
Ao final desta aula, você será capaz de: 
1- Aprender o que é governança corporativa; 
2- Conhecer a teoria do agente-principal; 
 
3- Saber por que a governança corporativa está sendo cada vez mais utilizada nas empresas; 
 
4- Conhecer a Lei Sabarnes-Oxley (SOX) e seus impactos na área de TI; 
 
5-Identificar os mecanismos da boa governança corporativa; 
6- Relacionar a governança de TI com a governança corporativa. . 
A expressão governança corporativa ganhou maior notoriedade nos últimos trinta anos como consequência do 
aumento da frequência dos abusos praticados por alguns dirigentes de empresas, que acabaram provocando a 
reação de grandes acionistas, fazendo com que esses passassem a exigir mais informação e visibilidade das 
organizações. 
 A governança corporativa vem se fazendo cada vez mais presente, principalmente a partir da década de 1990 
quando os investidores mudaram seus comportamentos, passando a cobrar dos CEOs (Chief Executive Officer - cargo 
mais alto na empresa) um maior acerto nas previsões orçamentárias. Cabe a observação de que sob a visão dos 
investidores, o CEO tanto era incompetente na gestão da empresa quando apresentava um lucro menor do que o 
previsto, como também, quando ocorria o inverso porque se sentiam enganados, uma vez que poderiam ter 
investido mais na empresa. 
Fenômenos globais como o crescimento e maior ativismo dos investidores institucionais, a onda de privatização nos 
países europeus e nos países em desenvolvimento, a onda de aquisições hostis nos Estados Unidos nos anos 1980, a 
desregulamentação e integração global dos mercados de capitais, a série de escândalos corporativos nos Estados 
Unidos e na Europa no período de 2001 a 2003 e a crise financeira global de setembro de 2008 contribuíram para 
que o tema governança se tornasse cada vez mais presente como um dos principais focos de discussão nas reuniões 
executivas da alta gestão. 
 
A adoção de boas práticas de governança corporativa pode acarretar diversos benefícios às organizações, incluindo 
aspectos qualitativos como melhores decisões e controle na alta gestão, e quantitativos como a redução do custo de 
capital decorrente da maior confiança dos investidores. No entanto, más práticas de governança (ex: 2001-2003: 
Enron, Worldcom e Tyco), podem levar à destruição de valor tanto para os investidores quanto aos demais 
envolvidos. 
Atualmente, estudos nacionais e internacionais mostram que a governança corporativa é amplamente reconhecida 
como um fator essencial para que as empresas possam aumentar sua visibilidade, fortalecendo a confiança dos 
acionistas através de uma imagem de controle, transparência e previsibilidade. 
A teoria mais aceita para discutir a temática da governança corporativa é a do agente-principal. Segundo essa teoria, 
existe uma explicação para os problemas de desalinhamento de interesses que ocorrem nas empresas e quais 
mecanismos podem ser empregados para mitigar seus custos. 
A teoria é fundamentada no agente-principal e na compreensão entre agente (tomadores de decisão) e principal 
(pessoas que confiam as decisões para terceiros). Segundo a teoria, não se pode afirmar que o agente sempre agirá 
no melhor interesse do principal. Isto implicará num problema entre ambos, conhecido como problema do agente-
principal ou problema de agência. 
Várias definições colaboram na elaboração do conceito de governança corporativa. Por exemplo, para Silveira 
(2010), é “o conjunto de mecanismos que visa a fazer com que as decisões corporativas sejam sempre tomadas com 
a finalidade de maximizar a perspectiva de geração de valor de longo prazo para o negócio”. Já Lodi (2000: 24) citado 
por Albertin & Albertin (2010), define como “o sistema que assegura aos sócios-proprietários o governo estratégico 
da empresa e a efetiva monitoração da diretoria executiva. A relação entre propriedade e gestão se dá através do 
conselho de administração, a auditoria independente e o conselho fiscal, instrumentos fundamentais para o 
exercício do controle. A boa governança assegura aos sócios: equidade, transparência, responsabilidade pelos 
resultados (accountability) e obediência às leis do país (compliance)”. 
As raízes da governança corporativa se encontram nos EUA e no Reino Unido, onde os mercados de capitais 
atingiram grande pulverização do controle acionário das empresas. 
Princípios e conceitos da Governança Corporativa 
A imagem mostra os principais ativos de uma organização, através dos quais as empresas concretizam suas 
estratégias e geram valor ao negócio. Existe a necessidade de criação de mecanismos para governar e administrar a 
utilização de cada um desses ativos, tanto de forma independente como em conjunto. 
A ideia central da figura é fazer perceber que a governança corporativa está sendo representada pelo guarda-chuva 
maior que protege e controla os ativos representados pelos guarda-chuvas menores. 
 
O guarda-chuva 2 representa os ativos financeiros e sob ele estão o dinheiro, investimentos, fluxo de caixa, contas a 
receber, contas a pagar, etc. 
O guarda-chuva 3 representa os ativos físicos e sob ele estão os prédios, fábricas, equipamentos, manutenção, 
segurança, etc. 
O guarda-chuva 4 representa os ativos da propriedade intelectual e sob ele está a propriedade intelectual, incluindo 
know-how de produtos, serviços e processos devidamente patenteados, registrados ou embutidos nas pessoas e nos 
sistemas da empresa. 
O guarda-chuva 5 representa ativos de relacionamento e sob ele estão o relacionamento dentro da empresa, bem 
como, relacionamentos, marca e reputação junto a clientes, fornecedores, unidades de negócio, órgãos reguladores, 
concorrentes, revendas autorizadas, etc. 
O guarda-chuva 6 representa a tecnologia da informação e sob ele estão os dados, informações e conhecimentos 
sobre clientes, desempenho de processos, sistemas de informação, etc. 
Responsabilidade da Governança Corporativa 
A governança, com os seis guarda-chuvas que representam os principais ativos, é feita através de mecanismos 
organizacionais como estruturas, processos, comitês, procedimentos e auditorias. 
Para aferir a conformidade existem auditorias externas e independentes que são contratadas pelas empresas, 
principalmente por aquelas que têm que atender aos instrumentos regulatórios instituídos, tais como: ANATEL, 
ANEEL, SUSEP, Banco Central do Brasil, Basiléia II e Sarbanes-Oxley Act (SOX). 
Tais regulamentações têm forte impacto na área de TI e, dependendo da organização, podem fazer parte do modelo 
de governança de TI, devendo ser contemplado pelo alinhamento estratégico do negócio. 
A Lei Sarbanes-Oxley (SOX) e seus impactos na área de TI 
Vamos pegar como exemplo a Lei Sarbanes-Oxley (SOX), sancionada pelo presidente dos Estados Unidos da América 
George W. Bush em julho de 2002, que afeta a divulgaçãofinanceira de empresas que têm ações negociadas em 
bolsas dos Estados Unidos da América. 
Esta lei engloba tanto as empresas norte-americanas com ações em bolsas de valores norte-americanas, como as 
empresas estrangeiras com ações (American Depositary Receipt - ADR), negociados em bolsas norte-
americanas. 
O CEO e o CFO estão sujeitos a sanções pecuniárias de US$ 1.000.000 a US$ 5.000.000 e/ou 10 a 20 anos de 
reclusão, caso não atendam aos requisitos da Securities and Exchange Commission (SEC). 
Verifica-se na lei que as seções 302 e 404 são de especial importância para a área de TI. 
 
 
 
Como as informações financeiras e de resultados vêm de processos de negócio que geram fatos contábeis e 
financeiros para a empresa, praticamente todos os sistemas transacionais devem ser considerados quando se trata 
de SOX. 
Como já foi visto, existem algumas exigências legais e regulatórias que devem ser cumpridas para se obter uma 
boa governança corporativa. A ideia é criar um conjunto de mecanismos internos e externos eficientes, para 
assegurar que o comportamento dos executivos esteja sempre alinhado com o interesse dos acionistas. 
Como exemplo de mecanismos internos, cita-se: conselho de administração, sistema de remuneração, concentração 
acionária e atuação de investidores institucionais. E, para os mecanismos externos: proteção legal aos investidores, 
possibilidade de aquisição hostil e grau de competição no mercado, fiscalização dos agentes do mercado e estrutura 
de capital. 
 Dada a relevância do conselho de administração no processo de governança corporativa, segue a imagem como 
exemplo do modelo de governança do Instituto Brasileiro de Governança Corporativa (IBGC), segundo Lodi (2000, 
p.25) citado por Albertin & Albertin (2010, p. 37). 
 
A empresa que utiliza as boas práticas de governança corporativa tem como referências a transparência, a prestação 
de contas, a equidade e a responsabilidade corporativa. Para tanto, o conselho de administração deve exercer seu 
papel, estabelecendo estratégias para a empresa, elegendo e destituindo o principal executivo, fiscalizando e 
avaliando o desempenho da gestão e escolhendo a auditoria independente. 
A Organização para Cooperação e Desenvolvimento Econômico (OCDE) desenvolveu uma lista de princípios de 
Governança Corporativa para promover periodicamente, em diversos países, mesas de discussão e avaliação dessas 
práticas. 
Como apoio para melhoria dos relatórios financeiros também existe o Committee of Sponsoring Organizations of the 
Treadway Commission (COSO), uma organização voluntária do setor privado que se dedica a orientar operações de 
negócios mais eficazes, eficientes e éticas. 
Para suportar tudo o que foi apresentado é fácil perceber o quanto a tecnologia da informação se tornou importante 
para a organização nas últimas décadas. TI passou a ser um elemento crítico como fonte de risco para a 
continuidade do negócio e teve que se reestruturar com um complemento de requisitos, criando seu modelo de 
governança alinhado ao negócio, podendo assim atender aos novos desafios de mercado e à legislação regulatória 
como, por exemplo, a lei SOX. 
Nesta aula, você: 
 Aprendeu o que é governança corporativa. 
 Conheceu a teoria do agente-principal. 
 Soube por que a governança corporativa está sendo cada vez mais utilizada nas empresas. 
 Conheceu a Lei Sabarnes-Oxley (SOX) e seus impactos na área de TI. 
 Aprendeu a identificar os mecanismos da boa governança corporativa. 
 Aprendeu a relacionar a governança de TI com a governança corporativa. 
 
