Fundamentos de COBIT para Gestão de Riscos em TI

Prévia do material em texto

1 
 
Fundamentos de COBIT 
 
 
 
 
 
 
 
 
 
 
 
 
Resumo sobre a finalidade do COBIT para os serviços de Tecnologia da Informação. 
 
 
 
 
 
 
 
 
 
 
 
 
Luís César Cordeiro – Maio-Setembro-2014 
 
2 
 
RESUMO 
 
Sobre gerenciamento de risco podemos definir que: 
Risco é a probabilidade de insucesso, de malogro de determinada coisa, em função de 
acontecimento eventual, incerto, cuja ocorrência não depende exclusivamente da vontade dos 
interessados - Houaiss. 
O framework 1do COBIT 2oferece uma base para a gestão de riscos em TI e estabelece 
mecanismos de controle, que estão sujeitos à legislação e regulamentação existente. 
O framework do COBIT é focado no nível estratégico possibilitando mensurar os riscos e 
tratá-los. 
As empresas estão com seus processos internos cada vez mais dependentes de recursos 
de Gestão da Tecnologia da Informação, produzindo como consequência a gestão sobre os riscos 
para não comprometer a continuidade do negócio. 
É relevante entender a estrutura do COBIT, neste processo, pois ela permite aplicar as 
melhores práticas de mercado para a gestão e estabelece modelo de governança que mantenha a 
área de Tecnologia da Informação integrada aos objetivos da empresa. 
A TI deixou de lado o papel de dar suporte ao negócio e, principalmente na área financeira, 
se tornou a estratégia do próprio negócio. O nível de dependência de tecnologia para o mercado 
financeiro é algo muito difícil de ser mensurado, no entanto se entendermos que a TI é um conjunto 
estrutural na qual a empresa depende para realizar suas atividades, o nível de dependência é de 
100%. 
Neste cenário é evidente a necessidade das empresas em estabelecer mecanismo de 
controle, não só no que diz respeito à gestão de riscos, mas também a legislação e a 
regulamentação existente para o mercado nacional ou internacional, e é exatamente respondendo a 
este tipo de necessidade que o COBIT pode ser aplicado. 
 
 
1
 Framework é um conjunto de classes que colaboram para realizar uma responsabilidade para um domínio de um subsistema da aplicação.- Fayad e Schmidt 
2
 COBIT - Control Objectives for Information and Related Technology 
3 
 
Sumário 
Resumo ................................................................................................................................................ 2 
Introdução ............................................................................................................................................ 4 
BSC – Balanced Score Cards ............................................................................................................ 18 
A TI deve ser mais responsiva ao negócio. ........................................................................................ 20 
RACI ................................................................................................................................................... 21 
DIRETRIZ DE AUDITORIA ................................................................................................................ 22 
Questões para planejamento e organização ...................................................................................... 23 
Planejamento e organização: ......................................................................................................... 23 
Aquisição e implementação: ........................................................................................................... 23 
Entregar e Suportar ........................................................................................................................ 23 
Monitoramento e avaliação ............................................................................................................. 23 
PO – AI – DS - ME ............................................................................................................................. 24 
Objetivos de controle genéricos...................................................................................................... 24 
Domínio Planejar e Organizar ........................................................................................................ 25 
Domínio Adquirir e Implementar ..................................................................................................... 29 
Entregar e suportar DS ................................................................................................................... 31 
Monitorar e avaliar - ME ................................................................................................................. 36 
Família de Produtos COBIT ............................................................................................................... 38 
COBIT online - ................................................................................................................................ 38 
Val IT .............................................................................................................................................. 38 
COBIT Security Baseline ................................................................................................................ 38 
Guia de implementação de TI ......................................................................................................... 38 
COBIT Quick Start .......................................................................................................................... 38 
COBTI Foundations ........................................................................................................................ 38 
Lista de Abreviaturas e Siglas ............................................................................................................ 39 
Apendice ............................................................................................................................................ 40 
 
 
4 
 
INTRODUÇÃO 
 
COBIT Control Objectives for Information and Related Technology 
 
A Tecnologia da Informação é relativamente nova se comparada à engenharia ou medicina, 
todavia, o conjunto de melhores práticas descritos nos itens abaixo vem passando por ciclos de 
melhorias contínuas, com novas versões, cujos resultados positivos nos projetos é comprovados 
pelo mercado nos últimos anos. 
COBIT é focado unicamente em TI e sua estrutura oferece uma base sólida para se 
estabelecer um modelo de governança de TI. 
 
A missão, segundo a ISACA3®: 
“Pesquisar, desenvolver, publicar e promover um conjunto de objetivos de controle para 
tecnologia que seja embasado, atual, internacional e aceito em geral para o uso do dia-a-dia de 
gerente de negócios e auditores”. 
 
O framework do COBIT especifica os objetivos de controle, mas não detalha como os 
processos podem ser definidos. 
O COBIT ajuda a direcionar os esforços e recursos da TI para atender os requisitos do 
negócio. 
A principal característica é o foco no negócio, a orientação a processos, baseado em 
controles e direcionado por métricas. 
O framework do COBIT é hoje uma referência mundial utilizado na avaliação de controles e 
maturidade de processos em TI. 
O COBIT teve sua publicação realizada em 1996 com foco no controle e análise dos 
sistemas de informação. Sua segunda edição, em 1998, ampliou a base de recursos adicionando um 
guia prático de sua execução. (Leia a linha do tempo no apêndice deste material). 
A edição atual está sob a coordenação do IT Governance Institute (ITGI) fundada em 1998 e 
introduz as recomendações de gerenciamento de ambientes de TI dentro de um modelo de 
maturidade de governança. 
 
3
 Fundada em 1969, a ISACA é a fonte confiável de conhecimento, padrões, relacionamento e desenvolvimento de carreira para auditores de sistemas de informação, 
segurança, risco, privacidade e profissionais de governança5 
 
É importante registrar, desde já, a diferença entre a governança e gestão para entender a 
aplicação do COBIT. 
Governança: 
Assegura que as necessidades, condições e opções dos stakeholder 4sejam avaliadas de 
forma equilibrada, priorizando a tomada de decisão e monitorando o desempenho com os objetivos 
corporativos a serem alcançados. 
Gestão: 
Executa e monitora as atividades em alinhamento com a direção definida pelo órgão de 
administração para atingir os objetivos da empresa. 
 
