Governanca de TI com COBIT Final

Prévia do material em texto

Brasília-DF. 
Governança de TI com coBIT
Elaboração
Camila de Luna Maciel Gadelha
Produção
Equipe Técnica de Avaliação, Revisão Linguística e Editoração
Sumário
APRESENTAÇÃO ................................................................................................................................. 5
ORGANIZAÇÃO DO CADERNO 
DE ESTUDOS E PESQUISA .................................................................................................................... 6
INTRODUÇÃO.................................................................................................................................... 8
UNIDADE I
GOVERNANÇA DE TI ........................................................................................................................... 11
CAPÍTULO 1
INTRODUÇÃO À GOVERNANÇA DE TI ..................................................................................... 11
CAPÍTULO 2
O MODELO DE GOVERNANÇA DE TI ...................................................................................... 26
UNIDADE II
INTRODUÇÃO AO MODELO COBIT 5 ................................................................................................... 36
CAPÍTULO 1
VISÃO GERAL DO COBIT 5...................................................................................................... 36
CAPÍTULO 2
OS CINCO PRINCÍPIOS DO COBIT 5 ....................................................................................... 44
CAPÍTULO 3
O MODELO DE REFERÊNCIA DE PROCESSOS DO COBIT ......................................................... 58
UNIDADE III
PROCESSOS DO COBIT5 ..................................................................................................................... 63
CAPÍTULO 1
AVALIAR DIRIGIR E MONITORAR .............................................................................................. 63
CAPÍTULO 2
ALINHAR, PLANEJAR E ORGANIZAR ......................................................................................... 72
UNIDADE IV
PROCESSOS DO COBIT5 (CONT.) ......................................................................................................... 82
CAPÍTULO 1
CONSTRUIR, ADQUIRIR E IMPLEMENTAR ................................................................................... 82
CAPÍTULO 2
ENTREGAR, REPARAR E SUPORTAR ........................................................................................... 92
CAPÍTULO 3
MONITORAR, AVALIAR E MEDIR ............................................................................................. 100
UNIDADE V
IMPLANTAÇÃO DA GOVERNANÇA DE TI COM COBIT 5 ...................................................................... 107
CAPÍTULO 1
DIRETRIZES DE IMPLEMENTAÇÃO DO 
COBIT 5 ............................................................................................................................... 107
CAPÍTULO 2
AVALIAÇÃO DA CAPACIDADE DE PROCESSO ....................................................................... 117
CAPÍTULO 3
BENEFÍCIOS E APLICABILIDADE DO MODELO ........................................................................ 128
PARA (NÃO) FINALIZAR ................................................................................................................... 133
REFERÊNCIAS ................................................................................................................................ 134
5
Apresentação
Caro aluno
A proposta editorial deste Caderno de Estudos e Pesquisa reúne elementos que se 
entendem necessários para o desenvolvimento do estudo com segurança e qualidade. 
Caracteriza-se pela atualidade, dinâmica e pertinência de seu conteúdo, bem como pela 
interatividade e modernidade de sua estrutura formal, adequadas à metodologia da 
Educação a Distância – EaD.
Pretende-se, com este material, levá-lo à reflexão e à compreensão da pluralidade 
dos conhecimentos a serem oferecidos, possibilitando-lhe ampliar conceitos 
específicos da área e atuar de forma competente e conscienciosa, como convém 
ao profissional que busca a formação continuada para vencer os desafios que a 
evolução científico-tecnológica impõe ao mundo contemporâneo.
Elaborou-se a presente publicação com a intenção de torná-la subsídio valioso, de modo 
a facilitar sua caminhada na trajetória a ser percorrida tanto na vida pessoal quanto na 
profissional. Utilize-a como instrumento para seu sucesso na carreira.
Conselho Editorial
6
Organização do Caderno 
de Estudos e Pesquisa
Para facilitar seu estudo, os conteúdos são organizados em unidades, subdivididas em 
capítulos, de forma didática, objetiva e coerente. Eles serão abordados por meio de textos 
básicos, com questões para reflexão, entre outros recursos editoriais que visam tornar 
sua leitura mais agradável. Ao final, serão indicadas, também, fontes de consulta para 
aprofundar seus estudos com leituras e pesquisas complementares.
A seguir, apresentamos uma breve descrição dos ícones utilizados na organização dos 
Cadernos de Estudos e Pesquisa.
Provocação
Textos que buscam instigar o aluno a refletir sobre determinado assunto antes 
mesmo de iniciar sua leitura ou após algum trecho pertinente para o autor 
conteudista.
Para refletir
Questões inseridas no decorrer do estudo a fim de que o aluno faça uma pausa e reflita 
sobre o conteúdo estudado ou temas que o ajudem em seu raciocínio. É importante 
que ele verifique seus conhecimentos, suas experiências e seus sentimentos. As 
reflexões são o ponto de partida para a construção de suas conclusões.
Sugestão de estudo complementar
Sugestões de leituras adicionais, filmes e sites para aprofundamento do estudo, 
discussões em fóruns ou encontros presenciais quando for o caso.
Atenção
Chamadas para alertar detalhes/tópicos importantes que contribuam para a 
síntese/conclusão do assunto abordado.
7
Saiba mais
Informações complementares para elucidar a construção das sínteses/conclusões 
sobre o assunto abordado.
Sintetizando
Trecho que busca resumir informações relevantes do conteúdo, facilitando o 
entendimento pelo aluno sobre trechos mais complexos.
Para (não) finalizar
Texto integrador, ao final do módulo, que motiva o aluno a continuar a aprendizagem 
ou estimula ponderações complementares sobre o módulo estudado.
8
Introdução
Hoje em dia, muitos fatores motivam as empresas a reverem seus atuais modelos de 
gestão de TI. Dentre eles estão: a complexidade cada vez maior da tecnologia; a crescente 
dependência de TI evidenciada pelo negócio; a integração de sistemas e soluções; as 
necessidades heterogêneas dos negócios; a pressão por redução de custos e por maior 
flexibilidade e agilidade; a responsabilidade legal (civil e criminal); a exigência de 
transparência pelos acionistas e pelo mercado; a mudança do perfil da concorrência; e 
o aumento das ameaças e vulnerabilidades em TI.
A combinação desses fatores está levando à falência os atuais modelos gestão de TI, e 
diante deste cenário de crescente complexidade, é necessário incluir novos componentes 
nos modelos de gestão das organizações e rever os papéis e responsabilidades que os 
novos modelos exigem. Entretanto, não é possível estabelecer um conjunto padrão de 
regras e métodos que garanta o sucesso da gestão de TI. Encontrar o modelo “ideal” para 
cada organização envolve, necessariamente, o esforço de várias pessoas, começando 
pela própria equipe de TI. 
Nesse sentido, a gestão efetiva e eficaz da tecnologia da informação deve envolver uma 
série de fatores. Entre eles destacam-se: o alinhamento da TI ao negócio; o processo de 
tomada de decisão acerca de prioridades e da alocação de recursos; os mecanismos para 
a gestão estratégica da TI; e as operações dos serviços de TI. Paratanto, é fundamental 
a utilização de abordagens por processos a partir da escolha de elementos de modelos 
de melhores práticas, como o COBIT, ITIL, CMMI, entre outros.
O COBIT (Control Objectives for Information and Related Technology) tem por 
missão explícita pesquisar, desenvolver, publicar e promover um conjunto atualizado 
de padrões internacionais de boas práticas referentes ao uso corporativo da TI para 
os gerentes e auditores de tecnologia e funciona como uma entidade de padronização 
e estabelece métodos documentados para nortear a área de tecnologia das empresas, 
incluindo qualidade de software, níveis de maturidade e segurança da informação.
(FERNANDES; ABREU, 2014)
Objetivos
 » Explorar o significado de Governança de TI, listando seus objetivos, 
fatores motivadores e componentes. 
9
 » Apresentar um modelo de governança de TI baseado no ciclo de 
Governança da TI e nos seus domínios, considerando questões como 
alinhamento estratégico da TI. 
 » Mostrar onde as melhores práticas, tais como COBIT, ITIL, CMMI, entre 
outros, se encaixam em um processo de Governança de TI, evidenciando 
sua aplicabilidade.
 » Apresentar a tecnologia e os fundamentos necessários para a implantação 
da Governança de TI através da metodologia do COBIT 5.
10
11
UNIDADE IGOVERNANÇA DE TI
CAPÍTULO 1
Introdução à governança de TI
As organizações variam significativamente entre si em função da sua natureza, tipo 
de clientes, tecnologias aplicadas, capacidade técnica, estruturas organizacionais, 
modelos de gestão e forma de relacionamento com terceiros e fornecedores. Assim, 
cada organização tem objetivos de negócios e necessidades específicas segundo as suas 
diretrizes estratégicas, de forma que duas organizações não são necessariamente iguais. 
Com o avanço e uso intensivo da Tecnologia da Informação (TI), para automatização e 
suporte dos processos organizacionais, a TI passou a desempenhar papel significativo 
em todo o ciclo de vida da informação das empresas para a realização de negócios e 
tomada de decisão.
Mas, o que é TI e como ela é aplicada nos negócios?
Na visão de Henderson e Venkatraman (1993), a TI corresponde a um sistema que 
abrange concepções técnicas e de gerenciamento de capital humano. Reis (2007) vai 
mais além e descreve a TI como um conjunto de processos que depende da interação 
entre elementos de natureza humana, organizacional e tecnológica, compreendendo, 
portanto, o triângulo pessoas, processo e tecnologias, conforme mostrado na figura 1. 
Figura 1. Triângulo de Pessoas, Processos e Tecnologia.
Fonte: Reis (2015).
12
UNIDADE I │ GOVERNANÇA DE TI
Com base nesses conceitos, a gestão da TI aplicada aos negócios é uma atividade que 
representa um fator crítico de sucesso para a geração de valor e de benefícios para as 
organizações, pois abrange aspectos complexos de natureza técnica e humana e que 
precisam interagir para obter sinergia entre as áreas de negócio e de TI das organizações.
Esse cenário mostra que as organizações devem manter estruturas organizacionais e 
pessoas capacitadas para liderar e governar esse ambiente de negócio complexo, de 
forma adequada às suas necessidades. Isso leva ao conceito de Governança de TI.
Os fatores motivacionais da Governança de TI 
Você sabe o que é governança?
Figura 2. O que é Governança?
Fonte: Charge criada pelo(a) autor(a).
Governança é o conjunto de responsabilidades e práticas exercidas pela diretoria 
e pela gerência executiva de uma empresa com o objetivo de prover uma direção 
estratégica a ela, assegurando que seus objetivos sejam alcançados e seus riscos 
gerenciados apropriadamente, verificando que seus recursos sejam usados de 
forma responsável, com ética e com transparência (SANTOS; BARUQUE, 2010).
Com base no conceito acima refletido, o processo de Governança nas empresas visa 
responder a quatro questões básicas (SANTOS; BARUQUE, 2010):
1. Se a empresa está fazendo as coisas certas. 
2. Se a empresa está atuando de forma correta. 
13
GOVERNANÇA DE TI│ UNIDADE I
3. Se o uso de recursos é eficaz e eficiente. 
4. Se os objetivos estabelecidos estão sendo alcançados.
Nesse sentido, existem três áreas de conhecimento que podem contribuir diretamente 
para uma boa Governança, conforme mostrado na figura 3. Cada uma dessas áreas tem 
um objetivo definido dentro da Governança.
Figura 3. Pilares para uma boa Governança.
 
Governança 
Gestão Auditoria Tecnologia da Informação 
Estabelece um sistema 
de controle gerencial 
bem como um 
ambiente que promova 
o alcance dos objetivos 
do negócio 
Avalia de forma 
independente a 
adequação e a eficácia 
dos controles 
estabelecidos pela 
gerência/diretoria 
Apoia e capacita a 
execução dos 
controles do nível 
estratégico ao 
operacional 
Fonte: Adaptado de Santos e Baruque (2010).
Um dos principais motivadores para a Governança nas empresas é a forte dependência 
no negócio com relação à TI. Essa dependência tem se tornado cada vez mais crítica 
e faz com que os problemas referentes à Governança não possam ser resolvidos sem 
considerar a TI. Portanto, a Governança deve dirigir e contribuir para o estabelecimento 
da Governança de TI. 
Diante desse contexto, a Governança de TI é motivada por diversos fatores, conforme 
apresentado na figura 4, em várias perspectivas, como: ambiente de negócios, integração 
tecnológica, segurança da informação, dependência do negócio em relação à TI, marcos 
de regulação e a TI como prestadora de serviços (FERNANDES; ABREU, 2014). A 
seguir, são descritos esses fatores.
14
UNIDADE I │ GOVERNANÇA DE TI
Figura 4. Fatores motivadores da Governança de TI.
Fonte: Adaptado de Fernandes e Abreu (2014).
Ambiente de negócios 
O ambiente de negócios se caracteriza pela intensa competição, o que origina a 
necessidade de inovação constante e a busca diária pela eficiência operacional em 
detrimento da eficácia estratégica. A concorrência agora é global e de baixo custo, o 
poder dos fornecedores é alto e os clientes estão mais conscientes e exigentes. Além 
disso, os produtos e serviços possuem ciclo de vida cada vez mais curto. Tudo isso 
aumenta muito os riscos que podem afetar qualquer negócio.
Integração tecnológica
As integrações tecnológicas de processos nas empresas através da TI (aplicações e 
infraestrutura computacional e de comunicação de dados), como por exemplo, a 
integração entre a gestão da empresa e seu chão de fábrica através de aplicações de 
Enterprise Resource Planning (ERP) faz com que o risco que a TI representa para a 
continuidade do negócio seja altamente visível. 
15
GOVERNANÇA DE TI│ UNIDADE I
Segurança da informação
Fraudes em sistemas de TI têm o potencial de gerar prejuízos cada vez mais altos para as 
empresas. A frequente necessidade de acesso a recursos computacionais compartilhados 
e a explosão da utilização de mídias sociais gera novas possibilidades de comunicação 
entre as empresas, clientes, parceiros e colaboradores, exigindo maior flexibilidade e, 
ao mesmo tempo, controles mais efetivos em suas políticas de segurança para evitar 
esses tipos de fraudes. 
Dependência do negócio em relação à TI
Quanto mais as operações diárias e as estratégias corporativas chaves dependem da 
TI, maior é o papel estratégico da TI para a empresa. Por exemplo, se uma empresa 
está pensando em investir na proteção de seus ativos contra ataques pela Internet, 
quanto ela deve investir? A resposta depende do que ela quer proteger. Esse item deixa 
claro que a importância da TI para a empresa precisa ser determinada, a fim de que 
todo investimento feito em TI possua uma razão diretamente extraída do seu plano 
estratégico.
Marcos de regulação
Toda empresa está sujeita a algum grau de controle porparte do Estado ou por parte 
de entidades privadas. Assim, dependendo da área, a empresa precisa atender a uma 
série de questões regulatórias (marcos de regulação, ou conformidade) e a TI precisa 
acompanhar a empresa fornecendo os meios para o atendimento desses requisitos 
legais. 
Por exemplo, o Sarbanes-Oxley Act (SARBANES; OXLEY, 2002) determina que os 
relatórios financeiros e controles associados tenham fidedignidade. Isso significa que, 
para a área de TI, os aplicativos transacionais da empresa devem: ter disponibilidade 
para acesso e emissão de relatórios de resultados financeiros e contábeis; armazenar 
dados e informações de forma adequada e com segurança; permitir auditoria e 
verificação de processos; e ter seus riscos (assim como os pertinentes à infraestrutura) 
conhecidos e gerenciados.
A TI como prestadora de serviços
Atualmente, as empresas estão buscando conceitos de centro de serviços compartilhados, 
cujo objetivo é centralizar determinadas operações de TI (e também algumas áreas 
de negócio) de forma a ganhar escala e prover serviços de TI para várias unidades 
16
UNIDADE I │ GOVERNANÇA DE TI
ou divisões da mesma empresa ou empresas do mesmo grupo. Assim, para que esses 
centros funcionem de forma adequada, são necessários processos de TI eficazes e 
eficientes, justificando a implantação de um programa de Governança de TI.
Segundo Fernandes e Abreu (2014), os motivadores do Sarbanes-OxleyAct 
(SARBANES; OXLEY, 2002), como é conhecido no mundo dos negócios, foram 
escândalos financeiros acontecidos em companhias abertas nos Estados Unidos 
como a Enron e outras, que minaram a confiança dos investidores no mercado de 
capital americano (em especial dos que investiam nas ações dessas companhias 
nas bolsas de valores). O objetivo principal dessa lei é proteger os investidores 
do mercado de capitais americano de fraudes contábeis e financeiras de 
companhias abertas, assim como instituir uma série de penalidades contra crimes 
relacionados. Seu foco é sobre controles internos e sobre relatórios financeiros. 
O nome dessa lei, patrocinada pelos congressistas norte-americanos Sarbanes 
e Oxley, e publicada em agosto de 2002, para regular as responsabilidades e 
práticas de auditoria é “Public Account Reformand Investor Protection Act”.
O que é Governança de TI?
De acordo com o IT Governance Institute:
A governança de TI é de responsabilidade da alta administração 
(incluindo diretores e executivos), na liderança, nas estruturas 
organizacionais e nos processos que garantem que a TI da empresa 
sustente e estenda as estratégias e objetivos da organização.
(ITGI, 2007b)
Outra definição é que a Governança de TI:
Consiste em um ferramental para a especialização dos direitos de decisão 
e responsabilidade, visando encorajar comportamentos desejáveis no 
uso da TI.
(WEILL; ROSS, 2004)
Para a ISO/IEC 38500 (ABNT, 2009), a Governança de TI “é o sistema pelo qual o uso 
atual e futuro da TI são dirigidos e controlados. Significa avaliar e direcionar o uso da 
TI para dar suporte à organização e monitorar seu uso para realizar planos. Inclui a 
estratégia e as políticas de uso da TI dentro da organização”.
17
GOVERNANÇA DE TI│ UNIDADE I
Com base nessas definições, a Governança de TI, como disciplina, busca o direcionamento 
da TI para atender ao negócio e o monitoramento para verificar a conformidade com 
o direcionamento tomado pela administração da organização. Em suma, o principal 
objetivo da Governança de TI é alinhar a TI aos requisitos do negócio, tendo como base 
a continuidade dos negócios, o atendimento às estratégias de negócio e o atendimento 
a regulamentações internas e externas (FERNANDES; ABREU, 2014).
Dentro dessa ótica, Fernandes e Abreu (2014) representam a visão de Governança de 
TI pelo chamado Ciclo da Governança de TI, o qual é composto por quatro grandes 
etapas: 
1. alinhamento estratégico e compliance; 
2. decisão;
3. estrutura e processos; e 
4. gestão do valor e do desempenho.
A figura 5, a seguir, apresenta este ciclo.
Figura 5. O Ciclo da Governança de TI.
 
O Ciclo da Governança de TI 
 
Alinhamento 
Estratégico e 
Compliance 
Decisão, 
Compromisso, 
Priorização e 
Alocação de 
Recursos 
Estrutura, 
Processos, 
Operações e 
Gestão 
Gestão do 
Valor e do 
Desempenho 
Fonte: Fernandes e Abreu (2014).
O Alinhamento Estratégico e Compliance refere-se ao planejamento estratégico 
da TI, que leva em consideração as estratégias da empresa para seus produtos e 
segmentos de atuação, assim como os requisitos de compliance (ou conformidade) 
externos, tais como o Sarbanes-OxleyAct e Acordo da Basileia.
Segundo Fernandes e Abreu (2014), o Acordo de Basileia (BIS, 2011) trata-se de 
um acordo internacional assinado por representantes de vários bancos centrais 
de vários países do mundo na cidade de Basileia, na Suíça, que estipula requisitos 
18
UNIDADE I │ GOVERNANÇA DE TI
de capital mínimo para instituições financeiras, em função dos seus riscos de 
crédito e operacionais. O acordo possui três pilares: o primeiro pilar estabelece 
regras e procedimentos para o cálculo dos requisitos de capital, tendo em vista 
os riscos de crédito e operacionais; o segundo pilar estabelece regras para que 
os Bancos Centrais de cada país executem auditorias nas instituições financeiras; 
e o terceiro pilar estabelece regras para a comunicação para o mercado, dos 
requisitos mínimos de capital, face aos riscos e aos métodos e resultados de 
avaliações de riscos, conforme estabelecido pelo primeiro pilar.
No que tange o risco operacional, o impacto do Acordo de Basileia abrange 
praticamente todo o espectro de processos de TI e respectivas áreas 
organizacionais. Do ponto de vista do risco de crédito, o impacto recai sobre: 
capacidade de armazenamento de dados em face da granularidade de 
informações requeridas de cada cliente; integridade das informações acerca das 
transações do banco; segurança dessas informações etc. (FERNANDES; ABREU, 
2014).
A etapa de Decisão, Compromisso, Priorização e Alocação de Recursos 
refere-se às responsabilidades pelas decisões relativas à TI, em termos de: Arquitetura 
de TI, serviços de infraestrutura, investimentos, necessidades de aplicação, segurança 
da informação, capacidade de atendimento, competências, objetivos de desempenho e 
níveis de serviço, assim como a definição dos mecanismos de decisão, ou seja, em que 
fóruns da empresa são tomadas essas decisões. Essa etapa também trata da obtenção do 
envolvimento dos tomadores de decisão chaves da organização, assim como da definição 
de prioridades de projetos e serviços e da alocação efetiva de recursos financeiros no 
contexto de um portfólio de TI.
A etapa de Estrutura, Processos, Operação e Gestão refere-se à estrutura 
organizacional e funcional de TI, aos processos de gestão e operação dos produtos e 
serviços de TI, alinhados com as necessidades estratégicas e operacionais da empresa. 
Nesta fase, são definidas (ou redefinidas) as operações de sistemas e processos e 
infraestrutura, suporte técnico, segurança da informação e planejamento e gestão.
A etapa de Medição do Desempenho refere-se à determinação, coleta e geração de 
indicadores de resultados dos processos, produtos e serviços de TI e à sua contribuição 
para as estratégias e objetivos do negócio.
19
GOVERNANÇA DE TI│ UNIDADE I
Os objetivos da Governança de TI
Conforme dito anteriormente, o principal objetivo da Governança de TI é alinhar a TI 
aos requisitos do negócio, considerando soluções de apoio ao negócio, assim como a 
garantia da continuidade dos serviços e a minimização da exposição do negócio aos 
riscos de TI. Dentro desse objetivo principal, podem-se identificar outros objetivos daGovernança de TI (FERNANDES; ABREU, 2014):
1. Promover o posicionamento mais claro e consistente da TI 
em relação às demais áreas de negócio da empresa: a TI deve 
entender as estratégias do negócio e traduzi-las em planos para sistemas, 
aplicações, soluções, estrutura organizacional, processos e infraestrutura, 
estratégias de segurança da informação etc.
2. Promover o alinhamento e a priorização das iniciativas de TI 
com a estratégia do negócio: a TI deve priorizar o que foi planejado 
tendo em vista as prioridades do negócio e as restrições de capital de 
investimento. 
3. Promover o alinhamento da arquitetura de TI, sua 
infraestrutura e aplicações às necessidades do negócio, 
em termos de presente e futuro: a TI deve planejar e priorizar 
a implantação de projetos e serviços de acordo com as necessidades 
do negócio. 
4. Promover a implantação e melhoria dos processos operacionais 
e de gestão necessários para atender aos serviços de TI, 
conforme padrões que atendam às necessidades do negócio: a 
TI deve executar projetos e serviços de acordo com processos operacionais 
e de gestão previamente definidos e com os recursos apropriados. 
5. Prover a TI da estrutura de processos que possibilite a gestão 
de seu risco e compliance para a continuidade operacional 
da empresa: a TI deve manter processos para o gerenciamento da 
segurança da informação, mitigação de risco e continuidade operacional 
de negócios. 
6. Promover o emprego de regras claras para as responsabilidades 
sobre decisões e ações relativas à TI no âmbito da empresa: 
a TI deve identificar as responsabilidades sobre a tomada de decisões e 
necessidades de investimento em recursos de TI para os negócios.
20
UNIDADE I │ GOVERNANÇA DE TI
Os componentes da Governança de TI
A Governança de TI compreende vários mecanismos e componentes que, logicamente 
integrados, permitem o desdobramento da estratégia de TI até a operação dos produtos 
e serviços correlatos. A figura 6 mostra os componentes da Governança de TI dentro de 
cada etapa do Ciclo da Governança de TI (FERNANDES; ABREU, 2014).
Figura 6. Domínios e componentes da Governança de TI.
 