Na próxima aula iremos abordar a importância da Tecnologia da Informação (TI) alinhada à Governança 
Corporativa. Saberemos o que é alinhamento estratégico e iremos conhecer os fatores críticos de sucesso para a TI 
manter o foco no negócio da empresa. 
 
Questões – Exercícios 
 
 
 
 
 
 
 
 
Aula 2: Alinhamento de TI à Governança Corporativa 
Nesta aula, você irá: 
1. Saber a importância do alinhamento entre estratégia corporativa e TI. 
2. Conhecer a técnica do Balanced Scorecard (BSC). 
3. Saber o que é Governança de TI. 
4. Identificar as responsabilidades da Governança de TI. 
5. Relacionar a Governança de TI com modelos e ferramentas utilizadas. 
A importância do alinhamento entre estratégia corporativa e TI 
O fato de as organizações estarem enfrentando um mercado cada vez mais competitivo e globalizado vem fazendo 
com que necessitem de informações sob demanda e personalizadas, para ajudar na sua gestão de forma mais 
inteligente. No entanto, para que isto se torne uma realidade é necessário que o planejamento estratégico da área 
de Tecnologia da Informação esteja alinhado ao planejamento estratégico do negócio de forma coerente. A área de 
TI deve trabalhar com seus esforços voltados para as ações que possam agregar valor ao negócio da empresa, sendo 
flexível para acomodar as frequentes mudanças, antecipar informações, simular cenários e avaliar tendências. 
O alinhamento da área de TI com a área de negócio é o ingrediente principal para a criação da governança de TI sob 
a guarda da governança corporativa. 
 
Gestão estratégica baseada no Balanced Scorecard (BSC) 
Uma das técnicas utilizadas pelas empresas durante a criação de sua estratégia é o Balanced Scorecard (BSC). 
Através dele é possível criar um mapa estratégico para traduzir sua missão e visão, criando um conjunto abrangente 
de medidores de desempenho que serve de ajuda na gestão estratégica. Segundo Kaplan e Norton (2000), o foco 
fundamental do BSC é a medição de quatro perspectivas, conforme a imagem, onde qualquer medida selecionada 
deve fazer parte de uma cadeia de relações de causa e efeito que proporcione melhoria no desempenho 
financeiro. 
 
Na perspectiva Financeira o que normalmente se vê é a estratégia de crescimento, rentabilidade e risco do negócio. 
Os objetivos financeiros servem de foco para as perspectivas seguintes do BSC. Na perspectiva do Cliente, busca-se 
alinhamento de resultados, proporcionando satisfação, fidelidade, captação e lucratividade. Já na terceira 
perspectiva vem os Processos Internos, onde ocorre uma análise dos processos mais críticos, levando em 
consideração as duas primeiras perspectivas. A última perspectiva, denominada Aprendizado e Crescimento, oferece 
sustentação, suporte à mudança e inovação e o crescimento organizacional para as três primeiras perspectivas 
alcançarem seus objetivos. 
Na pasta de arquivos veremos um exemplo de aplicação do BSC através do mapa estratégico da empresa Xpto. 
 
O Que é Governança de TI 
 
 
 
De acordo com Weill & Ross (2006) uma boa governança de TI deve abordar as seguintes questões: 
Quais decisões devem ser tomadas para garantir a gestão e o uso eficazes de TI? 
Quem deve tomar essas decisões? 
Como essas decisões serão tomadas e monitoradas? 
O ITGI (2007) descreve a governança de TI como “responsabilidade dos executivos e da alta direção, consistindo em 
aspectos de liderança, estrutura organizacional e processos que garantam que a área de TI da organização suporte e 
aprimore os objetivos e as estratégias da organização”. 
Como a empresa consegue implementar controles na área de TI de forma que TI entregue as informações que a 
empresa precisa? 
Como a empresa gerencia os riscos e garante a segurança dos recursos de TI dos quais é tão dependente? 
Como a empresa assegura que a área de TI atinja os seus objetivos e atenda ao negócio? 
Ainda neste contexto, a governança de TI deve também: 
Manter TI alinhado ao negócio. 
Contemplar a continuidade do negócio contra interrupções e falhas. 
A governança de TI deve ser vista como parte da governançacorporativa, de tal forma que agregue valor ao negócio, 
não permita investimento em projetos desalinhados com os objetivos da empresa e mantenha mecanismos de 
controle e gestão adequados. 
Responsabilidades da Governança de TI 
A implementação de uma governança de TI precisa ser estruturada de uma forma que facilite a definição dos papéis 
dos envolvidos e de suas responsabilidades. Com relação ao lado comportamental, deve estabelecer os 
relacionamentos formais e informais e conferir direitos decisórios a um papel (CEO, por exemplo) ou grupo de 
papéis específicos (CIO e CFO, por exemplo). Já no lado normativo, deve dar foco na definição dos mecanismos, 
formalizando relacionamentos e estabelecendo as regras e procedimentos operacionais que proporcionarão que os 
objetivos sejam atingidos. 
Na visão do ITGI (2003) citado por Albertin & Albertin (2010), uma das responsabilidades da governança de TI é 
considerar os valores do stakeholder no estabelecimento das estratégias para determinar e direcionar ações de valor 
para o negócio, conforme é mostrado na imagem abaixo. 
 
Tais estratégias direcionam a utilização de processos que, uma vez utilizados, seus resultados podem ser 
mensurados e analisados, servindo como referência para confirmação ou adequação dessas estratégias que 
dispararam os processos. 
Segundo Albertin & Albertin (2010), o ITGI confere à governança de TI princípios e práticas da governança 
corporativa, devendo realçar: 
 
Para poder ser colocado em prática, os diretores devem criar um comitê de estratégia de TI e fornecer direção e 
controle especializados sobre o valor de TI e os riscos que precisam ser gerenciados. Sob o olhar da administração da 
empresa, a governança deve ser tratada conforme mostrado na figura ao lado. Neste caso, as responsabilidades da 
administração são: 
 
 
Observa-se na imagem que, na definição da estratégia, a administração mantém o foco no gerenciamento de valor e 
nos processos de acompanhamento, ratificando ou não os resultados de acordo com o que foi feito. 
Modelos de Governança de TI 
Assim como na governança corporativa, é comum as empresas adotarem modelos de governança de TI em suas 
instalações. A adoção de um modelo colabora muito com a transparência e visibilidade dos processos de TI e 
fortalece a relação com os outros processos da organização. 
 Para se ter êxito na escolha de um modelo de governança, é essencial que a empresa saiba qual é a posição 
estratégica que a TI deve ter. Mais do que manter sistemas disponíveis, para a maioria das organizações deve-se 
enxergar a TI como um braço estratégico no negócio. Muitas empresas ao se dedicarem a questão da governança, 
acabam optando por outsourcing de TI para fortalecer o exercício de seu papel estratégico. 
De uma maneira geral, os cenários de governança encontrados nas empresas particularizam a escolha do modelo 
adotado, mas utilizam um ferramental comum para mantê-los. Com a utilização desse ferramental o gestor de TI 
acompanha o andamento das atividades, promove acertos, identifica novas demandas, publica indicadores e 
participa de reuniões corporativas para manter o alinhamento. 
 Ainda como trabalho de preparação é importante estabelecer papéis e responsabilidades para cada departamento. 
Neste caso, o mapeamento de processos ajuda a dar maior visibilidade de como cada parte da empresa funciona e 
quais melhorias podem ser feitas. 
Como exemplo de modelo a ser adotado, Aragon (2008) sugere que a governança de TI seja representada pelo que 
ele define como “Ciclo da Governança de TI”, composto por quatro etapas, conforme podemos ver a seguir. 
 
 
 
 
Existe uma imensidão de técnicas que podem ajudar na implementação e no ciclo de vida da governança de TI, 
conforme exemplo na tabela a seguir. 
 
As ferramentas não se esgotam no conjunto apresentado. Como se pode observar, cada uma delas se aplica a 
determinada finalidade. Durante a implementação da governança de TI, ou mesmo durante o seu ciclo de vida, a 
utilidade deste ferramental poderá ser testada e adotada de acordo com as necessidades. 
OUTRAS REFERÊNCIAS 
 Balanced Scorecard: KAPLAN, Robert S.; NORTON, David P. "Mapas Estratégicos: convertendo ativos 
intangíveis em resultados tangíveis". Rio de Janeiro. Editora campus, 4ª edição, 2004. 
 Outros livros de Robert S. Kaplan e David P. Norton. 
 ITGI (governança de TI): 
http://www.itgi.org 
 ISACA: 
http://www.isaca.org 
Nesta aula, você: 
 Aprendeu a importância do alinhamento entre estratégia corporativa e TI. 
 Conheceu a técnica do Balanced Scorecard (BSC). 
 Aprendeu o que é Governança de TI. 
 Conheceu as responsabilidades da governança de TI. 
 Conheceu o propósito de algumas ferramentas utilizadas nos modelos de governança de TI. 
 