 
4
 Stakeholder significa público estratégico e descreve uma pessoa ou grupo que fez um investimento ou tem ações ou interesse em uma empresa, negócio ou indústria. 
6 
 
As operações de TI seguem a hierarquia abaixo: 
 
1-SOX 
2-COSO 
3-COBIT 
 
(1-) SOX - 
Lei Sarbanes-Oxley 5é obrigatória para todas as empresas que vão com suas ações no 
mercado de ações dos EUA. 
A Lei Sarbanes-Oxley é um sistema extremamente rigoroso de padrões de relatórios 
financeiros e de governança corporativa para garantir a transparência das empresas. 
A Lei Sarbanes-Oxley exige um sistema eficaz de controle interno e, como resultado, 
melhorar a qualidade da governança corporativa, o que aumenta a confiança dos investidores na 
empresa e deles retiram investimentos financeiros adicionais. 
A introdução da Lei Sarbanes-Oxley pode melhorar a reputação da empresa aos olhos dos 
parceiros, investidores, credores e clientes. 
(2-) COSO - 
O Comitê de Organizações Patrocinadoras da Comissão Treadway (COSO) é uma iniciativa 
conjunta das cinco organizações do setor privado e é dedicado a fornecer liderança de pensamento 
por meio do desenvolvimento de quadros e orientações sobre gerenciamento de riscos corporativos, 
controles internos e dissuasão da fraude. 
As cinco organizações do setor privado que desenvolvem os quadros e orientações são: 
(1-) American Accounting Association - 
A Associação Americana de Contabilidade é a maior comunidade de contadores no mundo. 
Fundada em 1916, tem uma história rica e respeitável pois é construída sobre pesquisas e 
publicações de ponta criando um ambiente fértil para a colaboração e inovação. 
(2-) American Institute of CPAs - 
American Institute of Certified Public Acconutants é a maior associação contadores do 
mundo, representando a profissão contábil, com mais de 394.000 membros em 128 países e mais 
 
5
 A Lei Sarbanes-Oxley (em inglês, Sarbanes-Oxley Act) é uma lei estadunidense, assinada em 30 de julho de 2002 pelo senador Paul Sarbanes (Democrata de Maryland) 
e pelo deputado Michael Oxley (Republicano de Ohio). 
http://pt.wikipedia.org/wiki/L%C3%ADngua_inglesa
http://pt.wikipedia.org/wiki/Estadunidense
http://pt.wikipedia.org/wiki/30_de_julho
http://pt.wikipedia.org/wiki/2002
http://pt.wikipedia.org/w/index.php?title=Paul_Sarbanes&action=edit&redlink=1
http://pt.wikipedia.org/wiki/Democrata
http://pt.wikipedia.org/wiki/Maryland
http://pt.wikipedia.org/w/index.php?title=Michael_Oxley&action=edit&redlink=1
http://pt.wikipedia.org/wiki/Republicano
7 
 
de uma herança de servir o interesse público de 125 anos. Membros do AICPA representam muitas 
áreas, incluindo o comércio e a indústria, governo, educação e consultoria. O AICPA estabelece 
padrões éticos para a profissão e as normas de auditoria dos EUA para as auditorias de empresas 
privadas, organizações sem fins lucrativos, governos federal, estaduais e governos locais. 
(3-) Financial Executives Intenational - 
O objetivo do fundador da FEI foi definir a profissão, trocar idéias sobre as melhores 
práticas, educar os membros a trabalhar com o governo para melhorar a economia em geral. 
FEI é um fórum único para executivos financeiros compartilhando as melhores práticas; 
participando de conferências de construção de conhecimento e seminários; representado em 
importantes debates nacionais e globais de política , alinhados com uma cultura que promove a 
liderança ética. 
(4- ) The Association of Accountants and Financial Professionals in Business - 
A organização foi fundada em Buffalo, NY, em 1919, como a Associação Nacional de 
Contadores de custos (NACA) para promover o conhecimento e profissionalismo entre os 
contadores de custos e promover a compreensão do papel da contabilidade de custos na gestão. O 
nome foi mudado mais tarde para a Associação Nacional dos Contabilistas (NAA). Em 1991, o nome 
da organização foi novamente alterado para o Institute of Management Accountants (IMA). 
(5-) The Institute of Internal Auditors 
Fundada em 1941, o IIA é uma associação profissional internacional com sede mundial em 
Altamonte Springs, Flórida, EUA. O IIA é a voz global da profissão de auditoria interna. Geralmente, 
os membros trabalham em auditoria interna, gestão de riscos, governança, controle interno, auditoria 
de tecnologia da informação, educação e segurança. 
(3-) COBIT - 
É um guia de boas práticas apresentado como framework, com testes dirigidos para a 
gestão em TI. 
Ainda dentro deste tópico temos as considerações abaixo: 
(A-) ITIL – Gestão de Serviços 
Biblioteca que descreve as melhores maneiras práticas para a organização de unidades de 
trabalho ou empresas envolvidas na prestação de serviços na área de tecnologia da informação. 
Foi distribuído em sete volumes descrevendo todo o conjunto de processos necessários 
para assegurar que os serviços de TI de alta qualidade contínua e melhorar a satisfação do usuário. 
8 
 
A segunda edição do ITIL inclui sete livros: 
1. Os serviços de suporte (Service Support) 
2. Prestação de serviços (Service Delivery) 
3. O planejamento para a implementação da gestão de serviços (Planning to Implement Service Management). 
4. Gerenciamento de Aplicativos (Application Management) 
5. Tecnologias de informação de gestão de infraestrutura e comunicação (ICT Infrastructure Management) 
6. Gestão de Segurança (Security Management) 
7. Perspectiva de Negócios (The Business Perspective) 
A terceira versão do ITIL (ITIL v.3) foi lançada em maio de 2007, é completamente 
redesenhado e suas seções reorganizadas para apoiar a nova abordagem de formato de serviços de 
ciclo de vida. 
O ITIL v.3 já contém apenas cinco livros, e consiste em: 
1. Estratégia de Serviço (Service Strategy) 
2. Desenho de Serviço (Service Design) 
3. Transição de Serviço (Service Transition) 
4. Operação de Serviço (Service Operation) 
5. Melhoria de Serviço Continuada (Continual Service Improvement) 
A parte mais famosa do ITIL - dez principais processos, suporte e entrega de serviços de TI - 
IT Service Management ou ITSM: 
1. Processo de gestão de incidentes 
2. Processo de Gerenciamento de Problemas 
3. Processo de gestão de configuração 
4. O processo de gestão da mudança 
5. Processo de Gerenciamento de Liberação 
6. Processo de gestão de nível de serviço 
7. Processo de Gerenciamento da Capacidade (capacidade) 
8. Processo de gerenciamento de disponibilidade 
9. Processo de gestão de continuidade 
10. Processos de gestão financeira 
(A-1) ISO 20000 – Gestão de Serviços 
A Certificação de Sistema de Gestão de Serviços de TI – ISO 20000 é uma “norma irmã” 
suportada também pelo ITIL destinados para setores públicos e privados. 
Esta norma está alinhada com outros sistemas de gestão e suporta a implementação e 
operação onde sistemas integrados são necessários. 
9 
 
