Fundamentos de CobiT - Fundação Bradesco

Prévia do material em texto

2 
Fundamentos de CobiT 
Fundação Bradesco 
 
 
 
 
 
 
 
Transcrição do curso de Fundamentos de COBIT da Fundação Bradesco, com 
52 horas. 
 
Produzi essa transcrição para poder estudar melhor offline, em meu tempo 
livre longe do PC ou do notebook. Mas note que não é uma transcrição 
literal. Pode haver conteúdos que não estavam no texto original, explicações 
coletadas em outros sites, grifos e algumas observações minhas. 
 
Faça o curso, ele é gratuito: 
 
http://www.ev.org.br/ 
Use este texto como material de apoio. 
 
 
 
 
 
 
 
Transcrito por: 
 
Carlos Mendes "Martini" 
E-mail: carlos@mendesmartini.com 
Website/blog: http://mendesmartini.com/ 
 
 
 
3 
SUMÁRIO 
 
Sumário ............................................................................................................. 3 
Introdução ....................................................................................................... 11 
Empresas e TI .............................................................................................. 11 
A complexidade da TI ...................................................................................... 13 
Conceito de Risco ........................................................................................ 13 
Gestão do Risco ........................................................................................... 14 
A Falta de Gestão de Riscos ........................................................................ 15 
A Atuação dos CIOs ..................................................................................... 15 
Gerenciando os Riscos ................................................................................ 16 
Gestão de Riscos ......................................................................................... 16 
Introdução ao CobiT ........................................................................................ 18 
Modelo ........................................................................................................ 19 
Práticas do COBIT ........................................................................................ 20 
Descrição do COBIT ..................................................................................... 20 
O Framework COBIT .................................................................................... 22 
Gestão do Risco em TI ................................................................................. 23 
Características do COBIT ............................................................................. 24 
Foco do COBIT ............................................................................................. 25 
Objetivos do COBIT ..................................................................................... 25 
Histórico do COBIT ...................................................................................... 26 
Estrutura Atual do COBIT ............................................................................ 26 
Desempenho e Progresso ........................................................................... 27 
Vantagens do COBIT .................................................................................... 27 
O Público do COBIT ..................................................................................... 28 
 
 
4 
Evolução do COBIT ...................................................................................... 29 
Estrutura do COBIT ...................................................................................... 29 
Características do Framework .................................................................... 30 
Componentes do COBIT .............................................................................. 31 
Critérios da Informação .............................................................................. 31 
Recursos de TI ............................................................................................. 32 
Processos de TI ............................................................................................ 33 
O Cubo do COBIT ......................................................................................... 33 
As Metas do COBIT ...................................................................................... 34 
Monitoramento e Performance .................................................................. 35 
Diretrizes de Gerenciamento ...................................................................... 35 
Modelos de Maturidade ............................................................................. 38 
Diretrizes de Auditoria ................................................................................ 40 
Diretrizes de Gerenciamento ...................................................................... 41 
Pontos Fracos .............................................................................................. 42 
Excelência em TI .......................................................................................... 42 
Requisitos para a Auditoria de Processos de TI .......................................... 43 
Processos e Plataformas ............................................................................. 43 
Estrutura do Processo de Auditoria ............................................................ 44 
Processo de TI ............................................................................................. 44 
Compreensão dos Riscos dos Processos ..................................................... 45 
Avaliação dos controles sobre os processos ............................................... 45 
Avaliação da conformidade dos processos ................................................. 46 
Apontando Riscos ....................................................................................... 46 
Práticas de Controle .................................................................................... 47 
Tratamento dos riscos................................................................................. 47 
 
 
5 
Mitigação de Riscos ..................................................................................... 48 
Transferência de riscos ............................................................................... 48 
Evitar riscos ................................................................................................. 48 
Aceitação de riscos ...................................................................................... 48 
Modelo RACI ............................................................................................... 49 
Matriz de responsabilidades do RACI ......................................................... 49 
Definir os Processos de TI, a Organização e Relacionamentos ................... 50 
COBIT e Outros Padrões .............................................................................. 50 
Framework de Controle .............................................................................. 51 
Domínios e Objetivos de Controle do CobiT ................................................... 52 
Domínios do CobiT ...................................................................................... 52 
Objetivos de Controle do CobiT .................................................................. 52 
Planejar e Organizar .................................................................................... 53 
Adquirir e Implementar .............................................................................. 53 
Entregar e Suportar ..................................................................................... 54 
Monitoramento e Avaliação .......................................................................54 
Processos de Controle ................................................................................. 55 
Framework de Controle .............................................................................. 55 
Processos do CobiT ..................................................................................... 56 
Objetivos de Controle Genéricos ................................................................ 56 
PC1 – Objetivos e Metas do Processo ..................................................... 57 
PC2 – Proprietário do Processo .............................................................. 57 
PC3 – Repetição do Processo .................................................................. 57 
PC4 – Papéis e Responsabilidades .......................................................... 57 
PC5 – Política, Planos e Procedimentos .................................................. 58 
PC6 – Melhoria da Performance do Processo ......................................... 58 
 
 
6 
Objetivos SMARRT ...................................................................................... 58 
[S]pecif: Específico .................................................................................. 59 
[M]easurable: Mensurável ...................................................................... 59 
[A]ttainable ou Achievable: Alcançável .................................................. 60 
[R]ealistic: Realista .................................................................................. 60 
[T]imely ou Time-bounded: em tempo ................................................... 61 
Controles de Aplicação ............................................................................... 61 
Funções dos Controles de Aplicação ........................................................... 62 
AC1 – Autorização e Preparação da Fonte de Dados .............................. 62 
AC2 – Coleção de Fonte de Dados e Alimentação .................................. 62 
AC3 – Verificação de Precisão, Completude e Autencidade ................... 63 
AC4 – Processamento com Integridade e Validade ................................ 63 
AC5 – Revisão de Saídas, Reconciliação e Tratamento de Erros ............. 63 
AC6 – Integridade e Autenticação de Transações .................................. 63 
Planejar e Organizar ........................................................................................ 64 
Descrição do Processo ................................................................................ 64 
Domínio planejar e organizar (PO) .............................................................. 65 
PO1 – Definir um Plano Estratégico de TI ............................................... 65 
PO2 – Definir a Arquitetura da Informação ............................................ 66 
PO3 – Determinar a Direção Tecnológica ............................................... 68 
PO4 – Determinar os Processos de TI, sua Organização e 
Relacionamentos ..................................................................................... 69 
PO5 – Gerenciar os Investimentos em TI ................................................ 70 
PO6 – Comunicar Metas Gerenciais e Direcionamento .......................... 71 
PO7 – Gerenciar Recursos Humanos de TI .............................................. 73 
PO8 – Gerenciar Qualidade ..................................................................... 74 
PO9 – Avaliar e Gerenciar Riscos de TI.................................................... 75 
 
 
7 
PO10 – Gerenciar Projetos ...................................................................... 76 
Adquirir e Implementar .................................................................................. 78 
Descrição do Processo ................................................................................ 78 
Adquirir e implementar (AI) ........................................................................ 79 
AI1 – Identificar Soluções Automatizadas ............................................... 79 
AI2 – Adquirir e Manter Software Aplicativo .......................................... 80 
AI3 – Adquirir e Manter Infraestrutura Tecnológica ............................... 81 
AI4 – Habilitar Operação e Uso ............................................................... 82 
AI5 – Obtenção de Recursos de TI .......................................................... 83 
AI6 – Gerenciar Mudanças ...................................................................... 84 
AI7 – Instalar e Validar Soluções e Mudanças ........................................ 85 
Entregar e Suportar ......................................................................................... 87 
Descrição do Processo ................................................................................ 87 
Entregar e suportar (DS) ............................................................................. 88 
DS1 – Definir e Gerenciar Níveis de Serviço ............................................ 88 
DS2 – Gerenciar Serviços de Terceiros .................................................... 89 
DS3 – Gerenciar Performance e Capacidade .......................................... 90 
DS4 – Garantir a Continuidade dos Serviços ........................................... 91 
DS5 – Garantir a Segurança dos Sistemas ............................................... 92 
DS6 – Identificar e Alocar Custos ............................................................ 94 
DS7 – Educar e Treinar Usuários ............................................................. 95 
DS8 – Gerenciar Central de Serviços e Incidentes .................................. 96 
DS9 – Gerenciar a Configuração ............................................................. 97 
DS10 – Gerenciar Problemas .................................................................. 97 
DS11 – Gerenciar Dados.......................................................................... 98 
DS12 – Gerenciar os Ambientes Físicos .................................................. 99 
 