Na próxima aula iremos abordar o Processo de Decisão na Governança de TI. Veremos a diferença entre a 
governança de TI centralizada versus a descentralizada e falaremos sobre as principais decisões relacionadas ao uso 
de TI. 
1. 
Qual é a técnica que se utiliza nas empresas para se construir um mapa estratégico, baseado em quatro perspectivas, que 
oferece a possibilidade de criação de um conjunto de medidores de desempenho que ajuda na gestão estratégica? 
 1) I. ITIL 
 2) II. BSC 
 3) III. Val IT 
 4) IV. COBIT 
 
2. 
 A governança de TI deve ser vista como parte da governança corporativa, de tal forma que: 
 1) I. Agregue valor ao negócio; não permita investimento em projetos desalinhados com os objetivos da empresa; e, 
mantenha mecanismos de controle e gestão adequados 
 2) II. Contemple a continuidade do negócio contra interrupções e falhas 
 3) III. Inclua marcos regulatórios externos, como SOX, por exemplo 
 4) IV. Os itens I, II e III estão corretos 
 
3. 
 3: Assinale a única alternativa ERRADA com relação às ferramentas utilizadas na governança de TI: 
 1) I. COBIT é utilizado em Controle e governança 
 2) II. ISO 27001 é utilizado em Segurança da informação 
 3) III. PMBOK é utilizado em projetos 
 4) IV. ISO 20000 é utilizado em processos de desenvolvimento de software 
 Aula 3: Processo de decisão na Governança de TI 
Nesta aula, você irá: 
1. Aprender as principais decisões a serem tomadas na governança de TI. 
2. Conhecer o conjunto de mecanismos de governança de TI que as empresas adotam para implementar seus 
arranjos de governança de TI. 
3. Identificar os principais arquétipos de governança de TI que são utilizados por diferentes tipos de decisão. 
4. Conhecer um framework de governança de TI. 
5. Conhecer os requisitos necessários para que a implementação da governança de TI seja bem sucedida. 
6. Conhecer os componentes necessários para fazer a gestão do ciclo de vida operacional da governança de TI. 
Capacidade da Governança de TI 
A governança de TI ultrapassa as abordagens de controle de risco e alcança a estratégia e todo o modelo de gestão 
empresa. Ela se envolve nos processos e estruturas organizacionais que devem viabilizar avanços em direção à 
eficiência, à transparência e à competitividade, integrando a tecnologia e o fluxo de informações ao objetivo de 
negócio da organização. 
 
Para atuar em toda extensão da empresa, a governança de TI necessita estabelecer os mecanismos do processo de 
decisão e o alinhamento estratégico com o negócio. Para isso, Grembergen, Haes & Guidentops (2004) citados por 
Albertin & Albertin (2010) definem algumas capacidades necessárias, conforme a seguir: 
Estruturas formais de integração - identificar os executivos, identificar as áreas e institucionalizar os comitês e 
conselhos. 
Processos formais de integração - formalizar e institucionalizar procedimentos de tomada dedecisão estratégica de 
TI. 
Integração - grau no qual as decisões de TI são tomadas. As integrações se dão na forma administrativa, quando o 
cronograma e o orçamento são compartilhados entre negócio e TI; na forma sequencial, quando as decisões de 
negócio endereçam as tomadas de decisão de TI; na forma recíproca, quando as decisões de negócio e de TI se 
influenciam mutuamente; e, na integração completa, quando as decisões de negócio e TI concorrem num mesmo 
processo. 
Nesta mesma linha, a norma NBR ISO/IEC 38500 (2009), que trata da Governança Corporativa de Tecnologia da 
Informação, tem como objetivo fornecer uma estrutura de princípios para os dirigentes usarem na avaliação, 
gerenciamento e monitoramento do uso da tecnologia da informação em suas organizações. 
 A norma oferece uma estrutura para orientar os dirigentes das organizações sobre o uso eficaz, eficiente e aceitável 
da tecnologia da informação em suas empresas. Também ajuda a alta administração das organizações a entender e 
cumprir suas obrigações legais, regulamentares e éticas com relação ao uso da tecnologia da informação. Desta 
forma, estabelece seis princípios de governança de TI, conforme descritos a seguir: 
Responsabilidade: os indivíduos e grupos dentro da organização compreendem e aceitam seus papéis e 
responsabilidades com referência ao fornecimento e demanda de tecnologia da informação. Fica estabelecido que 
os que são responsáveis pelas ações também têm autoridade para desempenhá-las. 
Estratégia: o desenvolvimento da estratégia do negócio considera as capacidades atuais e futuras de TI. O 
planejamento estratégico de TI busca atender às necessidades atuais e contínuas da estratégia de negócio da 
organização. 
Aquisição: as aquisições de TI são feitas por razões válidas, com base em análise apropriada e contínua, com tomada 
de decisão clara e transparente, buscando um equilíbrio adequado entre benefícios, oportunidades, custos e riscos, 
a curto e longo prazo. 
Desempenho: a TI é adequada para suportar adequadamente a organização, fornecendo serviços, níveis de serviço e 
qualidade de serviço, necessários para atender aos requisitos atuais e futuros do negócio. 
Conformidade: a TI cumpre e está em conformidade com toda a legislação e regulamentação obrigatórias. As 
políticas e práticas são claramente definidas, implementadas e fiscalizadas. 
Comportamento humano: as políticas, práticas e decisões de TI respeitam o comportamento humano, incluindo as 
necessidades atuais e futuras de todos os envolvidos no processo. 
Ainda de acordo com o modelo apresentado na norma, conforme mostra a imagem a seguir, existe uma sugestão 
para que os dirigentes governem TI com o tripé para avaliar o uso atual e futuro da TI, orientar a preparação e a 
implementação de planos e políticas para assegurar que o uso da TI atenda aos objetivos do negócio e monitorar o 
cumprimento das políticas e o desempenho em relação aos planejado. 
 
 
Para melhor entendimento, os autores utilizaram uma matriz do CISR (2003) para relacionar as duas primeiras 
questões referentes à governança de TI. A essa matriz foi dado o nome de Matriz de Arranjos de Governança. Assim, 
estão representadas nas colunas as cinco decisões de TI que devem ser tomadas e, nas linhas, os direitos decisórios 
através de arquétipos, identificando quem deve tomar a decisão de TI. A tabela 1 mostra a representação desses 
arranjos. 
 
O ponto de interrogação representa o desafio que toda empresa tem para identificar e eleger o responsável por 
cada tipo de decisão de governança. 
 
 
 
 
 
 
E com relação aos arquétipos, cada um deles identifica o tipo de função envolvida para tomar uma decisão de TI, 
conforme explicado a seguir: 
 
Visto que a Matriz de Arranjos de Governança organiza os tipos de decisões e os arquétipos do processo decisório, a 
terceira questão a ser tratada – como essas decisões serão tomadas e monitoradas – necessita de mecanismos de 
governança, como comitês, funções e processos formais. 
Framework de Governança de TI 
A frequência com que a alta gerência coloca em dúvida o valor dos investimentos em TI é bastante grande. 
Frustrações como: gastos em sistemas sem retorno compatível, sistemas que não aprimoram processos, aumento de 
despesas anuais sem justificativa plausível, interrupção das operações, etc., agravam ainda mais o problema. A 
reação instintiva da maioria dos altos executivos é demitir o CIO e terceirizar a área de TI. Há de se levar em conta 
que esta decisão não resolve a causa do problema para a maioria dessas empresas pelo fato de possuírem uma 
governança mal concebida. 
Weill & Ross (2006) propõem um framework de governança de TI, conforme figura 2, que ajuda a entender, projetar, 
comunicar e sustentar uma governança eficaz. 
 