Também comprova que seu sistema de gestão de serviços foi certificado de acordo com as 
melhores práticas. A norma é destinada a organização que fornece gerenciamento de serviço de TI 
como infraestrutura e suporte de aplicação para clientes internos e externos. 
(B-) PMBOK – Gestão de Projetos 
O Guia do Conhecimento em Gerenciamento de Projetos é uma norma reconhecia para a 
profissão de gerenciamento de projetos. É um documento formal (padrão) que descreve normas, 
métodos, processos e práticas estabelecidas; assimcomo em outras profissões como direito, 
medicina e contabilidade, o conhecimento contido nesse padrão evoluiu a partir das boas práticas 
reconhecidas de profissionais de gerenciamento de projetos que contribuíram para o seu 
desenvolvimento. 
(B.1) PRINCE2 – Gestão de Projetos 
É um padrão desenvolvido e usado extensivamente pelo governo do Reino Unido e é 
amplamente reconhecido e utilizado no setor privado. Valoriza e agrada as melhores práticas em 
gerenciamento de projetos. 
Este modelo de gerenciamento de projetos é usado em ambientes controlados e permite que 
navegue através de todos os elementos essenciais para a execução de um projeto bem sucedido, é 
flexível e destina-se a todos os tipos de projetos. 
O processo de certificação é gerenciado pela Axelos 6(www.axelos.com) e é dividido 
em três níveis: 
1. Foundation 
2. Practitioner 
3. Professional 
Há seis variáveis envolvidas em qualquer projeto, e, portanto, seis aspectos de desempenho 
do projeto a ser gerenciado: 
1. Custos 
2. Prazos 
3. Qualidade 
4. Escopo 
5. Risco 
6. Benefícios 
 
6
 Axelos – www.axelos.com é uma nova empresa de joint venture, criada pelo Gabinete do Governo, em nome do Governo de Sua Majestade (HMG) no Reino Unido e 
Capita plc para executar a carteira de Melhor Prática de Gestão, incluindo os padrões profissionais ITIL ® e PRINCE2®. 
http://www.axelos.com/
10 
 
PRINCE2 é uma estrutura integrada de processos e temas que aborda o planejamento, 
delegação, monitoramento e controle de todos esses seis aspectos de desempenho do projeto. 
O método PRINCE2 aborda gerenciamento de projetos com quatro elementos integrados de 
princípios, temas, processos e do ambiente de projeto: 
1. Os Princípios - Estas são as obrigações de orientação e boas práticas que determinam se 
o projeto é realmente a ser gerido utilizando pelo PRINCE2. 
2. Os Temas - Estes descrevem aspectos do gerenciamento de projetos que devem ser 
abordadas de forma contínua e em paralelo ao longo do projeto. 
3. Os Processos - Eles descrevem uma progressão passo a passo através do ciclo de vida 
do projeto, a partir de começar a projetar o encerramento. Cada processo fornece listas de 
verificação de atividades recomendadas, produtos e responsabilidades relacionadas. 
4. Adaptação ao Meio Ambiente PRINCE2 Project - Este capítulo aborda a necessidade de 
adequar PRINCE2 ao contexto específico do projeto. PRINCE2 não é uma solução "One Size Fits 
All7“, é uma estrutura flexível que pode ser facilmente adaptado a qualquer tipo ou tamanho de 
projeto. 
(C-) ISO 17799 – Segurança da Informação 
A ISO/IEC 17799, segundo a ABNT, é voltada a Tecnologia da Informação – Código de 
prática para a gestão de segurança da informação. 
A informação pode ser: 
 Impressa 
 Escrita 
 Armazenada 
 Transmitida 
 Filmada 
 Falada 
A segurança da informação é caracterizada quando preserva: 
 Confidencialidade 
 Integridade 
 Disponibilidade 
 A avaliação de risco deve ser sistemática no: 
 Impacto que gera aos negócios 
 
7
 Tamanho único. 
11 
 
 Probabilidade de falhas 
 Controles considerados essenciais para uma organização: 
 Proteção de dados e privacidade de informações pessoais 
 Salvaguarda de registros organizacionais 
 Direitos de propriedade 
 Documento da política de segurança da informação 
 Definição das responsabilidades na segurança da informação 
 Educação e treinamento em segurança da informação 
 Relatório dos incidentes de segurança 
 Gestão da continuidade do negócio. 
Fatores críticos para o sucesso: 
 Política de segurança, objetivos e atividades, que reflitam os objetivos do negocio; 
 Enfoque para a implementação da segurança que seja consistente com a cultura organizacional; 
 Comprometimento e apoio visível da direção; 
 Um bom entendimento dos requisitos de segurança, avaliação de risco e gerenciamento de risco; 
 Divulgação eficiente da segurança para todos os gestores e funcionários; 
 Distribuição das diretrizes sobre as normas e política de segurança da informação; 
 Proporcionar educação e treinamento adequados; 
 Um abrangente e balanceado sistema de medição. 
(C.1) ISO 27001 – Segurança da Informação 
A norma ISSO 27001 é referência para a Gestão da Segurança da Informação, tem como 
princípio a adoção pela organização de um conjunto de requisitos, processos e controles com os 
objetivos de mitigar e gerir adequadamente o risco da organização 
Ao adotar esta norma, fica estabelecido no Sistema de Gestão de Segurança da Informação: 
 Implementar 
 Operar 
 Monitorar 
 Revisar 
O modelo de abordagem é holístico porque acaba por ser uma abordagem 360º à 
Segurança da Informação, tratando de múltiplos temas tais como: 
 Telecomunicação 
 Segurança para instalação de aplicação 
 Proteção do meio físico 
 Recursos humanos 
 Continuidade de negócios 
12 
 
 Licenciamento 
(D-) CMMI - Capability Maturity Model Integration 
Este modelo desempenha um papel importante para assegurar o sucesso do projeto, pois se 
concentra em pesquisa durante o desenvolvimento. 
O CMMI inclui três modelos: 
1. Development – Foco em organizações envolvida em desenvolvimento de SW & HW. 
2. Service – Foco em processo de prestação de serviços 
3. Acquisition – Foco em aquisição e terceirização de bens e serviços. 
Foi desenvolvido em meados da década de 80 pela SEI - Software Engineering Institute na 
Universidade Carnegie Mellon. 
A estrutura é dividida em 22 processos e para cada área há uma série de objetivos a serem 
alcançados: 
 Objetivos únicos – específicos 
 Objetivos genéricos - comuns 
Qualquer melhoria de processo envolve um sistema de medição, essas etapas são 
formalizadas da seguinte forma: 
5 Otimizado Foco na melhoria do processo 
4 Controlado na base de 
dados quantitativa 
Processo medido e controlado 
3 Definido Os processos são definidos no nível de toda a organização e executado com antecedência. 
2 Gerenciado Processos são definidos no nível do projeto. Processos ocorrem frequentemente em resposta a determinados 
eventos. 
1 Inicial Processo imprevisível, ma controlada, processos ocorrem em resposta a certos eventos. 
(E-) BSC – Planejamento de TI 
Esta metodologia (BSC – Balanced ScoreCards) vê o negócio sob quatro perspectivas visando 
a gestão de desempenho, derivado da visão estratégia, refletindo os aspectos mais importantes do 
negócio, são elas: 
1. Perspectiva do cliente 
2. Perspectiva de processo interno 
3. Perspectiva do aprendizado 
4. Perspectiva financeira 
O fator crítico para o sucesso é gerir informações corretas e adequadas para que sejam 
tomadas as decisões mais apropriadas. 
13 
 