 
8 
DS13 – Gerenciar Operações ................................................................ 100 
Monitorar e Avaliar ....................................................................................... 102 
Descrição do Processo .............................................................................. 102 
Monitorar e Avaliar (ME) .......................................................................... 103 
ME1 – Monitorar e Avaliar a Performance da TI .................................. 103 
ME2 – Monitorar e Avaliar Controles Internos ..................................... 104 
ME3 – Assegurar Aderência com Requisitos Externos.......................... 105 
ME4 – Prover Governança de TI ........................................................... 106 
Família de Produtos do CobiT ....................................................................... 108 
COBIT Online ............................................................................................. 108 
COBIT Quickstart ....................................................................................... 109 
Guia de Implementação de Governança de TI .......................................... 109 
COBIT Security Baseline ............................................................................ 110 
Val IT .......................................................................................................... 110 
Exame de Certificação ................................................................................... 111 
Situação do mercado atual (2008 a 2012) ................................................ 111 
COBIT Foundations ....................................................................................112 
Fatores Críticos de Sucesso ....................................................................... 112 
Resumo ......................................................................................................... 114 
Resumo dos principais tópicos do curso ................................................... 114 
Governança de TI ...................................................................................... 114 
Objetivo da Governança de TI ................................................................... 114 
Conceitos Básicos do CobiT ....................................................................... 115 
Componentes do COBIT (cubo do COBIT) ................................................. 115 
Processos de TI ...................................................................................... 115 
Recursos de TI ....................................................................................... 116 
 
 
9 
Critérios de informação / Requisitos de negócio .................................. 116 
Indicadores ................................................................................................ 116 
Outcome Measures (Indicadores de Resultado)................................... 116 
Performance Indicators (Indicadores de Performance)........................ 116 
RACI e Maturidade .................................................................................... 117 
Matriz RACI ........................................................................................... 117 
Modelos de Maturidade ....................................................................... 117 
Informações .............................................................................................. 117 
Diretrizes de auditoria .......................................................................... 117 
Práticas de Controle .............................................................................. 118 
Produtos do COBIT ................................................................................ 118 
Dica Importante .................................................................................... 118 
A equação da TI ..................................................................................... 118 
Encerramento ........................................................................................... 119 
Glossário........................................................................................................ 120 
Balanced Scorecard ................................................................................... 120 
COSO ......................................................................................................... 120 
Eficiência ................................................................................................... 121 
Eficácia ...................................................................................................... 121 
ISO 20000 .................................................................................................. 121 
ISO 27001 .................................................................................................. 122 
Anexo 1 ......................................................................................................... 123 
Matriz RACI ............................................................................................... 123 
Anexo 2 ......................................................................................................... 124 
Lei Sarbanes-Oxley .................................................................................... 124 
Requisitos da Lei ....................................................................................... 125 
 
 
10 
Seção 404 .................................................................................................. 125 
Anexo 3 ......................................................................................................... 126 
Teste Simulado .......................................................................................... 126 
Gabarito .................................................................................................... 136 
 
 
 
 
11 
INTRODUÇÃO 
 
 
Este módulo tem como objetivo trazer a você uma visão geral sobre toda a 
estrutura, conceitos, modelos de trabalho, áreas de aplicação, vantagens e 
desvantagens do COBIT. Dominar os conceitos aqui apresentados dará a você 
total condição de prestar o exame de certificação COBIT Foundations. 
 
Empresas e TI 
 
Atualmente as empresas, de um modo geral, estão com seus processos 
internos cada vez mais dependentes de recursos de Tecnologia da 
Informação (TI), o que implica em uma necessidade cada vez maior de fazer 
uma gestão sobre os riscos em TI para não comprometer a continuidade do 
negócio. 
 
Além disso, e possível observar que em empresas de pequeno, médio ou 
grande porte, nacionais ou multinacionais, a dependência da TI é tão 
significativa a ponto de se tornar praticamente inviável pensar na operação 
do negócio sem considerar os recursos tecnológicos envolvidos. 
 
Há casos, nos mais diversos segmentos de mercado, onde a TI integra-se 
totalmente ao negócio a ponto de que isso se torne um diferencial 
competitivo no mercado e assegura o futuro da empresa. 
 
O segmento bancário é um excelente exemplo onde a tecnologia se tornou 
vital para o negócio da empresa. 
 
Partindo desta análise fica evidente que a gestão sobre os riscos de TI é 
fundamental para assegurar a continuidade dos negócios. 
 
Assim, a proposta deste módulo é apresentar a você como a estrutura do 
CobiT permite aplicar as melhores práticas de mercado para a Gestão de 
Riscos de TI e como é possível, por meio desta iniciativa, alcançar não só a 
 
 
12 
excelência operacional, mas também estabelecer um modelo de governança 
que mantenha a área de TI integrada aos objetivos de negócio e ofereça a 
empresa condições adequadas para alcançar seus objetivos estratégicos. 
 
É importante ter em mente que é possível integrar os principais modelos de 
mercado para gerenciar adequadamente os riscos de TI em um cenário cada 
vez mais complexo e competitivo, e onde o tempo de resposta da TI em 
relação às necessidades do negócio faz a diferença entre permanecer no 
mercado ou perder espaço para a concorrência. 
 
 
 
 
13 
A COMPLEXIDADE DA TI 
 
 
 
 
Conceito de Risco 
 
 
 
 
 
 
 
 
 
 
 
Segundo o dicionário Houaiss, risco é: 
 
"A probabilidade de insucesso, de malogro de determinada coisa, em função 
de acontecimento eventual, incerto, cuja ocorrência não depende 
exclusivamente da vontade dos interessados." 
 
Trazendo este conceito a realidade de mercado, do ponto de vista de Gestão 
Empresarial, é necessário considerar, no mínimo, risco de mercado, de 
crédito, legal e operacional, sendo que podemos definir o cálculo do risco 
como a tentativa de se medir o grau de incerteza na obtenção do retorno 
esperado em uma determinada aplicação financeira ou investimento 
realizado. 
 
 
 
 
 
14 
Gestão do Risco 
 
Todos estes conceitos são tratados no Módulo I – Fundamentos em 
Governança de TI desta Unidade de Estudo. No entanto, antes de começar a 
tratar o framework do COBIT e como ele oferece uma base para a Gestão de 
Riscos em TI, vamos conhecer um caso real sobre os benefícios ou 
necessidades de se fazer uma Gestão de Riscos para o negócio da empresa. 
 
Um exemplo deste cenário pode ser observado na própria Organização 
Bradesco. Está definido em seu portal que: 
 
“Considerar o gerenciamento de riscos é essencial em todas as suas 
atividades, utilizando-o com o objetivo de adicionar valor ao seu 
negócio, na medida em que proporcionasuporte às áreas comerciais no 
planejamento de suas atividades, maximizando a utilização de recursos 
próprios e de terceiros, em benefício dos acionistas e da sociedade.” 
 
 Dentro da Organização Bradesco considera-se, ainda, que: 
 
“A atividade de gerenciamento de riscos é altamente relevante em 
virtude da crescente complexidade dos serviços e produtos ofertados 
pela Organização e também em função da globalização de seus 
negócios. 
 
Por esse motivo, a Organização aprimora continuadamente suas 
atividades relacionadas ao gerenciamento de riscos, atividades estas 
devidamente alinhadas com as regulamentações aplicáveis, aderentes 
às recomendações e melhores práticas utilizadas internacionalmente e 
adaptadas à nossa realidade. 
 
A Organização Bradesco não é o único exemplo, na realidade, empresas 
de todos os segmentos, no mundo inteiro, estão presenciando um 
desenvolvimento significativo da tecnologia em relação aos negócios. 
 
 
 
15 
A Organização realiza consideráveis investimentos nas ações 
relacionadas aos processos de gerenciamento de riscos especialmente 
na capacitação do quadro de funcionários, com o objetivo de elevar a 
qualidade da execução e de garantir o necessário foco, intrínsecos a 
estas atividades, que produzem forte valor agregado.” 
 
Fonte: BANCO BRADESCO, Gerenciamento de Risco e Compliance. 
(Acesso em 22 ago. 2009). Disponível em: Bradescori 
 
A Falta de Gestão de Riscos 
 
A TI deixou de lado o papel de dar suporte ao negócio e, principalmente na 
área financeira, se tornou a estratégia do próprio negócio. O nível de 
dependência de tecnologia para o mercado financeiro é algo muito difícil de 
ser mensurado, no entanto, se entendermos que a TI é um conjunto 
estrutural na qual a empresa depende para realizar suas atividades, o nível 
de dependência é 100%. 
 
Este quadro deixa evidente a necessidade das empresas em estabelecer e 
implementar mecanismos de controle, não só no que diz respeito à Gestão 
de Riscos, como também pelo fato de que estas estão sujeitas a legislação e 
regulamentação existente para o mercado nacional ou internacional, e é 
exatamente respondendo a este tipo de necessidade que o CobiT pode ser 
aplicado. 
 