 
ALINHAMENTO 
ESTRATÉGICO E 
COMPLIANCE 
• Alinhamento 
Estratégico 
• Princípios de TI 
• Gestão da 
Demanda 
• Necessidades de 
Aplicações 
• Arquitetura de TI 
• Infraestrutura de 
TI 
• Objetivos de 
Desempenho 
• Capacidade 
• Sourcing 
• Segurança da 
Informação 
• Competências 
• Processos e 
Organização 
• Plano de TI 
 
DECISÃO, 
COMPROMISSO, 
PRIORIZAÇÃO E 
ALOCAÇÃO DE 
RECURSOS 
• Mecanismos de 
Decisão 
• Critérios de 
Priorização 
• Portfólio de TI 
ESTRUTURA, 
PROCESSOS, 
OPERAÇÕES E 
GESTÃO 
• Projetos 
• Serviços 
• Inovações 
• Relacionamento 
com Usuários 
• Relacionamento 
com 
Fornecedores 
 
GESTÃO DO VALOR 
E DO DESEMPENHO 
• Gestão do Valor 
da TI 
• Gestão do 
Desempenho da 
TI 
Fonte: Adaptado de Fernandes e Abreu (2014).
A seguir, são apresentados os principais componentes e mecanismos aplicados à TI 
para que as empresas possam promover a Governança de TI de forma eficiente e eficaz 
de acordo com as etapas apresentadas na figura 6, segundo Fernandes e Abreu (2014).
Os componentes da etapa de Alinhamento 
Estratégico e Compliance
O processo de Alinhamento Estratégico procura determinar qual deve ser o 
alinhamento da TI em termos da arquitetura, infraestrutura, aplicações, processos 
e organização com as necessidades presentes e futuras do negócio. Esse processo é 
executado no contexto do Plano de TI.
Princípios de TI são regras que todos devem seguir, no âmbito da empresa, e que 
subsidiam tomadas de decisão acerca da arquitetura de TI, infraestrutura de TI, 
aquisição e desenvolvimento de aplicações, uso de padrões, gestão de ativos de TI etc.
21
GOVERNANÇA DE TI│ UNIDADE I
A Gestão da Demanda diz respeito à análise da dinâmica do negócio, em termos de 
padrões de atividades do negócio que indicam necessidades de novos serviços, melhoria 
dos serviços existentes, e assim por diante.
As Necessidades de Aplicações dizem respeito às aplicações de TI que são necessárias 
para atender à continuidade e às estratégias do negócio. Determinam também como 
quais aplicações deverão ser mantidas, melhoradas, substituídas e implantadas. 
A Arquitetura de TI é a organização lógica dos dados, aplicações e infraestrutura, 
e foca na padronização de processos dados e tecnologia de aplicações e é derivada de 
princípios de TI. 
A Infraestrutura de TI liga a empresa a seus parceiros e fornecedores, assim como 
a infraestruturas externas, tais como bancos, redes privadas e Internet, e define os 
serviços de TI requeridos pelo negócio e como esses estarão dispostos na organização e 
os recursos computacionais requeridos para apoiar o negócio.
Os Objetivos de Desempenho direcionam a administração da TI para atender a 
metas de desempenho compatíveis com os objetivos traçados para a prestação dos 
serviços.
A Capacidade (de Atendimento da TI) define a quantidade de recursos humanos 
necessários para atender à demanda por sistemas e serviços, assim como a quantidade 
de recursos computacionais necessários, indicando se a infraestrutura atual tem ou não 
condições de atendê-la.
A Estratégia Sourcing de serviços deve decidir sobre o que passar para o sourcing, 
como fazer o sourcing, como escolher a melhor alternativa de parceria, como gerenciar 
os serviços de sourcing etc.
A Política de Segurança da Informação consiste na determinação de diretrizes 
e ações referentes à segurança dos aplicativos, da infraestrutura, dos dados, pessoas e 
organizações (fornecedores e parceiros).
Competências são as habilidades e os conhecimentos necessários para o 
desenvolvimento e a implantação das iniciativas de TI que estão presentes na estrutura 
organizacional e nos processos de serviços de TI.
Processos e Organização apresentam a forma como os serviços e produtos da TI 
serão desenvolvidos, gerenciados e entregues aos usuários e clientes e como a TI deve 
se organizar em termos funcionais.
22
UNIDADE I │ GOVERNANÇA DE TI
O Plano de TI consiste no principal produto do processo de alinhamento estratégico 
e deve contemplar informações sobre todos os outros componentes. Ele incorpora 
elementos que, uma vez documentados, permitem a comunicação clara dos objetivos, 
produtos e serviços de TI para todos na organização, conforme mostrado na figura 7.
Figura 7. Componentes do Plano de TI.
Fonte: Fernandes e Abreu (2014).
Os componentes da etapa de Decisão, 
Compromisso, Priorização e Alocação de Recursos
Os Mecanismos de Decisão definem quem decide o quê em relação à TI dentro da 
organização em termos dos componentes anteriormente descritos.
Os Critérios de Decisão são fundamentais para a priorização de investimentos e 
devem ser eminentemente institucionais, de forma que a Alta Administração possa 
decidir onde colocar o dinheiro, muito provavelmente alinhado aos objetivos e metas 
do negócio.
O Portfólio de TI é uma metodologia para a priorização dos investimentos de TI com 
base no retorno de projetos e ativos para a organização e no seu alinhamento com os 
objetivos estratégicos do negócio. Além disso, o portfólio de projetos torna claras as 
regras de priorização de projetos e ativos e faz com que a Administração saiba onde 
deve investir.
23
GOVERNANÇA DE TI│ UNIDADE I
Os componentes da etapa de Estrutura, Processos, 
Operação e Gestão
Os Projetos alocados (nos quais a TI não é o gestor) ou sob responsabilidade de TI 
são planejados, executados, gerenciados e implantados. São projetos de implantação 
de sistemas integrados de gestão, desenvolvimento e manutenção de sistemas, 
infraestrutura, arquitetura, segurança da informação, implantação de processos de TI 
etc.
Os Serviçossão operações onde acontece o atendimento da TI no fornecimento de 
serviços aos usuários, gestores e, possivelmente, clientes da organização, fornecedores, 
parceiros etc.
Nesta etapa, um conjunto de atividades operacionais e gerenciais é regido por processos 
de TI, oriundos de melhores práticas, inserido em funções organizacionais no contexto 
de uma divisão de trabalho. As principais operações de serviços de TI são: operações 
de sistemas; operações de suporte técnico; operações de infraestrutura; operações de 
segurança da informação; operações de Governança de TI; entre outras.
A implantação de Inovações ocorre tanto no nível dos processos de negócio (nova 
forma de executar um processo de negócio de forma mais diferenciada ou com menor 
custo, comparativamente à concorrência, agregando mais valor na percepção do cliente) 
como na tecnologia aplicada aos serviços como, por exemplo, inovações em detecção de 
intrusão na rede e inovações aplicadas na automação de processos de negócio, como o 
reconhecimento biométrico.
O Relacionamento com Usuários trata da interação dos usuários internos ou 
externos com a área de TI, abrangendo processos que devem definir: como o cliente 
solicita o serviço; quem pode solicitar o serviço; como os serviços são avaliados; quais 
os canais de comunicação; como as responsabilidades são atribuídas em projetos, entre 
os usuários e a TI; etc.
O Relacionamento com Fornecedores, analogamente ao modelo de relacionamento 
com o cliente, trata dos seguintes aspectos da operação de TI: como as solicitações são 
encaminhadas para os fornecedores; como o fornecedor responde à solicitação; como 
a qualidade dos serviços é avaliada e melhorada; como o desempenho do fornecedor é 
controlado etc.
24
UNIDADE I │ GOVERNANÇA DE TI
Os componentes da etapa de Gestão do Valor e 
do Desempenho da TI
A Gestão do Valor da TI refere-se às atividades conduzidas para que a TI demonstre 
o seu valor para o negócio em termos de custos relativos, transformação do negócio e 
apoio à estratégia do negócio e as medições decorrentes.
A Gestão do Desempenho da TI refere-se ao monitoramento dos objetivos de 
desempenho das operações de serviços em termos de desenvolvimento de aplicações, 
suporte a serviços, entrega de serviços, segurança da informação e o seu monitoramento, 
assim como dos acordos de níveis de serviço, acordos de níveis operacionais e níveis de 
serviços dos contratos de apoio.
Papéis da Governança de TI nas organizações
Umas das grandes questões que se coloca sobre a Governança de TI é quanto ao seu 
papel na organização de TI e fora dela (ou seja, “quem faz o quê”). A falta de papéis 
e responsabilidades bem definidas é um grande obstáculo para a implantação da 
Governança de TI.
Em determinadas organizações, algumas funções da Governança de TI estão integradas 
à Governança Corporativa, como, por exemplo, gestão de riscos, controles internos, 
segurança da informação, priorização de investimentos, orçamento de investimentos, 
e geralmente são executadas por outras áreas da organização. A definição de 
responsabilidades depende da característica do modelo de Governança de TI desenhado 
para a organização.
A definição de responsabilidades depende da característica do modelo de Governança de 
TI desenhado para a organização. O que se tem observado no mercado são as seguintes 
abordagens (FERNANDES; ABREU, 2014):
 » Criação de uma área ou departamento específico para lidar com a 
Governança de TI, com a função de dar visibilidade ao CIO acerca da 
aderência das demais áreas de TI às estratégias de TI, regras, políticas e 
práticas de gestão e operação de serviços.
 » Criação de uma área ou departamento de Governança de TI com 
responsabilidade de dirigir a implantação das políticas, regras e práticas 
de gestão e operação de serviços.
 » Alguns profissionais, em geral ligados diretamente ao CIO, são designados 
para implantar a Governança de TI, mas não há uma área específica para 
25
GOVERNANÇA DE TI│ UNIDADE I
esta finalidade. Geralmente, o foco recai sobre a implantação de boas 
práticas de gestão e operação de serviços de TI.
 » A implantação de Governança de TI é um programa para o qual é designado 
um gerente do programa vinculado ao CIO. Por meio dele, a organização 
gerencia a implantação das melhores práticas pelas demais áreas de TI. 
O programa pode ser encerrado quando os objetivos de maturidade dos 
processos são alcançados.
 » Não há uma organização, mas somente projetos evolutivos, onde 
geralmente o líder da mudança é o CIO, que utiliza com frequência 
consultorias externas para a implantação das melhores práticas.
Não há uma melhor abordagem para a definição de responsabilidades da 
Governança de TI, mas sim a mais adequada para cada organização em um 
determinado momento de sua história. Em grandes organizações, por exemplo, 
dificilmente encontra-se uma Governança de TI com poderes para intervir nas 
áreas de TI. Geralmente, nesses casos, é recomendável que a área de Governança 
de TI faça um trabalho de indução e promoção, dando a visibilidade para o CIO 
intervir e cobrar. Em organizações de porte médio e pequeno, provavelmente o 
modelo mais adequado seja uma área de Governança de TI com mais poderes, 
que dirija, de fato, a implantação das melhores práticas, que gerencie o risco de 
TI e demonstre o valor da TI para o negócio.
É importante lembrar, porém, que a Governança de TI é de responsabilidade de 
todos, pois quem implanta e mantém as boas práticas e a estratégia de TI são, de 
fato, as demais áreas de TI.
Atualmente, argumenta-se que o valor da TI das organizações deriva diretamente 
da eficiência do sistema de governança de TI. O que você acha?
26
CAPÍTULO 2
O modelo de governança de TI
Visão geral do modelo de governança de TI
Fernandes e Abreu (2014) sugerem um modelo genérico de Governança de TI que se 
baseia em um fluxo de mão-dupla, o qual segue o Ciclo da Governança de TI. Segundo 
eles, um ponto importante da ideia de apresentar um modelo genérico de Governança 
de TI é que ele pode ser adaptado para qualquer tipo de organização, sendo que seus 
componentes podem ser encarados como peças de um “lego”, que vão sendo construídas 
e implantadas de acordo com as prioridades, necessidades e disponibilidades da 
organização.
A visão geral deste modelo é apresentada na figura 8. Este modelo apresenta funções 
típicas de Governança de TI e um fluxo, que segue desde o alinhamento até a comunicação 
do resultado da TI. Os componentes típicos da Governança de TI são (FERNANDES; 
ABREU, 2014):
» Riscos e compliance: consiste na definição da tolerância de riscos da 
organização e na avaliação conjunta dos riscos com o negócio, assim como na 
garantia de que a TI está aderente com requisitos de compliance externos e 
internos (através dos controles internos aplicáveis). 
» Avaliação independente: consiste na promoção de avaliações (auditorias) 
independentes para verificar a conformidade da TI com requisitos de compliance 
externos e com os controles internos aos quais está submetida. 
» Gestão da mudança organizacional: consiste no processo de avaliar 
a prontidão para a mudança das áreas de TI, em função da implantação de 
inovações em processos de gestão e operacional, do planejamento da mudança, 
do estabelecimento de mecanismos de recompensas para a mudança e do 
gerenciamento da implantação da mudança. 
» Alinhamento estratégico: consiste na interação entre a TI e a Alta 
Administração no sentido de estabelecer os mecanismos de direitos decisórios, 
assim como a obtenção dos direcionadores estratégicos e objetivos de negócio 
que irão afetar a TI, bem como a sua contribuição para a operação e objetivos do 
negócio. 
27
GOVERNANÇA DE TI│ UNIDADE I
» Entrega de valor: consiste no gerenciamento dosprogramas e projetos, na 
avaliação do valor entregue e no gerenciamento disciplinado do portfólio de TI. 
» Gestão do desempenho: consiste na definição de indicadores, mecanismos 
de coleta e análise de indicadores de resultado (metas) e de desempenho da TI. 
» Comunicação: consiste na comunicação do valor entregue pela TI ao negócio 
e em relação ao seu desempenho no atendimento dos níveis de serviços e das 
metas estabelecidas pelo planejamento estratégico. 
» Gerenciamento de recursos: consiste na supervisão do investimento, do uso 
e da alocação dos recursos de TI por meio de avaliações periódicas das iniciativas 
e operações de TI, visando assegurar a existência de recursos suficientes e o 
alinhamento com objetivos estratégicos e necessidades de negócios atuais e 
futuras.
Figura 8. Modelo de Governança de TI.
Fonte: Fernandes e Abreu (2014).
Os componentes de gestão e os componentes operacionais desse modelo são 
(FERNANDES; ABREU, 2014):
 » Estratégia do negócio: consiste nos direcionamentos estratégicos do 
negócio, objetivos, planos funcionais de outras áreas da organização, 
28
UNIDADE I │ GOVERNANÇA DE TI
mapa estratégico da organização, além do plano estratégico de médio e 
longo prazo, que devem ser considerados por TI para o desenvolvimento 
de sua estratégia de serviços. 
 » Estratégia de TI: consiste na elaboração do plano de TI, que pode ter 
uma visão externa, para os projetos, serviços e inovações para o negócio 
e uma visão interna, composta dos projetos e inovações que a TI deve 
implantar para poder atender aos seus clientes e usuários na organização. 
 » Plano de TI – negócios: consiste em projetos, serviços e inovações da 
TI para o negócio, como implantação de novas aplicações, manutenções 
de aplicações, implantação de sistemas integrados de gestão, de serviços 
de TI e de projetos de infraestrutura para apoiar os processos de negócio 
da organização. 
 » Plano de TI – internos: consiste em projetos e inovações que a TI 
tem que implantar para atender ao Plano de TI – negócios, tais como 
a implantação de processos operacionais e gerenciais, desenvolvimento 
de recursos humanos, capacitação de pessoal, estratégia de sourcing, 
segurança da informação, arquitetura da informação, arquitetura 
tecnológica, organização, estabelecimento de objetivos de desempenho 
etc. 
 » Mecanismos de decisão: consiste no estabelecimento e no apoio 
a comitês requeridos para tomada de decisões sobre a TI (que são 
os mecanismos de direitos decisórios), os critérios de priorização e a 
priorização dos investimentos em TI, visando estabelecer o portfólio de 
TI. 
 » Portfólio de TI (orçamento e investimentos): consiste no 
estabelecimento do Portfólio de TI aprovado a partir da priorização e nos 
mecanismos de seu gerenciamento.
 » Clientes/usuários: consiste nos processos de relacionamento da TI 
com os seus clientes e usuários. 
 » Operações de serviços: consiste no gerenciamento e na execução dos 
projetos, serviços e inovações de TI para o negócio e para a própria TI. 
 » Fornecedores: consiste no gerenciamento de contratos e serviços 
fornecidos por terceiros. 
29
GOVERNANÇA DE TI│ UNIDADE I
» Resultados da TI: consiste nos indicadores de desempenho e de resultados da 
TI em função da execução de projetos, serviços e inovações. 
» Resultados para o negócio: consiste nos resultados da TI para o negócio, em 
termos de apoio ao aumento da rentabilidade, à redução de custo, ao lançamento 
de novos produtos, ao aumento de participação no mercado, à expansão física do 
negócio etc. 
» Comunicação e reporte de resultados: consiste na comunicação às partes 
interessadas (geralmente os executivos de negócio e alta administração) sobre 
o desempenho da TI, no atendimento aos níveis de serviços acordados e aos 
objetivos do negócio.
A estruturação de funções e responsabilidades sobre a Governança de TI na organização 
é o ponto inicial de partida. A forma como vai ser realizada depende de organização 
para organização. Geralmente é estabelecida uma área ou grupo de pessoas com a 
responsabilidade pela implantação da Governança de TI. A seguir, segue uma breve 
descrição do modelo segundo Fernandes e Abreu (2014).
O alinhamento estratégico é o ponto de partida para a área de TI criar valor para o 
negócio e garantir a aderência a requisitos de compliance. O primeiro evento de 
alinhamento é o chamado “alinhamento estático”, pois deriva de algum momento em 
que a empresa planeja o seu futuro. A partir dos objetivos e das estratégias do negócio 
(de curto, médio e longo prazo), derivam-se iniciativas estratégicas de TI, que são 
transformadas em projetos e serviços e, possivelmente, o Plano de TI. Os princípios 
de TI, se já existirem, podem orientar as escolhas estratégicas contidas no Plano de 
Tecnologia da Informação. Caso não existam, defini-los será certamente outra tarefa 
do alinhamento.
A partir do alinhamento estratégico (estático neste momento), o passo seguinte é 
definir as prioridades de TI (sejam elas soluções estratégicas, projetos de aplicativos 
ou soluções, projetos de manutenção de ativos ou projetos de processo, organização e 
serviços), gerando um portfólio de TI. A definição sobre o que manter e sobre em que 
investir vai depender dos mecanismos de decisão corporativos criados para tal, como, 
por exemplo, um Comitê de Projetos com a participação dos usuários e executivos.
O portfólio vai orientar as ações do dia a dia e ser alimentado por elas. Este instrumento 
vai unir as estratégias de curto, médio e longo prazo à rotina diária das operações de 
serviços de TI. Pode haver mudanças no negócio? Com certeza, sim. Portanto, mudanças 
no negócio que acarretem mudanças em demandas para a TI devem recompor o 
portfólio e, por conseguinte, o Plano de TI. É o chamado “alinhamento dinâmico” da TI. 
30
UNIDADE I │ GOVERNANÇA DE TI
O portfólio de TI deve direcionar o relacionamento com os clientes (internos e externos), 
assim como com os fornecedores e parceiros de TI. Teoricamente, não deveria ser 
permitido o atendimento de demandas que não estejam enquadradas no portfólio. 
Mudanças deveriam ser negociadas e, se forem importantes e requeridas pelo negócio, 
deveriam ser entendidas como mudanças ou refinamentos nos objetivos e estratégias 
do negócio. O relacionamento com os clientes e o relacionamento com os fornecedores 
são subconjuntos do portfólio que guiam o dia a dia das operações de serviços de TI.
As operações de serviços de TI proporcionam os serviços requeridos pelos clientes 
internos (dentro da organização, a própria área de TI) e externos à organização (clientes 
propriamente ditos e, às vezes, os fornecedores). Este aspecto pode ser entendido como 
a entrega de valor da TI.
Objetivos de desempenho e níveis de serviço podem ser estabelecidos desde o Plano 
de TI e devem ser medidos em intervalos de tempo preestabelecidos. As medições 
são realizadas no nível de cada operação de serviço. A gestão do desempenho de TI 
é derivada dessas medições, as quais podem ser consolidadas mediante tratamento 
específico (fórmulas) para gerar indicadores de desempenho e de resultado que, por sua 
vez, vão mostrar se as decisões estratégicas e táticas tiveram efeito real no desempenho 
esperado para as operações, apontando quais ações são necessárias para aumentar o 
desempenho ao longo do tempo.
A comunicação é crítica para todo o processo, pois é o meio pelo qual a TI comunica o seu 
desempenho de forma transparente para o negócio (executivos e alta administração) e 
através do qual a TI demonstra o seu valor para o negócio. Quanto mais a TI demonstrar 
valor, maiores serão as possibilidades de o negócio investir em mais inovações, projetos 
e serviços de TI e obter os benefícios com o uso da tecnologia da informação.
Por fim, tem-se que garantir que o quefoi implantado seja seguido, controlado, 
monitorado, atendendo aos parâmetros de riscos da TI para o negócio, aos requisitos 
de compliance externos e aos controles internos requeridos para a TI.
O alinhamento estratégico de TI
O papel e o impacto da TI nas organizações atuais têm mudado significativamente nas 
últimas décadas. Em todo um amplo espectro de mercados e países, a TI está deixando 
seu papel tradicional de suporte operacional e evoluindo em direção a um papel 
estratégico com um potencial para não só apoiar estratégias de negócios definidas, mas 
também para modelar novas estratégias.
31
GOVERNANÇA DE TI│ UNIDADE I
Apesar de existir algum consenso do papel da mudança da TI nas organizações, os 
gerentes ainda se deparam com questões básicas como:
 » Quais são as implicações da TI nas operações do negócio? Hoje? No 
futuro?
 » Quais são as perspectivas e alternativas para alavancar as capacidades de 
TI para as operações?
 » O foco da competência da TI está dentro ou fora das operações?
 » Qual o papel do executivo da alta direção para alavancar as capacidades 
de TI?
 » Como a função de TI deve ser organizada, e qual o papel da terceirização 
de TI?
 » Quais são os critérios apropriados para avaliar os benefícios provenientes 
da TI?
Para responder essas questões, os gerentes precisam fazer o processo de “Alinhamento 
Estratégico”, que consiste em transformar a estratégia do negócio em estratégias e 
ações de TI que garantam que os objetivos de negócio sejam apoiados. 
O Alinhamento Estratégico é bidirecional, ou seja, da estratégia do negócio para 
a estratégia de TI e vice-versa, pois a TI pode potencializar estratégias de negócio 
que seriam impossíveis de serem implantadas sem o auxílio da TI.
A figura 9 apresenta o esquema de alinhamento proposto por Henderson e Venkatraman 
(1993), onde a estratégia de TI influencia e é influenciada pela estratégia de negócio e 
interagem de forma bidirecional com a infraestrutura e os processos de TI e com a 
infraestrutura e os processos organizacionais. Este modelo de alinhamento estratégico, 
conforme mostrado na figura, é baseado em duas dimensões: ajuste estratégico e 
integração funcional.
32
UNIDADE I │ GOVERNANÇA DE TI
Figura 9. Modelo de Alinhamento Estratégico.
Fonte: Adaptado de Henderson e Venkatraman (1993).
Segundo Henderson e Venkatraman (1993), o Ajuste Estratégico reconhece a 
necessidade da existência de alguma definição estratégica orientada para os ambientes 
externo e interno. O ambiente externo é a arena na qual a empresa compete e contempla 
decisões como: oferta de mercado-produto; os atributos estratégicos distintivos que 
diferenciam a empresa de seus competidores; o universo das decisões “produzir 
versus comprar”, incluindo alianças e parcerias; entre outras. Por outro lado, o 
ambiente interno aborda definições pertinentes à lógica da estrutura administrativa e a 
racionalidade específica para o desenho e redesenho dos processos de negócio críticos.
No mundo empresarial, a compatibilização (ajuste) entre o posicionamento externo 
e a organização interna é considerada como crítica para maximizar o desempenho 
econômico. Essa lógica é igualmente relevante para o ambiente de TI. Mais 
especificamente, a estratégia de TI deve ser articulada para o ambiente externo, como 
a empresa se posiciona no mercado, e internamente, como a infraestrutura da TI deve 
ser configurada e gerenciada.
Deste modo, conforme pode ser visto na figura 9 e segundo Henderson e Venkatraman 
(1993), esse posicionamento da organização com relação à TI envolve 3 (três) grupos:
33
GOVERNANÇA DE TI│ UNIDADE I
1. Escopo da Tecnologia: especifica tecnologias da informação (redes 
locais e externas, softwares, hardwares etc.) que suportam as atuais 
iniciativas estratégicas ou podem modelar novas iniciativas de estratégias 
de negócio para a empresa. Isto é análogo ao Escopo dos Negócios, que 
trata de opções pertinentes às ofertas de produto no mercado externo. 
2. Competências Sistêmicas: são elementos da estratégia de TI 
(confiabilidade do sistema, níveis de custo/benefício, interconectividade 
etc.) que podem contribuir positivamente para a criação de novas 
estratégias ou melhorar o apoio às estratégias já existentes. Isto é análogo 
às Competências Distintivas, as quais tratam daqueles atributos 
estratégicos (determinação de preço, qualidade, valor adicionado de 
serviço, canais de distribuição privilegiados, etc.) que contribuem para 
uma vantagem distintiva da empresa sobre seus competidores. 
3. Gestão da TI: compreende a seleção e o uso de mecanismos (alianças 
estratégicas, alianças para pesquisa e para o desenvolvimento de novas 
capacidades de TI etc.) para alcançar as competências necessárias. Isto é 
análogo à Gestão dos Negócios, que contempla as definições “produzir 
versus comprar” das estratégias corporativas.
4. De forma similar, o ambiente interno da TI refere-se a pelo menos três 
componentes:
5. Arquitetura da TI: escolhas que definem o portfólio das aplicações, as 
configurações de hardware, software e comunicação, e arquitetura de 
dados que, em conjunto, definem a infraestrutura técnica. Isto é análogo às 
escolhas, no âmbito das estratégias internas, para articular a Estrutura 
Administrativa da empresa, envolvendo papéis, responsabilidades, e 
estruturas de autoridade. 
6. Processos: escolhas que definem os processos básicos de trabalho para 
as operações de infraestrutura de TI, como desenvolvimento de sistemas, 
manutenção, monitoramento e controle de sistemas. Isto é análogo à 
necessidade de desenhar os Processos, no âmbito interno, que suportam 
e modelam as competências da empresa, para executar suas estratégias 
de negócios. 
7. Habilidades: escolhas pertinentes à aquisição, ao treinamento e ao 
desenvolvimento de conhecimento e capacidades individuais necessárias 
para efetivamente gerenciar e operar a infraestrutura de TI na empresa. 
34
UNIDADE I │ GOVERNANÇA DE TI
Isto é análogo às habilidades necessárias no âmbito interno dos negócios 
para executar uma estratégia definida.
A Integração Funcional, por sua vez, considera, especificamente, como as opções 
feitas no âmbito da TI impactam (positiva ou negativamente) as opções definidas no 
ambiente de negócios e vice-versa.
Uma terceira premissa do modelo de alinhamento estratégico (ainda na figura 9) é 
que o gerenciamento efetivo da TI requer um equilíbrio entre as opções feitas através 
dos quatro espaços. Isto pode ser alcançado com as combinações entre qualquer um 
dos dois ambientes (externo ou interno), em uma perspectiva de ajuste das outras 
duas variáveis (negócios e TI). Por outro lado, o modelo exige a identificação de 
relacionamentos multivariáveis, ou mais especificamente, relacionamentos de vários 
ambientes cruzados.
Modelo de melhores práticas e o modelo de 
governança de TI
Nas últimas duas décadas, muitos modelos de melhores práticas da TI vêm sendo 
elaborados. Alguns desses modelos são originais e outros são derivados e/ou evoluídos 
de outros modelos. O quadro 1 apresenta alguns dos principais modelos citados tanto 
no meio acadêmico quanto no profissional relacionados com a Governança de TI. 
Quadro 1. Alguns dos principais modelos de melhores práticas.
Modelo de melhores práticas Escopo do Modelo
COBIT – Control Objectives for Information and 
Related Technology
Modelo abrangente aplicável para a auditoria e o controle de processos de TI, desde o 
planejamento da tecnologia até a monitoração e auditoria de todos os processos.
ITIL – Information Technology Infrastructure 
Library
Serviços de TI, segurança da informação, gerenciamento da infraestrutura, gestão de ativos e 
aplicativos etc.
ISO 31000 Trata dos princípios e guias para o gerenciamento de riscos.
CMMI– Capability Maturity Model Integration Desenvolvimento de produtos e projetos de sistemas e software. 
MPS.br Modelo brasileiro para a melhoria do processo de software.
PMBOK – Project Management Body of 
Knowledge
Base de conhecimento em gestão de projetos.
Seis Sigma Metodologia para melhoria da qualidade de processos.
 
Fonte: Fernandes e Abreu (2014); Mansur (2007).
A figura 10 mostra como esses modelos se posicionam dentro dos domínios e 
componentes da Governança de TI. Conforme pode ser visto na Figura, os modelos 
de melhores práticas auxiliam a implantação da Governança de TI, mas não a solução 
35
GOVERNANÇA DE TI│ UNIDADE I
para tudo. Para usar esses modelos é importante que a organização elabore sua própria 
arquitetura de processos de TI, priorizando o que é importante para a agregação de valor 
para o negócio e balanceando com os riscos de TI. Além disso, a Governança de TI não 
se restringe somente à implantação desses modelos de melhores práticas. Entretanto é 
importante conhecê-los em termos de seus objetivos, estruturas e aplicabilidade.
Entre esses modelos de governança, a ISACA (Information System Control and Audit 
Association) vem conduzindo pesquisas que demonstram o valor do COBIT para as 
organizações. Assim, nos próximos capítulos será apresentado o modelo COBIT em 
mais detalhes.
Figura 10. Os modelos de melhores práticas no contexto da Governança de TI.
 