O BSC é uma ferramenta organizacional que auxilia a manter um sistema de informação 
gerencial que forneça informações corretas e oportunas para tomada de decisão, estabelece metas: 
 Individuais 
 Equipe 
 Remuneração 
 Alocação de recursos 
 Planejamento e orçamento 
 Feedback 8– Opinião ou Realimentação 
 Aprendizado estratégico 
Este modelo considera os objetivos em curto/longo prazo, medida financeira/não financeira, 
indicadores de performance/desempenho e perspectiva interna/interna do desempenho empresarial. 
(F-) SIX SIGMA - Qualidade 
Busca melhoria contínua de processos e produtos. Esta metodologia norteia-se pela redução 
variabilidade dos processos em números absolutos, 3,4 por milhão e em números relativos 
99,9997% de aproveitamento. 
Funções no SIX SIGMA: 
Consultoria – Treina Champion, Black Belt e Green Belt e acompanha conceito para implantação. 
Comitê diretivo – Conduzir, disseminar e patrocinar o programa SIX SIgMA; avaliar os projetos. 
Gerente do programa – Administrar o desenvolvimento do programa 
Champion – Patrocinar os projetos. Elaborar business do projeto; acompanhar o projeto. 
Membros da equipe de projeto – Participamdo desenvolvimento dos projetos. 
Green Belts – Condutores de projetos dentro dos setores. 
Black Belts – Responsável pelo gerenciamento do projeto; possui habilidade e prática para resolver problemas; Lidera Breen Belts e equipe de projeto. 
(F.1) TQM - Qualidade 
É um sistema – um conjunto de rotinas independentes que interagem entre si – de 
gerenciamento que permite chegar à qualidade total, que se pauta pela satisfação das necessidades 
das pessoas ligadas à empresa. 
Segue a premissa do respeito ao empregado como ser humano e que exista cooperação 
com a empresa – Pirâmide de Maslow9. 
Também o pensamento cartesiano, que consiste em dividir o todo em partes menores. 
 
8
 Feedback é uma palavra inglesa que significa realimentar ou dar resposta a uma determinado pedido ou acontecimento. O termo é utilizado em áreas como 
Administração de Empresas, Psicologia ou Engenharia Elétrica. 
9
 Leia apêndice. 
14 
 
Modelos de Maturidade 
O modelo abaixo avalia e classifica a maturidade de um determinado processo, de modo 
que o gerenciamento e controle podem ser classificados em um nível onde o processo é: 
Inexistente Processo de gerenciamento inexistente 
Inicial Ad-Hoc Processos são ad-hoc e desorganizados 
Repetitivo mas intuitivo Processos seguem um padrão regular 
Processos Definidos Processos estão documentados e são comunicados 
Gerenciado e Medido Processos são monitorados e medidos 
Otimizado Melhores práticas são seguidas e automatizadas 
 
Esta avaliação auxilia a fazer comparações – benchmarking – e análise de “gap10” avaliando 
onde a empresa se encontra, onde o mercado está posicionado e onde a empresa deseja chegar. 
A abordagem dos modelos de maturidade do COBIT deriva do modelo de maturidade da 
capacidade para desenvolvimento de software definido pelo SEI – Software Engineering Institute. 
 
Planejar e Organizar PMBOK 
Adquirir e Implementar ITIL 
Entregar e Suportar ITIL 
Monitorar e Avaliar Sarbanes-Oxley 
 
A TI está incorporada pelo negócio de tal maneira que, caso os serviços te TI sejam 
interrompidos, as operações da empresas são impactadas de uma maneira a trazer impactos 
financeiros nos resultados. Esta dependência gerou grandes investimentos em projetos e processos, 
de modo que os profissionais envolvidos recebem forte pressão para minimizar custos operacionais 
por meio de uma melhor Gestão de Projetos. 
O COBIT ajuda a direcionar os esforços da TI para atender aos requisitos do negócio, 
identifica quais os processos da TI estão impactando, de modo a priorizar o gerenciamento deste. 
Hoje é uma referência mundial utilizado na avaliação de controles e maturidade de processos de TI 
e, tem sido adotado em diversos projetos de governança de TI. 
 
10
 Gaps geralmente indicam que algo importante mudou nos fundamentos de uma determinada empresa. Existe uma classificação de diferentes tipos de gaps:: gaps de 
exaustão, gaps de rompimento, gaps de continuação e etc. 
15 
 
O benchmarking (comparativo) com outras organizações passa a fazer parte da estratégia 
das empresas para conseguir a melhor competitividade em TI. 
 
Características 1. Foco no negócio 
2. Orientado a processo 
3. Baseado em controle 
4. Direcionado por métrica 
Objetivos 1. Padrão aceito nas melhores práticas de governança de TI 
2. Aplicação das melhores práticas de uma matriz de domínio e processos 
3. Interligação dos riscos no negócio 
4. Associado as necessidades de controles junto com aspectos tecnológicos 
Vantagem 1. Mapear os maiores padrões e frameworks de mercado 
2. Ajudar a entender os requisitos regulatórios 
3. Compatível com COSO 
4. Definir uma linguagem comum entre TI & Negócio 
5. Foco nos requisitos do negócio 
6. Aceito internacionalmente 
7. Orientado a processos 
 
O COBIT foi projetado para ser utilizado por: 
 
Administradores Auxilia na avaliação entre risco, investimento e controle de ambientes imprevisíveis. 
Usuários Busca certificação da segurança e dos controles de serviços de terceiros para a TI. 
Auditores Adotam como subsídio das opiniões emitidas e promoção de aconselhamento aos 
administradores sobre controles internos. 
 