A Atuação dos CIOs 
 
Os CIOs de hoje precisam assegurar alinhamento dos serviços de TI com as 
necessidades atuais e futuras da empresa. Os investimentos em TI devem ser 
direcionados de modo a possibilitar que a empresa alcance os resultados 
desejados, onde a prontidão tecnológica torna-se fundamental para a 
empresa vencer os desafios de curto, médio e longo prazo. 
 
 
 
16 
Por outro lado, por não haver maturidade nas empresas em relação a 
necessidade de se adotar práticas de Governança de TI, inúmeras tecnologias 
foram incorporadas aos negócios em resposta imediata à necessidades da 
empresa e aumentaram a complexidade dos ambientes de TI. Aliado a este 
fator também existe a questão de crescimento ou expansão das empresas, 
levando inclusive a ampliar suas instalações não só dentro do país, como 
também no exterior. 
 
Gerenciando os Riscos 
 
A TI está incorporada pelo negócio de tal maneira que agora, caso os serviços 
de TI sejam interrompidos por qualquer que seja o motivo, as operações da 
empresa são impactadas de uma maneira a trazer impactos financeiros nos 
resultados. 
 
Outro desafio que os CIOs estão enfrentando atualmente é a necessidade de 
reduzir custos e gerenciar riscos de modo que eventuais falhas na 
infraestrutura de TI não tenham impacto para o negócio. 
 
A dependência cada vez maior do negócio em relação aos serviços de TI 
gerou grandes investimentos em projetos e processos, de modo que o CIO 
recebe forte pressão do CEO e do conselho de administração para minimizar 
custos operacionais por meio de uma melhor gestão nos projetos, além de 
gerenciar adequadamente os riscos relacionados a mudanças na 
infraestrutura de TI. 
 
Gestão de Riscos 
 
Neste módulo você aprendeu que as melhores práticas descritas na ITIL são 
tão relevantes que se tornaram um padrão de fato no mercado de TI. 
 
Seus conceitos são aplicados aos níveis operacional e tático e permitem que a 
área de TI estruture o ciclo de vida de seus serviços como um todo, de modo 
a alcançar excelência operacional. 
 
 
17 
 
Já o framework do CobiT é focado no nível estratégico e, por se tratar de um 
framework de controle, possibilita que a TI tenha seu desempenho 
mensurado e seus riscos devidamente apontados e tratados. 
 
Sendo assim, estudaremos toda a estrutura do CobiT nos módulos seguintes. 
 
 
 
 
 
18 
INTRODUÇÃO AO COBIT 
 
 
COBIT – Control Objectives for Information and Related Technology 
Objetivos de Controle para Informações e Tecnologias Relacionadas 
 
Explicando: 
 
Objetivos de Controle para as Informações (da organização) e 
Tecnologias Relacionadas (à informação, ou seja, os ativos 
informacionais da organização) 
 
O COBIT, atualmente na versão 4.1, é um framework de controle que se 
tornou mundialmente aceito nas empresas em função dos benefícios que 
proporciona. 
 
Diferente do framework do COSO, que é um modelo de controle genérico, O 
COBIT é focado unicamente em TI e sua estrutura oferece uma base sólida 
para se estabelecer um modelo de Governança de TI. 
 
A missão apresentada no COBIT 4.1 (2007, p.13) é: 
 
"Pesquisar, desenvolver, publicar e promover um conjunto de 
objetivos de controle para tecnologia que seja embasado, atual, 
internacional e aceito em geral para o uso do dia-a-dia de gerentes 
de negócio e auditores." 
 
Ao estudar o framework do COBIT com maior profundidade é possível 
identificar que ele especifica os objetivos de controle, mas não detalha como 
os processos podem ser definidos. 
 
O COBIT não é um padrão, não é uma norma como as ISO 20.000, ISO 17.799 
ou ISO 9.001, e ele também não serve como guia para maximizar os 
benefícios da TI. 
 
 
19 
 
Em vez disso, o COBIT ajuda a direcionar ou priorizar os esforços e recursos 
da TI para atender aos requisitos do negócio. A adoção do COBIT não tem 
como meta controlar todos os processos, mas apenas identificar quais 
processos da TI estão impactando, ou gerando riscos para o negócio, de 
modo a priorizar o gerenciamento destes processos. 
 
O framework de controle do COBIT segue a premissa que não é possível 
gerenciar aquilo que não se mede. Desta forma ele propõe uma série de 
objetivos de controle e seus respectivos indicadores de desempenho. 
 
Modelo 
 
O modelo também considera que a TI precisa entregar a informação que a 
empresa precisa para alcançar os seus objetivos de negócio. 
 
Além disso, é possível identificar também que o COBIT é compatível com 
outros padrões de mercado, pois ele se posiciona em um nível genérico, 
abrangendo vários processos de TI, definindo os objetivos de cada um e 
como devem ser controlados. No entanto, o COBIT não foca em como cada 
processo deve ser implementado, sendo exatamente este o motivo que o 
leva a ser compatível ou complementar a outros modelos existentes. 
 
O framework do COBIT foi criado tendo como principais características o foco 
no negócio, a orientação a processos, ser baseado em controles e 
direcionado por métricas. 
 
Adotar COBIT ajuda uma empresa a implementar boas práticas em 
governança de TI, pois ele oferece um guia de melhores práticas e 
direcionamento. 
 
Sua estrutura classifica os processos em 4 domínios, e apresenta atividades 
em uma estrutura gerenciável e lógica. 
 
 
 
20 
O modelo também considera que a TI precisa entregar a informação que a 
empresa precisa para alcançar os seus objetivos de negócio. 
 
Práticas do COBIT 
 
As boas práticas do COBIT representam um consenso entre especialistas no 
que diz respeito a Governança de TI, poisseu framework é extremamente 
focado no controle e pouco focado na execução. 
 
Estas práticas ajudam a otimizar os investimentos em TI, assegurando a 
entrega do serviço e fornecendo uma mensuração que possibilita identificar a 
performance de cada objetivo de controle e, como consequência, tomar 
ações gerenciais para mitigar riscos e atingir os resultados desejados. 
 
O COBIT é independente da plataforma de TI adotada nas empresas, também 
é totalmente independente do tipo de negócio e do valor e participação que 
a tecnologia da informação tem na cadeia produtiva da empresa. 
 
O framework do COBIT é hoje uma referência mundial utilizado na avaliação 
de controles e maturidade de processos de TI e, por esta razão, tem sido 
adotado em diversos projetos de governança de TI 
 
Descrição do COBIT 
 
Há alguns anos, o mercado de TI tinha uma tendência de buscar alinhamento 
ao negócio. Dentro deste contexto, a TI tinha foco tático e operacional e 
normalmente era tratada como um centro de custo. Seu papel era dar 
suporte a estratégia de negócio e precisava ser ágil. 
 
Porém, o mercado atual mostra que agilidade e alinhamento são 
importantes, mas não são suficientes. A TI precisa ser um meio de ativação 
para a empresa, ela passa a ser parte da estratégia de negócios, funciona 
totalmente orientada a serviços de modo que a área de TI acabe alavancando 
vantagem competitiva. 
 
 
21 
 
O Módulo I deste curso mostra que para negociar papéis na Bolsa de Nova 
Yorque (NYSE) as empresas precisam se adequar as exigências da Lei 
Sarbanes-Oxley / SOX (Anexo 2). Esta, por sua vez, determina a criação do 
Public Company Accounting Oversight Board (PCAOB), ou seja, um Conselho 
de Auditores de Companhias Abertas. 
 
Esse conselho de auditores (o PCAOB) tem como missão estabelecer as 
normas de auditoria, controle de qualidade, ética e independência em 
relação aos processos de inspeção e a emissão dos relatórios de auditoria. 
 
O PCAOB recomenda que as empresas utilizem um framework adequado, e 
reconhecido no mercado, para avaliar seus controles internos, e cita 
especificamente o framework do COSO. 
 
No que diz respeito à governança de TI, o COBIT é framework de controle 
para processos de TI que melhor atende as exigências do COSO. 
 
O framework do COBIT, por sua vez, está situado em um nível mais 
estratégico e sugere o uso de outros frameworks que podem ser vistos como 
complementares e necessários para que se estabeleça um modelo de 
governança de TI. 
 
 
Inúmeros modelos, referências e guias de melhores práticas 
podem ser adotados para estabelecer um modelo de 
governança de TI para as organizações. 
 
 
22 
 
As características do COBIT o deixam posicionado em um nível mais 
estratégico quando comparado a outros frameworks, normas ou padrões que 
se complementam, a figura acima ilustra o posicionamento e os pontos de 
integração do COBIT em relação a outros modelos. 
 
Cabe aos executivos avaliar qual é o melhor modelo para atender as 
necessidades de negócio de suas empresas, mas é evidente que a 
regulamentação externa (SOX/Basiléia II) direciona fortemente a adoção do 
COBIT em suas práticas de governança de TI. 
 