 
ALINHAMENTO 
ESTRATÉGICO E 
COMPLIANCE 
• Alinhamento 
Estratégico 
• Princípios de TI 
• Gestão da 
Demanda 
• Necessidades de 
Aplicações 
• Arquitetura de TI 
• Infraestrutura de 
TI 
• Objetivos de 
Desempenho 
• Capacidade 
• Sourcing 
• Segurança da 
Informação 
• Competências 
• Processos e 
Organização 
• Plano de TI 
 
DECISÃO, 
COMPROMISSO, 
PRIORIZAÇÃO E 
ALOCAÇÃO DE 
RECURSOS 
• Mecanismos de 
Decisão 
• Critérios de 
Priorização 
• Portfólio de TI 
ESTRUTURA, 
PROCESSOS, 
OPERAÇÕES E 
GESTÃO 
• Projetos 
• Serviços 
• Inovações 
• Relacionamento 
com Usuários 
• Relacionamento 
com 
Fornecedores 
 
GESTÃO DO VALOR 
E DO DESEMPENHO 
• Gestão do Valor 
da TI 
• Gestão do 
Desempenho da 
TI 
COBIT, ITIL, 
ISO, PMBOK, 
CMMI, MPS.br, 
Seis Sigma 
 
COBIT 
 
COBIT, ITIL, 
ISO 
 
COBIT, ITIL, 
Seis Sigma 
Fonte: Adaptado de Henderson e Venkatraman (1993).
36
UNIDADE IIINTRODUÇÃO AO 
MODELO COBIT 5
CAPÍTULO 1
Visão geral do COBIT 5
A TI representa um recurso indispensável aos negócios e um fator diferencial de 
competitividade para as estratégias e objetivos organizacionais. Assim, a governança 
e a gestão eficiente e estratégica dos recursos de TI representam elementos essenciais 
para que as organizações sejam bem-sucedidas nos negócios. Nesse sentido, a adoção 
de uma abordagem onde tanto a gestão quanto a governança da TI trabalham juntos 
visando o alcance dos objetivos estratégicos tem sido cada vez mais valorizada nas 
organizações.
O COBIT endossa essa abordagem, uma vez que, atuando como uma estrutura única 
integrada, pode auxiliar as organizações a atingirem seus objetivos de negócio, mantendo 
a governança e a gestão da TI em um nível adequado às necessidades e estrutura da 
organização.
Histórico e evolução do modelo
O COBIT (Control Objectives for Information and Related Technology) foi criado 
em 1994 pela ISACF (Information Systems AuditandControl Foundation) ligado à 
ISACA (Information System Control and Audit Association), a partir do seu conjunto 
inicial de objetivos de controle e vem evoluindo através da incorporação de padrões 
internacionais técnicos, profissionais, regulatórios e específicos para processos de TI. A 
figura 11 apresenta a evolução desse modelo.
37
INTRODUÇÃO AO MODELO COBIT 5 │ UNIDADE II
Figura 11. A Evolução do modelo COBIT.
Fonte: Adaptado de imagem disponível em: <http://www.pmgacademy.com/pt/products/curso-online-COBIT5-foundation>. 
Acessado em 20 mai 2016.
A segunda edição do COBIT foi publicada em 1998, contendo uma revisão nos objetivos 
de controle de alto nível e detalhados, e mais um conjunto de ferramentas e padrões 
para implementação.
A terceira edição do COBIT foi publicada em 2000 pelo IT Governance Institute (ITGI), 
órgão criado pela ISACA com o objetivo de promover um melhor entendimento e a 
adoção dos princípios de Governança de TI.
O modelo evoluiu novamente em 2005 para a versão 4.0, através de práticas e padrões 
mais maduros e em conformidade com regulamentações, do foco mais acentuado na 
Governança de TI nos níveis mais elevados e da ampliação da sua abrangência para 
um público mais heterogêneo (gestores, técnicos, especialistas e auditores de TI). Em 
2007, houve uma atualização incremental (versão 4.1), cujo foco foi orientado a uma 
maior eficácia dos objetivos de controle e dos processos de verificação e divulgação de 
resultados. 
Por fim, em 2012 foi lançado o COBIT 5, que representou uma transformação estrutural 
do modelo para um framework de negócio completo para governança e gerenciamento 
da TI, integrando o conteúdo existente até o momento de várias outras publicações da 
ISACA inclusive do COBIT 4.1. Entre as principais evoluções que o COBIT 5 trouxe em 
relação à sua versão anterior, podem ser relacionadas (FERNANDES; ABREU, 2014):
38
UNIDADE II │ INTRODUÇÃO AO MODELO COBIT 5
 » COBIT não é mais acrônimo para a expressão Control Objectives for 
Information and Related Technology, mas um nome que representa 
uma forte marca no mercado de boas práticas de TI. 
 » Os “objetivos de controle” da versão 4.1 foram substituídos pelas “práticas-
chave”. 
 » As “práticas de controle” da versão 4.1 agora são conhecidas como 
“atividades”. 
 » Houve uma total reformulação do modelo de processos (que agora são 37 
em vez de 34 da versão 4.1). 
 » A estrutura do COBIT 5 está baseada em cinco princípios de Governança 
de TI, substituindo as cinco áreas-foco de governança da versão 4.1. 
 » O foco do modelo está agora nos chamados “habilitadores” (um deles 
representa os processos de TI).
Objetivos do modelo
De maneira geral, o modelo COBIT tem como objetivo principal o alinhamento entre os 
objetivos do negócio e os objetivos da TI, fazendo com que a TI atenda às necessidades 
de negócio da maneira mais eficiente possível. Dentro desse conceito, o modelo 
(FERNANDES; ABREU, 2014):
 » Ajuda as empresas a atingirem seus objetivos de governança e 
gerenciamento da TI em âmbito corporativo, assim como a otimizarem o 
valor da sua TI, balanceando os riscos versus os benefícios. 
 » Habilita a TI a ser gerenciada e governada de forma holística por toda 
a empresa (incluindo áreas de negócio, áreas funcionais da TI e partes 
interessadas internas e externas). 
 » Pode ser utilizado por empresas de qualquer natureza, mercado ou 
tamanho.
Nessa perspectiva, o COBIT é composto por uma série de práticas de governança, de 
gestão e de atividades, e estabelece diversos mecanismos para que a área de TI seja 
governada e gerida de forma holística para entender o negócio como um todo, não se 
restringindo a questões específicas de TI.
39
INTRODUÇÃO AO MODELO COBIT 5 │ UNIDADE II
Dessa forma, o COBIT contribui para a Governança de TI nos seguintes aspectos:
 » Estabelece a ligação da TI com os requisitos de negócios da organização. 
 » Organiza as atividades de TI dentro de um modelo de processos. 
 » Identifica os principais recursos de TI que suportam os negócios da 
organização. 
 » Define o gerenciamento dos objetivos de controle mais significativos para 
a Governança de TI.
Além disso, o COBIT suporta a governança de TI fornecendo uma estrutura para 
garantir:
 » O alinhamento da TI com os negócios. 
 » Que a TI seja orientada ao negócio e produza benefícios. 
 »Que os recursos de TI sejam utilizados de forma responsável. 
 » O gerenciamento dos riscos de TI.
Nesse sentido, o COBIT é um conjunto de informações usado como modelo de referência 
para Governança de TI. Inclui um sumário executivo, um framework, controle de 
objetivos, mapas de auditoria, ferramentas para implementação e um guia com técnicas 
de gerenciamento. Além disso, o COBIT está orientado a processos e negócios, com 
base em controles e medidas de desempenho dos processos de TI.
Fatores motivacionais para a publicação do 
COBIT 5
De acordo com a ISACA (2007), o desenvolvimento do COBIT 5 foi motivado por 
diversos fatores. Os principais fatores são apresentados a seguir.
Envolvimento das partes interessadas com a TI
O envolvimento das partes interessadas tem como objetivo determinar o que elas 
esperam da TI para atingir os níveis otimizados de benefícios, riscos e custos aceitáveis. 
As partes interessadas devem identificar as prioridades dos negócios e garantir que 
o valor esperado de TI seja efetivamente obtido em curto, médio ou longo prazo. 
40
UNIDADE II │ INTRODUÇÃO AO MODELO COBIT 5
As expectativas divergentes e/ou conflitantes devem ser tratadas com eficiência e 
transparência, para não impactar no atingimento dos resultados organizacionais.
Dependência de provedores de TI
As organizações estão cada vez mais dependentes de terceiros, fornecedores, consultores, 
clientes e/ou provedores de serviços de TI para a realização de negócios. Assim, os 
fornecedores de serviços de TI são partes essenciais para as organizações manterem 
seus negócios e efetivamente agregarem valor às partes interessadas e aos negócios 
com o uso de recursos de TI.
Relevância da informação
A informação é um ativo essencial para tomada de decisões, porém a quantidade de 
informação vem aumentando significativamente no contexto organizacional. Dessa 
forma, as organizações devem ter um processo definido para selecionar as informações 
com base em critérios pré-estabelecidos, tais como relevância, credibilidade e 
transparência. Em ambientes complexos, as organizações necessitam de um modelo de 
tratamento de informação para garantir efetividade em sua gestão.
TI como parte integrante do negócio
A TI é cada vez mais uma parte integrante do negócio, portanto não deve ser considerada 
como um “nicho” e separada do negócio. A TI deve estar inserida como parte integrante 
dos projetos empresariais, estruturas organizacionais, gestão de risco, políticas, 
capacidades, processos, entre outras funções e atividades da empresa. Esse cenário 
requer que os executivos do negócio tenham competências em TI para a tomada de 
decisões e operações relacionadas à TI. 
Orientações para tecnologias emergentes e 
inovadoras
Tecnologias inovadoras estão relacionadas à criatividade, a novas ideias e ao 
desenvolvimento de produtos e serviços para alavancagem de novos negócios e 
fidelização de clientes (atuais e futuros). Inovação pressupõe a concepção e o 
desenvolvimento de produtos, a modelagem de processos da cadeia de suprimentos 
visando fornecer produtos com alto nível de eficiência.
41
INTRODUÇÃO AO MODELO COBIT 5 │ UNIDADE II
Melhoria dos controles sobre as soluções de TI
As soluções de TI têm como propósitos a criação de valor para a organização através 
do uso eficiente e inovador da TI, da satisfação dos usuários com os serviços de TI, do 
cumprimento de leis, regulamentações, acordos contratuais e políticas internas e da 
melhoria do relacionamento entre as necessidades organizacionais e os objetivos de TI. 
Esses requisitos, atuando de forma integrada e seguindo as diretrizes organizacionais, 
promovem a melhoria dos controles institucionais sobre as soluções de TI.
Alinhamento com padrões e estruturas de mercado
A integração e o alinhamento entre padrões e práticas de mercado auxiliam as partes 
interessadas no entendimento de como diversos modelos, boas práticas e padrões se 
inter-relacionam e como eles podem ser usados em conjunto. 
Família de produtos do COBIT 5
O COBIT 5 é composto por um conjunto de publicações denominadas “Família de 
produtos COBIT 5”, cuja estrutura está representada na figura 12.
Figura 12. Família de produtos do COBIT.
Fonte: ISACA (2012).
A figura 12 mostra que a família de produtos do COBIT 5 é formada pelas seguintes 
publicações-chave (ISACA, 2012):
 » COBIT 5: essa publicação apresenta uma visão holística do modelo 
propriamente dito, sendo composta por princípios, habilitadores, modelo 
de capacidade, entre outros assuntos que serão abordados em capítulos 
posteriores. 
42
UNIDADE II │ INTRODUÇÃO AO MODELO COBIT 5
 » Guias Habilitadores do COBIT 5: trata-se de um conjunto de guias 
que detalham os habilitadores de governança e gestão, que compreendem 
as publicações:
 › COBIT 5 Habilitador Processos. 
 › COBIT 5 Habilitador Informações. 
 › Outros guias habilitadores relacionados (que serão desenvolvidos pela 
ISACA futuramente).
 » Guias profissionais do COBIT 5: trata-se de um conjunto de guias 
profissionais utilizados para as atividades práticas de implementação do 
modelo, que incluem:
 › COBIT 5 Implementação. 
 › COBIT 5 para Segurança da Informação. 
 › COBIT 5 para Garantia. 
 › COBIT 5 para Risco. 
 › Outros guias profissionais relacionados (que serão desenvolvidos pela 
ISACA futuramente).
 » Ambiente Colaborativo Online: um ambiente de colaboração usado 
pelos membros da ISACA para compartilhamento das boas práticas no 
uso do COBIT 5.
A publicação COBIT 5 (framework) é o principal produto da família, contendo:
 » Sumário Executivo. 
 » Componentes e estruturas. 
 » 5 princípios, em que cada princípio é descrito em um capítulo. 
 » Visão dos 7 viabilizadores e suas dimensões. 
 » Cascata de objetivos. 
 » Modelo de Referência de Processos. 
 » Introdução ao Guia de Implementação. 
 » Modelo de Capacidade de Processos.
43
INTRODUÇÃO AO MODELO COBIT 5 │ UNIDADE II
Como você relaciona o Modelo Corporativo COBIT 5 e a Governança de TI?
44
CAPÍTULO 2
Os cinco princípios do COBIT 5
A Governança de TI, quando implantada de forma integrada, permite que a empresa 
gerencie de forma eficiente seus investimentos e recursos tecnológicos e suas 
informações, transformando-as em maximização de benefícios, oportunidades de 
negócio e vantagem competitiva no mercado. 
Para o COBIT, a Governança e o Gerenciamento da TI das empresas estão sustentados 
em cinco princípios, conforme mostrado na figura 13.
Figura 13. Visão sistêmica dos princípios do COBIT 5.
Fonte: Adaptado de Fernandes e Abreu (2014).
1° princípio: atender às necessidades dos 
stakeholders
As organizações devem criar valor para as suas partes interessadas (stakeholders) de 
forma a manter o equilíbrio entre a realização de benefícios e a otimização do risco e 
dos recursos. Consequentemente, qualquer organização, independentemente do porte, 
45
INTRODUÇÃO AO MODELO COBIT 5 │ UNIDADE II
natureza e finalidade, deve ter a criação de valor como um dos objetivos de governança. 
Ou seja, a governança está associada às atividades de negociação e de decisão, 
considerando as necessidades das várias partes interessadas envolvidas.
As partes interessadas, ou stakeholders, são quaisquer pessoas ou responsáveis 
por uma expectativa, necessidade ou interesse nas atividades da organização, e 
representam a razão da existência da organização. São exemplos de stakeholders: 
usuários, gestores, governo, fornecedores, clientes e sociedade. Neste texto 
muitas vezes serão referenciados um dos dois termos para sua finalidade.
A criação de valor significa obter benefícios por meio da otimização do uso de 
recursos e dos riscos a um nível aceitável. Esse é o objetivo da governança! Para 
cada stakeholder, a criaçãode valor pode representar interesses diferentes e 
algumas vezes conflitantes. 
Conforme mostrado na figura 14, segundo o COBIT, toda organização deve ter a geração 
de valor para as suas partes interessadas como um objetivo de governança e deve buscá-
lo por meio da entrega de benefícios, otimizando os riscos e os custos dos recursos.
Figura 14. Objetivo da Governança.
Fonte: Reis (2015).
Assim, o COBIT pressupõe que cada organização deve identificar as necessidades 
das partes interessadas, traduzi-las em termos de objetivos corporativos de alto 
nível e, posteriormente, identificar os objetivos de TI correspondentes. A realização 
dos benefícios organizacionais está diretamente relacionada à missão da organização, 
considerando sua natureza, porte, área de atuação e objetivos de negócio. Como um 
dos objetivos de governança, a otimização do risco implica o seu reconhecimento, a 
avaliação do seu impacto e a probabilidade de ocorrência, bem como o desenvolvimento 
de estratégias para minimizá-lo, reduzir seu efeito negativo ou transferi-lo. A otimização 
46
UNIDADE II │ INTRODUÇÃO AO MODELO COBIT 5
dos recursos envolve o uso eficaz, eficiente e responsável de recursos humanos, 
financeiros, tecnológicos, entre outros.
Como as organizações possuem diversas partes interessadas, a expressão criar 
valor pode ter significados diferentes e, por vezes, conflitantes para cada uma 
dessas partes interessadas. Sob essa perspectiva, uma boa prática de governança 
descrita no COBIT relaciona-se à negociação e decisão entre os interesses de 
valor das diversas partes interessadas a partir do estabelecimento de comitês 
estratégicos decisórios .
No contexto da organização que você trabalha, reflita sobre:
1. Quem são as principais partes interessadas da sua organização? 
2. Quais são as principais necessidades dessas partes interessadas? 
3. As partes interessadas possuem interesses conflitantes? Em 
caso positivo, há mecanismos e/ou procedimentos definidos para 
conciliar os interesses divergentes? 
4. A TI efetivamente atende às necessidades das partes interessadas? 
Como a TI atuou ou poderia atuar para criar valor para o sistema de 
governança da organização, de forma a atender às necessidades das 
partes interessadas?
As necessidades dos stakeholders precisam ser transformadas em estratégias 
corporativas. Por isso, este princípio está intimamente alinhado com o conceito de 
alinhamento estratégico entre TI e negócio. Para isso, há um mecanismo denominado 
cascata de objetivos (COBIT 5 Goals Cascade) com a finalidade de desdobrar:
 » Os drivers (direcionadores ou motivadores) e as necessidades dos 
stakeholders em objetivos de negócio. 
 » Os objetivos de negócio em objetivos de TI. 
 » Os objetivos de TI em objetivos para os viabilizadores.
Cascata de objetivos do COBIT
O processo de transformação das expectativas e tendências das partes interessadas 
na realização dos objetivos de negócio é denominado, no COBIT, como Cascata de 
Objetivos.
47
INTRODUÇÃO AO MODELO COBIT 5 │ UNIDADE II
Conforme mostrado na figura 15, esse processo de cascata traduz as necessidades das 
partes interessadas em metas corporativas genéricas, atingíveis e customizadas, metas 
relacionadas à TI e metas dos habilitadores de TI.
Habilitadores são fatores tangíveis e intangíveis que, individualmente e 
coletivamente, possuem influência sobre o funcionamento da Governança e 
Gestão da TI.
Figura 15. Cascata de Objetivos do COBIT 5.
Fonte: Fernandes e Abreu (2014).
Conforme mostrado na figura, a cascata de objetivos do COBIT está estruturada em 
quatro passos fundamentais:
1. Os motivadores das partes interessadas. 
48
UNIDADE II │ INTRODUÇÃO AO MODELO COBIT 5
2. Cascata das necessidades das partes interessadas em objetivos 
corporativos. 
3. Cascata das metas corporativas em metas de TI. 
4. Cascata das metas de TI em metas dos habilitadores de TI.
Os motivadores das partes interessadas são influenciados por diversos fatores, tais 
como mudanças na estratégia e no ambiente de negócio, regulamentações internas e 
externas, tendências tecnológicas, entre outros.
Os três pontos indicados como necessidades das partes interessadas são considerados 
os principais objetivos de governança e estão relacionados com as metas corporativas 
conforme o grau de influência que estas têm sobre eles.
Este modelo de cascata mostra como cada um dos habilitadores de TI (definidos mais 
adiante nesse texto) são importantes para que as metas corporativas sejam atingidas. 
A cascata de objetivos permite a definição de prioridades para implementação, 
aprimoramento e garantia de governança corporativa de TI, com base em objetivos 
estratégicos e riscos relacionados. Na prática, a cascata de objetivos: 
 » Define objetivos tangíveis e relevantes em vários níveis. 
 » Filtra a base de conhecimento do COBIT com base nos objetivos de 
negócio relevantes para implementação. 
 » Identifica e comunica claramente como os viabilizadores do COBIT (às 
vezes muito operacionais) são importantes para o alcance dos objetivos 
de negócio. 
O COBIT define, de forma ampla e genérica, que as necessidades das partes 
interessadas se relacionam a um conjunto de 17 objetivos corporativos de 
alto nível, não exaustivos, porém que representam um norteador para as 
organizações analisarem suas estratégias organizacionais.
Esses objetivos corporativos foram estabelecidos com base em pesquisas e 
experiências de profissionais em várias localidades do mundo, quando do 
desenvolvimento do COBIT, conforme informação disponível em www.isaca.org/
cobit. 
49
INTRODUÇÃO AO MODELO COBIT 5 │ UNIDADE II
Cada um desses 17 objetivos é vinculado a quatro dimensões (Financeira, Cliente, 
Processos Internos e Aprendizagem e Crescimento) do modelo BSC: Balanced 
Scorecard (KAPLAN; NORTON, 1992).
2° princípio: cobrir a organização de ponta a 
ponta
O COBIT não concentra o seu foco apenas na área de TI, e sim na governança e na 
gestão da informação e da tecnologia relacionadas onde quer que estejam, cobrindo 
a empresa de ponta a ponta. Assim, a governança abrange as áreas estratégicas, 
táticas e operacionais das organizações, bem como todas as pessoas responsáveis pelo 
desenvolvimento de suas atividades.
A abordagem de governança ponta a ponta proposta no COBIT está representada 
na figura 16. Este esquema, oriundo do princípio anterior, identifica os principais 
componentes de um sistema de governança e a interação das partes envolvidas nessa 
estrutura.
Figura 16. Componentes do objetivo da Governança.
Fonte: Reis (2015).
Conforme mostrado na figura 16, um sistema de governança é formado pelos seguintes 
componentes (FERNANDES; ABREU, 2014):
 » Habilitadores da Governança: recursos organizacionais utilizados 
para a governança como princípios, frameworks, estruturas, processos e 
práticas, através dos (ou para os) quais são conduzidas ações e atingidos 
objetivos. 
50
UNIDADE II │ INTRODUÇÃO AO MODELO COBIT 5
 » Escopo da Governança: área que será efetivamente governada (desde 
um ativo tangível ou intangível até uma entidade ou mesmo a empresa 
inteira). 
 » Funções, atividades e relacionamentos: definem as partes 
interessadas envolvidas, o que elas fazem e como devem interagir dentro 
do escopo do sistema de governança.
Para mais informações sobre esta visão de governança genérica, ver a iniciativa 
“Taking Governance Forward” em: www.takinggovernanceforward.org.
3° princípio: aplicar um framework único 
integrado
Conforme descrito anteriormente, há diversos padrões de mercado e boas práticas 
relacionados à TI, cujas estruturas são compostas por orientações específicas para um 
subconjunto de atividades de TI dependendo do escopo e abrangência do modelo dereferência utilizado, tais como o COBIT 4.1, Val IT (valor de TI para o negócio), Risk IT 
(risco relacionado ao uso de TI), BMIS (segurança). 
O COBIT tem como terceiro princípio atuar como uma estrutura unificada e integrada 
de alto nível para a governança e gestão da TI da organização, alinhando-se aos outros 
padrões, modelos e frameworks de boas práticas de TI. Isso permite à organização 
utilizar o COBIT 5 como um integrador dos frameworks de governança e de gestão.
Assim, o COBIT pode ser considerado como uma estrutura única e integrada porque 
tem como premissas as seguintes prerrogativas (REIS, 2015):
 » Baseia-se em uma arquitetura simples, para a estruturação de guias e 
orientações, a partir de um conjunto de produtos. 
 » Alinha-se com outros padrões e estruturas de mercado, permitindo que a 
organização use esse modelo como elemento integrador da estrutura de 
governança e de gestão. 
 » É completo na cobertura da organização, fornecendo uma base para 
integrar com outras estruturas, padrões e práticas utilizadas. 
 » Integra o conhecimento oriundo de outros padrões da ISACA, a exemplo 
do Val IT e Risk IT.
51
INTRODUÇÃO AO MODELO COBIT 5 │ UNIDADE II
A Figura 17 sintetiza como o COBIT é utilizado como estrutura integrada para ser 
considerado um modelo único para o sistema de governança das organizações. Ela 
retrata a “Base de Conhecimento do COBIT 5” como modelo estrutural central de 
orientação de boas práticas de mercado aplicadas à TI, sendo sustentado por três 
elementos principais: orientações e publicações da ISACA e demais estruturas de 
mercado; habilitadores do COBIT 5; e família de produtos do COBIT 5.
Figura 17. Componentes da base de conhecimento do COBIT.
Fonte: Reis (2015).
Por que o COBIT pode ser considerado uma estrutura única e integrada para ser 
usado como modelo de referência padrão para o sistema de governança das 
organizações?
4° princípio: possibilitar uma abordagem 
holística
A governança e a gestão de TI das organizações, para serem eficientes e eficazes, 
requerem uma abordagem sistêmica que considere diversos componentes interligados. 
Para atingir esse objetivo, o COBIT define um conjunto de Guias Habilitadores que têm 
como objetivo facilitar e auxiliar a organização a atingir seus objetivos.
52
UNIDADE II │ INTRODUÇÃO AO MODELO COBIT 5
Conforme será mostrado na figura 18, o COBIT descreve sete categorias de habilitadores 
para agovernança e gestão da TI das organizações (FERNANDES; ABREU, 2014; REIS, 
2015):
1. Princípios, políticas e modelos: auxiliam a traduzir comportamentos 
desejados em um guia prático para o dia a dia. 
2. Processos: descrevem práticas e atividades para atingir objetivos 
específicos e também apoiam o atingimento das metas globais relacionadas 
à TI. 
3. Estruturas Organizacionais: entidades de tomada de decisões-chave 
em uma organização. 
4. Cultura, ética e comportamento: conjunto de crenças, ideias, 
práticas e comportamentos, individuais e coletivos. 
5. Informação: inclui toda a informação produzida e utilizada pela 
organização e que a mantém em funcionamento, sendo, no nível 
operacional, parte integrante do seu produto principal. 
6. Serviços, infraestrutura e aplicativos: todos os recursos tecnológicos 
que apoiam a organização com processos e serviços de TI. 
7. Pessoas, habilidades e competências: representam as pessoas 
necessárias para a realização de todas as atividades da organização e 
auxiliam na tomada de decisões.
Figura 18. Habilitadores do COBIT 5.
Fonte: Reis (2015).
53
INTRODUÇÃO AO MODELO COBIT 5 │ UNIDADE II
Todos esses habilitadores possuem um conjunto de dimensões comuns que fornece uma 
forma simples e estruturada de tratá-los, permite que as interações entre eles sejam 
gerenciadas, por mais complexas que sejam, e facilita a obtenção de saídas robustas e 
bem estruturadas. 
Cultura, ética e comportamento das pessoas de uma organização representam 
um fator de sucesso nas atividades de governança e gestão, porém ainda são 
muito subestimados pela alta administração. Você concorda com essa afirmação?
Dimensões dos habilitadores do COBIT 5
Todos os habilitadores possuem um conjunto de dimensões comuns. Este conjunto de 
dimensões comuns (figura 19):
 » Apresenta uma maneira comum, simples e estruturada para tratar dos 
habilitadores. 
 » Permite que uma entidade controle suas interações complexas. 
 » Facilita resultados bem-sucedidos dos habilitadores. 
Figura 19. Dimensões dos habilitadores do COBIT 5.
Fonte: Reis (2015).
54
UNIDADE II │ INTRODUÇÃO AO MODELO COBIT 5
Conforme mostrado na figura 19, as quatro dimensões comuns dos habilitadores são:
Partes interessadas
Cada habilitador tem partes interessadas (partes que desempenham um papel ativo e/ou 
tenham algum interesse no habilitador). Por exemplo, os processos têm diversas partes 
que executam atividades do processo e/ou que tenham algum interesse nos resultados 
do processo; estruturas organizacionais têm partes interessadas, cada um com suas 
próprias funções e interesses que fazem parte das estruturas. Partes interessadas 
podem ser internas ou externas à organização, e todas possuem seus próprios, e às 
vezes conflitantes, interesses e necessidades. As necessidades das partes interessadas 
são traduzidas em objetivos corporativos, que por sua vez são traduzidas em objetivos 
corporativos para organização.
Metas
Cada habilitador tem diversas metas, e os habilitadores criam valor ao atingir essas 
metas. Metas podem ser definidas em termos de: resultados esperados do habilitador 
e aplicativo ou operação do próprio operador. As metas do habilitador são a última 
etapa da cascata de objetivos do COBIT 5. Essas metas podem ser divididas ainda em 
diferentes categorias:
 » Qualidade intrínseca ─ O quanto os habilitadores trabalham de forma 
precisa, objetiva e produzem resultados exatos, objetivos e confiáveis. 
 » Qualidade contextual ─ O quanto os habilitadores e seus resultados 
cumprem sua meta levando-se em consideração o contexto em que 
operam. Por exemplo, os resultados devem ser pertinentes, completos, 
atuais, apropriados, consistentes, compreensíveis e fáceis de usar.
Acesso e segurança
O quanto os habilitadores e seus resultados são acessíveis e seguros, tais como:
 » Os habilitadores estão disponíveis quando, e se, necessário.
 » Os resultados são seguros, ou seja, o acesso é restrito a quem de direito e 
que precisar deles.
55
INTRODUÇÃO AO MODELO COBIT 5 │ UNIDADE II
Ciclo de vida
Cada habilitador tem um ciclo de vida, desde sua criação, passando por sua vida útil/
operacional até chegar ao descarte. Isto se aplica às informações, às estruturas, aos 
processos, às políticas etc. As fases do ciclo de vida incluem:
 » Planejar (inclui o desenvolvimento e seleção de conceitos). 
 » Projetar. 
 » Desenvolver/adquirir/criar/implementar. 
 » Usar/operar. 
 » Avaliar/monitorar. 
 » Atualizar/descartar.
Boas práticas
Boas práticas podem ser definidas para cada um dos habilitadores. Boas práticas 
apoiam o atingimento das metas do habilitador. Boas práticas oferecem exemplos ou 
sugestões de como implementar o habilitador da melhor maneira, e quais produtos do 
trabalho ou entradas e saídas são necessários. O COBIT 5 oferece exemplos de boas 
práticas para alguns dos habilitadores do COBIT 5 (por exemplo, processos). Para 
outros habilitadores pode-se usar a orientação dos demais padrões, modelos etc.
Organizações esperam resultados positivos da aplicação e uso dos habilitadores. 
Para controlar o desempenho dos habilitadores, as perguntas abaixo terão de 
ser monitoradas e posteriormente respondidas, com base em indicadores, 
periodicamente:
1. As necessidades das partes interessadas foram consideradas?
2. Asmetas do habilitador foram atingidas?
3. O ciclo de vida do habilitador é controlado?
4. Boas práticas foram aplicadas?
Os dois primeiros pontos tratam do resultado efetivo do habilitador. Os 
indicadores usados para aferir em que medida as metas foram atingidas podem 
ser chamados de “indicadores de resultado”. Os dois últimos pontos tratam do 
56
UNIDADE II │ INTRODUÇÃO AO MODELO COBIT 5
funcionamento efetivo do próprio habilitador, e estes indicadores podem ser 
chamados de “indicadores de progresso”.
5° princípio: separar a governança de gestão
O COBIT diferencia claramente os conceitos de governança e gestão, como disciplinas 
que envolvem diferentes tipos de atividades e estruturas organizacionais e que servem 
a propósitos distintos. A figura 20 identifica essa diferença, demonstrando que cada 
uma dessas áreas possui objetivos e atividades específicas.
Figura 20. Diferença entre governança e gestão no COBIT.
Fonte: Reis (2015).
Conforme mostrado na figura, a Governança assegura que as necessidades, condições 
e opções das partes interessadas sejam avaliadas para determinar objetivos corporativos 
balanceados e acordados a serem atingidos, estabelecendo prioridades, tomando 
decisões e monitorando o desempenho e a conformidade em relação à direção e aos 
objetivos acordados. A Gestão planeja, desenvolve, executa e monitora atividades 
de forma alinhada com a direção estabelecida pelo grupo de governança, visando o 
atingimento dos objetivos corporativos.
Na maioria das organizações, a governança é responsabilidade do corpo diretivo. 
Todavia, em organizações mais complexas e de grande porte, as responsabilidades de 
governança específicas podem ser delegadas a estruturas organizacionais de menor 
nível. Por outro lado, a gestão é responsabilidade da gerência executiva, sob liderança 
do Diretor Executivo. Assim, cada organização possui estrutura organizacional 
57
INTRODUÇÃO AO MODELO COBIT 5 │ UNIDADE II
diferenciada, de acordo com suas necessidades, porte, objetivos de negócio e legislações 
específicas.
A partir das definições de governança e gestão, fica claro que elas incluem diversos 
tipos de atividades, com diferentes responsabilidades; entretanto, dado o papel da 
governança ─ de avaliar, orientar e monitorar ─ uma série de interações é exigida entre 
a governança e a gestão a fim de resultar um eficiente e eficaz sistema de governança. 
Essas interações, usando a estrutura de habilitadores, são apresentadas em um alto 
nível no quadro 1.
Quadro 1. Interações entre Governança e Gestão.
Habilitador Interação entre Governança e Gestão
Processos
A ilustração do modelo de processo do COBIT 5 (COBIT 5: Habilitador Processos) faz uma distinção entre 
processos de governança e de gestão, inclusive com conjuntos específicos de práticas e atividades de cada um. O 
modelo de processo também inclui as tabelas RACI, que descrevem as responsabilidades das diferentes estruturas 
organizacionais e suas funções na organização.
Informação
O modelo de processo descreve entradas e saídas das diferentes práticas do processo para outros processos, 
inclusive as informações trocadas entre os processos de governança e de gestão. Informações usadas para avaliar, 
orientar e monitorar a TI da organização são trocadas entre a governança e a gestão conforme descrição nas 
entradas e saídas do modelo de processo.
Estruturas organizacionais
Diversas estruturas organizacionais são definidas em cada organização; estruturas podem ser definidas no âmbito 
da governança ou no âmbito da gestão, dependendo da sua composição e do escopo das decisões. Pelo fato da 
governança definir a orientação, há uma interaçãoentre as decisões tomadas pelas estruturas de governança – ex: 
decisão sobre o portfólio de investimentos e a definição do apetite ao risco – e as decisões e operações que 
implementam as primeiras.
Princípios, políticas e 
modelos
Princípios, políticas e modelos são os veículos pelo qual as decisões de governança são institucionalizadas 
na organização, e por esse motivo constituem uma interação entre as decisões de governança (definição da 
orientação) e a gestão (execução das decisões).
Cultura, ética e 
comportamento
O comportamento também é um habilitador essencial da boa governança e gestão daorganização. Ele fica no topo 
– liderando por exemplos – e é, portanto, uma interação importante entre a governança e a gestão.
Pessoas, habilidades e 
competências
As atividades de governança e gestão requerem conjuntos de habilidades diferentes, mas uma habilidade essencial 
para os membros do órgão de governança e de gestão é entender as duas tarefas e como elas se diferenciam.
Serviços, infraestrutura e 
aplicativos
Serviços são necessários, apoiados por aplicativos e infraestrutura que proporcionem ao órgão de governança 
informações adequadas e apoio às seguintes atividades da governança: avaliação, definição da orientação e 
monitoramento.
 