Contribuição de empresas e organismos internacionais para o COBIT: 
 
EDIFACT The United Nations rules for Electronic Data Interchance for Administration, Commerce and Transport 
comprise a set of internationally agreed stardards, directries, and guidelines for the electronic 
interchange of structured data, between independent computerized information systems. 
ISO International Organization for Standardization is the world´s largest developer of voluntary International 
Standards. International Standards give state of the art specifications for produts, services and good 
practice, helping to make indutrtry more efficient and effective. Developed through global consensus, 
they help to break down barries to international trade. 
16 
 
Conselho 
Europeu 
Que define as orientações e prioridades políticas gerais da União Europeia. 
OECD The Organisation For Economic Co-operation and Development - The mission of the Organisation 
for Economic Co-Operation and Development is to promote policies that will improve the economic and 
social well-being of people around the world. 
ITSEC Was founded in 1995 as an independent supplier of IT-security related expertise and services. ITsec's 
reputation primarily comes forth from security-assessments and penetration tests carried out on behalf of 
banking- and insurance industry, governmental organisations and some major telecom- and professional 
service organisations. In almost all situations the objective of assessments carried out by ITsec is to 
determine whether an Internet-based IT-service or application is sufficiently cybercrime-/hacker-proof. 
 
O framework do COBIT considera a necessidade de relacionar os processos de TI, os 
recursos de TI e os critérios de informação conforme tratado na tabela abaixo. 
 
Critérios de Informação 
Efetividade Trata das informações que são relevantes e pertinentes aos processos de negócio, assim como 
estarem disponíveis no tempo adequado, corretas, consistentes e de maneira útil. 
Eficiência Trata do provisionamento de informações por meio do melhor uso de recursos (produtivo e 
econômico). 
Confidencialidade Trata da proteção de informações contra acesso não autorizado. 
Integridade Está relacionada à precisão e totalidade das informações assim como a sua validade em 
concordância com os valores e expectativas do negócio. 
Disponibilidade Trata de a informação estar disponível quando requerido pelos processos de negócio, tanto no 
momento atual quanto no futuro. Também trata da salvaguarda dos recursos, necessários e 
capacidades associadas. 
Conformidade Trata do comprimento das leis, regulamentos e contratos cujos processos de negócios estejam 
sujeitos a impostos ao negócio assim como políticas internas. 
Confiabilidade Trata do provisionamento de informações apropriadas para o gerenciamento para a operação da 
instituição e exercício de suas responsabilidades, fiduciárias e de governança. 
Recursos de TI 
Aplicações São os sistemas automatizados e procedimentos manuais para processar informações. 
Informação São os dados de todos os formulários de entrada, processados e exibidos pelos sistemas de 
informação, podendo ser qualquer formulário que é usado pelo negócio. 
Infraestrutura Considera itens de hardware, software, sistemas de banco de dados, rede, e qualquer outro 
recurso necessário para funcionamento das aplicações. 
17 
 
Pessoas Trata-se dos recursos humanos necessários para planejar, organizar, adquirir, implementar, 
entregar, suportar, monitorar e avaliar os sistemas de informação e serviços, podendo estes ser 
recursos internos ou terceirizados. 
Processo de TI 
PO Planejar e Organizar 
AI Adquirir e Implementar 
DS Entregare Suportar 
ME Monitorar e Avaliar 
 
O COBIT estabelece metas e métricas em três níveis: 
1. Objetivos e métricas de 
TI 
Definem o que o negócio espera da TI e como isso será medido. 
2. Objetivos e métricas Que definem o que os processos de TI devem entregar para suportar os objetivos de 
TI e como isso será medido. 
3. Objetivos de atividades e 
respectivas métricas 
Para estabelecer o que precisa ocorrer dentro dos processos para alcançar a 
desempenho desejado e como mensurar isso. 
 
Não há regra para estabelecer uma perspectiva importante, todas contêm objetivos, vai 
depender do foco da empresa, ou seja, se a empresas tem como foco principal a obtenção de lucro, 
obviamente a perspectiva é financeira e deve ser apresentada em primeiro lugar. 
No contexto isso não importa, é relevante estabelecer quais são os objetivos mais 
importantes e como eles serão mensurados. 
 
18 
 
 
BSC – BALANCED SCORE CARDS 
 
Esta metodologia vê o negócio sob 4 perspectiva: 
 
 1) Perspectiva do cliente 
 2) Perspectiva de processo interno 
 3) Perspectiva do aprendizado 
 4) Perspectiva financeira 
Sistema de gestão de desempenho, derivado da visão estratégia, refletindo os aspectos 
mais importantes do negócio. 
Gerir informação corretas e adequadas para que sejam tomadas as decisões mais 
apropriadas. 
O BSC é uma ferramenta organizacional que auxilia a manter um sistema de informação 
gerencial que forneça informações corretas e oportunas para tomada de decisão, estabelece metas: 
 Individuais 
 Equipe 
 Remuneração 
 Alocação de recursos 
 Planejamento e orçamento 
 Feedback – Opinião ou Realimentação 
 Aprendizado estratégico 
Este modelo considera o desempenho empresarial em: 
 Objetivos em curto e longo prazo 
 Medida financeira e não financeira 
 Indicadores de desempenho 
 Perspectiva: interna e externa 
O Balanced Score Cards inova com a junção de medidores de desempenho futuro, focados 
estrategicamente nas perspectivais das finanças, dos clientes, dos processos internos e 
crescimento. A definição e integração dos objetivos e das iniciativas desses quatros perspectivas 
19 
 
constituem os pilares do sistema BSC, que devem ser conectados ao pensamento estratégico da 
organização. 
 
Perspectiva Financeira Visão dos gerentes e diretores. Mede o retorno sobre o investimento, o valor econômico agregado, a 
lucratividade (aumento de receitas & redução de custos). 
A proposta para o shareholder é obter lucro se a empresa tiver sucesso no mercado. 
Perspectiva do Cliente Identificar os fatores que são importantes na concepção dos clientes é uma exigência do BSC, 
envolvendo tempo, qualidade, desempenho e serviço. Visando a participação de mercado: número de 
cliente, capital investido, unidades vendidas, retenção do cliente, captação do cliente, satisfação do 
cliente e lucratividade do cliente. 
Perspectiva dos processos internos Os processos internos são as diversas atividades empreendidas dentro da organização que possibilitam 
realizar desde a identificação das necessidades até a satisfação dos clientes. As medidas de processo 
interno devem ser voltadas para aqueles que terão maior impacto na satisfação do cliente e na 
consecução dos objetivos financeiros da empresa. São: Inovação – Operação – Pós venda. 
Perspectiva do aprendizado e 
crescimento 
O aprendizado e o crescimento da organização vêm de três principais fontes: pessoas – sistemas – 
processos. 
Indicadores importantes: satisfação dos funcionários – rotatividades dos funcionários – lucratividade por 
funcionário. 
 