Um fator extremamente significativo é o que o COBIT, por ser um framework 
de controle de alto nível, aponta o que deve ser controlado, mas não diz 
como fazer. Ele se encaixa perfeitamente com as melhores práticas para 
gestão de serviços de TI descritas na IT Infrastructure Library (ITIL), que tem 
foco mais tático e operacional em relação aos processos internos de TI. 
 
O Framework COBIT 
 
Os frameworks do COBIT e do ITIL se complementam e cobrem grande 
parte dos aspectos da organização da TI, de modo que quando as práticas 
estabelecidas em cada modelo são adotadas pelas organizações de TI, em 
seus processos internos, o risco operacional de TI é reduzido de maneira 
significativa. 
 
 É válido aproveitar este momento e destacar que para tratar da Gestão de 
Riscos em TI na sua totalidade, é necessário também tratar os riscos em 
projetos de TI. 
 
O foco deste estudo para o Gerenciamento de Projetos de TI são as práticas 
descritas no Project Management Body of Knowledge (PMBOK) publicado e 
mantido pelo Project Management Institute (PMI). 
 
 
 
 
23 
Gestão do Risco em TI 
 
Você poderá aprender sobre a Gestão de Risco em projetos de TI em um 
curso de Gestão de Projetos que siga o PMBOK. Por hora, basta considerar 
que não basta fazer gestão de riscos somente na operação do negócio ou na 
operação da TI. 
 
Na sequência serão apresentadas as verticais que devem ser gerenciadas 
para a integração entre TI e o negócio, bem como quais modelos de mercado 
cujas práticas podem ser aplicadas em cada vertical. 
 
Chegar a uma combinação relevante e importante de elementos permitirá 
estabelecer uma possível estrutura para as práticas de governança de TI, 
relacionando os frameworks, normas técnicas e guias de melhores práticas, 
dentre outros, nas diversas frentes existentes entre o negócio e a operação 
da TI. 
 
Tudo isso visa fazer com que a TI se torne um parceiro estratégico para que 
as empresas possam alcançar seus objetivos de negócio. 
 
A Tecnologia da Informação é relativamente nova se comparada a 
Engenharia, Arquitetura, Medicina ou Advocacia, no entanto, o conjunto de 
melhores práticas que será apresentado a seguir vem passando por um ciclo 
de melhoria contínua cujos resultados positivos vem sendo comprovados 
pelo marcado há pelo menos 10 anos. 
 
 
24 
 
Características do COBIT 
 
Como dito anteriormente, o framework de controle do COBIT parte da 
premissa que não é possível gerenciar aquilo que não se mede. Desta forma 
ele propõe uma série de objetivos de controle e seus respectivos indicadores 
de desempenho. 
 
O modelo também considera que a TI precisa entregar a informação que a 
empresa precisa para alcançar os seus objetivos de negócio. 
 
Além disso, o COBIT é compatível com outros padrões de mercado, pois ele 
se posiciona em um nível genérico, abrangendo vários processos de TI, 
definindo os objetivos de cada um dos processos e como devem ser 
controlados. 
 
O COBIT não foca em como cada processo deve ser implementado, sendo 
exatamente este o motivo que o leva a ser compatível ou complementar a 
outros modelos existentes. 
 
 
 
 
25 
O framework do COBIT foi criado tendo como principais características: 
 
 O foco no negócio 
 A orientação a processos 
 Ser baseado em controles 
 Ser direcionado por métricas 
 
Foco do COBIT 
 
Sua estrutura classifica os processos em 4 domínios, e apresenta atividades 
em uma estrutura gerenciável e lógica. 
 
As boas práticas do COBIT representam um consenso entre especialistas, pois 
seu framework é extremamente focado no controle. Estas práticas ajudam a 
otimizar os investimentos em TI, assegurando a entrega do serviço e 
fornecendo uma mensuração que possibilita identificar a performance de 
cada objetivo de controle e tomar ações gerenciais para mitigar riscos e 
atingir os resultados desejados. 
 
O COBIT é independente da plataforma de TI adotada nas empresas, também 
é totalmente independente do tipo de negócio e do valor e participação que 
a tecnologia da informação tem na cadeia produtiva da empresa. 
 
O framework do COBIT é hoje uma referência mundial utilizado na avaliação 
de controles e maturidade de processos de TI e, por esta razão, tem sido 
adotado em diversos projetos de governança de TI. 
 
Objetivos do COBIT 
 
O COBIT tem como objetivos: 
 
 Ser um padrão aceito nas melhores práticas de governança de TI. 
 Aplicar as melhores práticas a partir de uma matriz de domínios, 
processos e atividades estruturados de forma lógica e gerenciável. 
 
 
26 
 Auxiliarna associação entre: 
 Os riscos no negócio 
 As necessidades de controle 
 Aspectos tecnológicos 
 
Histórico do COBIT 
 
O COBIT teve sua primeira publicação realizada em 1996 com foco no 
controle e análise dos sistemas de informação. Sua segunda edição, em 1998, 
ampliou a base de recursos adicionando o guia prático de implementação e 
execução. A edição atual (4.1) já sob a coordenação do IT Governance 
Institute (ITGI), introduz as recomendações de gerenciamento de ambientes 
de TI dentro de um modelo de maturidade de governança. 
 
O COBIT foi desenvolvido inicialmente pela fundação do Information Systems 
Audit and Control Association (ISACA), que é uma instituição fundada em 
1967, e é atualmente mantido pelo ITGI, cuja fundação ocorreu em 1998. 
 
Para maiores informações sobre o ISACA e o ITGI, visite os sites: Isaca, Itgi. 
 
Estrutura Atual do COBIT 
 
O COBIT chegou a sua estrutura atual contando com um conjunto de 
contribuições de várias empresas e organismos internacionais, entre eles 
podemos citar: 
 
 Padrões técnicos da ISO e EDIFACT, dentre outros. 
 Códigos de conduta emitidos pelo Conselho de Europa, OECD, ISACA 
e outros. 
 Critérios de qualificação para TI e processos: ITSEC, TCSEC, ISO 9000, 
SPICE, TickIT dentre outros. 
 Padrões profissionais para controles internos e auditoria, como o 
COSO, IFAC, AICPA, CICA, ISACA, IIA, PCIE, GAO e outros. 
 
 
27 
 Práticas e exigências dos fóruns da indústria e das plataformas 
recomendadas pelos governos (IBAG, NIST, DTI), etc.. 
 Exigências das indústrias emergentes como operação bancária, 
comércio eletrônico e engenharia de software. 
 Com a dependência cada vez maior nos recursos de tecnologia as 
organizações passam a ter a necessidade de demonstrar controles 
crescentes em segurança. 
 
 Desempenho e Progresso 
 
Cada organização deve buscar a compreensão de seu próprio desempenho e 
deve medir o seu progresso. O benchmarking (comparativo) com outras 
organizações passa a fazer parte da estratégia das empresas para conseguir a 
melhor competitividade em TI. 
 
O COBIT, por meio de suas recomendações de gerenciamento e com a 
orientação no modelo de maturidade em governança, auxilia os gerentes de 
TI no cumprimento de seus objetivos, alinhados com os objetivos da 
organização. 
 
As diretrizes de gerenciamento do COBIT focam na gerência por 
desempenho, usando os princípios do Balanced ScoreCard (BSC). Seus 
indicadores principais identificam e medem os resultados dos processos, 
avaliando seu desempenho e alinhamento com os objetivos dos negócios da 
organização. 
 
 Vantagens do COBIT 
 
Adotar o COBIT como modelo de governança torna-se vantajoso por: 
 
 Mapear os maiores padrões e frameworks de mercado, como o ITIL, 
a ISO 20.000 e a ISO 27.001. 
 Ajudar a entender os requisitos regulatórios. 
 Ser compatível com o COSO quanto ao controle do ambiente de TI. 
 
 
28 
 Definir uma linguagem comum entre TI e o negócio. 
 Ser focado nos requisitos de negócio. 
 Ser aceito internacionalmente como framework de modelo para 
Governança de TI;. 
 Ser orientado a processos. 
 Ser suportado por ferramentas e treinamento. 
 Estar em desenvolvimento contínuo. 
 
O Público do COBIT 
 
O COBIT foi projetado para ser utilizado por três públicos distintos. 
 
Administradores podem fazer uso do COBIT para auxiliá-los na avaliação 
entre risco, investimento e controle de ambientes muitas vezes imprevisíveis, 
como o de TI. 
 
Usuários podem utilizar para se certificarem da segurança e dos controles 
dos serviços de TI fornecidos internamente ou por terceiros. 
 
 
29 
Por último, mas não menos importante, o COBIT também pode ser utilizado 
por Auditores de Sistemas, onde serve como subsídio das opiniões emitidas 
ou para prover aconselhamento aos administradores sobre os controles 
internos. 
 