 
As setas horizontais do framework mostram a harmonização entre a estratégia e a organização da empresa, os 
arranjos de governança de TI e as metas de desempenho do negócio. Os três elementos são postos em prática, 
respectivamente, através da organização de TI e comportamentos desejáveis, pelos mecanismos de governança de 
TI e pelas métricas. Também aparece a necessidade de harmonizar a governança de TI com a governança dos outros 
cinco ativos. 
A estratégia e organização da empresa definem os comportamentos desejáveis que motivam a governança. As 
empresas concedem arranjos de governança de TI para cada um dos seus seis ativos principais (TI, financeiro, RH, PI, 
físicos e relacionamentos) como meio para habilitar e influenciar a estratégia. Dessa forma, os arranjos de 
governança atribuem direitos decisórios para as principais decisões que governam cada ativo, tanto individual como 
coletivamente. O bom desempenho das estratégias associado com a combinação de arranjos de governança reflete 
na capacidade da empresa atingir as metas de desempenho do negócio anunciadas. 
Implementação da Governança de TI 
Abordagens de comunicação: entendida como a disseminação dos princípios e políticas de governança de TI e dos 
resultados dos processos decisórios de TI. Normalmente é feita através de comunicados, porta-vozes, canais e 
esforços em educação. 
Estruturas de tomadas de decisão: são as unidades e papéis organizacionais responsáveis por tomar decisões de TI, 
como comitês, equipes executivas e gerentes de relacionamento entre negócio e TI. 
Processos de alinhamento: são processos formais que asseguram ao comportamento do dia-a-dia uma consistência 
com as políticas de TI e também contribuem com as decisões. Estão incluídas avaliações e propostas de 
investimentos em TI, acordo de níveis de serviço, métricas, acompanhamento de projetos de TI e recursos 
consumidos, etc. 
A implementação da governança de TI se dá num processo de longo prazo. Aragon (2008) sugere que a 
implementação, para ser bem sucedida, deve atender aos seguintes requisitos: 
Liderança para mudança: Existência de um executivo patrocinador para liderar e garantir os investimentos 
necessários 
Envolvimento dos executivos da organização: além do executivo patrocinador, existe necessidade do envolvimento 
dos demais executivos da empresa porque novos processos podem alterar a forma como as demais áreas da 
empresa são atendidas por TI; 
Entendimento dos estágios de maturidade em que se encontra a organização de TI: prioritariamente deve-se 
entender em que estágio os processos de TI se encontram na organização. Isto facilita o planejamento da 
governança de TI e a imediata correção das eventuais vulnerabilidades de alto risco; 
Ter um modelo de governança de TI: Utilizar um modelo de governança de TI que permita planejar sua implantação 
e seu gerenciamento; 
Atacar as principais vulnerabilidades: atacar imediatamenteas vulnerabilidades de alto risco para obter resultados 
de curto prazo; 
Instituir um programa de Governança de TI: a implantação da governança de TI é um programa realizado através de 
vários projetos, considerando perspectivas de curto, médio e longo prazo; 
Ter uma abordagem de gestão de mudança cultural: a implantação da governança de TI tem impacto não só no 
pessoal da área de TI, como também nos seus usuários, clientes e fornecedores; 
Equipe qualificada: alocar pessoas com perfis requeridos e adequados para planejamento, implantação e 
gerenciamento do Programa; 
Certifica-se de que os objetivos previstos pela governança de TI estão sendo atingidos: considerado um dos 
elementos mais importantes para o Programa. A alta administração só entenderá os investimentos no Programa se 
as melhorias puderem ser demonstradas através de números e de agregação de valor ao negócio. Recomenda-se a 
criação de um painel de indicadores; 
Implementar um endomarketing para TI: criar uma estratégia de marketing focada na comunicação interna, para 
apoiar o Programa durante a sua implementação e fazer com que as realizações sejam entendidas por todos na 
empresa. 
Ainda segundo Aragon (2008), o planejamento do Programa de Governança de TI deve adotar os conceitos de 
Gestão de Programas e Projetos, contendo, no mínimo: 
 
O trabalho de implementação do Programa de Governança de TI requer a aplicação de uma série de técnicas 
baseadas nos modelos concebidos a partir das melhores práticas do mercado. Para iniciar o trabalho é comum as 
empresas utilizarem o COBIT (Control Objectives for Information and related Technology), como referência global 
para os processos de TI. Uma vez que os processos foram identificados através do COBIT, é recomendado selecionar 
modelos específicos com as melhores práticas para cada tipo de processo e adaptá-los à realidade da empresa. 
 
 
 
 
 
Organizações de grande porte chegam a criar na sua estrutura organizacional uma área específica para governança 
de TI, como um departamento ou gerência. Já nas empresas menores a governança de TI costuma ser exercida por 
uma equipe temporária, que se forma sob demanda, dentro de uma determinada frequência, estando numa 
oportunidade medindo os benefícios alcançados, em outro momento verificando as melhorias em processos, e assim 
por diante. Aragon (2008) recomenda que a gestão da Estratégia e do Portfolio seja feita com equipes 
permanentes. 
 É importante que a empresa perceba a governança de TI como um benefício e não uma burocracia. Conduzir as 
mudanças necessárias para a governança de TI é um grande desafio já que ela altera a estrutura e mexe na forma de 
atuar de TI. Não se consegue alcançar o sucesso na governança de TI sem o apoio da alta gestão da empresa e sem a 
participação do corpo funcional. 
 REFERÊNCIAS 
 Livro : 
o FERNANDES, A. A.; ABREU, V. F. Governança de TI: da Estratégia à Gestão dos Processos e Serviços. 
Rio de Janeiro: Editora Brasport, 2008. 
o WEILL, P.; ROSS, J. W. Governança de TI, Tecnologia da Informação. São Paulo: Editora M. Books, 
2006. 
 Norma :ISO. ABNT NBR ISSO/IEC 38500:2009: Governança corporativa de tecnologia da informação. 
Nesta aula, você: 
 Aprendeu as principais decisões a serem tomadas na governança de TI. 
 Conheceu o conjunto de mecanismos de governança de TI que as empresas adotam para implementar seus 
arranjos de governança de TI. 
 Identificou os principais arquétipos de governança de TI que são utilizados por diferentes tipos de decisão. 
 Conheceu um framework de governança de TI. 
 Conheceu os requisitos necessários para que a implementação da governança de TI seja bem sucedida. 
 Conheceu os componentes necessários para fazer a gestão do ciclo de vida operacional da governança de 
TI. 
Na próxima aula iremos abordar os Controles para a Governança de TI. Compreenderemos a importância dos 
controles nos processos gerenciais das organizações e aprenderemos a identificar a necessidade de controle nos 
serviços de TI e as suas principais falhas. 
 
 
 
1. 
 Na governança de TI, cada um dos arquétipos identifica um tipo de função envolvida para tomar uma decisão de TI. Quais dos 
arquétipos abaixo estão corretos? 
 
I. Monarquia de negócio: 
Os altos executivos de negócio tomam decisões de TI que afetam a empresa toda. 
 
II. Monarquia de TI: 
Os especialistas em TI tomam as decisões de TI. 
 
III. Feudalismo: 
Cada unidade de negócio toma decisões independentes. 
 
IV. Federalismo: 
Combinação entre o centro corporativo e as unidades de negócio, com ou sem envolvimento do pessoal de TI. 
 
V. Duopólio de TI: 
O grupo de TI e algum outro grupo (por exemplo, a alta gerência ou líderes das unidades de negócio), por consenso. 
 
VI. Anarquia: 
Tomada de decisões individual ou por pequenos grupos de modo isolado, com base somente em suas necessidades locais. 
 
 1) Somente o I e VI 
 2) Somente o III e V 
 3) Somente o II e IV 
 4) Todos os arquétipos estão corretos 
 
2. 
 Quais das decisões abaixo PERTENCEM a Matriz de Arranjos de Governança de TI? 
 1) I. Decisões sobre os princípios de TI e Decisões sobre os investimentos em TI 
 2) II. Decisões sobre a arquitetura de TI e Decisões sobre a infraestrutura de TI 
 3) III. Decisões sobre as necessidades de aplicação de negócio 
 4) IV. As decisões dos itens I, II e III 
 
3. 
 São mecanismos de governança de TI: 
 1) I. Estruturas de tomada de decisão, Processos de alinhamento e Abordagens de comunicação 
 2) II. Processos de alinhamento e Abordagens de comunicação 
 3) III. Estruturas de tomada de decisão e Abordagens de comunicação 
 4) IV. Estruturas de tomada de decisão e Processos de alinhamento 
 Aula 4: Controles para a Governança de TI 
Nesta aula, você irá: 
 
1. Saber a importância de ter um gerente bem preparado para a função. 
2. Conhecer como funcionam os controles de uma forma geral. 
3. Saber por que as informações, o ambiente operacional de TI, comércio eletrônico na Internet e o 
desenvolvimento de sistemas necessitam ser controlados. 
4. Conhecer alguns recursos de proteção de rede e ambiente operacional utilizados pelas empresas. 
5. Saber por que as empresas fazem auditoria nos sistemas de informação considerados críticos para o negócio. 
Teoria do Controle 
A figura abaixo mostra um sistema que serve como modelo para explicar o funcionamento de um controle de forma 
geral. Existe um padrão que é ajustado para o valor desejado como, por exemplo, a temperatura de um ambiente 
em 22o. Por sua vez, existe um sensor que fica verificando a temperatura real do ambiente. A temperatura desejada 
e a temperatura real são comparadas através de um dispositivo de comparação e, caso haja diferença significativa 
além da tolerável, o dispositivo de comparação envia um sinal para que alguma ação seja tomada. Este ciclo se 
repete até que alguma ação seja tomada de forma que o padrão e o sensor possam apresentar uma diferença 
insignificante para o dispositivo de comparação. 
 
Para isto, costuma utilizar referências que possam indicar, comparativamente com padrões previamente 
estabelecidos, se existe algum desvio. Assim acontece quando se deseja manter a temperatura do escritório em 22o 
, quando se estabelece um orçamento anual para controlar as despesas realizadas, quando se limita a velocidade da 
frota da empresa para evitar acidentes e multas e quando se acompanha os mostradores nos painéis de vendas para 
atingir as metas da empresa. A tecnologia da informação auxilia nesses controles, mas também precisa ser 
controlada porque as organizações estão cada vez mais dependentes dela. 
Este conceito podeser levado para o entendimento da lógica de funcionamento dos controles dentro de uma 
empresa. Os administradores estabelecem padrões e ficam acompanhando as variações que ocorrem no dia-a-dia da 
organização, normalmente através de indicadores. Quando algum desses indicadores sai do padrão, a administração 
toma providências para que a organização volte para o controle. 
Controle na Organização 
Os controles ocorrem em todos os níveis da organização. A figura 2 mostra algumas ferramentas de controle 
administrativo que são úteis para os administradores controlarem a empresa. 
 