 
20 
 
A TI DEVE SER MAIS RESPONSIVA AO NEGÓCIO 
É necessário identificação e documentação do escopo do trabalho para mapear a estrutura 
de cada processo, desta forma, o foco é o entendimento dos riscos relacionados aos requisitos de 
negócio e medidas de controle relevantes. 
A norma ISO 20000 tem como escopo definir requisitos para o correto gerenciamento de 
uma empresa prestadora de serviços de TI, garantindo a entrega aos clientes de serviços de 
qualidade. Esta norma adota a metodologia PDCA: 
 P Plan – Planejar: estabelecer os objetivos e processos para entrega dos serviços; 
 D Do – Fazer: Implementa os processos ; 
 C Check – Avalia: monitora e mede os processos; 
 A Act – Ação: aplicar as decições que visam melhoria nos processos. 
Assim o COBIT estabelece diretrizes destas perspectivas e aponta para o uso da 
metodologia BSC, onde nesta visão o cliente, financeiro, processos internos e aprendizado são 
meios para estabelecer métricas, neste contexto o BSC é visto como uma ferramenta organizacional 
que pode ser utilizada para gerenciar importantes processos como: 
 Estabelecimento de metas individuais e de equipe, remuneração, alocação de 
recursos, planejamento e orçamento, 
 Feedback e aprendizado estratégico, funcionando como uma ferramenta equivalente 
á um sistema ERP, que tem a mesma função, embora seja mais complexo e caro. 
O BSC equilibra as dimensões financeiras e não financeiras de uma empresa permitindo ao 
administrador monitorar a organização com o balanceamento da visão financeira, operacional e com 
a visão de longo prazo proporcionando aos gerentes um instrumento que necessitam para ter êxito 
competitivo futuro. 
 
21 
 
RACI 
 R – Define quem executa o processo 
 A – Define quem é responsável pelo resultado 
 C – Define quem deve ser consultado 
 I – Define quem deve ser informado. 
 
SUGESTAO: 
Um modelo de processo demanda que cada processo tenha um proprietário, de forma a 
definir claramente as responsabilidades e quem será cobrado pelos resultados dos processos. 
 
22 
 
DIRETRIZ DE AUDITORIA 
Um processo de TI é auditado por meio da obtenção do entendimento dos riscos 
relacionados com os requisitos de negócio e medidas de controle relevantes. 
Estágio ou etapas Descrição 
Identificação e documentação A definição do escopo do trabalho; visa obter o entendimento dos riscos relacionados aos 
requisitos de negócio e medidas de controle relevantes. 
Avaliação Avalia o principal objetivo dos controles internos determinados. 
Testes de conformidade Avalia a conformidade testando se os controles determinados estão funcionando 
conforme sua definição. 
Testes substantivos Verifica os riscos dos objetivos de controle que não estão sendo alcançados, por meio de 
técnicas analíticas ou consultando fontes alternativas. 
 
O gerenciamento se dá após avaliação de conformidade por meio de testes que devem 
identificar se os controles estabelecidos estão funcionando como previsto e, por último, se executa a 
transformação dos riscos dos objetivos de controle que não estão sendo atingidos. 
Estas etapas devem ser executadas em função da necessidade que a alta administração 
tem em assegurar que as metas e objetivos da TI sejam atingidos e que os controles principais 
estejam sendo aplicados no dia a dia. 
AS diretrizes de gerenciamento descrevem e sugerem atividades de auditoria e avaliação 
para serem executadas para cada um dos 34 objetivos de controle de alto nível do COBIT, de modo 
que dentre os principais objetivos citarem que estas devem fornecer um gerenciamento de modo a 
assegurar que os objetivos de controle estejam sendo alcançados. 
 
23 
 
QUESTÕES PARA PLANEJAMENTO E ORGANIZAÇÃO 
 
PLANEJAMENTO E ORGANIZAÇÃO: 
 A TI e estratégia do negócio estão devidamente alinhados? 
 A organização está tirando o melhor proveito de seus recursos? 
 Todos na organização compreendem os objetivos da TI? 
 Os riscos são compreendidos e gerenciados? 
 A qualidade dos sistemas de TI é apropriada para as necessidades do negócio? 
AQUISIÇÃO E IMPLEMENTAÇÃO: 
 Os novos projetos estão no caminho de entregar soluções que venham ao encontro as necessidades de 
negócio? 
 Novos projetos estão sendo conduzidos de maneira que as entregas sejam realizadas dentro do tempo 
previsto e dentro do orçamento estabelecido? 
Os novos sistemas vão funcionar adequadamente quando implementados? 
 As mudanças na infraestrutura serão realizadas sem causar impactos negativos para a operação do negócio? 
ENTREGAR E SUPORTAR 
 Os serviços de TI estão sendo entregues alinhados com as prioridades de negócio? 
 Os custos de TI são otimizados? 
 A força de trabalho é capaz de utilizar os sistemas de TI de maneira produtiva e segura? 
 Há adequados níveis de confidencialidade, integridade e disponibilidade para a segurança 
da informação? 
MONITORAMENTO E AVALIAÇÃO 
 A performance de TI é medida de modo a identificar problemas antes que seja muito tarde? 
 O gerenciamento assegura os controles internos são eficientes e eficazes? 
 Há alguma maneira que a performance de TI esteja ligada aos objetivos de negócio ? 
 Há adequados níveis de confidencialidade, integridade e disponibilidade para a segurança 
da informação? 
 
24 
 
PO – AI – DS - ME 
Os objetivos de controles são identificados por duas letras para identificar o domínio um 
número de processo e um número de objetivo de controle: 
PO – Planejamento e Organização 
AI – Aquisição e Implementação 
DS – Entregar (Delivery) e Suportar 
ME – Monitoramento e Avaliação 
Além dos objetivos de controle, cada processo do COBIT possui requisitos de controle 
genéricos identificados por PC(n), que indica o número de controle do processo. Considera-se junto 
com os objetivos de controle dos processos para que se tenha uma visão completa dos requisitos de 
controle. 
Todo o framework tem como métrica a satisfação do cliente, buscando eficiência e eficácia 
nas operações, protegendo o cumprimento dos objetivos de TI e aderindo a legislação, 
regulamentação ou contratos relacionados com a TI. 
OBJETIVOS DE CONTROLE GENÉRICOS 
 PC1 – Objetivos e metas do processo 
 PC2 – Proprietário do processo 
 PC3 – Repetição do processo 
 PC4 – Papéis e responsabilidades 
 PC5 – Política, planos e procedimentos 
 PC6 – Melhoria da performance do processo 
 
SMART 
 S – Específico 
 M – Mensurável 
 A – Alcançável 
 R – Realista 
 T - Em tempo 
 
O conjunto de objetivos de controle recomendado para aplicações é identificado no COBIT 
pelas iniciais AC – Application Control – sendo que cada objetivo será listado a seguir: 
25 
 