Evolução do COBIT 
 
Observe na linha do tempo apresentada a seguir a evolução do COBIT e o 
foco principal de cada publicação realizada. 
 
Estrutura do COBIT 
 
O princípio da estrutura do COBIT é o de prover 
um link entre as expectativas e as 
responsabilidades de gerenciamento de TI. O 
objetivo é facilitar a governança de TI para 
agregar valor a TI, por meio do gerenciamento 
dos riscos de TI. 
 
O princípio do framework é derivado de um 
 
 
30 
modelo que mostra a informação com qualidade sendo produzida por 
eventos realizados ou executados nos recursos de TI, conforme apresentado 
na figura ao lado. 
 
O COBIT é um framework e é também uma base de conhecimento para os 
processos de TI e o gerenciamento destes. Ele não é um padrão definitivo e 
deve ser adaptado para a realidade de cada empresa. Trata-se de um 
framework de controle que tem o propósito de assegurar que os recursos de 
TI estarão alinhados com os objetivos da organização. 
 
O framework também é baseado na premissa de que a TI precisa entregar 
informação que a empresa necessita para atingir seus objetivos, fazendo com 
que a TI seja mais responsiva ao negócio. 
 
Características do Framework 
 
 Define uma linguagem comum entre 
TI e o negócio 
 Ajuda a entender os 
requisitos regulatórios 
 É um padrão aceito entre 
empresas 
 É orientado a 
processos 
 É focado nos 
requisitos de 
negócio 
 
 
 
 
 
 
 
 
 
31 
Componentes do COBIT 
 
É praticamente impossível falar 
dos componentes do COBIT sem 
citar o termo conhecido no 
mercado como cubo do COBIT. O 
conceito de cubo é utilizado para 
representar como os 
componentes se inter-relacionam, 
pois ele ilustra de maneira 
fidedigna as dimensões e seu 
respectivo relacionamento. 
 
A figura ao lado ilustra que o 
framework do COBIT considera a necessidade de relacionar os processos de 
TI, os recursos de TI e os critérios de informação, conforme será tratado a 
seguir. 
 
Critérios da Informação 
 
Efetividade - trata das informações que são relevantes e pertinentes aos 
processos de negócio. Essas informações precisam estar disponíveis em 
tempo hábil, corretas, consistentes, e devem ser apresentadas de uma forma 
útil. 
 
Eficiência - trata do provimento de informações pelo melhor (mais produtivo 
e econômico) uso dos recursos. 
 
Confidencialidade - trata da proteção das informações contra acessos não-
autorizados. 
 
Integridade - trata da precisão e da totalidade (integridade) das informações, 
assim como sua validade e concordância com os valores e as expectativas do 
negócio. 
 
 
 
32 
Disponibilidade - trata da disponibilidade da informação quando requerida 
pelos processos do negócio, em qualquer momento. Trata também da 
salvaguarda dos recursos necessários e capacidades associadas. 
 
Conformidade - trata do cumprimento das leis, regulamentos e contratos aos 
quais os processos de negócio estão sujeitos, ou seja, externamente 
impostos, assim como do cumprimento das políticas internas. 
 
Confiabilidade - trata do provisionamento de informações apropriadas para o 
gerenciamento, a operação e o exercício das responsabilidades fiduciárias e 
de governança da instituição. 
 
Recursos de TI 
 
O COBIT considera que Recursos de TI são gerenciados pelos processos de TI 
para fornecer as informações que a empresa necessita para atingir seus 
objetivos. O framework estabelece 4 tipos de recursos, conforme relação 
apresentada a seguir: 
 
Aplicações - são os sistemas automatizados e procedimentos manuais para 
processar informações. 
 
Informação - são os dados de todos os formulários de entrada, processados e 
exibidos pelos sistemas de informação, podendo ser qualquer formulário 
usado pelo negócio. 
 
Infraestrutura - considera os itens de hardware, software, sistemas debancos de dados, rede, e quaisquer itens necessários para o funcionamento 
das aplicações. 
 
Pessoas - são os recursos humanos necessários para planejar, organizar, 
adquirir, implementar, entregar, suportar, monitorar e avaliar os sistemas de 
informação e serviços, podendo estes ser recursos internos ou terceirizados. 
 
 
 
 
33 
Processos de TI 
 
Uma das faces do cubo do COBIT representa os processos 
de TI. O framework do COBIT apresenta aos processos de 
TI agrupados em 4 domínios, conforme segue: 
 
 Planejar e Organizar (Plan and 
Organize - PO) 
 Adquirir e Implementar 
(Acquire and Implement - AI) 
 Entregar e Suportar (Deliver 
and Support - DS) 
 Monitorar e Avaliar (Monitor 
and Evaluate - ME) 
 
 
 
 
 
 
O Cubo do COBIT 
 
Como todos os componentes do COBIT estão inter-relacionados, a figura do 
cubo é utilizada para sumarizar que os recursos de TI são gerenciados pelos 
processos de TI para alcançar as metas que correspondem aos requisitos do 
negócio. 
 
Este é o princípio básico do framework do COBIT, e é ilustrado por meio da 
figura ao lado. 
 
Por meio dele é possível observar que cada um dos 4 domínios e seus 34 
objetivos de controle de alto-nível consomem Recursos de TI e necessitam 
atender a requisitos de negócio. 
 
 
 
34 
Nos próximos módulos, veremos como é o desdobramento do cubo do COBIT 
para cada um dos 34 objetivos de controle de alto-nível. 
 
As Metas do COBIT 
 
O COBIT estabelece metas e métricas em 3 níveis: 
 
O primeiro nível trata de objetivos e métricas de TI que definem o que o 
negócio espera da TI e como isso será medido. 
 
O segundo nível trata dos objetivos e métricas que definem o que os 
processos de TI devem entregar para suportar os objetivos de TI e como isso 
será medido. 
 
 
 
35 
O terceiro nível trata dos objetivos de atividades e respectivas métricas para 
estabelecer o que precisa ocorrer dentro dos processos para alcançar a 
performance desejada e como mensurar isso. 
 
Os objetivos de TI são definidos em uma abordagem top-down, onde os 
objetivos do negócio vão determinar o número de objetivos de TI que vão 
suportar o negócio. 
 
 Monitoramento e Performance 
 
O monitoramento é realizado por meio do acompanhamento de Indicadores 
de Resultado (Outcome Measures), processados após a execução dos 
processos, e Indicadores de Performance (Performance Indicators), 
processados durante a execução dos processos e utilizados para avaliar e 
tomar ações corretivas para assegurar que os resultados esperados sejam 
alcançados. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Diretrizes de Gerenciamento 
 
O framework do COBIT estabelece diretrizes de gerenciamento e estas, por 
sua vez, sugerem o uso da metodologia Balanced Scorecards (BSC). 
 
 
36 
O BSC fornece meios para estabelecer métricas para alcançar as metas de TI. 
A metodologia do BSC vê o negócio sob quatro perspectivas, estabelecendo 
os objetivos estratégicos da empresa e mapeando suas metas e Indicadores 
de Performance, sendo que você poderá ver isso com maiores detalhes na 
unidade de estudo de Gestão de Serviços de TI. 
 
Por hora, é importante saber que o BSC parte da definição da estratégia da 
empresa para, em seguida, estabelecer os objetivos estratégicos que a 
empresa deve alcançar sob as perspectivas Financeira, do cliente, de 
inovação, de aprendizado e crescimento, e de processos internos do 
negócio. 
 
A perspectiva do cliente trata dos valores que a empresa quer oferecer, ou 
seja, como ela quer ser vista sob a percepção do cliente. 
 
A perspectiva de processos internos estabelece os objetivos estratégicos do 
que a empresa deve assumir para conseguir entregar os valores 
estabelecidos na perspectiva do cliente. 
 
A perspectiva do aprendizado e inovação trata da gestão do conhecimento 
da empresa, de clima e cultura e de outros valores essenciais para a saúde da 
empresa. 
 
A perspectiva financeira trata das questões de gestão financeira da empresa, 
quais os objetivos estratégicos para as despesas, investimentos e como 
assegurar o futuro da empresa. 
 
Não há uma regra para estabelecer ou definir se há uma perspectiva mais ou 
menos importante, todas contém objetivos estratégicos e, portanto, todas 
são importantes para a empresa. 
 
Ao avaliar os mapas estratégicos de diversas empresas, produzidos dentro 
dos conceitos da metodologia do BSC, é possível observar que normalmente 
a Perspectiva do Cliente é apresentada em primeiro lugar quando a cultura 
da empresa tem o foco principal no cliente. 
 
 
 
37 
Já quando a cultura da empresa tem como foco principal a obtenção de lucro, 
normalmente a perspectiva financeira é apresentada em primeiro lugar. 
 