Fonte: ISACA (2012).
O COBIT 5 sugere que as organizações implementem processos de governança e de 
gestão de tal forma que as principais áreas das estruturas organizacionais estejam 
cobertas por um modelo de referência, os quais serão descritos a seguir.
58
CAPÍTULO 3
O modelo de referência de processos 
do COBIT
Uma organização pode organizar seus processos conforme julgar conveniente, 
contanto que todos os objetivos de governança e gestão necessários sejam cobertos. 
Organizações de menor porte podem ter menos processos; organizações de maior porte 
e mais complexas poderão ter muitos processos, todos para cobrir os mesmos objetivos.
O COBIT 5 sugere um modelo de referência que define e descreve processos, agrupando-
os nas áreas chave de governança e gestão apresentadas na figura 21. 
Figura 21. Principais Áreas de Governança do COBIT 5.
Fonte: Reis (2015).
Conforme mostrado na figura 21, os processos são agrupados em duas áreas: Governança 
e Gestão e distribuídos em 5 domínios:
Processos de Governança
Contém 1 domínio Avaliar, Dirigir e Monitorar (EDM) com 5 processos de 
governança. Estes processos ditam as responsabilidades da alta direção para a avaliação, 
direcionamento e monitoração do uso dos ativos de TI para a criação de valor. Este 
domínio cobre a definição de um framework de governança, o estabelecimento das 
responsabilidades em termos de valor para a organização (ex. critérios de investimento), 
59
INTRODUÇÃO AO MODELO COBIT 5 │ UNIDADE II
fatores de risco (ex. apetite ao risco) e recursos (ex. otimização de recursos), além da 
transparência da TI para as partes interessadas.
Processos de Gestão
Contém 4 domínios, de acordo com as áreas de responsabilidade de planejar, criar, 
executar e monitorar e oferece cobertura ponta a ponta de TI. Estes domínios são uma 
evolução da estrutura de domínios e processos do COBIT 4.1. Como pode ser visto, foi 
acrescentado um verbo para cada um dos domínios do COBIT 4.1. Os domínios são:
 » Alinhar, Planejar e Organizar (APO): Domínio que tem 
abrangência estratégica e tática e que identifica as formas através das 
quais a TI pode contribuir melhor para o atendimento dos objetivos de 
negócio, envolvendo planejamento, comunicação e gestão em diversas 
perspectivas.
 » Construir, Adquirir e Implementar (BAI): Domínio que cobre a 
identificação, o desenvolvimento e/ou a aquisição de soluções de TI para 
executar a estratégia de TI estabelecida, assim como sua implementação 
e integração junto aos processos de negócio.
 » Entregar, Reparar e Suportar (DSS): Domínio que cobre a entrega 
propriamente dita dos serviços requeridos, incluindo gestão da segurança 
e continuidade, reparo de equipamentos e demais itens relacionados, 
suporte aos serviços para os usuários, gestão dos dados e da infraestrutura 
operacional.
 » Monitorar, Avaliar e Medir(MEA): Domínio que visa assegurar 
a qualidade dos processos de TI, assim como a sua governança e 
conformidade com os objetivos de controle, através de mecanismos 
regulares de acompanhamento, monitoração de controles internos e de 
avaliações internas e externas.
O modelo de referência de processo do COBIT 5 representa todos os processos 
normalmente encontrados em uma organização relacionados às atividades de 
TI, fornecendo um modelo de referência comum compreensível para os gerentes 
operacionais de TI e de negócios. O modelo de processo proposto é um modelo completo 
e abrangente, mas não é o único modelo de processo possível. Cada organização deverá 
definir seu próprio conjunto de processos, levando em consideração sua situação 
específica.
60
UNIDADE II │ INTRODUÇÃO AO MODELO COBIT 5
Incorporar um modelo operacional e uma linguagem comum para todas as partes 
da organização envolvidas com atividadesde TI é uma das etapas mais importantes 
e críticas da boa governança. Também oferece um modelo para medir e monitorar 
o desempenho de TI, promovendo garantia (assurance) da TI, comunicação com os 
provedores de serviço e melhor integração com as práticas da administração 9ISACA, 
2012.
A figura 22 apresenta os 37 processos de TI relativos a cada um dos domínios do COBIT 
5. Cada um desses 37 processos de TI do COBIT5 é descrito, na publicação COBIT 5 
Enabling Processes, através de seus componentes inter-relacionados:
 » Identificação do processo:
 › Rótulo do processo: o domínio (EDM, APO, BAI, DSS, MEA) e o 
número do processo. 
 › Nome do processo: breve descrição do processo. 
 › Área do processo: governança ou gestão. 
 › Nome de domínio.
 » Descrição do processo. 
 » Propósito geral do processo. 
 » Metas em cascatas relacionadas (metas relacionadas à TI suportadas 
primariamente e métricas sugeridas para medi-las). 
 » Metas e exemplos de métricas específicas do processo. 
 » Matriz de responsabilidades (modelo RACI, associando os papéis às 
tarefas). 
 » Descrição detalhada das práticas do processo (para cada prática): 
 › Título e descrição. 
 › Entradas e saídas. 
 › Detalhamento das atividades.
 » Orientações relacionadas, referenciando outros modelos e padrões, além 
de documentação adicional.
61
INTRODUÇÃO AO MODELO COBIT 5 │ UNIDADE II
Figura 22. Modelo de Referência de Processos do COBIT.
 
APO01 Gerenciar 
o framework de 
gestão de TI 
APO02 Gerenciar 
a estratégia 
APO03 Gerenciar 
a arquitetura 
corporativa 
APO04 Gerenciar 
a inovação 
APO05 Gerenciar 
o portfólio 
APO06 Gerenciar 
orçamento e 
custos 
APO07 Gerenciar 
recursos humanos 
APO08 Gerenciar 
relacionamentos 
APO09 Gerenciar 
acordos de 
serviços 
APO10 Gerenciar 
fornecedores 
APO11 Gerenciar 
a qualidade 
APO12 Gerenciar 
riscos 
APO13 Gerenciar 
a segurança 
Alinhar, Planejar e Organizar 
EDM01 Assegurar o 
estabelecimento e a 
manutenção do 
framework de 
governança 
EDM02 Assegurar 
a entrega dos 
benefícios 
EDM03 
Assegurar a 
otimização dos 
riscos 
EDM04 Assegurar 
a otimização dos 
recursos 
EDM05 Assegurar a 
transparência dos 
stakeholders 
Avaliar, Dirigir e Monitorar 
DSS01 
Gerenciar 
operações 
DSS02 Gerenciar 
requisições de 
serviços e 
incidentes 
DSS03 
Gerenciar 
problemas 
DSS04 
Gerenciar a 
continuidade 
DSS05 Gerenciar 
os serviços de 
segurança 
Entregar, Reparar e Suportar 
DSS06 Gerenciar 
controles de 
processos de 
negócios 
BAI01 Gerenciar 
programas e 
projetos 
BAI02 Gerenciar 
a definição de 
requisitos 
BAI03 Gerenciar a 
identificação e a 
construção de soluções 
BAI04 Gerenciar 
disponibilidade e 
capacidade 
BAI05 Gerenciar a 
habilitação da 
mudança 
organizacional 
BAI06 Gerenciar 
mudanças 
BAI07 Gerenciar o 
aceite e a transição 
das mudanças 
BAI08 Gerenciar o 
conhecimento 
BAI09 Gerenciar 
ativos BAI10 Gerenciar a configuração 
Construir, Adquirir e Implementar 
MEA01 Monitorar, 
avaliar e medir o 
desempenho e a 
conformidade 
MEA02 Monitorar, 
avaliar e medir o 
sistema de controles 
internos 
MEA03 Monitorar, 
avaliar e medir a 
conformidade com 
requisitos externos 
Monitorar, Avaliar e Medir 
Fonte: Adaptado de ISACA (2012b).
O modelo de referência do COBIT 5 apresenta os processos normalmente encontrados 
nas organizações, cujos processos são suportados e relacionados à TI. Assim, ele fornece 
uma diretriz comum para gestores de negócios e de TI aplicarem nas organizações, 
com ênfase nas necessidades de negócio de TI. Esse modelo não é o único modelo de 
processo possível. Cada organização deve definir seu conjunto de processos, levando 
em consideração sua situação específica.
O detalhamento de cada um dos processos, segundo o modelo de referência definido 
pelo COBIT 5, será detalhado nos capítulos que seguem.
62
UNIDADE II │ INTRODUÇÃO AO MODELO COBIT 5
O modelo de referência de processos do COBIT 5 representa uma evolução em 
relação ao padrão COBIT 4.1 no que tange a estrutura de processos e domínios 
do padrão anterior. Esse modelo de referência:
 » Não é prescritivo e único. 
 » Descreve os possíveis processos de uma organização. 
 » É adaptável às necessidades da organização. 
 » Identifica os objetivos de governança e gestão. 
 » Pressupõe o porte, a complexidade e a natureza da organização. 
 » Alinha-se aos objetivos estratégicos da organização.
63
UNIDADE IIIPROCESSOS DO 
COBIT5
CAPÍTULO 1
Avaliar dirigir e monitorar
Conforme apresentado anteriormente, o COBIT 5 sugere um modelo de referência 
que define e descreve processos agrupados em cinco domínios. O primeiro domínio, 
Governança (ou DEM) contém cinco processos de governança, dentro dos quais são 
definidas práticas de avaliação, orientação (ou direção) e monitoração. 
Os 5 processos desse domínio são (ISACA, 2012b):
 » EDM01 – Assegurar o Estabelecimento e Manutenção do 
Framework de Governança: Analisa e articula os requisitos para a 
governança corporativa de TI, coloca em prática e mantém estruturas, 
princípios, processos e práticas, com clareza de responsabilidades e 
autoridade para alcançar a missão, as metas e os objetivos da organização. 
 » EDM02 – Assegurar a Entrega de Benefícios: Otimiza a 
contribuição de valor para o negócio a partir dos processos de negócios, 
serviços e ativos de TI resultantes de investimentos realizados pela TI a 
custos aceitáveis. 
 » EDM03 – Assegurar a Otimização de Riscos: Assegura que o apetite 
e tolerância a riscos da organização são compreendidos, articulados e 
comunicados e que o risco ao valor da organização relacionado ao uso de 
TI é identificado e controlado. 
 » EDM04 – Assegurar a Otimização de Recursos: Assegura que as 
capacidades adequadas e suficientes relacionadas à TI (pessoas, processos 
e tecnologia) estão disponíveis para apoiar os objetivos da organização de 
forma eficaz a um custo ótimo. 
64
UNIDADE III │ PROCESSOS DO COBIT5
 » EDM05 – Assegurar a Transparência para as partes 
interessadas: Assegura que a medição e relatórios de desempenho e 
conformidade da TI corporativa sejam transparentes para os stakeholders 
aprovarem as metas, métricas e as ações corretivas necessárias.
A seguir, são apresentados de forma ampla, mas não exaustiva, alguns desses processos.
Todos os processos desse domínio podem ser encontrados em detalhes na 
publicação COBIT 5 Enabling Process, disponível em www.isaca.org.br/cobit.
EDM01 – Assegurar o Estabelecimento e 
Manutenção do Framework de Governança
Descrição do processo
Analisa e articula os requisitos para a governança corporativa de TI, coloca em prática e 
mantém estruturas, princípios, processos e práticas, com clarezade responsabilidades 
e autoridade para alcançar a missão, as metas e os objetivos da organização. 
Propósito geral do processo
Fornecer uma abordagem consistente integrada e alinhada com a abordagem de 
governança da empresa. Garantir que as decisões relacionadas à TI sejam tomadas de 
acordo com as estratégias e objetivos da empresa, garantir que os processos relacionados 
à TI sejam supervisionados de forma eficaz e transparente, a conformidade com 
requisitos regulamentares e legais, e garantir que os requisitos de governança para os 
membros do conselho sejam atendidos.
Metas relacionadas à TI
O quadro 2 apresenta algumas metas relacionadas com a TI que o processo EDM01 
apoia e suas respectivas métricas relacionadas.
65
PROCESSOS DO COBIT5 │ UNIDADE III
Quadro 2. Metas relacionadas à TI do EDM01.
Metas Relacionadas à TI Métricas relacionadas
01. Alinhamento da TI e a estratégia de negócio
 » Percentual de objetivos e necessidades estratégicas da empresa suportados pelas 
metas de TI estratégicas. 
 » Nível de satisfação das partes interessadas como escopo do portfólio planejado de 
programas e serviços. 
 » Percentual de direcionadores de valor de TI mapeados para direcionadores de valor 
de negócios
03. Compromisso da gestão executiva para tomar 
decisões relacionadas à TI
 » Percentual de funções de gestão executiva com responsabilidades claramente 
definidas para decisões de TI. 
 » Número de vezes que a TI está na agenda executiva de uma forma proativa. 
 » Frequência de reuniões de comissões de estratégia de TI. 
 » Taxa de execução de decisões relacionadas a TI do executivo. 
07. Entrega de serviços de TI em linha com os requisitos 
de negócios
 » Número de interrupções nos negócios devido ao fato de incidentes de serviço de TI. 
 » Percentual de stakeholders do negócio satisfeitos com a entrega de serviços de TI 
acordadas nos níveis de serviço. 
 » Percentual de usuários satisfeitos com a qualidade da prestação de serviços de TI. 
 
Fonte: ISACA (2012b).
Metas específicas do processo
O quadro 3 apresenta algumas metas específicas do processo EDM01 e suas respectivas 
métricas relacionadas.
Quadro 3. Metas específicas do processo à TI do EDM01.
Metas do processo Métricas relacionadas
1. O modelo estratégico modelo tomada de decisão para a TI 
é eficaz e alinhado com o ambiente interno externo e com os 
requisitos dos stakeholders.
 » Tempo de ciclo alvo vs. real para decisões fundamentais. 
 » Nível de satisfação dos stakeholders (medido através de questionários). 
2. O sistema de governança de TI é incorporado na empresa.
 » Número de funções, responsabilidades e autoridades que são definidas, 
atribuídas e aceitas pela empresa pela gestão de negócio e de TI apropriada. 
 » Graus nos quais princípios de governança de TI acordados são evidenciados 
nos processos e práticas (percentual de processos e práticas com 
rastreabilidade clara aos princípios). 
 » Número de casos de não conformidade com orientações de comportamento 
ético e profissional. 
3. Garantia de que o sistema de governança de TI opera de 
forma eficaz.
 » Frequência de revisões independentes de governança de TI. 
 » Frequência de governança de TI reportada ao comitê executivo e conselho. 
 » Número de problemas de governança de TI relatados. 
 
Fonte: ISACA (2012b).
66
UNIDADE III │ PROCESSOS DO COBIT5
Práticas do processo 
Algumas das práticas relacionadas ao processo EDM01 são:
 » EDM01.01 – Avaliar o sistema de governança: Continuamente 
identificar e se envolver com os stakeholders da empresa, documentar 
uma compreensão dos requisitos e fazer um julgamento sobre o projeto 
atual e futuro da governança de TI corporativa. 
 » EDM01.02 – Direcionar o sistema de governança: Informar 
os líderes e obter o seu apoio e compromisso. Orientar as estruturas, 
processos e práticas para a governança da TI de acordo com os princípios 
de projeto de governança, modelos de tomada de decisão e níveis de 
autoridade. Definir as informações necessárias para tomada de decisão 
informada.
 » EDM01.02 – Monitorar o sistema de governança: Monitorar 
a eficácia e o desempenho da governança de TI da empresa. Avaliar 
se o sistema de governança e mecanismos implementados (incluindo 
estruturas, princípios e processos) são operados de forma eficaz e 
fornecem supervisão adequada da TI. Exemplos de atividades:
Padrões relacionados
 » Committee of Sponsoring Organizations of the Treadway Commission 
(COSO). 
 » ISO/IEC 38500. 
 » King III (itens 5.1 e 5.3). 
 » Organisation for Economic Co-operation and Development (OECD).
EDM02 – Assegurar a entrega de benefícios
Descrição do processo
Otimiza a contribuição de valor para o negócio a partir dos processos de negócios, 
serviços e ativos de TI resultantes de investimentos realizados pela TI a custos aceitáveis. 
67
PROCESSOS DO COBIT5 │ UNIDADE III
Propósito geral do processo
Fixar o valor ideal de iniciativas, serviços e bens de TI, entrega rentável de soluções e 
serviços, e uma imagem confiável e precisados custos e benefícios prováveis para que as 
necessidades de negócios sejam suportados de forma eficaz e eficiente.
Metas relacionadas à TI
O quadro 4 apresenta algumas metas relacionadas com a TI, as quais o processo EDM02 
apoia, e suas respectivas métricas relacionadas.
Quadro 4. Metas relacionadas à TI do EDM02.
Metas relacionadas à TI Métricas relacionadas
01. Alinhamento da TI e a estratégia de negócio
 » Percentual de objetivos e necessidades estratégicas da empresa suportados pelas metas de 
TI estratégicas. 
 » Nível de satisfação das partes interessadas como escopo do portfólio planejado de 
programas e serviços. 
 » Percentual de direcionadores de valor de TI mapeados para direcionadores de valor de 
negócios. 
06. Transparência de custos, benefícios e riscos 
de TI
 » Percentual dos casos de negócios de investimento com custos e benefícios esperados 
relacionados à TI claramente definidos e aprovados. 
 » Percentual de serviços de TI com custos e benefícios operacionais esperados claramente 
definidos e aprovados.
 » Pesquisa de satisfação dos principais interessados quanto ao nível de transparência, 
compreensão e precisão das informações financeiras de TI. 
07. Entrega de serviços de TI em linha com os 
requisitos de negócios
 » Número de interrupções nos negócios devido ao fato de incidentes de serviço de TI.
 » Percentual de stakeholders do negócio satisfeitos com a entrega de serviços de TI 
acordadas nos níveis de serviço.
 » Percentual de usuários satisfeitos com a qualidade da prestação de serviços de TI.
 
Fonte: ISACA (2012b).
Metas específicas do processo
O quadro 5 apresenta algumas metas específicas do processo EDM02 e suas respectivas 
métricas relacionadas.
68
UNIDADE III │ PROCESSOS DO COBIT5
Quadro 5. Metas específicas do processo à TI do EDM02.
Metas do Processo Métricas Relacionadas
 » 1. A empresa está fixando o valor ideal de seu portfólio, 
iniciativas, serviços e bens de TI acertados.
 » Nível de satisfação da gestão executiva com a entrega de valor e custo.
 » Nível de satisfação dos stakeholders com a capacidade da empresa para obter 
valor em iniciativas de TI.
 » 2. Investimentos de TI individuais contribuem para o valor 
ideal.
 » Nível de satisfação dos stakeholders com o progresso em direção às metas 
identificadas, com valor de entrega com base em pesquisas.
 » Percentual do valor esperado alcançado.
 
Fonte: ISACA (2012b).
Práticas do processo 
Algumas das práticas relacionadas ao processo EDM02 são:
 » EDM02.01 – Avaliar a otimização de valor: Continuamente avaliar 
o portfólio de investimentos, serviços e ativos de TI para determinar a 
probabilidade de atingir os objetivos da empresae a entrega de valor a um 
custo razoável. Identificar e fazer julgamento sobre quaisquer mudanças 
de direção que precisam ser dada à gestão para otimizar a criação de 
valor. Exemplos de atividades:
 » EDM02.02 – Direcionar a otimização de valor: Direcionar 
princípios e práticas de gestão de valor para permitir a realização de valor 
ideal de investimentos de TI em todo o ciclo de vida econômico.
Padrões relacionados
 » Committee of Sponsoring Organizations of the Treadway Commission 
(COSO). 
 » ISO/IEC 38500. 
 » King III (itens 5.2 e 5.4). 
69
PROCESSOS DO COBIT5 │ UNIDADE III
EDM03 – Assegurar a Otimização de Riscos
Descrição do processo
Assegura que o apetite e tolerância a riscos da organização são compreendidos, 
articulados e comunicados e que o risco ao valor da organização relacionado ao uso de 
TI é identificado e controlado. 
Propósito geral do processo
Garantir que os riscos da empresa relacionados à TI não excedam o apetite e a tolerância 
ao risco, o impacto do risco TI para o valor da empresa ser identificado e controlado, e 
o potencial para falhas de conformidade ser minimizado.
Metas relacionadas à TI
O quadro 6 apresenta algumas metas relacionadas com a TI que o processo EDM03 
apoia e suas respectivas métricas relacionadas.
Quadro 6. Metas relacionadas à TI do EDM03.
Metas relacionadas à TI Métricas relacionadas
06. Transparência de custos, benefícios e riscos 
de TI
 » Percentual dos casos de negócios de investimento com custos e benefícios esperados 
relacionados à TI claramente definidos e aprovados.
 » Percentual de serviços de TI com custos e benefícios operacionais esperados claramente 
definidos e aprovados.
 » Pesquisa de satisfação dos principais interessados quanto ao nível de transparência, 
compreensão e precisão das informações financeiras de TI.
10. Segurança da informação, infraestrutura de 
processamento e aplicações
 » Número de incidentes de segurança causando prejuízos financeiros, interrupção dos 
negócios ou constrangimento público.
 » Número de serviços de TI com requisitos de segurança pendentes.
 » Tempo para conceder, alterar e remover privilégios de acesso, em comparação com os 
níveis de serviço acordados.
 » Frequência de avaliação de segurança contra normas e diretrizes mais recentes. 
15. Conformidade da TI com as 
políticas internas
 » Número de incidentes relacionados com a não conformidade com a política.
 » Percentual de interessados que entendem as políticas.
 » Percentual de políticas apoiadas por normas eficazes e práticas de trabalho.
 » Frequência de políticas de revisão e atualização.
Fonte: ISACA (2012b).
70
UNIDADE III │ PROCESSOS DO COBIT5
Metas específicas do processo
O quadro 7 apresenta algumas metas específicas do processo EDM03 e suas respectivas 
métricas relacionadas.
Quadro 7. Metas específicas do processo à TI do EDM03.
Metas do Processo Métricas Relacionadas
 » 1. Limites de risco serem definidos e comunicados e riscos relacionados 
à TI ser conhecido.
 » Nível de alinhamento entre o risco de TI e de risco empresarial.
 » Número de riscos de TI potenciais identificados e gerenciados.
 » Taxa de avaliação fator de risco.
 » 2. A empresa gerir riscos corporativos críticos relacionados à TI de forma 
eficaz e eficiente.
 » Percentual de projetos que consideram os riscos de TI.
 » Percentual de planos de ação de risco de TI executados em 
tempo.
 » Percentual de riscos críticos que têm sido efetivamente 
mitigados.
 