 
 
Informação e Controle 
Os sistemas de informação automatizados vieram contribuir bastante para o aumento de controle. Por exemplo, um 
sistema de orçamento permite acompanhar cotações em tempo real, integrar com outros sistemas através de 
webservices, enfatizar produtos diferentes, alterar cronogramas de produção, facilitar na redução de despesas e 
auxiliar os administradores a identificar distorções e tomar providências. 
Apesar de toda essa facilidade, os sistemas de informação acabam também criando problemas de controle, 
principalmente quando se trata de sistemas maiores. Isto porque, nesses casos, dificilmente existe alguém com 
domínio do todo e também porque o gerente responsável pelos processos que o sistema suporta não 
necessariamente detém suficiência em tecnologia e em técnicas de auditoria que o habilite verificar se a utilização 
do sistema está sob controle. Assim, torna-se necessária a criação de novos controles como, por exemplo, a 
segregação de uso através da criação de perfis. 
Controle do Desenvolvimento de Sistemas 
Uma das perguntas reincidentes dentro de uma área de tecnologia da informação é: 
Desenvolver o software ou comprar a solução pronta ? 
As duas opções podem ser válidas, dependendo da necessidade e das condições disponíveis. Existem vantagens e 
desvantagens em cada uma das opções. A compra de um pacote, por exemplo, pode encurtar o tempo de 
implantação porque o código já está pronto, testado e funcionando em outras empresas. Isto reduz as incertezas. 
Outro motivo é a dispensa de equipe especializada que teria que acompanhar as leis para manter o sistema. E o que 
dizer das solicitações de melhorias que não estavam previstas no escopo inicial? Por outro lado, normalmente a 
empresa que adquire um pacote tem que modificar o seu processo operacional para se adaptar ao do pacote e isto 
pode trazer algum transtorno, chegando inclusive a reduzir o seu diferencial competitivo. Adaptar-se a um novo 
processo de folha de pagamento não costuma influenciar o negócio da empresa. Já um novo processo de vendas 
pode ser grave a ponto de desarticular a estratégia da organização. Como se vê, não é fácil decidir. 
Independente da escolha entre desenvolver ou comprar pronto, ainda é bastante comum encontrar projetos com 
orçamentos estourados, prazos vencidos e escopos não cumpridos. As razões disto costumam ser principalmente a 
falta de planejamento associada à falta de controle. Em função desses acontecimentos, a preocupação com a 
administração de projetos vem ganhando força nos últimos anos e exigindo gerentes de projetos cada vez melhor 
preparados. Associações como o Project Management Institute (PMI) vêm se destacando na formação e certificação 
de gerente de projetos (PMP), contribuindo com mais uma especialização para a área de TI e ajudando a fortalecer 
os seus controles. 
Controle de Operações 
Outro ponto de atenção é a operação dos sistemas. A falta de controle pode gerar prejuízos incalculáveis. Um caso 
memorável foi o bug do milênio, quando se aproximou o ano 2000 e ninguém sabia como os computadores iriam se 
comportar a partir de 01/01/2000. Isto porque na época existiam muitos sistemas antigos que, para economizar 
espaço (o custo de armazenamento de informação era muito caro), guardavam apenas as duas posições finais do 
ano. Quando havia necessidade de utilizar as quatro posições, bastava concatenar com 19. Assim, em vez de 1980 
gravava-se 80 e o ano de 1999 ficava armazenado como 99. A lógica era bastante simples e toda vez que chegava o 
final do ano se adicionava 1 ao ano corrente para se obter o ano seguinte. Ou seja, para passar de 98 para 99 
bastava adicionar 1 ao ano corrente. Tudo funcionaria corretamente até que chegasse o ano 2000. Isto porque se 
nada fosse feito nos programas, ao se somar 1 a 99 iria obter 00. E, na sequência da lógica antiga, ao se concatenar 
com 19 o ano passaria a ser 1900. Ou seja, passaria de 1999 para 1900. 
Dá para imaginar todos os desdobramentos que poderiam ocorrer por erro de conta se nada fosse feito. Como se 
comportariam os aviões e as torres de controle? E o que dizer dos sinais de trânsito? Como ficariam os rendimentos 
financeiros? E as bombas de abastecimento de combustível? Felizmente o mundo se mobilizou e com muito 
trabalho o bug do milênio não passou de um susto. 
 Hoje existem muitas preocupações de controle sobre o ambiente de tecnologia de informação. Políticas antivírus, 
monitoramento para evitar a invasão da rede e a segmentação de acesso são apenas alguns exemplos. Além disso, a 
Lei SOX também acabou ajudando as empresas a controlar melhor os seus processos. 
A figura 3 ilustra um sistema cliente-servidor com conexões espalhadas para fora da organização e com oito áreas de 
possíveis vulnerabilidades, conforme apresentadas por Lucas Jr. (2006). 
 
 
 
Comércio Eletrônico e Controle 
O comércio eletrônico na Internet endereça naturalmente ao uso de cartões de crédito. Durante uma transação de 
compra o cliente tem que informar o número do seu cartão e esse número pode ser interceptado e utilizado por 
pessoas desautorizadas. A utilização de criptografia permitindo que os dados não trafeguem em claro aumenta a 
proteção do número do cartão e dá maior credibilidade às transações efetuadas na Internet. 
Segurança 
O advento da Internet criou um mundo de novas oportunidades de interação. Tanto empresas da era industrial 
como da era informacional se estabeleceram nesse canal de comunicação, normalmente através de um website, 
buscando novos negócios. Com a possibilidade desse novo canal as empresas passaram a trocar informações com 
outras empresas ou com pessoas físicas, muitas vezes confidenciais e de interesse de terceiros. Assim, não tardou 
aparecerem os programas maliciosos que normalmente se ocupam em monitorar uma rede e interceptar 
informações para serem utilizadas posteriormente e permitir o domínio dessa rede ou usufruir de dados 
confidenciais como contas bancárias e cartões de crédito. Isto fez com que fossem desenvolvidas novas técnicas de 
proteção, aperfeiçoassem o uso da criptografia e surgissem novas empresas especializadas em segurança da 
informação. 
Fez também com que as empresas de segurança da informação que já existiam procurassem se especializar neste 
novo mundo. Hoje, programas antivírus, programas de monitoração de ambiente, roteadores e firewalls são 
utilizados para proteger perímetros pré-estabelecidos, onde se configuram regras para permitir apenas os acessos 
autorizados e o controle sobre o uso de programas. Além disso, existe um serviço prestado pelas empresas 
especializadas que gera um relatório de vulnerabilidades envolvendo a rede, os servidores e as estações de trabalho, 
permitindo que a empresa analisada possa tratar esses pontos vulneráveis e ficar cada vez mais protegida. 
Auditando Sistemas de Informação 
Uma das maiores preocupações nas empresas é saber se as transações que de alguma maneira possam vir a afetar 
as informações financeiras estão sob controle e sendo executadas corretamente. Assim, sendo por necessidade legal 
ou por iniciativa própria, as empresas costumam realizarauditorias. O auditor examina o processo como um todo, 
faz entrevistas, analisa bancos de dados e emite parecer sobre o cenário avaliado. Dentre outros pontos, é comum o 
auditor verificar se: as informações estão corretas e disponíveis a contento; se as informações estão protegidas 
contra fraudes; se existe trilha de auditoria para se verificar os acessos de uma determinada transação; se o acesso 
às informações está segregado por perfis; se as instalações e os equipamentos estão protegidos; e, se existe um 
plano para situações emergenciais que permita a continuidade do negócio. Empresas maiores costumam ter áreas 
de auditoria para manter os sistemas sempre sob controle. 
OUTRAS REFERÊNCIAS 
 Livro : 
o OLIVEIRA, D. P. R. Sistemas, organização e métodos: uma abordagem gerencial. São Paulo: Atlas, 
2005. 
Nesta aula, você: 
 Soube da importância de ter um gerente bem preparado para a função. 
 Conheceu como funcionam os controles de uma forma geral. 
 Aprendeu os controles básicos que são exercidos na organização. 
 Soube por que uma falha de controle pode falir uma empresa. 
 Soube por que as informações necessitam ser controladas. 
 Soube por que o desenvolvimento de um sistema precisa ser controlado. 
 Soube por que o ambiente operacional de TI deve ser controlado. 
 Soube por que o comércio eletrônico na Internet necessita de cuidado especial. 
 Conheceu alguns recursos de proteção de rede e ambiente operacional utilizados pelas empresas. 
 Soube por que as empresas fazem auditoria nos sistemas de informação considerados críticos para o 
negócio. 
Na próxima aula faremos uma introdução ao COBIT (Control Objectives for Information and related Technology). 
 
1. No exercício da sua função o gerente dedica uma parte do seu tempo verificando se os processos que estão sob sua 
responsabilidade, bem como suas demais obrigações, caminham dentro de suas expectativas. 
 Observe as frases abaixo e escolha a opção correta: 
 I. Como a função do gerente é só controlar ele não necessita estar bem preparado e com os conhecimentos 
atualizados para o exercício de sua função. 
II. Quando o gerente está bem preparado para o exercício de sua função ele não precisa da TI. 
III. O gerente que sabe utilizar bem a TI não precisa controlar o orçamento de sua área. 
 1) Somente as frases I e II 
 2) Somente a frase III 
 3) Todas as frases estão corretas 
 4) Todas as frases estão erradas 
 
2. Existem controles em todos os níveis da organização. Tanto na administração superior quanto na gerência intermediária e na 
gerência inferior são utilizadas várias ferramentas para controlar a empresa. 
 Observe as frases abaixo e escolha a opção correta: 
 I. Estrutura organizacional é uma ferramenta de controle da administração superior. 
II. Supervisão é uma ferramenta de controle da gerência intermediária. 
III. Supervisão é uma ferramenta de controle da gerência inferior. 
IV. Auditoria é uma ferramenta de controle da gerência inferior. 
 1) Somente a frase I 
 2) Somente a frase III 
 3) Somente as frases I e II 
 4) Todas as frases estão corretas 
 