O fato é que isso realmente não importa, é relevante estabelecer quais são 
os objetivos mais importantes da empresa, quem será responsável por cada 
um deles (accountability) e como eles serão mensurados. 
 
 
Ao avaliar a metodologia do BSC e as diretrizes de gerenciamento existentes 
no framework do COBIT, fica evidente que o COBIT vê no BSC uma maneira 
de implementar o conceito do framework e estabelecer os pontos de 
controle, trazendo total transparência às partes interessadas, ou seja, 
clientes, parceiros, funcionários e acionistas da empresa. 
 
 
 
38 
Modelos de Maturidade 
 
Trata-se de modelos de referência que possibilitam à empresa avaliar e 
classificar sua maturidade para um determinado processo. 
 
O Gerenciamento e Controle sobre os processos de TI são baseados em um 
método para avaliar sua organização, de modo que ela pode ser classificada 
em um nível onde o processo é inexistente (0 - zero) até o nível otimizado (5). 
 
Isto possibilita não só fazer comparações com outras empresas 
(benchmarking1), como também fazer a análise de gap2 avaliando onde a 
empresa se encontra, onde o mercado está posicionado e onde a empresa 
deseja chegar. 
 
A abordagem dos modelos de maturidade do COBIT deriva do modelo de 
maturidade da capacidade para desenvolvimento de software definido pelo 
Software Engineering Institute (SEI). Mas embora os conceitos do SEI tenham 
sido seguidos, a implementação do COBIT difere do modelo original pois o 
modelo de maturidade é interpretado de acordo com a natureza dos 
processos de gerenciamento de TI definidos no COBIT. 
 
Dentro de uma escala genérica com range variando entre 0 e 5, há um 
modelo específico interpretado para cada um dos 34 processos do COBIT. 
 
 
1
 Benchmarking é a busca das melhores práticas na indústria que conduzem ao 
desempenho superior. É visto como um processo positivo e pró-ativo por meio do 
qual uma empresa examina como outra realiza uma função específica a fim de 
melhorar como realizar a mesma ou uma função semelhante. O processo de 
comparação do desempenho entre dois ou mais sistemas é chamado de 
benchmarking, e as cargas usadas são chamadas de benchmark. 
2
 É a diferença entre o objetivo que desejamos atingir e o ponto aonde efetivamente 
chegamos. 
 
 
39 
 
 
Maturidade Nível 1: Inicial / Ad-Hoc - A organização reconheceu que 
problemas existem e devem ser resolvidos ou, pelo menos, endereçados a 
quem os resolva. Entretanto, não há processos padronizados. Ao invés disso, 
abordagens pontuais são adotadas e há uma tendência de serem aplicadas 
numa base individual caso-a-caso. A abordagem geral de gerenciamento é 
desorganizada. 
 
Maturidade Nível 2: Repetível, mas Intuitivo – Processos foram 
desenvolvidos ao estágio onde procedimentos similares são seguidos por 
diferentes pessoas executando a mesma tarefa. Não há treinamento formal 
ou comunicação sobre esses procedimentos padronizados e a 
responsabilidade é tratada demaneira individual. Há um alto grau de 
dependência do conhecimento de alguns indivíduos e os erros são muito 
comuns. 
 
Maturidade Nível 3: Processos Definidos – Procedimentos foram 
padronizados, documentados e comunicados por meio de treinamento. É 
mandatório que esses processos sejam seguidos e são incomuns os desvios. 
 
 
40 
Os procedimentos propriamente ditos não são sofisticados, mas existe uma 
formalização sobre as práticas existentes. 
 
Maturidade Nível 4: Gerenciado e Mensurável – O gerenciamento monitora 
e mede a aderência aos procedimentos e toma ações onde os processos 
parecem não estar funcionando efetivamente. Processos estão sob melhoria 
constante e fornecem melhores práticas. Ferramentas automatizadas são 
usadas de modo limitado ou fragmentado. 
 
Maturidade Nível 5: Otimizado – Processos foram definidos ao nível das 
melhores práticas, baseados nos resultados de melhoria contínua e nos 
modelos de maturidade de outras organizações. A TI é usada de maneira 
integrada para automatizar os fluxos de trabalho, fornecendo ferramentas 
para melhoria da qualidade e da efetividade, fazendo com que a organização 
adapte-se rapidamente. 
 
Diretrizes de Auditoria 
 
Além das diretrizes de gerenciamento, o COBIT também traz um guia passo-
a-passo para auxiliar auditores internos e externos a avaliar a performance 
da empresa. Este guia é conhecido no COBIT como Diretrizes de Auditoria. 
 
A estrutura do processo de auditoria geralmente aceita pelo mercado 
compreende o estágio ou etapa de identificação e documentação, ou seja, a 
definição do escopo do trabalho. Na sequência temos as etapas de avaliação, 
testes de conformidade e testes substantivos. 
 
 A etapa de Identificação e Documentação visa obter um 
entendimento dos riscos relacionados aos requisitos de negócio e 
medidas de controle relevantes. Já a etapa de avaliação tem como 
principal objetivo avaliar os controles internos determinados. 
 A etapa de Avaliação tem como principal objetivo avaliar os 
controles internos determinados. 
 
 
 
41 
 A etapa de Testes de Conformidade visa avaliar a conformidade 
testando se os controles determinados estão funcionando conforme 
sua definição, consistentemente e continuamente. 
 E finalmente, a etapa de Testes Substantivos verifica os riscos dos 
objetivos de controle que não estão sendo alcançados, por meio de 
técnicas analíticas ou consultando fontes alternativas. 
 
Levando estas quatro etapas em consideração, um processo de TI é auditado 
por meio da obtenção do entendimento dos riscos relacionados com os 
requisitos de negócio e medidas de controle relevantes. Na sequência ocorre 
a avaliação dos controles determinados, identificando se estes controles são 
apropriados ao que se propõe. 
 
Diretrizes de Gerenciamento 
 
Posteriormente se executa a avaliação de conformidade por meio de testes 
que devem identificar se os controles estabelecidos estão funcionando como 
previsto e, por último, se executa a substanciação dos riscos dos objetivos de 
controle que não estão sendo atingidos. 
 
Estas etapas devem ser executadas em função da necessidade que a alta 
administração tem de assegurar que as metas e os objetivos da TI sejam 
atingidos e que os controles principais estejam sendo aplicados no dia-a-dia. 
 
As diretrizes de gerenciamento descrevem e sugerem atividades de 
auditoria/avaliação para serem executadas para cada um dos 34 objetivos de 
controle de alto nível do COBIT, de modo que dentre os principais objetivos 
das diretrizes de auditoria é possível citar que estas devem fornecer um 
gerenciamento de modo a assegurar que os objetivos de controle estejam 
sendo alcançados. 
 
 
 
 
 
42 
Pontos Fracos 
 
Outro ponto importante é o fato de identificar pontos fracos em controles 
que são significantes ao negócio da empresa, sendo que, para estes casos, as 
diretrizes de auditoria direcionarão que estes pontos tenham os riscos 
verificados de modo que seja possível aconselhar a alta administração em 
relação a ações corretivas para mitigar ou eliminar os riscos. 
 
Assim, o propósito das diretrizes de auditoria é fornecer uma estrutura 
simples para controles de auditoria e avaliação baseados em práticas de 
auditoria geralmente aceitas pelo mercado. 
 
De maneira geral, os negócios de uma organização definem os requisitos para 
os processos de TI, e estes, por sua vez, alimentam as áreas de negócio com 
informações úteis para a organização. 
 
Excelência em TI 
 
Assim, a estrutura do COBIT permite avaliar o desempenho dos processos de 
TI por meio dos indicadores de resultado (outcome measures) e por meio dos 
indicadores de desempenho (performance indicators), além de também 
contar com um modelo de maturidade para análise de GAP entre o nível 
atual de maturidade dos processos de TI e o nível desejado pela empresa. 
 
A excelência operacional dos processos de TI é alcançada por meio da busca 
pelos objetivos de cada atividade dos processos. 
 
Os processos, por sua vez, são controlados por meio dos objetivos de 
controle do COBIT, que são implementados através de práticas de controle. 
 
Assim, os objetivos de controle podem ser traduzidos em diretrizes de 
auditoria que são então utilizadas para auditar os processos de TI. 
 
 
 
 
43 
Requisitos para a Auditoria de Processos de TI 
 
Definir o escopo da auditoria é fundamental para o dimensionamento do 
esforço necessário para executar este processo de controle. Para que isso 
seja feito de maneira adequada, é importante levar em conta a preocupação 
com os processos de negócio, plataformas, sistemas e seu relacionamento 
com o suporte aos processos de negócio e, finalmente, as funções e 
responsabilidades na estrutura organizacional. 
 
O próximo passo é identificar requisitos de informação relevantes para os 
processos do negócio. Para isso é fundamental entender qual é a relevância 
de cada processo. 
 