 AC1 – Autorização e preparação da fonte de dados 
 AC2 – Coleção de fonte de dados e alimentação 
 AC3 – Verificação de precisão, completude e autenticidade. 
 AC4 – Processamento com integridade e validade 
 AC5 – Revisão de saídas, reconciliação e tratamento de erros. 
 AC6 – Integridade e autenticação de transações 
DOMÍNIO PLANEJAR E ORGANIZAR 
PO1 – Definir um plano estratégico de TI 
O objetivo deste processo é sustentar ou expandir a estratégia do negócio e requisitos de 
governança com transparência sobre os benefícios, custos e riscos. 
 PO1.1 Gerenciamento do valor da TI 
 PO1.2 Alinhamento entre TI e o negócio 
 PO1.3 Avaliação de capacidade e performance atual 
 PO1.4 Plano estratégico de TI 
 PO1.5 Planos táticos de TI 
 PO1.6 Gerenciamento do portfólio de TI 
Medir através da porcentagem o objetivo e projeto de TI com o plano estratégico e tático. 
PO2 – Definir a arquitetura da informação 
 
Considerar o desenvolvimento de um dicionário de dados corporativo com as regras de 
sintaxe dos dados da organização, esquemas de classificação dos dados e níveis de segurança. 
 PO2.1 Modelo corporativo de arquitetura da informação 
 PO2.2 Dicionário de dados corporativo e regras de sintaxe de dados 
 PO2.3 Esquema de classificação dos dados 
 PO2.4 Gerenciamento de integridade 
Medir através da porcentagem de dados redundantes e frequência das atividades de 
validação. 
PO3 – Determinar a direção tecnológica 
A função dos serviços de informação determina a direção tecnológica para suportar o 
negócio. 
 PO3.1 Planejamento do direcionamento tecnológico 
26 
 
 PO3.2 Plano da infraestrutura tecnológica 
 PO3.3 Monitorar tendências futuras e regulamentação 
 PO3.4 Padrões tecnológicos 
 PO3.5 Conselho de arquitetura de TI 
Mede com o número de plataformas tecnológicas por função em toda a organização. 
 
PO4 – Definir os processo de TI, sua organização e relacionamentos 
Uma organização de TI é definida ao considerar os requisitos para as pessoas, 
competências, funções, responsabilidades, autoridade, papéis e supervisão. 
 PO4.1 – Framework de processo de TI 
 PO4.2 – Comitê de estratégia de TI 
 PO4.3 – Comitê de direcionamento de TI 
 PO4.4 – Colocação organizacional da Fundação da TI 
 PO4.5 – Estrutura organizacional da TI 
 PO4.6 – Estabelecimento de papéis e responsabilidades 
 PO4.7 – Responsabilidade pelo controle de qualidade de TI 
 PO4.8 – Responsabilidade por riscos, segurança e aderência 
 PO4.9 – Propriedade sobre sistemas e dados 
 PO4.10 - Supervisão 
 PO4.11 – Segregação de funções 
 PO4.12 - Equipe 
 PO4.13 – Pessoas-chave na TI 
 PO4.14 – Procedimento e políticas para contratados 
 PO4.15 - Relacionamentos 
Número de processos de negócios não suportados pela organização da TI que deveriam ser 
suportados. 
PO5 – Gerenciar os investimentos em TI 
Um framework é estabelecido e mantido para gerenciar os programas de investimento em TI 
e este englobam os custos, benefícios e priorização de acordo com o orçamento e gerenciamento 
sobre o orçamento. 
 PO5.1 – Framework de gerenciamento financeiro 
 PO5.2 Priorização de acordo com o orçamento 
27 
 
 PO5.3 – Orçamentação de TI 
 PO5.4 – Gerenciamento de custos 
 PO5.5 – Gerenciamento de benefícios 
Percentual de redução do custo unitário dos serviços de TI entregues. 
PO6 – Comunicar metas gerenciais e direcionamento 
A comunicação suporta o alcance aos objetivos de TI e assegura a consciência e 
compreensão dos riscos do negócio e da TI, objetivos e direcionamento. 
 PO6.1 – Política de TI e ambiente de controle 
 PO6.2 – Riscos corporativos de TI e framework de controle 
 PO6.3 – Gerenciamento de políticas de TI 
 PO6.4 – Aplicação de políticas, padrões e procedimentos 
 PO6.5 – Comunicação dos objetivos de TI e direcionamento 
Número de interrupções no negócio causadas por interrupções dos serviços de TI. 
PO7 – Gerenciar recursos humanos de TI 
Uma força de trabalho competente é adquirida e mantida para a criação e entrega dos 
serviços de TI para o negócio. 
 PO7.1 – Contratação e retenção de pessoal 
 PO7.2 – Competências pessoais 
 PO7.3 - Papéis 
 PO7.4 - Treinamento 
 PO7.5 – Dependência sobre indivíduos 
 PO7.6 – Procedimentos de autorização de pessoal 
 PO7.7 – Avaliação de performance dos colaboradores 
 PO7.8 – Mudanças de emprego e desligamentos 
Percentual do pessoal certificado de acordo com as necessidades do trabalho 
PO8 – Gerenciar Qualidade 
Requisitos de qualidade são estabelecidos e comunicados em indicadores quantificáveis e 
alcançáveis. 
 PO8.1 – Sistema de gerenciamento de qualidade 
 PO8.2 – Padrões de TI e práticas de qualidade 
 PO8.3 – Padrões de desenvolvimento e aquisição 
28 
 
 PO8.4 – Foco no cliente 
 PO8.5 – Melhoria contínua 
 PO8.6 – Medição de qualidade, monitoramento e revisão 
Percentual de partes interessadas satisfeitas com a qualidade da TI 
PO9 – Avaliar e gerenciar riscos de TI 
Qualquer impacto potencial nos objetivos da organização que seja causado por um evento 
não planejado é identificado, analisado e avaliado. 
 PO9.1 – Framework de gerenciamento de riscos de TI 
 PO9.2 – Estabelecimento do contexto dos riscos 
 PO9.3 – Identificação de eventos 
 PO9.4 – Avaliação de riscos 
 PO9.5 – Resposta a riscos 
 PO9.6 – Manutenção e monitoramento de um plano de ação de riscos 
Percentual de planos de ação para gerenciamento de riscos aprovados para implementação. 
PO10 – Gerenciar Projetos 
Um framework para gerenciamento de programas e projetos para o gerenciamento de todos 
os projetos de TI é estabelecido.O framework assegura a priorização correta e a coordenação de 
todos os projetos. 
 PO10.1 – Framework de gerenciamento de programas 
 PO10.2 – Framework de gerenciamento de projetos 
 PO10.3 – Abordagem de gerenciamento de projetos 
 PO10.4 – Comprometimento das partes interessadas 
 PO10.5 – Declaração do escopo dos projetos 
 PO10.6 – Fase de iniciação de projetos 
 PO10.7 – Plano integrado de projetos 
 PO10.8 – Recursos dos projetos 
 PO10.9 – Gerenciamento de riscos dos projetos 
 PO10.10 – Plano de qualidade dos projetos 
 PO10.11 – Controle de mudanças dos projetos 
 PO10.12 – Planejamento de métodos de segurança dos projetos 
 PO10.13 – Medição de performance, relatórios e monitoramento de projetos 
 PO10.14 – Encerramento dos projetos 
29 
 