Fonte: ISACA (2012b).
Práticas do processo 
Algumas das práticas relacionadas ao processo EDM03 são:
 » EDM03.01 – Avaliar a gestão de riscos: Continuamente examinar 
e fazer julgamento sobre a efeito do risco sobre o uso atual e futuro da 
TI na empresa. Considerar se o apetite de risco da empresa é adequado 
e que os riscos para o valor da empresa relacionados com o uso da TI são 
identificados e controlados.
 » EDM03.02 – Direcionar a gestão de riscos: Dirigir o estabelecimento 
de práticas de gestão de risco para fornecer segurança razoável para 
garantir que o risco de TI real não exceda o apetite pelo risco.
 » EDM03.02 – Monitorar a gestão de riscos: Monitorar as principais 
metas e métricas dos processos de gestão de risco e estabelecer como 
desvios ou problemas serão identificados, rastreados e reportados 
remediação.
Padrões relacionados
 » COSO/ERM. 
 » ISO/IEC 31000 Framework for Risk Management. 
71
PROCESSOS DO COBIT5 │ UNIDADE III
 » ISO/IEC 38500. 
 » King III (itens 5.5 e 5.7).
72
CAPÍTULO 2
Alinhar, planejar e organizar
O domínio Alinhar, Planejar e Organizar (APO) tem abrangência estratégica 
e tática e identifica as formas através das quais a TI pode contribuir melhor para o 
atendimento dos objetivos de negócio, envolvendo planejamento, comunicação e gestão 
em diversas perspectivas. 
Este domínio abrange 13 processos, os quais são (ISACA, 2012b):
» APO01 – Gerenciar o Framework de Gestão de TI: Esclarece e mantém 
a missão e visão da governança de TI da organização. Implementa e mantém 
mecanismos e autoridades para gerenciar a informação e o uso da TI na 
organização. 
» APO01 – Gerenciar o Framework de Gestão de TI: Esclarece e mantém 
a missão e visão da governança de TI da organização. Implementa e mantém 
mecanismos e autoridades para gerenciar a informação e o uso da TI na 
organização. 
» APO02 – Gerenciar a Estratégia: Fornece uma visão holística do negócio e 
ambiente de TI atual, a direção futura, e as iniciativas necessárias para migrar 
para o ambiente futuro desejado.
» APO03 – Gerenciar a Arquitetura Corporativa: Estabelece uma 
arquitetura comum que consiste em processos de negócios, informações, dados, 
aplicação e tecnologia para realizar de forma eficaz e eficiente as estratégias de 
negócio e de TI por meio da criação de modelos e práticas-chave que descrevem 
arquitetura de linha de base.
» APO04 – Gerenciar a Inovação: Mantém uma consciência de TI e tendências 
de serviços relacionados, identifica oportunidades de inovação e planeja como 
se beneficiar da inovação em relação às necessidades do negócio. Influencia o 
planejamento estratégico e as decisões de arquitetura corporativa.
» APO05 – Gerenciar o Portfólio: Executa o conjunto de orientações estratégicas 
para os investimentos alinhados com a visão de arquitetura corporativa e as 
características desejadas do investimento e considera as restrições de recursos e 
de orçamento. Avalia, prioriza programas e serviços, gerencia demanda dentro 
das restrições de recursos e de orçamento, com base no seu alinhamento com os 
73
PROCESSOS DO COBIT5 │ UNIDADE III
objetivos estratégicos e risco. Move programas selecionados para o portfólio de 
serviços para execução. Monitora o desempenho de todo o portfólio de serviços 
e programas, propondo os ajustes necessários em resposta ao programa e 
desempenho do serviço ou mudança de prioridades da organização.
» APO06 – Gerenciar Orçamento e Custos: Administrar as atividades 
financeiras relacionadas à TI tantos nas funções de negócios e de TI, abrangendo 
orçamento, gestão de custos e benefícios e priorização dos gastos com o uso de 
práticas formais de orçamento e de um sistema justo e equitativo de alocação de 
custos para a organização.
» APO07 – Gerenciar Recursos Humano: Fornece uma abordagem 
estruturada para garantir a estruturação ideal, colocação, direitos de decisão 
e as habilidades dos recursos humanos. Isso inclui a comunicação de papéis 
e responsabilidades definidas, planos de aprendizagem e de crescimento, e as 
expectativas de desempenho, com o apoio de pessoas competentes e motivadas.
» APO08 – Gerenciar as Relações: Gerencia o relacionamento entre o negócio 
e TI de uma maneira formal e transparente, que garanta foco na realizaçãode 
um objetivo comum.
» APO09 – Gerenciar os Acordos de Serviço: Alinha serviços de TI e 
níveis de serviço com as necessidades e expectativas da organização, incluindo 
identificação, especificação, projeto, publicação, acordo, e acompanhamento de 
serviços de TI, níveis de serviço e indicadores de desempenho.
» APO10 – Gerenciar os Fornecedores: Gerencia serviços relacionados a 
TI prestados por todos os tipos de fornecedores para atender às necessidades 
organizacionais, incluindo a seleção de fornecedores, gestão de relacionamentos, 
gestão de contratos e revisão e monitoramento de desempenho de fornecedores 
para a efetividade e conformidade.
» APO11 – Gerenciar a Qualidade: Define e comunica os requisitos de qualidade 
em todos os processos, os procedimentos e os resultados das organizações, 
incluindo controles, monitoramento contínuo, e o uso de práticas comprovadas 
e padrões na melhoria contínua e esforços de eficiência.
» APO12 – Gerenciar os Riscos: Identificar continuamente, avaliar e reduzir 
os riscos relacionados a TI dentro dos níveis de tolerância estabelecidos pela 
diretoria executiva da organização.
74
UNIDADE III │ PROCESSOS DO COBIT5
 » APO13 – Gerenciar a Segurança: Define, opera e monitora um 
sistema para a gestão de segurança da informação.
A seguir são apresentados de forma ampla, mas não exaustiva, alguns desses processos.
Todos os processos desse domínio podem ser encontrados em detalhes na 
publicação COBIT 5 EnablingProcess, disponível em www.isaca.org.br/cobit.
APO01 – Gerenciar o Framework de Gestão de 
TI
Descrição do processo
Esclarece e mantém a missão e visão da governança de TI da organização. Implementa 
e mantém mecanismos e autoridades para gerenciar a informação e o uso da TI na 
organização.
Propósito geral do processo
Fornecer uma abordagem de gerenciamento consistente para permitir que os 
requisitos de governança corporativa sejam cumpridos, cobrindo os processos de 
gestão, estruturas organizacionais, papéis e responsabilidades, atividades confiáveis e 
repetíveis, e habilidades e competências.
Metas relacionadas à TI
O quadro 8 apresenta algumas metas relacionadas com a TI que o processo APO01 
apoia e suas respectivas métricas relacionadas.
75
PROCESSOS DO COBIT5 │ UNIDADE III
Quadro 8. Metas relacionadas à TI do APO01.
Metas relacionadas à TI Métricas relacionadas
01. Alinhamento da TI e a estratégia de negócio
 » Percentual de objetivos e necessidades estratégicas da empresa 
suportados pelas metas de TI estratégicas.
 » Nível de satisfação das partes interessadas como escopo do portfólio 
planejado de programas e serviços.
 » Percentual de direcionadores de valor de TI mapeados para 
direcionadores de valor de negócios.
02. Conformidade e suporte de TI para conformidade de negócio 
relacionada a leis e regulamentações externas
 » Custo de TI não cumprido, incluindo liquidações e multas, e o impacto da 
perda de reputação.
 » Número de questões relacionadas à TI não cumpridas, reportadas ou que 
causam comentários público ou constrangimento.
 » Número de questões não cumpridas relativas aos acordos contratuais 
com prestadores de serviços.
 » Cobertura das avaliações de conformidade.
09. Agilidade de TI
 » Nível de satisfação dos executivos de negócios com a capacidade de 
resposta da TI para novas exigências.
 » Número de processos críticos de negócio suportados por infraestrutura e 
aplicações de ponta.
 » Tempo médio para transformar objetivos estratégicos de TI para uma 
iniciativa aprovada.
11. Otimização de ativos, recursos e capacidades de TI
 » Frequência de maturidade da capacidade e avaliações de otimização de 
custos.
 » Tendência dos resultados da avaliação.
 » Os níveis de satisfação de negócios e executivos de TI com custos e 
capacidades relacionados à TI.
 
Fonte: ISACA (2012b).
Metas específicas do processo
O quadro 9 apresenta algumas metas específicas do processo APO01 e suas respectivas 
métricas relacionadas.
Quadro 9. Metas específicas do processo à TI do APO01.
Metas do processo Métricas relacionadas
1. Um conjunto eficaz de políticas é definido e mantido.
 » Percenctual das políticas ativas, normas e outros facilitadores documentados.
 » Data das últimas atualizações para o framework e habilitadores.
 » Número de exposições de risco devido a deficiências na concepção do 
ambiente de controle.
2. Todo mundo está ciente das políticas e como elas devem ser 
implementadas.
 » Número de funcionários que participaram de sessões de formação e 
sensibilização.
 » Percentual de fornecedores de terceiros que têm contratos que definem 
requisitos de controle.
 
Fonte: ISACA (2012b).
76
UNIDADE III │ PROCESSOS DO COBIT5
Práticas do processo 
Algumas das práticas relacionadas ao processo APO01 são:
 » APO01.01 – Definir a estrutura organizacional: Estabelecer uma 
estrutura organizacional interna e estendida que reflete as necessidades 
de negócios e prioridades de TI. Colocar em prática as estruturas de 
gestão necessárias (por exemplo, comissões) que permitem a tomada de 
decisões de gestão de forma mais eficaz e eficiente.
 » APO01.02 – Estabelecer papéis e responsabilidades: Estabelecer, 
acordar e comunicar papéis e responsabilidades do pessoal de TI, bem 
como outros stakeholders da empresa com responsabilidades de TI, que 
refletem claramente as necessidades do negócio e objetivos de TI.
 » APO01.03 – Manter os habilitadores do sistema de gestão: 
Manter os habilitadores do sistema de gestão e controlar o ambiente de 
TI corporativo, garantindo que eles são integrados e alinhados com a 
governança corporativa e o estilo de gestão operacional.
 » APO01.04 – Comunicar os objetivos de gestão e direção: 
Comunicar os objetivos de TI e direção de forma consciente e 
compreensível para os stakeolders e os usuários em toda a empresa.
Padrões relacionados
 » ISO/IEC 20000. 
 » ISO/IEC 27002. 
 » ITIL V3 2011 (Melhoria de Serviço Continuada - item 4.1).
APO02 – Gerenciar a Estratégia 
Descrição do processo
Fornece uma visão holística do negócio e ambiente de TI atual, a direção futura, e as 
iniciativas necessárias para migrar para o ambiente futuro desejado. 
77
PROCESSOS DO COBIT5 │ UNIDADE III
Propósito geral do processo
Alinhar planos de TI estratégica aos objetivos de negócios. Comunicar claramente os 
objetivos e responsabilidades associados para que eles sejam compreendidos por todos, 
com as opções de TI estratégica identificados, estruturados e integrados com os planos 
de negócios.
Metas relacionadas à TI
O quadro 10 apresenta algumas metas relacionadas com a TI que o processo APO02 
apoia e suas respectivas métricas relacionadas.
Quadro 10. Metas relacionadas à TI do APO02.
Metas relacionadas à TI Métricas relacionadas
01. Alinhamento da TI e a estratégia de negócio
 » Percentual de objetivos e necessidades estratégicas da empresa suportados pelas 
metas de TI estratégicas.
 » Nível de satisfação das partes interessadas como escopo do portfólio planejado de 
programas e serviços.
 » Percentual de direcionadores de valor de TI mapeados para direcionadores de valor de 
negócios.
07 Entrega de serviços de TI em linha com os requisitos 
de negócios
 » Número de interrupções nos negócios devido ao fato de incidentes de serviço de TI.
 » Percentual de stakeholders do negócio satisfeitos com a entrega de serviços de TI 
acordadas nos níveis de serviço.
 » Percentual de usuários satisfeitos com a qualidade da prestação de serviços de TI.
17 Conhecimento, experiência e iniciativas de inovação 
no negócio
 » Nível de sensibilização e entendimento dos executivos de negócios das possibilidades 
de inovação da TI.
 » Nível de satisfação dos stakeholders, com níveis de inovação de ideiasde TI.
 » Número de iniciativas aprovadas resultantes de ideias inovadoras de TI.
 
Fonte: ISACA (2012b).
Metas específicas do processo
O quadro 11 apresenta as metas específicas do processo APO02 e suas respectivas 
métricas relacionadas.
78
UNIDADE III │ PROCESSOS DO COBIT5
Quadro 11. Metas específicas do processo à TI do APO02.
Metas do processo Métricas relacionadas
1. Todos os aspectos da estratégia de 
TI estão alinhados com a estratégia da 
empresa.
 » Percentual de objetivos na estratégia de TI que suportam a 
estratégia empresarial.
 » Percentual de objetivos empresariais abordados na estratégia de TI.
2. A estratégia de TI é custo-efetiva, 
adequada, realista, realizável, equilibrada e 
centrada na empresa.
 » Percentual de iniciativas na estratégia de TI que são autofinanciadas (benefícios 
financiados em excesso de custos).
 » Tendências em ROI das iniciativas incluídas na estratégia de TI.
 » Nível de satisfação dos stakeholders sobre a estratégia de TI.
 
Fonte: ISACA (2012a).
Práticas do processo
 » APO02.01 – Entender a direção da empresa: Considerar o 
ambiente empresarial atual e processos de negócio, bem como a estratégia 
da empresa e objetivos futuros. Considerar também o ambiente externo 
da empresa (direções da indústria, regulamentos relevantes, base para a 
concorrência).
 » APO02.02 – Estabelecer o ambiente, as capacidades e o 
desempenho atual: Avaliar o desempenho dos atuais negócios 
internos, capacidades de TI e serviços de TI externos, e desenvolver uma 
compreensão da arquitetura na empresa em relação a eles. Identificar 
problemas que estão ocorrendo atualmente e desenvolver recomendações 
em áreas que poderiam se beneficiar de melhorias. 
 » APO02.03 – Definir as capacidade de TI alvo: Definir as capacidades 
alvo de negócio e de TI e serviços de TI requeridos. 
 » APO02.04 – Conduzir uma análise de lacunas: Identificar as 
lacunas entre o ambiente atual e alvo e considerar o alinhamento de 
ativos (os recursos que suportam serviços) da empresas para otimizar o 
investimento e utilização de ativos internos e externos. 
Padrões relacionados
 » ISO/IEC 20000. 
 » ITIL V3 2011 (Estratégia de Serviço - item 4.1).
79
PROCESSOS DO COBIT5 │ UNIDADE III
APO03 – Gerenciar a Arquitetura Corporativa
Descrição do processo
Estabelece uma arquitetura comum que consiste em processos de negócios, informações, 
dados, aplicação e tecnologia para realizar de forma eficaz e eficiente as estratégias 
de negócio e de TI por meio da criação de modelos e práticas-chave que descrevem a 
arquitetura de linha de base.
Propósito geral do processo
Representar os diferentes blocos de construção que compõem a empresa e suas inter-
relações, bem como os princípios orientadores sua concepção ea evolução ao longo do 
tempo, permitindo uma entrega padrão, ágil e eficiente dos objetivos operacionais e 
estratégicos.
Metas relacionadas à TI
O quadro 12 apresenta algumas metas relacionadas com a TI que o processo APO03 
apoia e suas respectivas métricas relacionadas.
Quadro 12. Metas relacionadas à TI do APO03.
Metas relacionadas à TI Métricas relacionadas
01. Alinhamento da TI e a estratégia de negócio
 » Percentual de objetivos e necessidades estratégicas da empresa suportados pelas metas de 
TI estratégicas.
 » Nível de satisfação das partes interessadas como escopo do portfólio planejado de 
programas e serviços.
 » Percentual de direcionadores de valor de TI mapeados para direcionadores de valor de 
negócios.
09. Agilidade de TI
 » Nível de satisfação dos executivos de negócios com a capacidade de resposta da TI para 
novas exigências.
 » Número de processos críticos de negócio suportados por infraestrutura e aplicações de 
ponta.
 » Tempo médio para transformar objetivos estratégicos de TI em uma iniciativa aprovada.
11. Otimização de ativos, recursos e capacidades 
de TI
 » Frequência de maturidade da capacidade e avaliações de otimização de custos.
 » Tendência dos resultados da avaliação.
 » Os níveis de satisfação de negócios e executivos de TI com custos e capacidades 
relacionados à TI.
 
Fonte: ISACA (2012b).
80
UNIDADE III │ PROCESSOS DO COBIT5
Metas específicas do processo
O quadro 13 apresenta as metas específicas do processo APO03 e suas respectivas 
métricas relacionadas.
Quadro 13. Metas específicas do Processo à TI do APO03.
Metas do processo Métricas relacionadas
1. A arquitetura e as normas são eficazes no suporte 
à empresa.
 » Número de exceções a padrões de arquitetura e linhas de base aplicadas e concedidas.
 » Nível de feedback da arquitetura cliente.
 » Benefícios do projeto alcançados que podem ser rastreados até a arquitetura (por 
exemplo, redução de custos através da reutilização).
2. Um portfólio de serviços de arquitetura empresarial 
que suporta mudança ágil.
 » Percentual dos projetos que utilizam serviços de arquitetura corporativa.
 » Nível de feedback da arquitetura cliente.
 
Fonte: ISACA (2012a).
Práticas do processo 
 » APO03.01 – Desenvolver uma visão arquitetural da empresa: A 
visão arquitetural fornece uma descrição de alto das arquiteturas linhas 
de base e alvo, cobrindo os domínios do negócio, informações, dados, 
aplicação e de tecnologia. A visão arquitetural fornece ao patrocinador 
uma ferramenta chave para vender os benefícios da capacidade proposta 
para os stakeholders dentro do empreendimento. A visão arquitetural 
descreve como a nova capacidade vai cumprir as metas da empresa e 
objetivos estratégicos e as preocupações das partes interessadas.
 » APO03.02 – Definir a arquitetura referencial: A arquitetura 
referencial descreve as arquiteturas atuais e alvo para os domínios do 
negócio, informações, dados, aplicação e de tecnologia.
 » APO03.04 – Definir a implementalção da aquitetura: Criar uma 
implementação viável e plano de migração alinhados com os portfólios 
de programas e projetos. Certificar-se de que o plano está estreitamente 
coordenado para garantir que o valor é entregue e os recursos necessários 
estão disponíveis para concluir o trabalho necessário.
 » APO03.05 – Fornecer serviços de arquitetura empresarial: A 
prestação de serviços de arquitetura empresarial dentro da empresa inclui 
orientação e monitoração de projetos de implementação, formalizando 
81
PROCESSOS DO COBIT5 │ UNIDADE III
formas de trabalho através de contratos de arquitetura, e medindo e 
comunicando o valor agregado da arquitetura.
T2. Padrões relacionados
 » The Open Group Architecture Forum (TOGAF) 9.
82
UNIDADE IVPROCESSOS DO 
COBIT5 (CONT.)
CAPÍTULO 1
Construir, adquirir e implementar
O domínio Construir, Adquirir e Implementar (BAI) cobre a identificação, 
o desenvolvimento e/ou a aquisição de soluções de TI para executar a estratégia de 
TI estabelecida, assim como sua implementação e integração junto aos processos de 
negócio. 
Este domínio abrange 10 processos, os quais são (ISACA, 2012b):
 » BAI01 – Gerenciar Programas e Projetos: Gerenciar todos os 
programas e projetos do portfólio de investimentos em alinhamento 
com a estratégia da organização e de forma coordenada. Inicia, planeja, 
controla e executa programas e projetos, e finaliza com uma revisão pós-
implementação. 
 » BAI02 – Gerenciar a Definição de Requisitos: Identifica soluções 
e analisa os requisitos antes da aquisição ou criação para assegurar que 
eles estão em conformidade com os requisitos estratégicos corporativos 
que cobrem os processos de negócio, aplicações, informações/ dados, 
infraestrutura e serviços. Coordena com as partes interessadas afetadas a 
revisão de opções viáveis, incluindo custos e benefícios, análise de risco e 
aprovação de requisitos e soluções propostas. 
 » BAI03 – Gerenciar a Identificação eConstrução de Soluções: 
Estabelece e mantém soluções identificadas em conformidade com 
os requisitos da organização abrangendo design, desenvolvimento, 
aquisição/terceirização e parcerias com fornecedores/vendedores. 
Gerencia configuração, teste de preparação, testes, requisitos de gestão 
e manutenção dos processos de negócio, aplicações, informações/dados, 
infraestrutura e serviços. 
83
PROCESSOS DO COBIT5 (CONT.) │ UNIDADE IV
 » BAI04 – Gerenciar a Disponibilidade e Capacidade: Equilibra 
as necessidades atuais e futuras de disponibilidade, desempenho e 
capacidade de prestação de serviços de baixo custo. Inclui a avaliação 
de capacidades atuais, a previsão das necessidades futuras com base em 
requisitos de negócios, análise de impactos nos negócios e avaliação de 
risco para planejar e implementar ações para atender às necessidades 
identificadas. 
 » BAI05 – Gerenciar a Implementação de Mudança 
Organizacional: Maximiza a probabilidade de implementar com 
sucesso a mudança organizacional sustentável em toda a organização de 
forma rápida e com risco reduzido, cobrindo o ciclo de vida completo da 
mudança e todas as partes interessadas afetadas no negócio e TI. 
 » BAI06 – Gerenciar Mudanças: Gerencia todas as mudanças de uma 
maneira controlada, incluindo mudanças de padrão e de manutenção 
de emergência relacionadas com os processos de negócio, aplicações 
e infraestrutura. Isto inclui os padrões de mudança e procedimentos, 
avaliação de impacto, priorização e autorização, mudanças emergenciais, 
acompanhamento, elaboração de relatórios, encerramento e 
documentação. 
 » BAI07 – Gerenciar Aceite e Transição de Mudança: Aceita e produz 
formalmente novas soluções operacionais, incluindo planejamento de 
implementação do sistema, e conversão de dados, testes de aceitação, 
comunicação, preparação de liberação, promoção para produção de 
processos de negócios e serviços de TI novos ou alterados, suporte de 
produção e uma revisão pós-implementação. 
 » BAI08 – Gerenciar o Conhecimento: Mantém a disponibilidade de 
conhecimento relevante, atual, validado e confiável para suportar todas 
as atividades do processo e facilitar a tomada de decisão. Plano para a 
identificação, coleta, organização, manutenção, utilização e retirada de 
conhecimento. 
 » BAI09 – Gerenciar os Ativos: Gerencia os ativos de TI através de seu 
ciclo de vida para assegurar que seu uso agrega valor a um custo ideal. 
Os ativos permanecem operacionais e fisicamente protegidos e aqueles 
que são fundamentais para apoiar a capacidade de serviço são confiáveis 
e disponíveis. 
84
UNIDADE IV │ PROCESSOS DO COBIT5 (CONT.)
 » BAI10 – Gerenciar a Configuração: Define e mantém as descrições e 
as relações entre os principais recursos e as capacidades necessárias para 
prestar serviços de TI, incluindo a coleta de informações de configuração, 
o estabelecimento de linhas de base, verificação e auditoria de informações 
de configuração e atualizar o repositório de configuração. 
A seguir são apresentados de forma ampla, mas não exaustiva, alguns desses processos.
Todos os processos desse domínio podem ser encontrados em detalhes na 
publicação COBIT 5EnablingProcess, disponível em www.isaca.org.br/cobit.
BAI01 – Gerenciar Programas e Projetos
Descrição do processo
Gerenciar todos os programas e projetos do portfólio de investimentos em alinhamento 
com a estratégia da organização e de forma coordenada. Inicia, planeja, controla e 
executa programas e projetos, e finaliza com uma revisão pós-implementação. 
Propósito geral do processo
Perceber os benefícios de negócio e reduzir o risco de atrasos inesperados, custos e 
erosão de valor, melhorando a comunicação e envolvimento da empresa e usuários 
finais, garantindo o valor e a qualidade das entregas de projeto e maximizando a sua 
contribuição para o investimento e os serviços do portfólio.
Metas relacionadas à TI
O quadro 14 apresenta algumas metas relacionadas com a TI que o processo BAI01 
apoia e suas respectivas métricas relacionadas.
85
PROCESSOS DO COBIT5 (CONT.) │ UNIDADE IV
Quadro 14. Metas Relacionadas à TI do BAI01.
Metas relacionadas à TI Métricas relacionadas
01. Alinhamento da TI e a estratégia de negócio
Percentual de objetivos e necessidades estratégicas da empresa suportados 
pelas metas de TI estratégicas.
Nível de satisfação das partes interessadas com o escopo do portfólio 
planejado de programas e serviços.
Percentual de direcionadores de valor de TI mapeados para direcionadores 
de valor de negócios.
04. Riscos de negócio relacionados à TI gerenciados
Percentual dos processos críticos de negócio, serviços de TI e programas de 
negócios habilitadores de TI cobertos pela avaliação de risco.
Número de incidentes significativos relacionados à TI que não foram 
identificados na avaliação de risco.
Percentual de avaliações de risco, incluindo riscos relacionados à TI.
Frequência de atualização do perfil de risco.
13. Entrega de programas que entregam benefícios, no prazo, no 
orçamento, cumprindo requisitos e padrões de qualidade
Número de programas/projetos no prazo e dentro do orçamento.
Percentual de interessados satisfeitos com a qualidade do programa/projeto.
Número de programas que necessitam de retrabalho devido a defeitos de 
qualidade.
Custo de manutenção da aplicação vs. custo global de TI.
 
Fonte: ISACA (2012b).
Metas específicas do processo
O quadro 15 apresenta as metas específicas do processo BAI01 e suas respectivas 
métricas relacionadas.
Quadro 15. Metas específicas do processo à TI do BAI01.
Metas do processo Métricas relacionadas
1. Os stakeholders estão envolvidos nos programas e 
projetos. 
 » Percentual dos stakeholders efetivamente interessados.
 » Nível de satisfação dos stakeholders envolvidos.
2. O escopo e os resultados dos programas e projetos são 
viáveis e alinhados com os objetivos.
 » Percentual dos stakeholders que aprovam a necessidade da empresa, escopo, 
resultados planejados e nível de risco do projeto.
 » Percentual de projetos realizados sem casos de negócios aprovados.
 
Fonte: ISACA (2012b).
Práticas do processo 
 » BAI01.01 – Manter uma abordagem padrão para a gestão de 
programas e projetos: Manter uma abordagem padrão para a gestão 
de programas e projetos que permita revisão da governança e gestão e 
tomada de decisão, e entrega de atividades de gestão focadas na obtenção 
de valor e metas (requisitos, riscos, custos, cronograma, qualidade) para 
o negócio de uma forma consistente.
86
UNIDADE IV │ PROCESSOS DO COBIT5 (CONT.)
 » BAI01.02 – iniciar um programa: Iniciar um programa para 
confirmar os benefícios esperados e obter autorização para prosseguir. 
Isso inclui concordância com os patrocinadores do programa, confirmação 
do mandato do programa através da aprovação do conceitual dos casos 
de negócio, nomeação do corpo executivo do programa ou os membros 
da comissão etc.
 » BAI01.03 – Gerenciar o envolvimento dos stakeholders: 
Gerenciar o envolvimento dos stakeholders para garantir um ativo para 
troca de informações precisas, consistentes e oportunas que atinge todos 
os stakeholders. Isso inclui planejamento, identificação e envolvimento 
dos stakeholders e gestão de suas expectativas.
 » BAI01.04 – Desenvolver e manter o plano do programa: 
Formular um programa para lançar as bases iniciais e posicioná-lo 
para uma execução bem-sucedida, formalizando o escopo do trabalho a 
ser realizado e identificar as entregas que irão satisfazer as suas metas 
e entregar valor. Manter e atualizar o plano do programa e casos de 
negócio em todo ciclo de vida do programa, garantindo o alinhamento 
com objetivos estratégicos.
 » BAI01.05 – Lançar e executar o programa: Lançar e executar o 
programa para adquirir e direcionaros recursos necessários para cumprir 
as metas e benefícios do programa, tal como definido no programa plano. 
 » BAI01.06 – Monitoração, controle e relatório sobre os 
resultados do programa: Monitoração e controle do programa 
(entrega da solução) e do desempenho da empresa contra o plano durante 
todo o ciclo de vida do programa.
Padrões relacionados
 » Project Management Body of Knowledge(PMBOK). 
 » PRojects IN Controlled Environments 2 (PRINCE2).
87
PROCESSOS DO COBIT5 (CONT.) │ UNIDADE IV
BAI04 – Gerenciar Disponibilidade e 
Capacidade
Descrição do processo
Equilibra as necessidades atuais e futuras de disponibilidade, desempenho e capacidade 
de prestação de serviços de baixo custo. Inclui a avaliação de capacidades atuais, 
a previsão das necessidades futuras com base em requisitos de negócios, análise de 
impactos nos negócios e avaliação de risco para planejar e implementar ações para 
atender as necessidades identificadas. 
Propósito geral do processo
Manter a disponibilidade do serviço, gestão eficiente dos recursos e a otimização do 
desempenho do sistema através da previsão do desempenho futuro e requisitos de 
capacidade.
Metas relacionadas à TI
O quadro 16 apresenta algumas metas relacionadas com a TI que o processo BAI04 
apoia e suas respectivas métricas relacionadas.
Quadro 16. Metas relacionadas à TI do BAI04.
Metas relacionadas à TI Métricas relacionadas
07 Entrega de serviços de TI em linha com os requisitos 
de negócios
 » Número de interrupções nos negócios devido ao fato de incidentes de serviço de TI.
 » Percentual de stakeholders do negócio satisfeitos com a entrega de serviços de TI 
acordadas nos níveis de serviço.
 » Percentual de usuários satisfeitos com a qualidade da prestação de serviços de TI.
11. Otimização de ativos, recursos e capacidades de TI
 » Frequência de maturidade da capacidade e avaliações de otimização de custos.
 » Tendência dos resultados da avaliação.
 » Os níveis de satisfação de negócios e executivos de TI com custos e capacidades 
relacionados à TI.
14. Disponibilidade de informação útil e confiável para 
tomada de decisão
 » Nível de satisfação dos usuários de negócios com a qualidade e oportunidade (ou 
disponibilidade) da informação.
 » Número de incidentes de processos de negócios causados por falta de 
disponibilidade de informação.
 