Na sequência, é necessário identificar os riscos de TI inerentes aos processos 
além de um nível de controle abrangente. 
 
Aqui devem ser levadas em consideração quaisquer mudanças recentes ou 
incidentes que impactaram o negócio ou o ambiente de TI, resultados de 
auditorias anteriores, auto-avaliações e certificações que a empresa venha a 
ter como, por exemplo, a ISO 20.000. Além disso, também é importante 
avaliar os controles de monitoração que são aplicados pela administração da 
empresa. 
 
Processos e Plataformas 
 
Aqui devem ser levadas em consideração quaisquer mudanças recentes ou 
incidentes que impactaram o negócio ou o ambiente de TI, resultados de 
auditorias anteriores, auto-avaliações e certificações que a empresa venha a 
ter como, por exemplo, a ISO 20.000. Além disso, também é importante 
avaliar os controles de monitoração que são aplicados pela administração da 
empresa. 
 
O próximo passo é selecionar quais são os processos e plataformas a serem 
auditadas. Isso ajuda a focar nos itens mais relevantes, lembrando que é 
 
 
44 
importante não só considerar os processos, como os recursos envolvidos 
nestes. 
 
O último passo das diretrizes de auditoria é o de criar uma estratégia de 
auditoria. É neste ponto que se avaliam quais são os controles disponíveis em 
relação aos riscos identificados, quais serão os passos e tarefas necessárias 
para executar a auditoria e quais serão os pontos de decisão. 
 
Estrutura do Processo de Auditoria 
 
O próximo passo é selecionar quais são os processos e plataformas a serem 
auditadas. Isso ajuda a focar nos itens mais relevantes, lembrando que é 
importante não só considerar os processos, como os recursos envolvidos 
nestes. 
 
O último passo das diretrizes de auditoria é o de criar uma estratégia de 
auditoria. É neste ponto que se avaliam quais são os controles disponíveis em 
relação aos riscos identificados,quais 
serão os passos e tarefas necessárias 
para executar a auditoria e quais serão 
os pontos de decisão. 
 
De modo geral, a estrutura do processo 
de auditoria normalmente aceita pelo 
mercado, compreende quatro etapas ou 
estágios principais, conforme ilustrado 
pela figura ao lado. 
 
Processo de TI 
 
Um processo de TI é auditado por meio da compreensão dos riscos 
relacionados com os requisitos de negócio e quais são as medidas de 
controles relevantes para cada risco identificado. 
 
 
 
45 
A partir deste cenário, se executa uma avaliação dos controles determinados 
com o objetivo de se certificar que estes são apropriados. 
 
O próximo passo é a avaliação da conformidade utilizando testes que 
possibilitem verificar se um determinado ponto de controle está funcionando 
como planejado, de maneira consistente e contínua. 
 
Por último se executa a substanciação dos riscos relacionados aos objetivos 
de controle que não estão sendo alcançados. Isso pode ser feito por meio de 
análises técnicas ou utilizando referências alternativas. 
 
Compreensão dos Riscos dos Processos 
 
Esta fase é fundamental para documentar as atividades que estejam 
relacionadas com os objetivos de controle, bem como para identificar as 
medidas e procedimentos que serão aplicados. 
 
A equipe de auditoria segue procedimentos específicos para obter este 
conhecimento, sendo que para isso podem devem entrevistar os 
gestores/gerentes e equipes necessárias para obter conhecimento sobre: 
 
 Os requisitos do negócio e respectivos riscos; 
 Políticas e procedimentos da organização; 
 Leis e regulamentos aplicáveis; 
 Estrutura da organização; 
 Funções e responsabilidades; 
 Pontos de controle já aplicados; 
 Relatórios gerenciais. 
 
Avaliação dos controles sobre os processos 
 
A etapa seguinte é a avaliação dos controles utilizados em cada processo, 
buscando identificar se são eficazes ao que se propõem, neste sentido é 
importante determinar o que será testado e como os testes serão realizados. 
 
 
46 
 
A equipe de auditoria deve avaliar se as medidas de controle são 
apropriadas, de acordo com o critério identificado e estabelecido, podendo 
utilizar práticas e padrões de mercado e também fazendo uso do julgamento 
profissional sobre o assunto. 
 
Estes devem buscar determinar se os processos estão documentados, se as 
saídas dos processos, também conhecidas como entregáveis, são 
apropriadas, se as responsabilidades estão claras e se há controles de 
compensação nos casos em que estes devem ser aplicados. 
 
Avaliação da conformidade dos processos 
 
Nesta etapa a equipe de auditoria busca evidências diretas ou indiretas para 
os pontos selecionados, visando identificar se os procedimentos estão em 
conformidade com a especificação do processo. 
 
Neste momento também é importante determinar o nível de testes e o 
trabalho necessário para dar assegurar que o processo avaliado está 
adequado. 
 
Isto é feito com o objetivo de assegurar que as medidas de controle 
estabelecidas estão funcionando de acordo com o previsto e que são 
apropriadas para o ambiente controlado. 
 
Apontando Riscos 
 
Finalmente, os riscos identificados para os objetivos de controle que não 
estão alcançando os objetivos definidos devem ter suas deficiências 
documentadas, apontando inclusive as ameaças possíveis e vulnerabilidades 
existentes. 
 
Uma vez realizada esta análise, a equipe de auditoria deve identificar e 
documentar o impacto atual e o impacto potencial do risco ou, em outras 
 
 
47 
palavras, quais as chances do risco identificado se tornar uma realidade para 
a empresa. 
 
Práticas de Controle 
 
Antes de falar das práticas de controle, é importante ter em mente que cada 
um dos 34 objetivos de controle do COBIT possui diretrizes de auditoria 
específicas. 
 
As práticas de controle do COBIT fornecem aos usuários um nível adicional de 
detalhes sobre os processos, estendendo assim a capacidade de uso de 
COBIT. 
 
Os processos de TI definidos no COBIT, os objetivos de controle e os 
requisitos de negócio determinam o que deve ser feito para estabelecer uma 
estrutura de controle efetiva. 
 
No entanto, as práticas de controle explicam como e porque estas são 
necessárias para a administração para avaliar controles específicos com base 
na análise de riscos e na operação da TI. 
 
Tratamento dos riscos 
 
É importante que você tenha em mente que o framework do COBIT 
estabelece que os riscos devem ser gerenciados de 4 formas: 
 
 Mitigação de riscos; 
 Transferência de riscos; 
 Evitar riscos; 
 Aceitação de riscos. 
 
 
 
 
48 
Mitigação de Riscos 
 
Trata-se da implementação de controles que tragam proteção contra o tipo 
de risco identificado, por exemplo, implementar um mecanismo de 
autenticação baseado em biometria traz maior proteção a acessos não 
autorizados a informações confidenciais. 
 
Transferência de riscos 
 
Trata-se de compartilhar os riscos com parceiros ou contratar seguro 
apropriado. Um exemplo típico para estes casos ocorre quando você contrata 
um seguro para o seu veículo, casa ou notebook. Ao fazer isso, você está 
literalmente transferindo o risco para um terceiro por avaliar que não seria 
viável permanecer com o risco de ficar sem o seu bem em função de furto, 
roubo, incêndio ou outras causas. 
 
Evitar riscos 
 
Trata-se de adotar uma opção diferente do cenário original, de modo que o 
risco identificado seja totalmente evitado. Podemos dar um exemplo deste 
tipo de tratamento quando uma empresa decide digitalizar toda a sua base 
de documentação e estes estão distribuídos em diversas filiais. Em vez de 
trazer os documentos até um ponto central para digitalização e correr o risco 
de perda do material em função de manipulação inadequada ou problemas 
com o transporte (furto de carga), opta-se por levar os recursos de 
digitalização para as filias, evitando assim o transporte dos documentos. 
 
Aceitação de riscos 
 
Trata-se de confirmar, aceitar e monitorar os riscos. Para estes casos é 
fundamental ter um plano de resposta ao risco pronto para ser colocado em 
ação, evitando assim dados significativos ao negócio ou a imagem da 
organização. Podemos ilustrar este caso com o monitoramento de tsunamis 
 
 
49 
que vários países estão executando. Ao detectar uma ocorrência de tsunami 
que venha a afetar o País, o governo aciona o plano de resposta que 
normalmente implica na evacuação da população dos pontos próximos ao 
mar. 
 
Modelo RACI 
 
Outro ponto relevante que o COBIT estabelece é a definição clara das 
responsabilidades e papéis para cada um dos 34 processos. 
 
Isto é feito com o uso de uma matriz de responsabilidades que aponta o que 
deve ser delegado a quem, sendo que o framework determina claramente os 
limites e comprometimento necessário para cada um dos papeis citados a 
seguir seguindo o modelo RACI. 
 