Aula 5: Introdução ao COBIT 
Ao final desta aula, você será capaz de: 
1. Conhecer o histórico do COBIT. 
2. Saber os objetivos do COBIT. 
3. Conhecer o framework do COBIT. 
4. Conhecer os modelos de maturidade dos processos de TI sob a visão do COBIT. 
5. Saber as métricas utilizadas no COBIT. 
6. Conhecer a aceitabilidade do COBIT. 
Histórico do modelo 
O Control Objectives for Information and related Technology (COBIT) foi criado em 1994 através do Information 
Systems Audits and Control Foundation (ISACF), órgão oficial de certificação de auditores americanos, para 
preencher o espaço que existia pela falta de um roteiro padrão a ser seguido para auditar os processos de TI. 
Saiba mais sobre história 
Objetivos do modelo 
O modelo COBIT em sua versão 4.1, publicada pelo ITGI em 2007, descreve sua missão como “pesquisar, 
desenvolver, publicar e promover um modelo de controle para governança de TI atualizado e internacionalmente 
reconhecido para ser adotado por organizações e utilizado no dia-a-dia por gerentes de negócios, profissionais de 
TI e profissionais de avaliação”. 
Framework do COBIT 
O COBIT é orientado a processos de TI e se dirige prioritariamente aos proprietários desses processos, referindo-se 
tanto aos processos centrais (exemplos: contratos, operações, marketing e vendas), quanto aos de apoio (exemplos: 
recursos humanos, administração e tecnologia da informação). Portanto, o COBIT transcende a área de TI abarcando 
o negócio como um todo. 
 Para atender as necessidades que um modelo de governança de TI exige, o COBIT foi criado com foco nos requisitos 
de negócios, orientado a processos, baseado em mecanismos de controle e com direcionamento para análise das 
medições e indicadores de desempenho. 
Foco Em Negócios 
A orientação para negócios é a raiz do COBIT, conforme seus princípios básicos mostrados na imagem a seguir. 
 
Na visão do COBIT, seus princípios ditam que, para fornecer a informação que a empresa necessita para atingir seus 
objetivos de negócio é necessário investimento, gerenciamento e controle dos recursos de TI, que são utilizados por 
um conjunto estruturado de processos de TI, para prover os serviços que vão disponibilizar as informações 
necessárias para a organização. 
 As informações necessárias para atender os objetivos de negócio devem se adequar a sete critérios de controle 
Para satisfazer os objetivos de negócio, a informação necessita estar em conformidade com certos critérios de 
controle da informação que o COBIT se refere como necessidades de informação da empresa, conforme a seguir: 
 
Orientação Para Processos 
As atividades de TI são definidas no COBIT através de um modelo de processos genéricos, conforme figura 3, com os 
quatro seguintes domínios: Planejar e Organizar; Adquirir e Implementar; Entregar e Suportar; e, Monitorar e 
Avaliar. Utilizando o ciclo tradicional de melhoria contínua (PDCA), esses domínios são distribuídos nos 34 processos 
mostrados na figura 4 e mapeiam os agrupamentos usuais existentes em uma organização de TI. 
 
As áreas tradicionais sob a responsabilidade de TI costumam ser identificadas como planejamento, construção, 
processamento e monitoramento. O modelo COBIT mostra estas responsabilidades em cada um de seus domínios, 
conforme a seguir: 
 
 
 
 
 
Baseado em Controles 
Para o COBIT 4.1, controle é definido como “políticas, procedimentos, práticas e estruturas organizacionais criadas 
para prover uma razoável garantia de que os objetivos de negócios serão atingidos e que eventos indesejáveis serão 
evitados ou detectados e corrigidos”. 
Um objetivo de controle define o que se deseja alcançar como resultado em uma atividade de TI específica, 
utilizando procedimentos de controle. O COBIT define objetivos de controle para todos os 34 processos. A figura 5 
mostra um modelo padrão de controle. 
Como exemplo, pode-se fazer uma analogia com o controle de refrigeração de um ambiente que deve ser mantido a 
20o (padrão). Uma vez definido o padrão através do sistema de refrigeração (PROCESSA), haverá uma constante 
avaliação (COMPARA) da temperatura ambiente (controle de informação) que sinalizará (Age) para o sistema de 
refrigeração aumentar ou reduzir a temperatura sempre que uma variação for identificada. 
 
Direcionamento Baseado Em Medição 
Um dos maiores desafios da organização é o de conseguir entender o quanto de aprofundamento deve ser adotado 
pelos mecanismos de controle e medição de desempenho. É importante saber o que deve ser medido, como e onde 
obter os dados, comoanalisar os resultados e qual o caminho a ser percorrido mantendo a relação de custo versus 
benefício. A abordagem do COBIT para estas questões é feita através de Modelos de maturidade, Metas e 
medições de desempenho e Objetivos de atividades: 
Modelos de maturidade 
Comparações e identificação de necessidades para aprimoramento. Para cada processo de TI, é estabelecido um 
modelo de maturidade baseado em níveis, podendo ser utilizado para avaliar como se encontra a maturidade da 
organização no referido processo, conforme os níveis abaixo: 
 
0. Gerenciamento de processos não aplicado 
1. Processos são ad hoc e desorganizados 
2. Processos seguem um caminho padrão, mas dependem do conhecimento das pessoas 
3. Processos são documentados e comunicados 
4. Processos são monitorados e medidos 
5. Boas práticas são seguidas e automatizadas 
 
 
 
 
 
 
Visão Integrada Do Modelo 
O modelo de processos do COBIT está desenhado de tal forma a permitir que as atividades de TI e os recursos que as 
suportam possam ser gerenciados, controlados, alinhados e monitorados, segundo os objetivos de controle do 
COBIT e suas métricas, conforme ilustrado ao lado. 
De forma sintetizada, os recursos de TI são gerenciados pelos processos de TI para atingir os objetivos de TI que 
respondem aos requisitos de negócios. 
 
Aceitabilidade do COBIT 
O COBIT é baseado nas boas práticas de TI que existem no mercado, estando adequado aos princípios de governança 
de TI que normalmente são aceitos. Seu posicionamento é de alto nível, mantendo foco nos requisitos de negócios e 
abrangendo todas as atividades de TI. Com relação à governança de TI, sua proposta está mais voltada para o que se 
deve atingir do que como fazer para se atingir o ponto de governança desejado, com gerenciamento e controle. 
Recomendado para ser utilizado em um nível estratégico, acaba atuando também como um integrador de práticas 
de governança de TI, sendo complementado com outras boas práticas de mercado especializadas em cada assunto. 
Sua abrangência acaba influenciando diferentes usuários, como: 
 
OUTRAS REFERÊNCIAS 
o Livro : FERNANDES, A. A.; ABREU, V. F. Governança de TI: da Estratégia à Gestão dos Processos e 
Serviços. Rio de Janeiro: Editora Brasport, 2008. 
Nesta aula, você: 
 Conheceu o histórico do COBIT. 
 Soube quais os objetivos do COBIT. 
 Conheceu o framework do COBIT. 
 Conheceu os modelos de maturidade dos processos de TI sob a visão do COBIT. 
 Soube quais as métricas utilizadas no COBIT. 
 Conheceu a aceitabilidade do COBIT. 
 
 
 
 
Na próxima aula iremos abordar os domínios do COBIT. 
1. As boas práticas contidas no COBIT são representadas através de um modelo de domínios, processos e atividades em uma 
estrutura lógica e gerenciável. São práticas mais voltadas para o controle do que para a execução, ajudando a otimizar os 
investimentos em TI, facilitar o cumprimento na entrega dos serviços, estabelecer métricas de controle e auxiliar na governança 
corporativa. 
Com relação à composição do seu modelo, podemos afirmar que o COBIT possui: 
 1) 4 domínios e 33 processos 
 2) 4 domínios e 34 processos 
 3) 5 domínios e 33 processos 
 4) 5 domínios e 34 processos 
 
2. Para o COBIT, são recursos de TI: 
 1) Aplicativos, informações, infraestrutura e pessoas 
 2) Aplicativos, informações, alinhamento estratégico e pessoas 
 3) Aplicativos, alinhamento estratégico, infraestrutura e pessoas 
 4) Aplicativos, informações, infraestrutura e alinhamento estratégico 
 
3. Com relação ao modelo de maturidade dos processos de TI, segundo o COBIT quais das afirmativas abaixo estão corretas? 
I. No nível 0 (zero) o gerenciamento de processos não é aplicado 
II. No nível 1 (um) os processos são ad hoc e desorganizados 
III. No nível 3 (três) os processos são documentados e comunicados 
IV. No nível 4 (quatro) os processos são monitorados e medidos 
 1) Somente I e II 
 2) Somente I e III 
 3) Somente II e IV 
 4) Todas as afirmativas estão corretas 
Aula 6: Domínios do COBIT 
Ao final desta aula, você será capaz de: 
1. Conhecer a lógica de funcionamento dos processos no COBIT. 
2. Aprender os questionamentos gerenciais mais comuns e que são respondidos em cada domínio. 
3. Conhecer a quantidade de objetivos de controle que existe por processo em cada domínio. 
Apesar de as empresas terem como traço comum em suas áreas de TI as responsabilidades de planejar, construir, 
processar e monitorar, nem todas terão a mesma estrutura de processos ou mesmo aplicarão todos os 34 processos 
do COBIT. A utilização dos processos depende de cada empresa e devem ser utilizados de acordo com cada 
necessidade. 
Cada um dos processos do COBIT é apresentado no mesmo formato, sempre com uma descrição do processo e os 
principais objetivos e métricas. 
Domínio Planejar e Organizar (PO) 
A ideia central deste domínio é a de cobrir as estratégias e táticas, identificando as formas através das quais a TI 
pode contribuir para atingir os objetivos de negócio. Há necessidade de planejamento, comunicação e 
gerenciamento em diversas perspectivas. 
O domínio PO costuma ajudar nas seguintes questões gerenciais: 
 