Fonte: ISACA (2012b).
88
UNIDADE IV │ PROCESSOS DO COBIT5 (CONT.)
Metas específicas do processo
O quadro 17 apresenta as metas específicas do processo BAI04 e suas respectivas 
métricas relacionadas.
Quadro 17. Metas específicas do processo à TI do BAI04.
Metas do processo Métricas relacionadas
1. O plano de disponibilidade antecipa a expectativa de negócio de 
requisitos de capacidade críticos.
 » Número de atualizações de capacidade, desempenho ou 
confiabilidade não planejadas.
2. Capacidade, desempenho e disponibilidade atendem aos requisitos.
 » Número de picos de transações em que o desempenho objetivo for 
ultrapassado.
 » Número de incidentes de disponibilidade.
 » Número de eventos onde a capacidade excedeu os limites 
planejados.
 
Fonte: ISACA (2012b).
Práticas do processo
 » BAI01.01 – Avaliar a disponibilidade, o desempenhoe 
capacidade atuais e criar uma linha de base: Avaliar a 
disponibilidade, desempenho e capacidade dos serviços e recursos para 
garantir que a capacidade e desempenho de custo justificável estejam 
disponíveis para apoiar as necessidades de negócios. Criar linhas de base 
de disponibilidade, desempenho e capacidade para comparação futura.
 » BAI01.02 – Avaliar o impacto nos negócios: Identificar serviços 
importantes para a empresa, mapa serviços e recursos para processos de 
negócios, e identificar dependências de negócios. Certificar-se de que o 
impacto dos recursos indisponíveis está totalmente acordado e aceito pelo 
cliente. Certificar-se que, para as funções vitais do negócio, os requisitos 
de disponibilidade acordados estejam satisfeitos.
 » BAI01.03 – Palno para requisitos de serviço novos ou alterados: 
Planejar e priorizar disponibilidade, desempenho e capacidade implicados 
da evolução das necessidades de negócios e requisitos de serviço.
 » BAI01.04 – Acompanhar e revisar a disponibilidade e 
a capacidade: Monitorar, medir, analisar, comunicar e avaliar 
disponibilidade, desempenho e capacidade. Identificar desvios das linhas 
de base estabelecidas. Reportar a análise de avaliação para identificar 
quaisquer problemas.
89
PROCESSOS DO COBIT5 (CONT.) │ UNIDADE IV
Padrões relacionados
 » ISO/IEC 20000. 
 » ITIL V3 2011 (Projeto de Serviço, itens 4.4. e 4.5).
BAI06 – Gerenciar Mudanças
Descrição do processo
Gerencia todas as mudanças de uma maneira controlada, incluindo mudanças de padrão 
e de manutenção de emergência relacionadas com os processos de negócio, aplicações 
e infraestrutura. Isto inclui os padrões de mudança e procedimentos, avaliação de 
impacto, priorização e autorização, mudanças emergenciais, acompanhamento, 
elaboração de relatórios, encerramento e documentação. 
Propósito geral do processo
Permitir a entrega rápida e confiável de mudança para o negócio e mitigação do risco de 
impactar negativamente a estabilidade ou integridade do ambiente alterado.
Metas relacionadas à TI
O quadro 18 apresenta algumas metas relacionadas com a TI que o processo BAI06 
apoia e suas respectivas métricas relacionadas.
Quadro 18. Metas relacionadas à TI do BAI06.
Metas relacionadas à TI Métricas relacionadas
04. Riscos de negócio relacionados à TI gerenciados
 » Percentual dos processos críticos de negócio, serviços de TI e programas de negócios 
habilitadores de TI cobertos pela avaliação de risco.
 » Número de incidentes significativos relacionados à TI que não foram identificados na 
avaliação de risco.
 » Percentual de avaliações de risco, incluindo riscos relacionados à TI.
 » Frequência de atualização do perfil de risco.
07. Entrega de serviços de TI em linha com os 
requisitos de negócios
 » Número de interrupções nos negócios devido ao fato de incidentes de serviço de TI.
 » Percentual de stakeholders do negócio satisfeitos com a entrega de serviços de TI 
acordadas nos níveis de serviço.
 » Percentual de usuários satisfeitos com a qualidade da prestação de serviços de TI.
90
UNIDADE IV │ PROCESSOS DO COBIT5 (CONT.)
10. Segurança da informação, infraestrutura de 
processamento e aplicações
 » Número de incidentes de segurança causando prejuízos financeiros, interrupção dos 
negócios ou constrangimento público.
 » Número de serviços de TI com requisitos de segurança pendentes.
 » Tempo para conceder, alterar e remover privilégios de acesso, em comparação com os 
níveis de serviço acordados.
 » Frequência de avaliação de segurança contra normas e diretrizes mais recentes.
 
Fonte: ISACA (2012b).
Metas específicas do processo
O quadro 19 apresenta as metas específicas do processo BAI06 e suas respectivas 
métricas relacionadas.
Quadro 19. Metas específicas do processo à TI do BAI06.
Metas do processo Métricas relacionadas
1. Mudanças autorizadas são feitas em tempo hábil e com 
quantidade mínima de erros.
 » Quantidade de retrabalho causado por alterações que falharam.
 » Redução do tempo e esforço necessários para fazer mudanças.
 » Número de mudanças emergenciais requisitadas.
2. As avaliações de impacto revelam o efeito da mudança em todos 
os componentes afetados.
 » Percentual de mudanças mal sucedidas devido a avaliações de 
impacto inadequadas.
 
Fonte: ISACA (2012b).
Práticas do processo
 » BAI06.01 – Avaliar, priorizar e autorizar pedidos de mudança: 
Avaliar todos os pedidos de mudança para determinar o impacto nos 
processos de negócios e serviços de TI, e para avaliar se a mudançavai 
afetar negativamente o funcionamento do ambiente e introduzir risco 
inaceitável. Garantir que as mudanças sejam registradas, priorizadas, 
categorizadas, avaliadas, autorizadas, planejadas e agendadas.
 » BAI06.02 – Gerenciar mudanças de emergência: Gerenciar 
cuidadosamente as mudanças de emergência para minimizar novos 
incidentes e garantir que a mudança é controlada e realizada de forma 
segura. Verificar que as mudanças de emergência sejam devidamente 
avaliadas e autorizads após as alterações.
 » BAI06.03 –Rastreae e reportar as situações das mudanças: 
Manter um sistema de monitoramento e relatórios para documentar 
91
PROCESSOS DO COBIT5 (CONT.) │ UNIDADE IV
mudanças rejeitadas e comunicar as situações das mudanças no processo 
(aprovas, completas). Certificar que as mudanças aprovadas sejam 
implementadas como planejado.
» BAI 06.04–Fechar e documentar as alterações: Sempre que as mudanças 
forem implementadas, atualizar consequentemente a solução e documentação 
do usuário e os procedimentos afetados pela mudança.
Padrões relacionados
 » ISO/IEC 20000. 
 » ITIL V3 2011 (Transição de Serviço, item4.2).
92
CAPÍTULO 2
Entregar, reparar e suportar
O domínio Entregar, Reparar e Suportar (DSS) cobre a entrega propriamente 
dita dos serviços requeridos, incluindo gestão da segurança e continuidade, reparo 
de equipamentos e demais itens relacionados, suporte aos serviços para os usuários, 
gestão dos dados e da infraestrutura operacional. 
Este domínio abrange 6 processos, os quais são (ISACA, 2012b):
 » DSS01 – Gerenciar as Operações: Coordena e executa as atividades 
e procedimentos operacionais necessários para entregar serviços de 
TI internos e terceirizados, incluindo a execução de procedimentos 
operacionais, padrões pré-definidos e as atividades exigidas.
 » DSS02 – Gerenciar Requisições de Serviço e Incidentes: Fornecer 
uma resposta rápida e eficaz às solicitações dos usuários e resolução 
de todos os tipos de incidentes. Restaurar o serviço normal; recorde e 
atender às solicitações dos usuários e registro, investigar, diagnosticar, 
escalar e solucionar incidentes.
 » DSS03 – Gerenciar Problemas: Identifica e classifica os problemas 
e suas causas-raízes e fornece resolução para prevenir incidentes 
recorrentes. Fornece recomendações de melhorias.
 » DSS04 – Gerenciar a Continuidade: Estabelece e mantém um plano 
para permitir o negócio e TI responder a incidentes e interrupções, a fim 
de continuar a operação de processos críticos de negócios e serviços de 
TI necessários e mantém a disponibilidade de informações em um nível 
aceitável para a organização.
 » DSS05 – Gerenciar Serviços de Segurança: Protege informações 
da organização para manter o nível de risco aceitável para a segurança 
da informação da organização, de acordo com a política de segurança. 
Estabelece e mantém as funções de segurança da informação e privilégios 
de acesso e realiza o monitoramento de segurança.
 » DSS06 – Gerenciar os Controles de Processos de Negócio: 
Define e mantém controles de processo de negócio apropriados para 
93
PROCESSOS DO COBIT5 (CONT.) │ UNIDADE IV
assegurar que as informações relacionadas e processadas satisfaçam 
todos os requisitos de controle de informações relevantes.
A seguir são apresentados de forma ampla, mas não exaustiva, alguns desses processos.
Todos os processos desse domínio podem ser encontrados em detalhes na 
publicação COBIT 5EnablingProcess, disponível em www.isaca.org.br/cobit.
DSS03 – Gerenciar Problemas
Descrição do processo
Identifica e classifica os problemas e suas causas-raízes, e fornece resolução para 
prevenir incidentes recorrentes. Fornece recomendações de melhorias.
Propósito geral do processo
Aumentar a disponibilidade, melhorar níveis de serviço, reduzir custos e melhorar a 
satisfação do cliente através da redução do número de problemas de operações.
Metas relacionadas à TI
O quadro 20 apresenta algumas metas relacionadas com a TI que o processo DSS03 
apoia e suas respectivas métricas relacionadas.
Quadro 20. Metas relacionadas à TI do DSS03.
Metas relacionadas à TI Métricas relacionadas
04. Riscos de negócio relacionados à TI 
gerenciados
 » Percentual dos processos críticos de negócio, serviços de TI e programas de negócios 
habilitadores de TI cobertos pela avaliação de risco.
 » Número de incidentes significativos relacionados à TI que não foram identificados na 
avaliação de risco.
 » Percentual de avaliações de risco, incluindo riscos relacionados à TI.
 » Frequência de atualização do perfil de risco.
07. Entrega de serviços de TI em linha com os 
requisitos de negócios
 » Número de interrupções nos negócios devido ao fato de incidentes de serviço de TI.
 » Percentual de stakeholders do negócio satisfeitos com a entrega de serviços de TI 
acordadas nos níveis de serviço.
 » Percentual de usuários satisfeitos com a qualidade da prestação de serviços de TI.
94
UNIDADE IV │ PROCESSOS DO COBIT5 (CONT.)
11. Otimização de ativos, recursos e capacidades 
de TI
 » Frequência de maturidade da capacidade e avaliações de otimização de custos.
 » Tendência dos resultados da avaliação.
 » Os níveis de satisfação de negócios e executivos de TI com custos e capacidades 
relacionados à TI.
 
Fonte: ISACA (2012b).
Metas específicas do processo
O quadro 21 apresenta as metas específicas do processo DSS03 e suas respectivas 
métricas relacionadas.
Quadro 21. Metas específicas do processo à TI do DSS03.
Metas do processo Métricas relacionadas
1. Problemas relacionados à TI sejam resolvidos de modo que 
eles não se repitam.
 » Diminuição do número de incidentes recorrentes causados por problemas 
não resolvidos.
 » Percentual de incidentes graves para os quais os problemas foram 
registrados.
 » Percentual de soluções definidas para problemas em aberto.
 » Percentual de problemas registrados como parte do problema proativo.
 » Número de problemas para os quais uma solução satisfatória encontra as 
causas.
 
Fonte: ISACA (2012b).
T2. Práticas do processo 
 » DSS03.01 – Identificar e classificar os problemas: Definir 
e implementar critérios e procedimentos para reportar problemas 
identificados, incluindo a classificação problema, categorização e 
priorização.
 » DSS03.02 – Investigar e diagnosticar problemas: Investigar e 
diagnosticar problemas usando especialistas em gestão para avaliar e 
analisar a raiz dos problemas.
 » DSS 03.03 – Levantar erros conhecidos: Assim que são identificadas 
as causas dos problemas, criar registros de erros conhecidos e uma 
adequada solução alternativa, e identificar possíveis soluções.
 » DSS03.04 – Resolver e fechar problemas: Identificar e iniciar 
soluções sustentáveis que abordam a causa raiz, levantando solicitações 
de mudança através do processo de mudança estabelecido, se necessário 
95
PROCESSOS DO COBIT5 (CONT.) │ UNIDADE IV
para resolver erros. Assegurar que as pessoas afetadas estão cientes das 
ações tomadas e os planos desenvolvidos para evitar incidentes futuros.
Padrões relacionados
 » ISO/IEC 20000. 
 » ITIL V3 2011 (Operação de Serviço, item4.4).
DSS04 – Gerenciar a Continuidade
Descrição do processo
Estabelece e mantém um plano para permitir o negócio e TI responder a incidentes e 
interrupções, a fim de continuar a operação de processos críticos de negócios e serviços 
de TI necessários e mantém a disponibilidade de informações em um nível aceitável 
para a organização.
Propósito geral do processo
Continuar as operações críticas de negócios e manter a disponibilidade de informações 
em um nível aceitável para a empresa em caso de uma perturbação significativa.
Metas relacionadas à TI
O quadro 22 apresenta algumas metas relacionadas com a TI que o processo DSS04apoia e suas respectivas métricas relacionadas.
96
UNIDADE IV │ PROCESSOS DO COBIT5 (CONT.)
Quadro 22. Metas Relacionadas à TI do DSS04.
Metas relacionadas à TI Métricas relacionadas
04. Riscos de negócio relacionados à TI 
gerenciados
 » Percentual dos processos críticos de negócio, serviços de TI e programas de negócios 
habilitadores de TI cobertos pela avaliação de risco.
 » Número de incidentes significativos relacionados à TI que não foram identificados na 
avaliação de risco.
 » Percentual de avaliações de risco, incluindo riscos relacionados à TI.
 » Frequência de atualização do perfil de risco.
07. Entrega de serviços de TI em linha com os 
requisitos de negócios
 » Número de interrupções nos negócios devido ao fato de incidentes de serviço de TI.
 » Percentual de stakeholders do negócio satisfeitos com a entrega de serviços de TI 
acordadas nos níveis de serviço.
 » Percentual de usuários satisfeitos com a qualidade da prestação de serviços de TI.
14. Disponibilidade de informação útil e confiável 
para tomada de decisão
 » Nível de satisfação dos usuários de negócios com a qualidade e oportunidade (ou 
disponibilidade) da informação.
 » Número de incidentes de processos de negócios causados por falta de disponibilidade 
de informação.
 
Fonte: ISACA (2012b).
Metas específicas do processo
O quadro 23 apresenta as metas específicas do processo DSS04 e suas respectivas 
métricas relacionadas.
Quadro 23. Metas específicas do processo à TI do DSS04.
Metas do Processo Métricas Relacionadas
1. Informações críticas de negócios disponíveis para o negócio de 
acordo com os
níveis de serviço mínimos necessários.
 » Percentual de serviços de TI que atendem aos requisitos de tempo de 
atividade.
 » Percentual de restauração bem sucedida de backup.
 » Percentual de mídia de backup transferida e armazenada de forma 
segura.
2. Resiliência suficiente para serviços críticos. » Número de sistemas de negócio críticos não cobertos pelo plano.
 
Fonte: ISACA (2012b).
Práticas do processo 
 » DSS04.01 – Definir a política, objetivos e escopo de continuidade 
de negócios: Definir a política de continuidade de negócios alinhada 
com objetivos da empresa e dos stakeholders. 
 » DSS04.02 – Manter uma estratégia de continuidade: Avaliar as 
opções de gestão de continuidade de negócios e escolher uma estratégia 
de continuidade rentável e viável.
97
PROCESSOS DO COBIT5 (CONT.) │ UNIDADE IV
 » DSS04.03 – Desenvolver e implementar um negócio resposta 
continuidade: Desenvolver um plano de continuidade de negócios com 
base na estratégia que documenta os procedimentos e informações para o 
uso em um incidente de forma a permitir que a empresa possa prosseguir 
as suas atividades críticas.
 » DSS04.05 – Revisar, manter e melhorar o plano de 
continuidade: Conduzir uma revisão da gestão da continuidade e 
capacidade em intervalos regulares para garantir a sua continuidade, 
pertinência, adequação e eficácia.
Padrões relacionados
 › BS 25999:2007 (Business Continuity Standard). 
 › ISO/IEC 20000. 
 › ISO/IEC 27002:2011. 
 › ITIL V3 2011 (Projeto de Serviço, item 4.6).
DSS05 – Gerenciar Serviços de Segurança
Descrição do processo
Protege informações da organização para manter o nível de risco aceitável para a 
segurança da informação da organização, de acordo com a política de segurança. 
Estabelece e mantém as funções de segurança da informação e privilégios de acesso e 
realiza o monitoramento de segurança.
Propósito geral do processo
Minimizar o impacto nos negócios de vulnerabilidades de segurança de informação 
operacional e incidentes.
Metas relacionadas à TI
O quadro 24 apresenta algumas metas relacionadas com a TI que o processo DSS05 
apoia e suas respectivas métricas relacionadas.
98
UNIDADE IV │ PROCESSOS DO COBIT5 (CONT.)
Quadro 24. Metas Relacionadas à TI do DSS05.
Metas relacionadas à TI Métricas relacionadas
02. Conformidade e suporte de TI para conformidade de 
negócio relacionada a leis e regulamentações externas
 » Custo de TI não cumprida, incluindo liquidações e multas, e o impacto da 
perda de reputação.
 » Número de questões relacionadas à TI não cumpridas reportadas ou que 
causam comentários público ou constrangimento.
 » Número de questões não cumpridas relativas aos acordos contratuais com 
prestadores de serviços.
 » Cobertura das avaliações de conformidade.
04. Riscos de negócio relacionados à TI gerenciados
 » Percentual dos processos críticos de negócio, serviços de TI e programas de 
negócios habilitadores de TI cobertos pela avaliação de risco.
 » Número de incidentes significativos relacionados à TI que não foram 
identificados na avaliação de risco.
 » Percentual de avaliações de risco, incluindo riscos relacionados à TI.
 » Frequência de atualização do perfil de risco.
10. Segurança da informação, infraestrutura de processamento 
e aplicações
 » Número de incidentes de segurança causando prejuízos financeiros, 
interrupção dos negócios ou constrangimento público.
 » Número de serviços de TI com requisitos de segurança pendentes.
 » Tempo para conceder, alterar e remover privilégios de acesso, em 
comparação com os níveis de serviço acordados.
 » Frequência de avaliação de segurança contra normas e diretrizes mais 
recentes. 
 
Fonte: ISACA (2012b).
Metas específicas do processo
O quadro 25 apresenta as metas específicas do processo DSS05 e suas respectivas 
métricas relacionadas.
Quadro 25. Metas específicas do processo à TI do DSS05.
Metas do processo Métricas relacionadas
1. Segurança de redes e comunicações atendem às necessidades do negócio.
 » Número de vulnerabilidades descobertas.
 » Número de violações de firewall.
2. Informações eletrônicas estão devidamente protegidas quando 
armazenadas, transmitidasou destruídas.
 » Número de incidentes relacionados com acesso não autorizado 
a informações.
 
Fonte: ISACA (2012b).
Práticas do processo 
 » DSS05.01 – Proteger contra malware: Implementar e manter 
medidas preventivas, de detecção e correção em vigor em toda a empresa 
para proteger os sistemas de tecnologia da informação de malware (por 
exemplo, vírus, worms, spyware, spam). 
99
PROCESSOS DO COBIT5 (CONT.) │ UNIDADE IV
 » DSS05.02 – Gerenciar a segurança de redes e conectividade: 
Usar medidas de segurança e de gestão relacionadas para proteger a 
informação sobre todos os métodos de conectividade.
 » DSS05.04 – Gerenciar identidade do usuário e acesso lógico: 
Certificar-se que todos os usuários tenham direitos de acesso a informações 
de acordo com as suas necessidades de negócios e coordenar para que as 
unidades de negócios gerem seus próprios direitos de acesso dentro dos 
processos de negócios.
 » DSS05.05 – Gerenciar o acesso físico aos ativos de TI: Definir e 
implementar procedimentos de concessão, limite e revogação do acesso 
às instalações, edifícios e áreas de acordo com as necessidades do negócio, 
incluindo emergências. Acesso às instalações, aos edifícios e às áreas deve 
ser justificado, autorizado, registrado e monitorado. Isto deve aplicar-se 
a todas as pessoas, incluindo funcionários, agentes temporários, clientes, 
fornecedores, visitantes ou qualquer outro terceiro.
T2. Padrões relacionados
 » ISO/IEC 27002:2011. 
 » NIST SP800-53 Rev 1. 
 » ITIL V3 2011 (Operação de Serviço, item 4.5).
100
CAPÍTULO 3
Monitorar, avaliar e medir
O domínio Monitorar, Avaliar e Medir (MEA) visa assegurar a qualidade dos 
processos de TI, assim como a sua governança e conformidade com os objetivos de 
controle, através de mecanismos regulares de acompanhamento, monitoração de 
controles internos e de avaliações internas e externas.
Este domínio abrange 3 processos, os quais são (ISACA, 2012b):
 » MEA01 –Monitorar, Avaliar e Medir o Desempenho e 
Conformidade: Coleta, valida e avalia os objetivos e métricas do 
processo de negócios e de TI. Monitora se os processos estão realizando 
conforme metas e métricas de desempenho e conformidade acordadas e 
fornece informação que é sistemática e oportuna.
 » MEA02 – Monitorar, Avaliar e Medir o Sistema de Controle 
Interno: Monitora e avalia continuamente o ambiente de controle, 
incluindo autoavaliações e análises de avaliações independentes. Permite 
a gestão de identificar deficiências de controle e ineficiências e iniciar 
ações de melhoria.
 » MEA03 – Monitorar, Avaliar e Medir a Conformidade com 
Requisitos Externos: Avalia se processos de TI e processos de negócios 
suportados pela TI estão em conformidade com as leis, regulamentos 
e exigências contratuais. Obtém a garantia de que os requisitos foram 
identificados e respeitados, e integrá-los à conformidade com o 
cumprimento global da organização.
A seguir são apresentados de forma ampla, mas não exaustiva, alguns desses processos.
Todos os processos desse domínio podem ser encontrados em detalhes na 
publicação COBIT 5EnablingProcess, disponível em www.isaca.org.br/cobit.
101
PROCESSOS DO COBIT5 (CONT.) │ UNIDADE IV
MEA01 – Monitorar, Avaliar e Medir o 
Desempenho e Conformidade
Descrição do processo
Coleta, valida e avalia os objetivos e métricas do processo de negócios e de TI. 
Monitora se os processos estão realizando conforme metas e métricas de desempenho 
e conformidade acordadas e fornece informação que é sistemática e oportuna.
Propósito geral do processo
Fornecer transparência do desempenho e conformidade e direcionar o alcance dos 
objetivos.
Metas relacionadas à TI
O quadro 26 apresenta algumas metas relacionadas com a TI que o processo MEA01 
apoia e suas respectivas métricas relacionadas.
Quadro 26. Metas relacionadas à TI do MEA01.
Metas relacionadas à TI Métricas relacionadas
04. Riscos de negócio relacionados à TI 
gerenciados
 » Percentual dos processos críticos de negócio, serviços de TI e programas de negócios 
habilitadores de TI cobertos pela avaliação de risco.
 » Número de incidentes significativos relacionados à TI que não foram identificados na 
avaliação de risco.
 » Percentual de avaliações de risco, incluindo riscos relacionados à TI.
 » Frequência de atualização do perfil de risco.
07. Entrega de serviços de TI em linha com os 
requisitos de negócios
 » Número de interrupções nos negócios devido ao fato de incidentes de serviço de TI.
 » Percentual de stakeholders do negócio satisfeitos com a entrega de serviços de TI 
acordadas nos níveis de serviço.
 » Percentual de usuários satisfeitos com a qualidade da prestação de serviços de TI.
11. Otimização de ativos, recursos e capacidades 
de TI
 » Frequência de maturidade da capacidade e avaliações de otimização de custos.
 » Tendência dos resultados da avaliação.
 » Os níveis de satisfação de negócios e executivos de TI com custos e capacidades 
relacionados à TI.
 
Fonte: ISACA (2012b).
Metas específicas do processo
O quadro 27 apresenta as metas específicas do processo MEA01 e suas respectivas 
métricas relacionadas.
102
UNIDADE IV │ PROCESSOS DO COBIT5 (CONT.)
quadro 27. Metas específicas do processo à TI do MEA01.
Metas do processo Métricas relacionadas
1. Objetivos e métricas aprovados pelos stakeholders » Percentual de metas e métricas aprovadas pelos stakeholders.
2. Os processos medidos em relação às metas e métricas acordadas. » Percentual de processos com metas e métricas definidas.
 
Fonte: ISACA (2012b).
T2. Práticas do processo 
 » MEA01.01 – Estabelecer uma abordagem de fiscalização: 
Envolver-se com os stakeholders para estabelecer e manter uma 
abordagem de monitoramento para definir os objetivos, escopo e método 
para medir a solução de negócios e serviço entrega e contribuição para os 
objetivos da empresa. 
 » MEA01.02 – Estabelecer metas de desempenho e conformidade: 
Trabalhar com os stakeholders para definir, rever, atualizar e aprovar 
periodicamente o desempenho e conformidade alvos dentro do sistema 
de medição de desempenho.
 » MEA01.03 – Coletar os dados do processo de desempenho 
e conformidade: Coletar e processar dados oportunos e precisos 
alinhados com abordagens empresariais.
 » MEA01.04 – Analisar e reportar o desempenho: Periodicamente 
revisar e reportar o desempenho em relação aos alvos, utilizando um 
método que forneça uma visão geral do desempenho de TI e que se 
encaixa dentro do sistema de monitoramento da empresa.
Padrões relacionados
 » ISO/IEC 20000. 
 » ITIL V3 2011 (Melhoria de Serviço Continuada, item 4.1).
103
PROCESSOS DO COBIT5 (CONT.) │ UNIDADE IV
MEA02 – Monitorar, Avaliar e Medir o Sistema 
de Controle Interno
Descrição do processo
Monitora e avalia continuamente o ambiente de controle, incluindo autoavaliações 
e análises de avaliações independentes. Permite a gestão identificar deficiências de 
controle e ineficiências e iniciar ações de melhoria.
Propósito geral do processo
Obter transparência para as principais partes interessadas sobre a adequação do 
sistema de controles internos e, assim, proporcionar confiança em operações, confiança 
na realização dos objetivos da empresa e uma compreensão adequada do risco residual.
Metas relacionadas à TI
O quadro 28 apresenta algumas metas relacionadas com a TI que o processo MEA02 
apoia e suas respectivas métricas relacionadas.
Quadro 28. Metas relacionadas à TI do MEA02.
Metas relacionadas à TI Métricas relacionadas
02. Conformidade e suporte de TI para conformidade de 
negócio relacionada a leis e regulamentações externas
 » Custo de TI não cumprida, incluindo liquidações e multas, e o impacto da perda de 
reputação.
 » Número de questões relacionadas à TI não cumpridas reportadas ou que causam 
comentários públicos ou constrangimento.
 » Número de questões não cumpridas relativas aos acordos contratuais com 
prestadores de serviços.
 » Cobertura das avaliações de conformidade.
04. Riscos de negócio relacionados à TI gerenciados
 » Percentual dos processos críticos de negócio, serviços de TI e programas de 
negócios habilitadores de TI cobertos pela avaliação de risco.
 » Número de incidentes significativos relacionados à TI que não foram identificados na 
avaliação de risco.
 » Percentual de avaliações de risco, incluindo riscos relacionados à TI.
 » Frequência de atualização do perfil de risco.
15. Conformidade da TI com as políticas 
internas
 » Número de incidentes relacionados com a não conformidade com a política.
 » Percentual de interessados que entendem as políticas.
 » Percentual de políticas apoiadas por normas eficazes e práticas de trabalho.
 » Frequência de políticas de revisão e atualização.
Fonte: ISACA (2012b).
104
UNIDADE IV │ PROCESSOS DO COBIT5 (CONT.)
Metas específicas do processo
O quadro 29 apresenta as metas específicas do processo MEA02 e suas respectivas 
métricas relacionadas.
Quadro 29. Metas específicas do processo à TI do MEA02.
Metas do processo Métricas relacionadas
1. Os processos, recursos e informações de controle interno 
da empresa 
adequados aos requisitos do sistema.
 » Percentual de processos com cumprimento de metas de produção dentro de 
tolerâncias.
 » Percentual de processos compatíveis com os objetivos de controle interno.
2. Todas as iniciativas de garantia planejadas e executadas de 
forma eficaz. 
 » Percentual de iniciativas de garantia de acordo com padrões do programa e 
do plano.
 