RACI é o acrônimo, em inglês, para "Accountable, Responsible, Consulted and 
Informed", ou seja: 
 
[R] define quem executa o processo 
 
[A] define quem é responsável pelo resultado 
 
[C] define quem deve ser consultado 
 
[I] define quem deve ser informado 
 
Matriz de responsabilidades do RACI 
 
Papéis normalmente definidos pelo COBIT por meio da matriz RACI: 
 
 Chief Executive Officer (CEO) 
 Chief Financial Officer (CFO) 
 Executivos de Negócio 
 Chief Information Officer (CIO) 
 
 
50 
 Proprietário de Processos de Negócio 
 Chefe de Operações 
 Chefe de arquitetura 
 Líder de desenvolvimento 
 Líder de administração de TI (RH, orçamento e controles internos) 
 Project Management Officer (PMO) 
 Grupos de conformidade, auditoria, risco e segurança 
 Papéis adicionais de acordo com especificidades de algunsprocessos 
 
Definir os Processos de TI, a Organização e 
Relacionamentos 
 
Estude com cuidado a figura do Anexo 1, retirada do COBIT 4.1, com o 
objetivo de compreender como este recurso ajuda a definir os papéis para o 
processo Definir os processos de TI, a organização e relacionamentos. 
 
COBIT e Outros Padrões 
 
Dentre as vantagens de se adotar o framework de controle do COBIT, é 
possível destacar a sua compatibilidade com outros padrões. 
 
Este se posiciona em um nível mais genérico e por isso pode ser utilizado 
para avaliar processos implementados por outras normas técnicas ou 
frameworks, como ISO 17799 (segurança da informação) e ITIL. 
 
O COBIT pode ser aplicado depois que outros padrões que atuam em um 
nível mais operacional já estejam aplicados, tendo em vista que o COBIT 
servirá para auditar estes processos. 
 
O COSO é um framework para controle interno, não somente de TI, e pode 
ser utilizado em qualquer área de negócio, já o COBIT é específico para a TI, 
mas está 100% alinhado com o COSO. 
 
 
 
51 
Em relação à compatibilidade com ITIL, o COBIT cobre a maioria dos 
processos ITIL, tanto na versão 2 quanto na versão 3, só que o ITIL tem os 
processos apresentados com maior nível de detalhe. De maneira geral, 
enquanto o ITIL está mais direcionado ao “como”, o COBIT foca no “o que”. 
 
Framework de Controle 
 
Assim, pode se dizer que o COBIT é um framework de controle que 
estabelece o que tem que ser feito, mas não diz como deve ser feito. 
 
Além disso, o COBIT atende os requisitos regulatórios nos quais a empresa 
está submetida e é exatamente por este motivo que pode ser utilizado para 
cumprir a conformidade com a lei Sarbanes-Oxley. 
 
A figura a seguir apresenta os 34 Objetivos de Controle de alto nível do COBIT 
e mostra os seus pontos de interação com outros elementos. Isto mostra 
porque o framework do COBIT está sendo adotado em larga escala na 
aplicação de práticas de governança de TI. 
 
 
 
52 
DOMÍNIOS E OBJETIVOS DE CONTROLE 
DO COBIT 
 
Domínios do CobiT 
 
Por ser orientado a processos, o COBIT define as atividades de TI em um 
modelo genérico de processos, agrupando estes em 4 domínios. 
 
Como visto anteriormente, os domínios do COBIT são: 
 
 Planejar e Organizar (Plan and Organize - PO) 
 Adquirir e Implementar (Acquire and Implement - AI) 
 Entregar e Suportar (Deliver and Support - DS) 
 Monitorar e Avaliar (Monitor and Evaluate - ME) 
 
Objetivos de Controle do CobiT 
 
Estes domínios englobam as tradicionais áreas de responsabilidade da TI, que 
são as de planejar, construir, executar e monitorar. 
 
O COBIT oferece um modelo de referência para os processos, além de uma 
linguagem comum a todos na empresa, de modo que estes possam visualizar 
e gerenciar as atividades de TI. 
 
Como também visto anteriormente, um modelo de processos demanda que 
cada processo tenha um proprietário, de forma a definir claramente as 
responsabilidades e quem será cobrado pelos resultados dos processos. 
 
Assim, o nosso foco de estudo estará concentrado em cada um dos domínios 
e seus respectivos processos. 
 
 
 
53 
Planejar e Organizar 
 
O domínio do planejamento e organização engloba as estratégias e táticas 
adotadas pela organização de TI, e se preocupa em identificar a forma onde a 
TI possa contribuir da melhor maneira possível para que os objetivos do 
negócio sejam alcançados. 
 
A visão estratégica da TI deve ser planejada, comunicada e gerenciada sob 
diferentes perspectivas. Além disso, este domínio cobre também a 
organização da TI e a infraestrutura tecnológica que deve ser implementada 
na organização. 
 
Assim, basicamente, o domínio de planejamento e organização oferece 
resposta às questões relacionadas a seguir: 
 
 A TI e estratégia do negócio estão devidamente alinhados? 
 A organização está tirando o melhor proveito possível de seus 
recursos? 
 Todos na organização compreendem os objetivos da TI? 
 Os riscos são compreendidos e gerenciados? 
 A qualidade dos sistemas de TI é apropriada para as necessidades do 
negócio? 
 
Adquirir e Implementar 
 
Assim como citado nos domínios anteriores, o domínio de aquisição e 
implementação demanda que as gerências respondem as seguintes questões: 
 
 Os serviços de TI estão sendo entregues alinhados com as prioridades 
de negócio? 
 Os custos de TI são otimizados? 
 A força de trabalho é capaz de utilizar os sistemas de TI de maneira 
produtiva e segura? 
 
 
54 
 Há adequados níveis de confidencialidade, integridade e 
disponibilidade para a segurança da informação? 
 
Entregar e Suportar 
 
O domínio da entrega e suporte está focado na entrega atual dos serviços 
demandados, e isto inclui a entrega de serviços, o gerenciamento de 
segurança e da continuidade dos serviços de TI, o suporte aos serviços, o 
gerenciamento de dados e a operação das instalações físicas. 
 
Para quem já estudou ITIL, fica bastante evidente a semelhança dos objetivos 
de controle que o COBIT trata neste domínio com as disciplinas ITIL, porém, 
como vimos, o COBIT está mais focado no controle e diz o que deve ser 
controlado, em nenhum momento o framework do COBIT estabelece como 
isso deve ser implementado. 
 
As práticas descritas na ITIL oferecem mais detalhes para que se estruture 
como os processos serão executados. Assim, ITIL e COBIT podem ser 
perfeitamente integrados, não importando qual iniciativa a organização 
adotará antes. 
 
Monitoramento e Avaliação 
 
O domínio do monitoramento e avaliação considera que todos os processos 
de TI devem ser regularmente avaliados com o passar do tempo, 
considerando sua qualidade a aderência aos requisitos de controle. 
 
Este é o domínio que engloba o gerenciamento de performance, o 
monitoramento dos controles internos, a aderência a legislação e normas 
específicas e a governança propriamente dita. 
 
Os processos deste domínio são tratados visando responder as seguintes 
questões de gerenciamento: 
 
 
 
55 
 A performance de TI é medida de modo a identificar problemas antes 
que seja muito tarde? 
 O gerenciamento assegura os controles internos são eficientes e 
eficazes? 
 Há alguma maneira que a performance da TI esteja ligada aos 
objetivos de negócio? 
 Há adequados níveis de confidencialidade, integridade e 
disponibilidade para a segurança da informação? 
 
Processos de Controle 
 
Levando todos estes requisitos em consideração, a versão 4.1 do COBIT 
identificou 34 processos que são utilizados de maneira genérica. 
 
Embora a maioria das organizações tenha definido, planejado, construído, 
executam e monitoram as responsabilidades da TI, sendo que a maioria 
tenham os mesmos processos chave, poucas empresas terão a mesma 
estrutura de processos ou aplicam todos os 34 processos do COBIT. 
 
Um dos grandes benefícios do COBIT é que ele oferece uma lista completa de 
processos que podem ser utilizados para avaliar, controlar e monitorar as 
atividades e responsabilidades, no entanto, nem todos eles devem ser 
obrigatoriamente aplicados. De maneira alternativa, os processos também 
podem ser combinados de acordo com as necessidades da empresa. 
 
Framework de Controle 
 
O ponto aqui é que o COBIT é flexível o suficente para atender uma pequena 
empresa enquanto, ao mesmo tempo, a mesma estrutura de processos pode 
ser útil para empresas de médio e grande porte, nacionais ou multinacionais. 
 
O COBIT apresenta um link entre os objetivos de negócio e os objetivos da TI 
para cada um dos 34 processos suportados. Ele também oferece informações 
sobre como os objetivos podem ser medidos, quais são as principais 
 
 
56 
atividades de cada processo e suas principais entregas ou resultados, além 
disso, ele também provê direcionamento