 
 
 
Verificar em Saiba mais aula06_02 as figuras 
 
Domínio Adquirir e Implementar (AI) 
Este domínio tem no seu escopo a identificação, desenvolvimento ou aquisição de soluções de TI para executar a 
estratégia de TI estabelecida, assim como a sua implementação e integração junto aos processos de negócio. As 
eventuais alterações e manutenções nos sistemas existentes também estão cobertas por este domínio para garantir 
que as soluções possam continuar a atender aos objetivos de negócio. 
O domínio AI costuma ajudar nas seguintes questões gerenciais: 
1. Os novos projetos conseguem entregar soluções que atendam às necessidades de negócio? 
2. Os novos projetos serão entregues no prazo e orçamento planejados? 
3. Os novos sistemas funcionam adequadamente depois de implementados? 
4. As mudanças são conduzidas com baixo impacto nas operações de negócio do dia-a-dia? 
A tabela mostra os sete processos do domínio AI de forma resumida. Aparece em evidência apenas o processo AI1 
com a sua descrição e os seus quatro objetivos de controle, para ajudar a atingir os objetivos de negócio e evitar ou 
detectar e corrigir os eventos indesejáveis. 
 Toda a dinâmica que foi mostrada no domínio PO também se aplica aos processos do domínio AI, ajudando a 
responder as questões gerenciais. 
 
Domínio Entregar e Suportar (DS) 
Este domínio tem como objetivo cobrir a entrega dos serviços solicitados, estando no seu escopo a entrega do 
serviço, o gerenciamento da segurança e continuidade, suporte aos serviços para os usuários, gerenciamento dos 
dados e da infraestrutura operacional. 
 O domínio DS costuma ajudar nas seguintes questões gerenciais: 
 
A tabela mostra os quatro processos do domínio ME de forma resumida. Aparece em evidência apenas o processo 
ME1 com a sua descrição e os seus seis objetivos de controle, para ajudar a atingir os objetivos de negócio e evitar 
ou detectar e corrigir os eventos indesejáveis. 
 Toda a dinâmica que foi mostrada no domínio PO também se aplica aos processos do domínio DS, ajudando a 
responder as questões gerenciais. 
 
Resumo dos Domínios, Processos e Objetivos de Controle 
Veja agora o resumo dos domínios, processos e objetivos de controle do COBIT. 
Planejar e organizar 
 
Adquirir e implementar 
 
Entregar e suportar 
 
Monitorar e avaliar 
 
 
Livro : FERNANDES, A. A.; ABREU, V. F. Governança de TI: da Estratégia à Gestão dos Processos e Serviços. Rio de 
Janeiro: Editora Brasport, 2008. 
Nestaaula, você: 
 Conheceu a lógica de funcionamento dos processos no COBIT. 
 Aprendeu os questionamentos gerenciais mais comuns e que são respondidos em cada domínio. 
 Conheceu a quantidade de objetivos de controle que existe por processo em cada domínio. 
1. O Control Objectives for Information and related Technology (COBIT) fornece boas práticas através de um modelo de domínios 
e processos e apresenta atividades em uma estrutura lógica e gerenciável. 
 De acordo com o COBIT esse domínios são denominados: 
 1) Planejar e Organizar; Adquirir e Implementar, Entregar e Suportar, Monitorar e Avaliar 
 2) Planejar e Organizar; Adquirir e Executar, Entregar e Suportar, Monitorar e Medir 
 3) Planejar e Organizar; Implementar, Entregar e Suportar, Medir e Avaliar 
 4) Planejar e Organizar; Adquirir e Desenvolver, Entregar e Suportar, Monitorar e Melhorar 
 
2. Para atender aos objetivos de negócios, as informações precisam se adequar a certos critérios de controle, aos quais o COBIT 
denomina necessidades de informação da empresa. 
Baseado em abrangentes requisitos de qualidade, guarda e segurança, esses critérios de informação distintos e sobrepostos 
são denominados: 
 1) Eficácia, Eficiência, Confidencialidade, Integridade, Disponibilidade, Conformidade e Auditabilidade 
 2) Eficácia, Eficiência, Confidencialidade, Integridade, Disponibilidade, Conformidade e Confiabilidade 
 3) Eficácia, Eficiência, Confidencialidade, Integridade, Disponibilidade, Conformidade e Usabilidade 
 4) Eficácia, Eficiência, Confidencialidade, Integridade, Disponibilidade, Auditabilidade e Usabilidade 
 
3. 
 O processo Definir e Gerenciar Níveis de Serviços pertence a qual dos domínios abaixo? 
 1) Domínio PO 
 2) Domínio AI 
 3) Domínio DS 
 4) Domínio ME 
 
Aula 7: Val IT 
Nesta aula, você irá: 
1. Conhecer o histórico e os objetivos do val IT; 
2. Aprender a relacionar o COBIT com o val IT; 
3. Aprender o conceito de valor; 
4. Conhecer a dinâmica de funcionamento do val IT; 
5. Conhecer os modelos de maturidade de cada domínio do val IT; 
6. Aprender a relacionar domínios, processos, práticas chave e orientações de gestão; 
7. Conhecer a utilidade do caso de negócio. 
Val IT E COBIT: Um Relacionamento Sinérgico 
Com o apoio de um conjunto de especialistas reconhecidos internacionalmente em governança da informação, 
segurança, controle e auditoria, o ITGI vem tomando bastante cuidado para que juntos, o Val IT e o COBIT garantam 
aos tomadores de decisão em negócio e TI uma estrutura global para criação de valor a partir da entrega de serviços 
de TI de alta qualidade. Desta forma, o Val IT complementa o COBIT e, ao mesmo tempo, é suportado por ele. 
Compreender a relação entre os dois modelos é fundamental. O Val IT leva a visão de governança para a empresa e 
ajuda os executivos a se concentrar, conforme a imagem, em duas das quatro questões fundamentais de TI 
relacionadas com a governança: estamos fazendo as coisas certas? (a questão estratégica) e estamos conseguindo 
benefícios? (a questão de valor). O COBIT, por outro lado, ajuda os executivos a responder as questões: estamos 
fazendo de forma certa? (a questão da arquitetura) e Estamos conseguindo fazê-las bem? (a questão da entrega). 
Conferir Saiba mais Val It. 
 
O COBIT entrega serviços de TI de alta qualidade, utilizando as melhores práticas do mercado e assim contribui para 
o processo de criação de valor. E o Val IT, através de suas melhores práticas, avalia o resultado final permitindo as 
empresas medir, monitorar e otimizar o valor, financeiro e não financeiro, dos investimentos habilitados por TI. A 
consistência que existe entre o Val IT e o COBIT, melhora a inter-relação entre o tomador de decisão, as funções de 
TI e as funções de negócio, envolvidos na entrega do valor planejado. 
A tabela mostra uma comparação entre o Val IT e o COBIT nos focos de governança, processo e portfólio. 
 
A imagem abaixo mostra iniciativas sequenciais e paralelas que ocorrem com o COBIT e com o Val IT dentro da 
empresa. 
 
 
 
Conhecendo O Conceito De Valor 
Segundo o ITGI (2008), o conceito de valor é complexo, específico ao contexto e dinâmico. É o resultado esperado 
de um investimento de negócio viabilizado por TI que pode ser financeiro, não financeiro ou uma combinação 
entre ambos. 
Em muitos casos o valor desafia a medição quantitativa. A natureza de valor é diferente para diferentes tipos de 
empresas. Embora as empresas estejam evoluindo com a questão do valor de natureza não financeira, os executivos 
ainda tendem a ver o valor principalmente em termos financeiros, muitas vezes na conta simples de aumentar o 
lucro a partir do investimento. 
Para o setor público e empresas sem fins lucrativos, o valor é mais complexo e, muitas vezes, de natureza não 
financeira. Ele pode incluir resultados de políticas públicas, melhoria na quantidade e na qualidade de serviços 
prestados e/ou aumento da receita disponível para prestar esses serviços, mas ambos são decorrentes de 
investimento. 
O conceito de valor depende da relação entre atender as expectativas das partes interessadas e os recursos 
utilizados para isso. Os interessados podem ter visões diferentes sobre a representação de valor. Assim, o objetivo 
da gestão de valor é otimizar o valor da conciliação dessas diferenças e permitir a empresa: 
Definir e comunicar claramente a sua visão do que constitui valor e para quem; 
Selecionar e executar investimentos; 
Gerenciar seus ativos e otimizar valor com a utilização de recursos de forma econômica e nível de risco aceitável. 
O ITGI aponta a entrega de valor como uma das cinco áreas foco da governança de TI. Além da entrega de valor as 
outras quatro áreas são alinhamento estratégico, gestão de riscos, gestão de recursos e avaliação de desempenho. 
Benefícios do Val IT 
Empresas que aplicam os princípios, processos e práticas contidas no Vali IT podem obter benefícios estratégicos e 
aumentar o valor do seu negócio, conforme elencado a seguir: 
 
Val IT E COBIT: Um Relacionamento Sinérgico 
Termos Chave, Princípios E Domínios 
Termos: Para se concretizar o valor da mudança de negócio é necessário estabelecer uma comunicação eficaz. Para 
isto costuma-se criar um conjunto consistente de terminologias para ser utilizado na empresa. Seguindo esta lógica o 
Val IT define e padroniza o uso dos seguintes termos: 
 