Fonte: ISACA (2012b).
Práticas do processo 
 » MEA02.01 – Monitorar os controles internos: Continuamente 
controlar, avaliar e melhorar o controle do ambiente interno da TI para 
atender objetivos organizacionais.
 » MEA02.03– Realizar o controle de auto avaliações: Incentivar 
os proprietários de gestão e processos para tomar medidas positivas de 
melhoria de controle através de um programa de auto avaliação continua.
 » MEA 02.04 – Identificar e reportar deficiências de controle: 
Identificar deficiências de controle e analisar e identificar suas causas 
subjacentes. Aumentar o controle deficiências e reportar aos stakeholders.
 » MEA02.06 – Planejar iniciativas de garantia: Planejar iniciativas de 
garantia com base em objetivos empresariais e prioridades estratégicas, o 
risco inerente, recursos restrições e conhecimento suficiente da empresa.
Padrões relacionados
 » Nenhum.
105
PROCESSOS DO COBIT5 (CONT.) │ UNIDADE IV
MEA03 – Monitorar, Avaliar e Medir a 
Conformidade com Requisitos Externos
Descrição do processo
Avalia se processos de TI e processos de negócios suportados pela TI estão em 
conformidade com as leis, regulamentos e exigências contratuais. Obtém a garantia de 
que os requisitos foram identificados e respeitados, e integrá-los à conformidade com o 
cumprimento global da organização.
Propósito geral do processo
Garantir que a empresa está em conformidade com todos os requisitos externos 
aplicáveis.
Metas relacionadas à TI
O quadro 30 apresenta algumas metas relacionadas com a TI que o processo MEA03 
apoia e suas respectivas métricas relacionadas.
Quadro 30. Metas relacionadas à TI do MEA03.
Metas relacionadas à TI Métricas relacionadas
02. Conformidade e suporte de TI para conformidade de 
negócio relacionada a leis e regulamentações externas
 » Custo de TI não cumprida, incluindo liquidações e multas, e o impacto da 
perda de reputação.
 » Número de questões relacionadas à TI não cumpridasreportadas ou que 
causam comentários público ou constrangimento.
 » Número de questões não cumpridas relativas aos acordos contratuais com 
prestadores de serviços.
 » Cobertura das avaliações de conformidade.
04. Riscos de negócio relacionados à TI gerenciados
 » Percentual dos processos críticos de negócio, serviços de TI e programas de 
negócios habilitadores de TI cobertos pela avaliação de risco.
 » Número de incidentes significativos relacionados à TI que não foram 
identificados na avaliação de risco.
 » Percentual de avaliações de risco, incluindo riscos relacionados à TI.
 » Frequência de atualização do perfil de risco.
 
Fonte: ISACA (2012b).
Metas específicas do processo
O quadro 31 apresenta as metas específicas do processo MEA03 e suas respectivas 
métricas relacionadas.
106
UNIDADE IV │ PROCESSOS DO COBIT5 (CONT.)
Quadro 31. Metas específicas do processo à TI do MEA03.
Metas do processo Métricas relacionadas
1. Todos os requisitos de conformidade externos sejam 
identificados.
 » Intervalo médio entre a identificação e a resolução de problemas de 
conformidade externos.
 » Frequência de revisões de conformidade.
2. Requisitos de conformidades externas são tratadas de 
forma adequada.
 » Número de questões críticas de não conformidade identificadas por ano.
 
Fonte: ISACA (2012b).
Práticas do processo 
 » MEA03.01 – Identificar requisitos de conformidade externos: 
Em uma base contínua, identificar e monitorar mudanças em leis locais e 
internacionais, regulamentos e outros requisitos externos que devem ser 
cumpridos a partir de uma perspectiva de TI.
 » MEA03.02 – Otimizar resposta a requisitos externos: Rever e 
ajustar as políticas, princípios, normas, procedimentos e metodologias 
para garantir que requisitos legais, regulamentares e contratuais sejam 
abordados e comunicados. Considerar os padrões da indústria, códigos 
de boas práticas e orientações de boas práticas para adoção e adaptação.
 » MEA 03.03 – Confirmar conformidade externa: Confirmar 
o cumprimento das políticas, princípios, normas, procedimentos e 
metodologias com requisitos legais, regulamentares e contratuais.
 » MEA03.06 – Obter a garantia de conformidade externa: Obter 
e relatar a garantia de conformidade e aderência com as políticas, 
princípios, normas, procedimentos e metodologias. Confirma se as ações 
corretivas para endereçar as lacunas de conformidade são fechadas em 
tempo hábil.
Padrões relacionados
» Nenhum.
107
UNIDADE V
IMPLANTAÇÃO DA 
GOVERNANÇA DE 
TI COM COBIT 5
CAPÍTULO 1
Diretrizes de Implementação do 
COBIT 5
Para as organizações agregarem valor e obterem os benefícios do uso e implementação 
do COBIT, faz-se necessário adaptá-lo para atender às necessidades específicas da 
organização. Assim, as etapas de planejamento e definição do escopo de implementação 
do COBIT tem papel fundamental para o sucesso no uso do modelo.
A implementação do COBIT deve levar em consideração fatores tangíveis e intangíveis 
no contexto da organização. Em relação aos componentes intangíveis, é necessário que 
as organizações considerem desafios relacionados às mudanças internas e externas, 
cultura e comportamento das pessoas para aceitação ou rejeição do modelo.
A ISACA oferece orientação prática e ampla para a implementação do COBIT com o 
documento “COBIT 5 Implementação” (2012c) que se baseia em um ciclo de vida de 
melhoria contínua. Embora este documento não seja prescritivo e completo, estabelece 
boas práticas para minimizar eventuais obstáculos na sua implementação, de forma a 
auxiliar a organização na consecução de melhores resultados com a adoção do COBIT. 
O documento também é apoiado por um kit de ferramentas de implementação que 
contém uma variedade de recursos que serão continuamente aperfeiçoados. Seu 
conteúdo inclui: 
 » Ferramentas de autoavaliação, medição e diagnóstico. 
 » Apresentações destinadas a diversos públicos. 
 » Artigos relacionados e explicações adicionais.
108
UNIDADE I │ GOVERNANÇA DE TI
A implementação das práticas do COBIT é apoiada por um conjunto de diretrizes e em 
algumas premissas básicas que devem ser respeitadas (FERNANDES; ABREU, 2014):
 » O contexto atual e a cultura da organização devem ser levados em 
consideração, assim como seus habilitadores e restrições.
 » Deve ser criado um ambiente propício ao comprometimento de todas 
as partes interessadas (principalmente as mais críticas), com estruturas 
apropriadas para direcionamento, supervisão e suporte, em todos os 
níveis da organização. 
 » É necessário reconhecer onde estão os pontos fracos no contexto da 
TI, assim como eventos e externos e internos que possam impactar a 
governança e/ou gestão da TI. 
 » Viabilizar a mudança, buscando ultrapassar os focos de resistência 
humana, comportamental e cultural por meio de uma abordagem positiva 
sobre os benefícios da sua implementação para o interesse comum da 
organização. 
 » O ciclo de vida de implementação pressupõe a existência de um programa 
de sete fases que é sustentado de forma interativa para uma abordagem 
consistente de governança e gestão (que será visto mais adiante neste 
capítulo). 
 » Recomenda-se criar um business case que demonstre de que forma essa 
implementação trará o valor para o negócio da empresa.
Planejamento da implementação do COBIT
O planejamento da implementação do COBIT é uma etapa essencial para o sucesso de 
sua implementação. Nesse momento, duas etapas são essenciais e devem fazer parte do 
contexto de implementação do modelo:
 » Entender o contexto da organização. 
 » Criar o ambiente apropriado.
109
GOVERNANÇA DE TI│ UNIDADE I
Entender o contexto da organização
A governança e gestão corporativa de TI organização não ocorre no vácuo. Cada 
organização deve elaborar seu próprio plano ou roteiro de implementação, dependendo 
de fatores específicos do ambiente interno e externo da organização tais como (ISACA, 
2012): 
 » Ética e cultura. 
 » Leis, regulamentos e políticas aplicáveis. 
 » Missão,visão e valores. 
 » Políticas e práticas de governança. 
 » Plano de negócios e intenções estratégicas. 
 » Modelo operacional e nível de maturidade. 
 » Estilo de gestão. 
 » Apetite ao risco (riskappetite). 
 » Capacidades e recursos disponíveis. 
 » Práticas da indústria. 
A abordagem ideal à governança e gestão de TI de organização é diferente para cada 
organização e o contexto deve ser entendido e considerado a fim de adotar e adaptar 
o COBIT com eficiência na implementação dos habilitadores de governança e gestão 
de TI da organização. O COBIT é muitas vezes sustentado por outros modelos, boas 
práticas e padrões, e estes, por sua vez, também devem ser adaptados de modo a 
atender requisitos específicos. Assim, os principais fatores para uma implementação 
bem-sucedida do COBIT incluem (ISACA, 2012): 
 » Fornecimento pela alta administração da orientação e da ordem para a 
iniciativa, bem como o compromisso e o apoio visíveis e contínuos.
 » Apoio aos processos de governança e gestão por todas as partes a fim de 
entender os objetivos de TI e os da organização. 
 » Garantia de comunicação efetiva e capacitação das mudanças necessárias. 
 » Adaptação do COBIT e demais padrões e boas práticas de apoio a fim de 
atender ao contexto único da organização. 
110
UNIDADE I │ GOVERNANÇA DE TI
 » Foco em resultados rápidos e priorização das melhorias mais benéficas 
que são mais fáceis de implementar.
É importante que a implementação de iniciativas utilizando COBIT seja 
devidamente governada e adequadamente gerenciada. Importantes iniciativas 
de TI geralmente falham devido à orientação, apoio e supervisão inadequados 
dos diversos envolvidos, e com a implementação da governança ou gestão dos 
habilitadores de TI através do COBIT não é diferente. Apoio e orientação das 
principais partes interessadas são críticos para que as melhorias sejam adotadas 
e mantidas. Em um ambiente corporativo fraco (como um modelo operacional 
geral de negócios pouco claro ou falta de habilitadores de governança em nível 
corporativo) este apoio e participação são ainda mais importantes.
Criar o ambiente apropriado
Os habilitadores que aplicam o COBIT devem fornecer uma solução que trate das 
necessidades e problemas reais da organização, em vez de servir como fins em si 
mesmos. Requisitos baseados nos pontos fracos e nas tendências atuais devem ser 
identificados e aceitos pela administração como áreas a serem tratadas. Verificações de 
integridade, diagnósticos ou avaliações de capacidade em alto nível baseadas no COBIT 
são excelentes ferramentas para aumentar a sensibilização, criar consenso e gerar um 
compromisso de ação. O compromisso e a adesão das partes interessadas pertinentes 
devem ser solicitados desde o início. Para alcançar isto, os objetivos e benefícios da 
implementação devem ser claramente expressos em termos de negócio e resumidos em 
um breve estudo de caso.
Após o compromisso ter sido obtido, o ambiente apropriado deve ser criado de tal forma 
(ISACA, 2012):
 » Os recursos adequados deverão ser fornecidos para apoiar o programa. 
 » As principais funções e responsabilidades do programa deverão ser 
definidas e atribuídas. 
 » Cuidados deverão ser sempre tomados para a manutenção do 
compromisso de todas as partes interessadas afetadas. 
 » Estruturas e processos apropriados para supervisão e orientação deverão 
ser criados e mantidos de forma a garantir o alinhamento contínuo das 
abordagens de governança e gestão de risco em toda a organização. 
111
GOVERNANÇA DE TI│ UNIDADE I
 » Apoio e compromisso visíveis devem ser oferecidos pelas principais 
partes interessadas tais como a diretoria e os executivos para definir a 
“mais alta sintonia” e garantir o compromisso com o programa em altos 
níveis.
Reconhecimento dos pontos fracos e eventos 
desencadeadores
Há diversos fatores que podem indicar a necessidade de melhorar a governança 
e gestão corporativa de TI. Usando os pontos fracos ou eventos desencadeadores 
como ponto de partida para as iniciativas de implementação, o estudo de caso 
de melhoria da governança ou gestão corporativa de TI pode estar relacionado 
aos problemas práticos ou cotidianos sendo vivenciados. Isto aumentará a 
adesão e criará o senso de urgência na organização necessário para iniciar a 
implementação. Além disso, resultados rápidos podem ser identificados e o 
valor agregado pode ser demonstrado nas áreas da organização mais visíveis ou 
reconhecíveis. Isto cria uma plataforma para a introdução de novas mudanças 
e pode ajudar na obtenção do compromisso e apoio de toda a administração 
sênior para mudanças mais profundas (ISACA, 2012).
Exemplos de alguns dos pontos fracos mais comuns para os quais os habilitadores 
de governança ou gestão de TI novos ou revisados podem ser a solução (ou parte 
da solução), conforme identificados no COBIT 5 Implementação, são (ISACA, 
2013c):
 » Frustração da organização com iniciativas fracassadas, aumentando 
os custos de TI e a percepção de baixo valor para o negócio. 
 » Incidentes significativos relacionados ao risco de TI para o negócio, 
tais como perda de dados ou falha em projetos. 
 » Problemas com a terceirização da prestação de serviços, tais como 
o não cumprimento de forma consistente dos níveis de serviço 
acordados. 
 » Não cumprimento das exigências regulatórias ou contratuais. 
 » Limitações de TI na capacidade de inovação e agilidade dos negócios 
da organização. 
 » Descobertas das auditorias regulares sobre o fraco desempenho de TI 
ou relatórios de problemas com a qualidade de TI. 
112
UNIDADE I │ GOVERNANÇA DE TI
 » Gastos com TI ocultos e não autorizados. 
 » Duplicação ou sobreposição das iniciativas ou desperdício de recursos. 
 » Recursos de TI insuficientes, pessoal com competências inadequadas 
ou insatisfação ou esgotamento do pessoal. 
 » Mudanças relacionadas com a TI que não atendem às necessidades da 
organização e demoram a dar retorno ou estouram o orçamento. 
 » Membros da diretoria, executivos ou gerentes seniores que relutam 
em se envolver com TI, ou falta de patrocinadores comprometidos e 
satisfeitos para área de TI da organização. 
 » Múltiplos e complexos modelos operacionais de TI.
Além desses pontos fracos, outros eventos em ambientes internos e externos à 
organização podem sinalizar ou desencadear um foco na governança e gestão 
de TI são (ISACA, 2013c):
 » Fusão, aquisição ou alienação. 
 » Uma mudança no mercado, posição econômica ou competitiva. 
 » Mudança no modelo operacional do negócio ou acordos de 
terceirização. 
 » Nova regulamentação ou requisitos de conformidade. 
 » Mudança significativa de tecnologia ou de paradigma. 
 » Foco ou projeto de governança em toda a organização. 
 » Novo CEO, CFO, CIO etc.
 » Auditoria externa ou avaliações de consultores. 
 » Uma nova estratégia ou de negócio.
Ciclo de vida de implementação
O ciclo de vida da implementação apresenta uma forma das organizações usarem o 
COBIT 5 para tratar da complexidade e os desafios geralmente encontrados durante as 
113
GOVERNANÇA DE TI│ UNIDADE I
implementações. Os três componentes inter-relacionados do ciclo de vida são (ISACA, 
2012):
1. Ciclo de vida principal de melhoria contínua. 
2. Capacitação da mudança. 
3. Gestão do programa.
Como já discutido, o ambiente adequado deve ser criado para garantir o sucesso da 
implementação ou da iniciativa de melhoria. O ciclo de vida e suas sete fases são 
ilustrados na figura 23. Cada uma dessas fases é descrita a seguir.
Figura 23. Ciclo de vida de implementação do COBIT 5.
Fonte: Reis (2015).
114
UNIDADE I │ GOVERNANÇA DE TI
1ª Fase
A 1ª Fase começa com o reconhecimento e aceitação da necessidade de umaimplementação ou iniciativa de implementação. Ela identifica os atuais pontos fracos e 
desencadeadores e cria um desejo de mudança nos níveis de gestão executiva.
2ª Fase
A 2ª Fase concentra-se na definição do escopo da implementação ou da iniciativa 
de implementação usando o mapeamento dos objetivos corporativos do COBIT 
em objetivos de TI e nos respectivos processos de TI, e considerando também como 
os cenários de risco poderiam destacar quais os principais processos que se deve 
concentrar. Diagnósticos de alto nível também podem ser úteis para definir o escopo 
e compreender as áreas com alta prioridade que se deve concentrar. Uma avaliação 
do estado atual é então realizada, e os problemas ou deficiências são identificados 
realizando-se uma avaliação da capacidade do processo. Iniciativas em larga escala 
devem ser estruturadas como múltiplas interações do ciclo de vida – para qualquer 
iniciativa de implementação superior a seis meses há um risco de perda da dinâmica, 
foco e adesão das partes interessadas.
3ª Fase
Durante a 3ª Fase, uma meta de melhoria é definida, seguida por uma análise mais 
detalhada, que alavanca a orientação do COBIT, a fim de identificar falhas e possíveis 
soluções. Algumas soluções podem apresentar resultados rápidos enquanto outras 
poderão exigir atividades mais desafiadoras em um prazo maior. Prioridade deve ser 
dada às iniciativas mais fáceis de alcançar e que provavelmente produzirão os melhores 
benefícios. 
4ª Fase
A 4ª Fase planeja soluções práticas através da definição de projetos apoiados por 
estudos de casos justificáveis. Um plano de mudança para a implementação também é 
desenvolvido nesta fase. Um estudo de caso bem desenvolvido ajuda a garantir que os 
benefícios do projeto sejam identificados e monitorados. 
115
GOVERNANÇA DE TI│ UNIDADE I
5ª Fase
As soluções propostas são implementadas na forma de práticas diárias na 5ª Fase. 
Medições podem ser definidas e o monitoramento estabelecido com o uso das metas 
e indicadores do COBIT para garantir que o alinhamento da organização seja atingido 
e mantido e o desempenho possa ser medido. O sucesso exige demonstração de 
envolvimento e empenho pela alta administração, bem como a responsabilidade dos 
envolvidos das áreas de TI e de administração.
6ª Fase
A 6ª Fase concentra-se na operação sustentável dos habilitadores novos ou aperfeiçoados 
e no monitoramento do atingimento dos benefícios esperados. 
7ª Fase
Durante a 7ª Fase, o sucesso da iniciativa como um todo é analisado, novos requisitos 
para a governança ou gestão de TI da organização são identificados e a necessidade de 
melhoria contínua é reforçada. Com o tempo, o ciclo de vida deve ser seguido de forma 
interativa paralelamente à criação de uma abordagem sustentável para a governança e 
gestão de TI da organização.
Premissas para a elaboração do estudo de caso
Para garantir o sucesso das iniciativas de implementação que aplicam o COBIT, 
a necessidade de agir deve ser amplamente reconhecida e comunicada em toda a 
organização. Isto pode ser feito na forma de um “toque de despertar” (onde pontos fracos 
estejam sendo vivenciados, conforme já discutido) ou uma expressão da oportunidade 
de melhoria a ser alcançada e, muito importante, dos benefícios que serão realizados. O 
nível adequado de urgência deve ser incutido e as principais partes interessadas devem 
estar cientes do risco de não tomar medidas bem como dos benefícios da realização do 
programa (ISACA, 2012).
A iniciativa deve ser atribuída a um responsável, envolver todo s as principais partes 
interessadas e basear-se em um estudo de caso. Inicialmente, isto pode ser feito em um 
alto nível do ponto de vista estratégico - de cima para baixo - começando com uma clara 
compreensão dos resultados organizacionais deseja dos e progredindo até uma descrição 
detalhada das tarefas e metas críticas, bem como das funções e responsabilidades. O 
estudo de caso é uma valiosa ferramenta de que dispõe a administração para orientação 
116
UNIDADE I │ GOVERNANÇA DE TI
na criação de valor para a organização. O estudo de caso deve incluir, no mínimo, o 
seguinte (ISACA, 2012):
 » Os benefícios almejados para a organização, seu alinhamento com a 
estratégia de negócios e os respectivos responsáveis pelo benefício (que 
serão os responsáveis na organização pela sua garantia). Isto pode basear-
se em pontos fracos e eventos desencadeadores. 
 » As mudanças nos negócios necessárias para criar o valor esperado. Isto 
pode basear-se em verificações de integridade e análises de falhas na 
capacidade e devem indicar claramente o que está incluído no escopo e o 
que não está. 
 » Os investimentos necessários para criar as mudanças na governança 
e gestão de TI da organização (com base nas estimativas dos projetos 
necessários). 
 » Os custos fixos do negócio e de TI. 
 » Os benefícios esperados da operação após a mudança. 
 » O risco inerente nos pontos acima, inclusive quaisquer restrições ou 
dependências (com base nos desafios e fatores de sucesso). 
 » Funções e responsabilidades relacionadas à iniciativa. 
 » Como o investimento e a criação de valor serão monitorados durante 
todo o ciclo de vida econômico, e como os indicadores serão usadas (com 
base nas metas e resultados).
É importante destacar que o estudo de caso não é um documento estático definitivo, 
mas uma ferramenta operacional dinâmica que deve ser continuamente atualizada 
para refletir a atual visão do futuro para que uma visão da viabilidade do programa 
possa ser mantida.
Pode ser difícil quantificar os benefícios da implementação ou das iniciativas de 
implementação, e cuidados deverão ser tomados para comprometimento somente com 
benefícios realistas e atingíveis. Estudos realizados em diversas organizações podem 
oferecer informações úteis sobre os benefícios que foram alcançados.
117
CAPÍTULO 2
Avaliação da capacidade de processo
Os modelos COBIT 4.1, Risk IT e Val IT adotavam um Modelo de Maturidade de 
Processo para a mensuração dos resultados dos processos de governança e de gestão de 
TI. Por outro lado, o conjunto de produtos COBIT 5 inclui um Modelo de Capacidade de 
Processo, com base no padrão de Avaliação de Processo Engenharia de Software ISO/
IEC 15504 reconhecido internacionalmente.
Este modelo de Capacidade de Processo atinge os mesmos objetivos gerais de avaliação 
de processo e apoio à melhoria do processo, ou seja, ele proporciona meios para medir 
o desempenho de qualquer um dos processos de governança ou de gestão e permite a 
identificação das áreas que precisam ser melhoradas.
Como esse novo modelo é diferente do modelo de maturidade do COBIT 4.1 em seu 
projeto e aplicação, este capítulo tem como propósito:
 » Revisar os conceitos fundamentais do Modelo de Maturidade de Processo 
do COBIT 4.1. 
 » Apresentar o Modelo de Capacidade de Processo do COBIT 5. 
 » Mostrar as diferenças/semelhanças entre o do Modelo de Maturidade de 
Processo do COBIT 4.1 e o Modelo de Capacidade de Processo do COBIT 5. 
 » Apresentar como deve ser feita a Avaliação de Capacidade do COBIT 5.
Modelo de Maturidade de Processo
Os principais objetivos do Modelo de Maturidade de Processo do COBIT 4.1 são (ISACA, 
2012c):
 » Medir a maturidade atual ou o estágio em que se encontram os processos 
de TI da organização. 
 » Definir o estado de maturidade desejado e entendido como meta para a 
organização. 
 » Determinar a diferença entre os dois estágios (atual e desejado). 
 » Melhorar o processo para atingir o nível de maturidade desejado.
118
UNIDADE I │ GOVERNANÇA DE TI
Para medir a maturidade dos processos de TI o Modelo de Maturidade usa níveis e 
atributos, conforme mostrado na figura 24.
Figura 24. Resumo do Modelo de Maturidade de Processodo COBIT 4.1.
Fonte: Adaptado de ISACA (2012c).
Como é possível observar, os níveis de maturidade variam entre “Inexistente” (nível 
0) e “Otimizado” (nível 5). Quanto mais alto o nível, mais bem estruturada será a 
maturidade (resultado) do processo.
Ainda, conforme mostrado também na figura 24, o Modelo de Maturidade de Processo 
é composto por seis atributos denominados: Conscientização e Comunicação; Políticas, 
Planos e Procedimentos; Ferramentas e Automação; Habilidades e Expertise; 
Responsabilidade e Responsabilização; e Definição de Metas e Medição.
Para utilizar o modelo de maturidade do COBIT 4.1 para a melhoria do processo são 
necessários os seguintes componentes do COBIT 4.1:
 » Em primeiro lugar, uma avaliação precisa ser feita se os objetivos de 
controle para o processo forem cumpridos. 
 » Em seguida, o modelo de maturidade que existe para cada processo pode 
ser usado para obter o nível de maturidade do processo. 
119
GOVERNANÇA DE TI│ UNIDADE I
Modelo de Capacidade de Processo
O COBIT 5 não usa mais o termo maturidade como instrumento de medição de processo, 
mas sim o termo “capacidade”. Os modelos de maturidade e capacidade são distintos, 
mas há um relacionamento comum entre eles.
O Modelo de Capacidade de Processo do COBIT 5 é apresentado na figura 25. 
Figura 25. Modelo de Capacidade de Processo do COBIT 5.
Fonte: Adaptado de ISACA (2012a).
Conforme pode ser visto na figura, o modelo contém 6 níveis de capacidade, em uma 
escala de 0 a 5, porém com nome e significado bem diferentes dos níveis de maturidade 
do COBIT 4.1 e 9 atributos de processo (PA – ProcessAttributes). Esses atributos 
determinam se um processo alcançou um determinado nível de capacidade, medindo 
um aspecto particular da capacidade de um processo.
Cada nível de capacidade de processo do modelo possui um conjunto de atributos de 
processo que devem ser avaliados para o alcance do nível em questão. Esses atributos 
são: 
 » PA1.1: Execução do Processo. 
 » PA2.1: Gestão da Execução. 
 » PA2.1: Gestão dos Produtos de Trabalho. 
120
UNIDADE I │ GOVERNANÇA DE TI
 » PA3.1: Definição do Processo. 
 » PA3.2: Implementação do Processo. 
 » PA4.1: Gestão do Processo. 
 » PA4.2: Controle do Processo. 
 » PA5.1: Inovação do Processo. 
 » PA5.2: Otimização do Processo.
Um determinado processo pode atingir seis níveis de capacidade variando de 
“Inexistente” a “Otimizado”, conforme descrito no quadro 32. 
Quadro 32. Níveis de capacidade de processo.
Nível de capacidade Descrição do processo
Nível 0: Processo Incompleto
O processo não foi implementado ou não atingiu seu objetivo. Neste nível, há pouca ou nenhuma evidência 
de qualquer atingimento sistemático do objetivo do processo.
Nível 1: Processo Executado (um 
atributo)
O processo implementado atinge seu objetivo.
Nível 2: Processo Gerenciado (dois 
atributos)
O processo realizado é implementado de forma administrativa (planejado, monitorado e ajustado) e seus 
produtos do trabalho são adequadamente estabelecidos, controlados e mantidos.
Nível 3: Processo Estabelecido (dois 
atributos)
O processo controlado é implementado utilizando um processo definido capaz de atingir seus resultados.
Nível 4: Processo Previsível (dois 
atributos)
O processo criado opera agora dentro dos limites definidos para produzir seus resultados.
Nível 5: Processo Otimizado (dois 
atributos)
O processo previsível é continuamente melhorado visando o atingimento dos objetivos corporativos 
pertinentes, atuais ou previstos.
 