Princípios: 
Val IT é composto de princípios orientadores e de processos em conformidade com esses princípios, que são 
habilitados pelas principais práticas de gestão. 
 Relação entre princípios, processos e práticas do Val IT: 
 Val IT apoia o objetivo da empresa criando um valor ótimo de investimentos em TI a um custo acessível, com um 
nível aceitável de risco e é orientado por um conjunto de princípios aplicados na gestão de processos de valor que 
são habilitados pelas principais práticas de gestão e são medidos pelo desempenho em relação aos objetivos e 
métricas. Os princípios orientadores do Val IT são: 
Investimentos de TI: Serão gerenciados como um portfólio de investimentos; Incluirão o conjunto completo de 
atividades que são requeridas para atingir o valor para o negócio; Serão gerenciados através do seu ciclo de vida 
econômico; 
Práticas de entrega de valor: Reconhecerão que há diferentes tipos de investimentos, os quais serão avaliados e 
gerenciados diferentemente; Definirão e monitorarão métricas chave e responderão rapidamente a quaisquer 
mudanças ou desvios; Envolverão todos os interessados relevantes e atribuirão responsabilidades pelo resultado de 
forma apropriada para a entrega das capacitações e a realização dos benefícios para o negócio; Serão 
continuamente monitoradas, avaliadas e melhoradas. 
Domínios: Domínio é o contexto onde os princípiosorientadores do Val IT são aplicados. Para que a empresa possa 
criar um valor ótimo de investimentos em TI a um custo acessível e com um nível aceitável de risco, esses princípios 
devem ser aplicados no âmbito de três domínios, conforme a seguir: 
 
 
Caso De Negócio 
O caso de negócio, muitas vezes descartado por ser considerado como uma burocracia, é uma das mais valiosas 
ferramentas disponíveis para criação de valor ao negócio. As pesquisas têm mostrado que a qualidade do processo 
de negócio e os processos envolvidos na sua criação e uso em todo o ciclo de vida do investimento têm enorme 
impacto na criação de valor. 
Estrutura do caso de negócio 
Um caso de negócio para um investimento em TI considera as seguintes relações de causalidade: 
- São necessários para desenvolver 
- Um serviço de tecnologia de TI que dará suporte a 
- Uma capacidade de operação que permitirá 
- Gerar uma capacidade de negócio que criará 
- Valor, representado por um resultado financeiro ajustado por uma taxa de risco ou pelo retorno ao acionista 
Orientações De Gestão Do Val IT 
Val IT proporciona orientações para ajudar as empresas na criação e gestão de processos de valor em seu ambiente. 
Essas orientações fornecem respostas a questões típicas de gestão, tais como: 
Como os processos de gestão de valor e as atividades se relacionam? 
Quais são as principais atividades que precisam ser desenvolvidas ou melhoradas? 
Que papéis e responsabilidades devem ser definidos para que os processos de gestão de valor sejam bem 
sucedidos? 
Como medir e comparar os processos de gestão de valor? 
Quais são os indicadores que apresentam bom desempenho? 
Para cada processo Val IT existe orientações de gestão que incluem as entradas e saídas, descrição de atividade, 
RACI (Responsável, Responsabilizado, Consultado e Informado), objetivos e métricas. 
Modelo De Maturidade Do Val IT 
Conforme é mostrado na imagem, o Val IT tem um modelo de maturidade para cada um dos três domínios, 
fornecendo uma escala de medição que varia de 0 a 5. No nível 0, a empresa ainda não aprovou as práticas mais 
elementares de gestão de valor recomendada pelo Val IT. No nível 5, a empresa utiliza práticas de gestão de valor 
para quantificar e otimizar o valor que está sendo criado. Já os níveis 1 a 4 representam estágios intermediários para 
se atingir a criação de valor ótimo. 
Para cada domínio do Val IT é estabelecido um modelo de maturidade baseado em níveis, podendo ser utilizado 
para avaliar como se encontra a maturidade da organização no referido domínio. 
 
Resumo Dos Domínios, Processos E Práticas Chave 
Value Governance (VG) : 
 
 
Portfolio Management(PM): 
 
Investment Mangement(IG): 
 
 
OUTRAS REFERÊNCIAS 
 Getting Started With Value Management: An Executive Primer Based o the Val IT Framework 2.0 – IT 
Governance Institute (ITGI, 2008) The Business Case Guide: Using Val IT 2.0 – IT Governance Institute (ITGI, 
2008) 
Nesta aula, você: 
 Conheceu o histórico e os objetivos do val IT; 
 Aprendeu a relacionar o COBIT com o val IT; 
 Aprendeu o conceito de valor; 
 Conheceu a dinâmica de funcionamento do val IT; 
 Conheceu os modelos de maturidade de cada domínio do val IT; 
 Comprendeu a relacionar domínios, processos, práticas chave e orientações de gestão; 
 Conheceu a utilidade do caso de negócio. 
Na próxima aula, iremos abordar o CMMI. 
 
 
 
1. Domínio é o contexto onde os princípios orientadores do Val IT são aplicados. 
De acordo com o ITGI, os domínios do modelo Val IT 2.0 são: 
 1) Governança de Valor (VG), Gerenciamento do Portfolio (PM) e Gerenciamento do Investimento (IM) 
 2) Governança de Valor (GV), Gerenciamento da Maturidade (GM) e Gerenciamento do Investimento (GI) 
 3) Governança de Valor (GV), Gerenciamento da Maturidade (GM) e Gerenciamento dos Indicadores (GI) 
 4) Verificação da Governança (VG), Planejamento da Maturidade (PM) e Indicadores e Métricas (IM) 
 
2. Grupo de projetos relacionados entre si, necessários e suficientes para alcançar um determinado objetivo de negócio e criar 
valor. 
Segundo o Val IT 2.0, esta definição é mais apropriada para: 
 1) Processo 
 2) Programa 
 3) Prática 
 4) Portfolio 
 
3. Para cada domínio do Val IT é estabelecido um modelo de maturidade, baseado em níveis, podendo ser utilizado para avaliar 
como se encontra a maturidade da organização no referido domínio. 
Qual é o nível de maturidade onde os processos são ad hoc e desorganizados? 
 1) Nível 0 
 2) Nível 1 
 3) Nível 2 
 4) Nível 3 
 
 Aula 8: CMMI 
Nesta aula, você irá: 
 
1. Conhecer o histórico do CMMI; 
2. Conhecer os objetivos do modelo; 
3. Conhecer o conceito de constelação; 
4. Conhecer os dois tipos de representação do CMMI; 
5. Aprender a diferença entre níveis de capacidade e níveis de maturidade; 
6. Conhecer as áreas de processo e os componentes de cada área; 
7. Conhecer as quatro categorias das áreas de processo; 
8. Saber os benefícios do CMMI. 
 
 
Objetivo do Modelo 
 
 
Histórico do modelo 
 
Segundo o CMU/SEI (2010) “Uma constelação é um conjunto de componentes CMMI utilizados para construir 
modelos, materiais de treinamento e documentos de avaliação relacionados a uma área de interesse.” 
Desde o lançamento da versão V1.2 do CMMI Development que outros dois modelos estavam sendo planejados. 
Assim, no ano de 2007 foi liberado o modelo CMMI for Acquisition V1.2 e dois anos depois o modelo CMMI for 
Services V1.2 foi lançado. 
Em 2008, começaram a ser elaborados os planos de desenvolvimento da versão V1.3, cujo objetivo era assegurar a 
coerência entre os três modelos. Em novembro de 2010, foi liberada a versão V1.3 do CMMI for Acquisition (CMMI-
ACQ), do CMMI for Development (CMMI-DEV) e do CMMI for Services (CMMI-SVC). 
Atualmente, existem três constelações: 
 
Escopo do CMMI-DEV V1.2 
O CMMI DEV V1.2 é um modelo de referência que cobre as atividades de desenvolvimento e manutenção aplicadas 
tanto a produtos quanto a serviços. Fazem parte desta constelação práticas que cobrem Gestão de Projeto, Gestão 
de Processo, Engenharia de Sistemas, Engenharia de Hardware, Engenharia de Software e outros processos de 
suporte utilizados em desenvolvimento e manutenção. Soma-se ao escopo o +IPPD, para cobrir a utilização de 
equipes integradas para atividades de desenvolvimento e manutenção. 
Representações dos CMMs 
O CMMI oferece duas opções para se abordar a avaliação e melhoria dos processos, conforme a seguir: 
Representação contínua - A organização escolhe uma determinada área de processo (ou grupo de áreas de processo) 
e trabalha na melhoria desses processos; 
Representação por estágios - Utiliza conjuntos predefinidos de áreas de processo para estabelecer um caminho de 
melhoria para uma organização. 
 
 
Componentes das Áreas de Processo 
Categorias de componentes: 
Existem três categorias de componentes do modelo CMMI e cada uma delas reflete o modo como deve ser 
interpretada, conforme a seguir: 
Componentes requeridos- Descrevem o que uma organização deve realizar para implementar uma área de processo. 
Constituídos pelas metas específicas e metas genéricas. A satisfação das metas é o critério que decide e uma área de 
processo foi implementada de maneira adequada; 
Componentes esperados - Descrevem o que uma organização pode implementar para satisfazer um componente 
requerido, orientando os responsáveis por melhorias ou avaliações. Constituídos pelas práticas específicas e práticas 
genéricas; 
Componentes informativos - Fornecem detalhes às organizações auxiliando na implementação dos componentes 
requeridos e esperados. Alguns componentes informativos do modelo: subpráticas, produtos