Fonte: ISACA (2012).
Cada nível de capacidade só pode ser atingido quando o nível anterior tiver sido 
plenamente alcançado. Por exemplo, uma capacidade de processo nível 3 (processo 
criado) exige que a definição do processo e os atributos de implantação do processo 
sejam amplamente atingidos depois que a capacidade dos atributos de processo do 
nível 2 forem atingidos (processo controlado).
Há uma diferença significativa entre a capacidade de processo nível 1 e os níveis 
de capacidade mais altos. O atingimento da capacidade de processo nível 1 exige 
que o atributo de desempenho do processo seja amplamente atingido, o que, de 
fato, significa que o processo está sendo realizado com sucesso e os resultados 
esperados estão sendo obtidos pela organização. Níveis de capacidade mais 
altos adicionam então diferentes atributos a ele. Neste esquema de avaliação, 
121
GOVERNANÇA DE TI│ UNIDADE I
atingir a capacidade nível 1, mesmo em uma escala de 5, já pode ser considerado 
uma importante conquista para a organização. Cada organização definirá (com 
base no custo-benefício e na viabilidade) sua meta ou nível desejado, que muito 
raramente será um dos mais altos.
Comparativo entre o Modelo de Maturidade e 
o Modelo de Capacidade de Processo
Os atributos do modelo de maturidade do COBIT 4.1 e de capacidade do COBIT 5, 
até certa medida de sobrepõem. O quadro 33 apresenta um comparativo entre esses 
atributos, destacando aqueles em comum.
Quadro 33. Comparativo entre os atributos do modelo de maturidade e de capacidade.
Atributo de Maturidade do COBIT 4.1
Atributo de Capacidade do COBIT 5
De
se
m
pe
nh
o 
do
 P
ro
ce
ss
o
Ge
st
ão
 d
e 
De
se
m
pe
nh
o
Ge
st
ão
 d
e 
Pr
od
ut
o 
do
 T
ra
ba
lh
o
De
fin
iç
ão
 d
o 
Pr
oc
es
so
Im
pl
em
en
ta
çã
o 
do
 P
ro
ce
ss
o
Ge
st
ão
 d
o 
Pr
oc
es
so
Co
nt
ro
le
 d
o 
Pr
oc
es
so
In
ov
aç
ão
 d
o 
Pr
oc
es
so
Ot
im
iz
aç
ão
 d
o 
pr
oc
es
so
Conscientização e Comunicação
Políticas, Planos e Procedimentos
Ferramentas e
Automação
Habilidades e Expertise
Responsabilidade
Definição de metas e medição
 
Fonte: Adaptado de ISACA (2012).
Além disso, há diferenças práticas associadas à mudança nos modelos de avaliação do 
processo. As principais mudanças consideradas são apresentadas no quadro 34.
122
UNIDADE I │ GOVERNANÇA DE TI
Quadro 34. Níveis de capacidade de processo.
Nível de Maturidade Nível de Capacidade Contexto
5. Processo Otimizado: processos são refinados ao nível de boa 
prática, baseados nos resultados de melhoria contínua. A TI é utilizada 
de forma integrada para automatizar o fluxo de trabalho, fornecendo 
ferramentas para melhorar a qualidade e efetividade, fazendo com que 
a organização seja rápida para se adaptar.
5. Processo em Otimização: o nível 4 Processo 
Previsível é continuamente melhorado para atender 
metas de negócio atuais e projetadas.
Visão da 
Organização
Conhecimento 
Corporativo
4. Gerenciado e Mensurável: a administração monitora e mede 
conformidade com procedimentos e toma medidas onde processos 
parecem não funcionar efetivamente. Os processos estão sob melhoria 
constante e fornecem boa prática. Automação e ferramentas são 
usadas de forma limitada ou fragmentada.
4. Processo Previsível: o nível 3 Processo 
Estabelecido agora opera dentro de limites definidos 
para alcançar seus resultados de processo.
3. Processo Definido: procedimentos são padronizados, 
documentados e comunicados por meio de treinamento. É obrigatório 
que estes processos sejam seguidos; entretanto, é pouco provável 
que desvios sejam detectados. Os próprios procedimentos não são 
sofisticados, mas são a formalização de práticas existentes.
3. Processo Estabelecido: o nível 2 (Processo 
Gerenciado) é agora implementado usando um 
processo definido que é capaz de alcançar seus 
resultados de processo.
2. Processo Gerenciado:o nível 1 (Processo 
Realizado) é agora implementado de forma 
gerenciada (planejado, monitorado e ajustado) e seus 
produtos de trabalho são estabelecidos, controlados e 
mantidosapropriadamente.
Visão de 
Instância
Conhecimento 
Individual
2. Repetível, mas Intuitivo: processos são desenvolvidos de forma 
que procedimentos similares são seguidos por pessoas diferentes 
que realizam a mesma tarefa. Não há treinamento ou comunicação 
formal de procedimentos padronizados e a responsabilidade é deixada 
a cargo do indivíduo. Há um alto grau de confiança no conhecimento 
dos indivíduos e, portanto, erros podem ocorrer.
1. Processo Realizado: o processo implementado 
alcança seu propósito de processo. 
Obs.: É possível que algum processo classificado 
como nível 1 seja classificado como nível 0 de acordo 
com a ISO/IEC 15504, se o resultado do processo 
não for alcançado.
1. Inicial ou Ad hoc: há evidência que a organização reconheceu 
que questões existem e precisam ser tratadas. Não há, entretanto, 
nenhum processo padronizado; em vez disto, existem abordagens ad 
hoc que tendem a ser aplicadas por indivíduos. A abordagem geral de 
gerenciamento é desorganizada. 
0. Não Existente: completa falta de qualquer processo reconhecível. 
A organização ainda não reconheceu que existe uma questão a ser 
tratada.
0. Processo Incompleto: o processo não é 
implementado ou não consegue alcançar seu 
propósito.
 
Fonte: Adaptado de ISACA (2012).
A partir das descrições acima, fica claro que há algumas diferenças práticas associadas 
à mudança nos modelos de avaliação de processo. Os usuários devem ter ciência destas 
mudanças e estarem prontos para considerá-las em seus planos de ação. As principais 
mudanças a ser consideradas incluem: 
 » Embora seja tentador comparar os resultados da avaliação entre o COBIT 
4.1 e o COBIT 5 por causa das aparentes semelhanças com o número de 
escalas e termos usados para descrevê-las, tal comparação é difícil por 
causa das diferenças no escopo, foco e intenção. 
 » No geral, as pontuações serão inferiores com o modelo de capacidade 
de processo do COBIT 5. No modelo de maturidade do COBIT 4.1, um 
processo poderia atingir o nível 1 ou 2 sem atingir plenamente todos os 
123
GOVERNANÇA DE TI│ UNIDADE I
objetivos do processo; no nível de capacidade de processo do COBIT 5, 
isto resultará em uma pontuação mais baixa (0 ou 1). 
 » As escalas de capacidade do COBIT 4.1 e do COBIT 5 podem ser 
consideradas para um ‘mapeamento’ aproximado. 
 » Não há mais um modelo de maturidade específico por processo no 
conteúdo do processo detalhado do COBIT 5 porque a abordagem da 
avaliação da capacidade de processo ISO/IEC 15504 não exige isso e ainda 
proíbe esta abordagem. Em vez disso, a abordagem define as informações 
requeridas no modelo de referência de processo (o modelo de processo a 
ser utilizado na avaliação): 
 › Descrição de processo, com as definições do objetivo. 
 › Práticas básicas, equivalentes às práticas de governança ou gestão de 
processo do COBIT 5. 
 › Produtos do trabalho, equivalentes às entradas e saídas do COBIT 5.
 » O modelo de maturidade do COBIT 4.1 produziu um perfil de maturidade 
de uma organização. O principal objetivo deste perfil era identificar em 
quais dimensões ou para quais atributos havia pontos fracos específicos 
que necessitavam de melhorias. Esta abordagem foi usada pelas 
organizações quando havia um foco na melhoria em vez da necessidade 
de obter um número de maturidade para fins de relatório. No COBIT 5 o 
modelo de avaliação fornece uma escala de medição para cada atributo 
de capacidade e orientação sobre como aplicá-la, então para cada 
processo uma avaliação pode ser feita para cada um dos nove atributos 
de capacidade. 
 » Os atributos de maturidade do COBIT 4.1 e os atributos de capacidade de 
processo do COBIT 5 não são idênticos. Eles sobrepõem-se/mapeiam até 
certa medida. As organizações que utilizam a abordagem dos atributos 
do modelo de maturidade do COBIT 4.1 podem reutilizar os atuais dados 
da sua avaliação e reclassificá-los segundo as avaliações de atributos do 
COBIT 5. 
Os benefícios do modelo de capacidade de processo do COBIT 5, comparados 
com os modelos de maturidade do COBIT 4.1 incluem: 
124
UNIDADE I │ GOVERNANÇA DE TI
 » Maior ênfase no processo que está sendo realizado para confirmar 
que está efetivamente alcançando seus objetivos e os resultados 
esperados. 
 » Simplificação do conteúdo por meio da eliminação da duplicação, 
porque a avaliação do modelo de maturidade do COBIT 4.1 exigia 
o uso de diversos componentes específicos, inclusive o modelo de 
maturidade genérico, modelos de maturidades do processo, objetivos 
de controle e controles de processo para apoiar a avaliação do 
processo. 
 » Maior confiabilidade e repetitividade das atividades e análises 
da avaliação da capacidade do processo, reduzindo debates e 
desentendimentos entre as partes interessadas em relação aos 
resultados da avaliação. 
 » Maior uso dos resultados da avaliação da capacidade do processo, 
visto que o novo modelo estabelece uma base para a realização de 
avaliações mais rigorosas e formais, tanto para finalidades internas 
como externas em potencial. 
 » Conformidade com um padrão de avaliação de processo geralmente 
aceito e, portanto, um forte apoio à abordagem de avaliação do 
processo no mercado. 
Avaliação da capacidade do processo
O padrão ISO/IEC 15504 especifica que as avaliações da capacidade do processo 
podem ser realizadas para diversas finalidades e com diferentes graus de rigor. Essas 
finalidades podem ser internas, com foco nas comparações entre as áreas da organização 
e/ou melhoria no processo para benefício interno, ou podem ser externas, com foco na 
avaliação, relatório e certificação formais.
A abordagem para a avaliação do COBIT 5 com base no ISO/IEC 155 04 continua a 
facilitar os seguintes objetivos que têm sido a principal abordagem do COBIT desde o 
ano 2000:
 » Permitir ao órgão de governança e à administração avaliar o desempenho 
da capacidade do processo.
125
GOVERNANÇA DE TI│ UNIDADE I
 » Permitir verificações de integridade do estado atual e do estado desejado 
em alto nível a fim de apoiar a tomada de decisão pelo órgão de governança 
e pela administração em relação à melhoria do processo.
 » Proporcionar análises de falhas e informações para planejamento 
de melhorias a fim de apoiar as definições de projetos de melhorias 
justificáveis.
 » Oferecer ao órgão de governança e à administração classificações para as 
avaliações a fim de medir e monitorar as capacidades atuais.
A avaliação distingue entre a capacidade de avaliação nível 1 e os níveis mais altos. De 
fato, conforme descrito acima, a capacidade de processo nível 1 descreve se um processo 
atinge o s objetivos desejados e é, portanto, um nível muito importante a ser atingido - e 
fundamental para permitir que os níveis de capacidade mais altos sejam alcançados.
Avaliar se o processo atinge seus objetivos ou, em outras palavras, atinge a capacidade 
nível 1, pode ser feito:
1. Analisando os resultados do processo conforme a descrição detalhada 
de cada processo, e utilizando a escala de classificação ISO/IEC 15504 
para atribuir uma classificação ao grau de consecução de cada objetivo. A 
escala é formada pelos parâmetros do quadro 35.
Quadro 35. Parâmetros para avaliação da capacidade.
Nível
Percentual de 
Realização
Descrição
N
(Não atingido)
0 a 15% Há pequena ou nenhuma evidência do atingimento de atributos definidos no processo avaliado. 
P
(Parcialmente atingido)
> 15 a 50%
Há pouca evidência da abordagem e baixo atingimento do atributo definido no processo 
avaliado. Alguns aspectos do atingimento do atributo podem ser imprevisíveis.
L
(Amplamente atingido)
> 50 a 85%
Há evidência da abordagem sistemática e atingimento significativo do atributo definido no 
processo avaliado.Alguns pontos fracos referentes a este atributo podem existir no processo 
avaliado. 
F
(Plenamente atingido)
> 85 a 100%
Há evidência da abordagem completa e sistemática e pleno atingimento do atributo definido 
no processo avaliado. Não existe nenhum ponto fraco significativo referente a este atributo no 
processo avaliado. 
 
Fonte: Adaptado de ISACA (2012).
2. Além disso, as práticas do processo (governança ou gestão) podem ser 
avaliadas utilizando a mesma escala de avaliação, que expressa em qual 
medida as práticas básicas foram aplicadas.
126
UNIDADE I │ GOVERNANÇA DE TI
3. Para refinar ainda mais a avaliação, os produtos do trabalho também 
podem ser levados em consideração para determinar em qual medida um 
atributo de avaliação específico foi atingido. 
Ainda que a definição dos níveis de capacidade desejados fique a critério de cada 
organização, muitas organizações terão a ambição de verem todos os seus processos 
atingirem a capacidade nível 1 (caso contrário, qual seria o objetivo destes processos?). 
Se este nível não for atingido, os motivos do não atingimento deste nível ficam 
imediatamente evidentes a partir da abordagem explicada acima, e um plano de 
melhoria poderá ser definido: 
4. Se o resultado do processo não for atingido de forma consistente, o 
processo não atingirá seu objetivo e terá de ser melhorado. 
5. A avaliação das práticas do processo revelará quais práticas estão 
faltando ou falhando, permitindo que a implementação e/ou melhoria 
destas práticas seja adotada, permitindo assim que todos os resultados 
do processo possam ser atingidos. 
Para níveis de capacidade do processo mais altos, as práticas genéricas utilizadas são 
extraídas do ISO/IEC 15504:2. Elas oferecem descrições genéricas para cada um dos 
níveis de capacidade. 
A ISSO 15504-4 identifica o processo de avaliação como uma atividade que pode 
ser realizada como parte de uma iniciativa de melhoria de processo ou como 
parte de uma abordagem de determinação da capacidade do processo.
O objetivo da determinação da capacidade do processo é identificar os pontos 
fortes, os pontos fracos e os riscos do processo. Ainda, um processo de avaliação 
de capacidade fornece uma metodologia repetível, compreensível, lógica, 
confiável e robusta para avaliar a capacidade de processos de TI.
O Programa de Avaliação do COBIT permite uma organização obter uma 
avaliação independente e certificada e alinhada com a norma ISO/IEC. Este 
programa compreende:
 » Avaliações formais efetuadas por avaliadores credenciados. 
 » Autoavaliações (menos rigorosas) para análise de lacunas internas e 
planejamento de melhoria de processo.
127
GOVERNANÇA DE TI│ UNIDADE I
Um determinado processo possui cerca de 40% de realização dos resultados 
esperados. O que significa esse percentual em termos de avaliação de capacidade 
definida pelo COBIT 5?
128
CAPÍTULO 3
Benefícios e aplicabilidade do modelo
Aplicabilidade do modelo
A partir do alinhamento com os requisitos de alto nível do negócio e da boa convivência 
com outros padrões e modelos de boas práticas existentes no mercado, o COBIT cobre 
todo o conjunto de atividades de TI, concentrando-se mais em “o que” deve ser atingido 
em vez de “como” atingir, em termos de governança, gestão e controle. Nesse sentido, 
recomenda-se que o COBIT seja utilizado no nível estratégico, com objetivo de delinear 
uma estrutura de controle e gestão baseada em um modelo de processos que seja 
aplicável para toda a organização (FERNANDES; ABREU, 2014).
Entre as várias oportunidades de aplicação em uma organização, podem ser ressaltadas 
(FERNANDES; ABREU, 2014):
 » Avaliação dos habilitadores de TI: a grande abrangência do COBIT 
e o alto grau de padronização permitem sua utilização como um checklist 
para avaliar os pontos fortes e os pontos fracos de todos os habilitadores 
de TI, servindo como subsídio para a proposição de ações de melhoria, 
visando uma estruturação eficaz da governança e da gestão (tanto na 
forma de autoavaliações quanto na de avaliações externas). 
 » Atuação na governança em vários níveis: o conceito de Governança 
de Corporativa de TI possibilita a atuação com uma visão comparativa 
(tratando, por exemplo, questões legais e/ou de conformidade), com 
a visão de cada entidade dentro da corporação (linhas de negócio, 
funções, unidades organizacionais – inclusive a área de TI) ou mesmo 
com a visão focada em ativos específicos, sejam eles tangíveis (pessoas, 
tecnologia, capital) ou intangíveis (processos, serviços, marcas, imagem, 
conhecimento etc.). 
 » Implementação modular da Governança de TI: práticas e padrões 
relativos a habilitadores (tais como áreas e processos específicos) podem 
ser mapeados para os habilitadores do modelo (mesmo que com base 
em outros modelos, como ITIL, CMMI, PMBOK etc.), de forma a criar 
uma estrutura específica de governança e gestão, reutilizando práticas, 
processos e padrões já existentes. 
129
GOVERNANÇA DE TI│ UNIDADE I
 » Avaliação dos riscos operacionais de TI: os habilitadores podem 
ser avaliados em conjunto ou isoladamente, e as suas discrepâncias em 
relação às metas e boas práticas perante os riscos que podem representar 
para o negócio da organização, em termos de sua probabilidade de 
ocorrência e da severidade do impacto. 
 » Realização de benchmarketing: a existência de um modelo de 
avaliação padronizado para todos os habilitadores de TI permite que uma 
organização possa montar uma estratégia baseada na situação atual em 
termos de Governança de TI, utilizando como parâmetros qualificador na 
contratação de serviços de TI, ou mesmo no estabelecimento de níveis de 
serviço dentro de uma organização.
Como modelo de Governança de TI, o COBIT pode ser aplicado tanto em pequenas 
organizações como em grandes empresas de TI, desde que esteja consistente com os 
objetivos de negócio e com as suas estratégias relacionadas à TI. 
A implantação de padrões e boas práticas pode ser mais bem-sucedida se for aplicada 
como um conjunto de princípios e como um ponto de partida para a adaptação do 
modelo de governança e gestão de TI da organização, em vez de uma solução pronta 
para todos os problemas.
É importante ressaltar quer apesar de permitir que uma organização construa uma 
estrutura completa e eficaz de governança e gestão, o framework do COBIT pode ser 
utilizado de forma gradual, em conformidade com um planejamento estratégico que 
estabeleça prioridades para a implementação ou melhoria dos processos de TI.
Em relação ao público-alvo dentro da organização, o COBIT é aplicável a todas as funções 
envolvidas na governança e na gestão da informação e da tecnologia relacionada. Isso 
inclui a gestão executiva da corporação, os gestores de negócio, os gestores de TI e 
também profissionais que atuam em auditorias.
Benefícios do modelo
A estrutura na qual o COBIT é apresentado favorece muito o entendimento dos 
vários habilitadores de TI e, consequentemente, fornece um excelente guia para a 
sua implementação ou melhoria nas organizações, assim como para a avaliação da 
capacidade atual dos processos existentes. 
A utilização sistemática do COBIT como um modelo de governança e gestão pode trazer 
vários benefícios para uma organização, tais como (FERNANDES; ABREU, 2014):
130
UNIDADE I │ GOVERNANÇA DE TI
 » Maior assertividade na tomada de decisões acerca dos investimentos 
em iniciativas de TI, por conta de uma melhor visibilidade acerca do 
relacionamento entre as necessidades do negócio, as metas corporativas, 
as metas relativas à TI e os processos de TI. 
 » Responsabilidades e protocolos de comunicação bastante claros, 
tornando a circulação de informações mais direta e precisa entre as partes 
interessadas em vários níveis. 
 » Visão clara acercada situação atual dos habilitadores de TI e de seus 
pontos de vulnerabilidade. 
 » Redução da exposição a riscos (caso sejam tomadas ações de melhorias 
preventivas em relação aos pontos negativos identificados na análise dos 
habilitadores). 
 » Maior solidez e assertividade no planejamento encadeado das ações 
de melhoria, devido ao entendimento das interdependências entre os 
habilitadores analisados, em relação à sua contribuição para as metas 
corporativas estabelecidas. 
 » Alta visibilidade, por parte de todos os níveis da organização, acerca dos 
impactos dos esforços de melhoria nos habilitadores de TI e dos seus 
reflexos nos processos de negócio e nas metas corporativas. 
 » Redução dos custos operacionais e de propriedade do acervo de TI. 
 » Melhoria da imagem perante clientes, através do aumento do grau de 
satisfação e da confiabilidade em relação aos produtos e serviços de TI.
Dessa forma, o COBIT 5 ajuda as organizações de todos os tamanhos a:
» Manter informações de alta qualidade para suportar as decisões de negócios. 
 » Gerar “valor” dos investimentos em TI, ou seja, atingir metas estratégicas 
e entregar benefícios de negócio por meio do efetivo uso da TI. 
 » Atingir a excelência operacional por meio da aplicação confiável e eficiente 
da tecnologia. 
 » Manter riscos relacionados com a TI em um nível aceitável. 
 » Otimizar o custo de serviços de TI. 
131
GOVERNANÇA DE TI│ UNIDADE I
 » Manter a conformidade com leis, regulamentos, acordos contratuais e 
políticas.
Resumindo, utilizando o COBIT uma organização poderá estabelecer bases mais sólidas 
para uma melhor governança e gestão das iniciativas de TI.
Certificações relacionadas
A ISACA oferece três níveis de certificação profissional relacionados ao conhecimento e 
à proficiência na utilização do COBIT, são eles (FERNANDES; ABREU, 2014):
1. COBIT 5Foundation: atesta que os profissionais certificados 
compreendem os problemas de governança e gestão da TI das empresas 
e sabem como utilizar o COBIT para enfrentar e solucionar desafios. 
2. COBIT 5Implementation: atesta que os profissionais certificados 
demonstraram conhecimento sobre como o COBIT pode ser adaptado 
para atender às necessidades específicas de uma empresa, além de 
domínio da implementação da Governança Corporativa de TI com base 
em ciclo de melhoria contínua. 
3. COBIT 5Assessor: direcionado a auditores internos e externos e a 
consultores de TI, atesta que os profissionais certificados demonstraram 
domínio sobre como realizar uma avaliação de capacidade de processo 
formal e sobre como ela pode ser utilizada para habilitar metas de negócio, 
priorizar iniciativas de melhoria e identificar oportunidades de melhoria 
da governança e de gestão dos ativos de informação e tecnologia.
Além dessas certificações, existem quatro programas avançados de certificação profissional 
patrocinados pela ISACA e relacionados aos preceitos do COBIT(FERNANDES; 
ABREU, 2014): 
» CISA (CertifiedInformation Systems Auditor): destinado a avaliar o grau 
de proficiência e excelência nas disciplinas de auditoria, controle e segurança 
em TI. Este exame tem sido considerado um dos mais eficazes instrumentos de 
certificação em âmbito global. 
» CISM (CertifiedInformation Security Manager): destinado aos 
profissionais especialistas que trabalam no planejamento, no gerenciamento 
e na execução de atividades relacionadas à segurança da informação em uma 
organização. Este exame avalia a visão global do profissional sobre o tema, como 
132
UNIDADE I │ GOVERNANÇA DE TI
foco em cinco assuntos: governança de segurança da informação, gestão de 
riscos, gestão de programas de segurança da informação e gestão de reposta a 
eventos. 
» CGEIT (Certified in theGovernanceof Enterprise IT): esta certificação 
visa reconhecer os indivíduos que possuem conhecimentos, experiência e 
habilidades profissionais em nível necessário e suficiente para maximizar a 
contribuição que a TI oferece para o atendimento aos objetivos de negócio da 
organização e, ao mesmo tempo, gerenciar e mitigar os riscos inerentes à TI 
para o negócio. Este exame avalia a proficiência e experiência profissional nos 
seguintes temas: framework de governança corporativa de TI, gestão estratégica, 
realização de benefícios, otimização de riscos e otimização de recursos. 
» CRISC (Certified in RiskandInformation System Control): certificação 
projetada para profissionais que têm experiência prática com identificação de 
risco, avaliação, resposta ao risco, monitoramento de riscos, projeto e implantação 
de controle em sistemas de informação e manutenção e monitoramento de 
controles em sistemas de informação.
Para a obtenção dessas certificações, os interessados devem:
 » Passar em um exame específico. 
 » Demonstrar a experiência e qualificações profissionais requeridas, 
fornecendo evidências de prática conforme o tipo de certificação. 
 » Aderir formalmente ao Código de Ética da ISACA. 
 » Aderir à política de educação profissional continuada da ISACA (que 
envolve uma quantidade mínima de horas anuais em treinamentos e 
atividades de contribuição à profissão).
Informações mais completas sobre as certificações do COBIT 5 (e relacionadas) 
podem ser encontradas na página da ISACA (www.isaca.org).
133
Para (Não) Finalizar
A governança e a gestão da informação e da tecnologia são assuntos cada vez mais 
complexos. Nesse cenário se faz necessário um alto grau de confiabilidade nas 
informações que irão auxiliar a atender os requisitos do negócio. Nesse sentido, o 
COBIT 5 é utilizado como guia de negócios, e pode ajudar a contornar a complexidade 
da governança e gestão nas organizações, bem como aumentar a confiança nos sistemas 
de informações.
Pelo fato do modelo COBIT 5 ser bem amplo, a utilização dele deve ser adaptada à 
organização, para que seja possível atender às suas necessidades. 
A última versão do COBIT está mais madura, principalmente na área de segurança da 
informação, começando a explorar oficialmente outras áreas, não somente com novos 
mapeamentos como a ISO/IEC 38500, mas com produtos oficiais em auditoria, risco e 
segurança da informação.
As mudanças ocorridas no COBIT 5, com a inclusão de requisitos mais específicos de 
segurança da informação, é um sinal de que cada vez menos é aceitável que empresas 
negligenciem seus riscos, uma vez que isso é considerado um fator crítico de sucesso 
para o atingimento dos objetivos do negócio.
134
Referências
ABNT. NBR ISO/IEC 38500:2009: Governança corporativa de tecnologia da 
informação. Rio de Janeiro, Associação Brasileira de Normas Técnicas, 2009.
ALBERTIN Rosa Maria de Moura.; ALBERTIN Alberto Luiz. Estratégias de 
Governança de Tecnologia da Informação. Editora Elsevier - Campus, 2009.
BIS. The New Basel Capital Accord. Basel, BIS – Bank for International Settlements, 
2001.
FERNANDES, A. A.; ABREU; V. F. Implantando a governança de TI: da estratégia 
à gestão dos processos e serviços.4a. ed.Rio de Janeiro: Brasport, 2014.
HENDERSON, J. C.; VENKATRAMAN, N. Strategic alignment: leveraging 
information technology for transforming organizations. IBM Systems Journal, v. 32, 
nº 1, p.4-16, 1993. 
ISACA. COBIT® 5. A Business Framework for the Governance and Management 
of Enterprise IT. Rolling Meadows, IL, 2007.
ISACA. COBIT® 5. Modelo Corporativo para Governança e Gestão de TI da 
Organização. Tradução em português. Rolling Meadows, IL, 2012.
____. COBIT®5 Enabling Information. Rolling Meadows, IL, 2013 (2013a).
____. COBIT® 5 Enabling Process. Rolling Meadows, IL, 2013 (2013b).
____. COBIT®5 Implementation. Rolling Meadows, IL, 2013 (2013c).
ITGI (IT Governance Institute). COBIT® Quickstart, 2nd edition, Rolling Meadows, 
IL, 2007. 
KAPLAN, R. S.; NORTON, D. P. The BalancedScorecard – Measures that Drive 
Performance. Harvard Business Review. Boston, v. 70, n. 1, p. 71-79, janeiro-fevereiro 
1992.
MANSUR, R. Governança de TI mtodologias, frameworks e melhores 
práticas. Editora Brasport, 2007.
REIS. L. C. D. Fundamentos do COBIT. Apostila do curso e-learning. Escola 
Superior de Redes. Rio de Janeiro: RNP/ESR, 2015.
135
REFERÊNCIAS
SANTOS, L. C.; BARUQUE, L. B. Governança em Tecnologia da Informação. 
Material didático. Rio de Janeiro: Fundação CECIERJ, 2010.
SARBANES, P.; OXLEY, M. G. Sarbanes-OxleyAct of 2002. House of Representatives, 
107thCongress, 2ndsession, Report 107-601, 2002. 
136
UNIDADE I │ GOVERNANÇA DE TI
137
GOVERNANÇA DE TI│ UNIDADE I
138
UNIDADE I │ GOVERNANÇA DE TI
139
GOVERNANÇA DE TI│ UNIDADE I
140
UNIDADE I │ GOVERNANÇA DE TI
141
GOVERNANÇA DE TI│ UNIDADE I
142
UNIDADE I │ GOVERNANÇA DE TI