Percentual de projetos que estão seguindo as práticas e padrões para gerenciamento de 
projetos. 
DOMÍNIO ADQUIRIR E IMPLEMENTAR 
AI1 – Identificar soluções automatizadas 
A necessidade para uma nova aplicação ou funções requer análise antes da aquisição ou 
criação para assegurar que os requisitos de negócio sejam satisfeitos em uma abordagem efetiva e 
eficiente. 
 AI1.1 – Definição e manutenção do funcionamento do negócio e requisitos técnicos 
 AI1.2 – Relatórios de análise de riscos 
 AI1.3 – Estudo de viabilidade e formulação de cursos de ação alternativos 
 AI1.4 – Aprovação de estudos de viabilidade e requisitos 
Número de projetos cujos objetivos estabelecidos não foram atingidos em função de estudos 
de viabilidade incorretos. 
AI2 – Adquirir e manter software aplicativo 
O objetivo deste processo é alinhar as aplicações disponíveis com os requisitos de negócio. 
 AI2.1 - Design de alto nível 
 AI2.2 – Design detalhado 
 AI2.3 – Controle e auditoria de aplicativos 
 AI2.4 – Segurança e disponibilidade de aplicativos 
 AI2.5 = Configuração e implementação de software aplicativo adquirido 
 AI2.6 – Maior upgrades em sistemas existentes 
 AI2.7 = Desenvolvimento de software aplicativo 
 AI2.8 – Controle de qualidade de software 
 AI2.9 – Gerenciamento de requisitos de aplicativos 
 AI2.10 – Manutenção de software aplicativo 
Número de problemas em ambiente de produção, por aplicação, causando downtime visível. 
AI3 – Adquirir e manter infraestrutura tecnológica 
O objetivo deste processo é adquirir e manter uma infraestrutura de TI integrada e 
padronizada. 
 AI3.1 – Plano de aquisição de infraestrutura tecnológica 
 AI3.2 – Disponibilidade e proteção de recursos da infraestrutura 
30 
 
 AI3.3 – Manutenção da infraestrutura 
 AI3.4 – Viabilidade do ambiente de testes 
Percentual de plataformas que não estão alinhadas com a arquitetura de TI e padrões 
tecnológicos. 
AI4 – Habilitar operação e uso 
O processo visa assegurar a satisfação dos usuários finais em relação a oferta de serviços e 
respectivos níveis e integrando continuamente as aplicações e soluções tecnológicas aos processos 
de negócio. 
 AI4.1 – Planejamento para soluções operacionais 
 AI4.2 – Transferência de conhecimento para as gerências de negócio 
 AI4.3 – Transferência de conhecimento para usuários finais 
 AI4.4 – Transferência de conhecimento para operação e equipes de suporte 
Número de aplicativos com usuários adequados e treinamento de suporte operacional 
AI5 – Obtenção de recursos de TI 
Os recursos de TI são: pessoas, hardware, software e serviços. 
 AI5.1 – Controle de aquisições 
 AI5.2 – Gerenciamento de contrato de fornecedores 
 AI5.3 – Seleção de fornecedores 
 AI5.4 – Aquisição de recursos de TI 
Número de disputas relacionadas a contratos de compra. 
AI6 - Gerenciar mudanças 
Objetivo deste processo é responder aos requisitos de negócio em alinhamento com a 
estratégia do negócio, reduzindo os defeitos na entrega de serviços e retrabalho. 
 AI6.1 – Padrões e procedimentos de mudança 
 AI6.2 – Avaliação de impacto, priorização e autorização 
 AI6.3 – Mudanças emergenciais 
 AI6.4 – Acompanhamento de mudança de status e relatórios 
 AI6.5 – Fechamento e documentação da mudança 
Volume de retrabalho em aplicações ou infraestrutura causados por especificações de 
mudanças inadequadas. 
AI7 – Instalar e validar soluções e mudanças 
31 
 
Novos sistemas devem ser colocados em operação após seu desenvolvimento estar 
completo. Isto requer testes adequados em um ambiente dedicado com dados relevantes para o 
propósito de testes, definição do plano de implementação e instruções para migração, planejamento 
da liberação para colocar o sistema em produção, e inclui também uma revisão pós-implementação. 
AI7.1 - Treinamento 
 AI7.2 – Plano de testes 
 AI7.3 – Plano de Implementação 
 AI7.4 – Ambiente de testes 
 AI7.5 – Conversão de sistema e dados 
 AI7.6 – Testes das mudanças 
 AI7.7 – Teste de aceitação final 
 AI7.8 – Promoção para produção 
 AI7.9 – Revisão pós-implementação 
Volume de downtime de aplicações ou número de correções nos dados causados em função 
de testes inadequados. 
ENTREGAR E SUPORTAR DS 
DS1 - Definir e gerenciar níveis de serviço 
Trata-se da comunicação efetiva entre a gerência da TI e os clientes do negócio, em relação 
aos serviços requeridos. 
 DS1.1 - Framework de gerenciamento de nível de serviço 
 DS1.2 - Acordos de nível de serviço 
 DS1.3 - Acordos de nível operacional 
 DS1.4 - Monitoramento e reporte sobre os níveis de serviço alcançados 
 DS1.5 - Revisão dos acordos de nível de serviço e contratos 
Número de reuniões por ano para revisão formal dos níveis de serviço realizados com 
clientes de negócio. 
DS2 - Gerenciar serviços de terceiros 
Este processo é efetuado com papéis claramente definidos, responsabilidades e expectativa 
sem acordos com terceiros, assim como revisão e monitoramento destes acordos para efetividade e 
conformidade. 
 DS2.1 - Identificação de todos os relacionamentos com fornecedores 
 DS2.2 - Gerenciar o relacionamento com fornecedores 
32 
 
 DS2.3 - Gerenciar risco dos fornecedores 
 DS2.4 - Monitorar a performance dos fornecedores 
Percentual de número de reclamações de usuários sobre os serviços contratados. 
DS3 - Gerenciar performance e capacidade 
O objetivo deste processo é aperfeiçoar a performance da infraestrutura de TI, recursos e 
capacidade em resposta as necessidades de negócio. 
 DS3.1 - Planejamento de performance e capacidade 
 DS3.2 - Performance e capacidade atual 
 DS3.3 - Performance e capacidade futura 
 DS3.4 - Disponibilidade dos recursos de TI 
 DS3.5 - Monitoramento e relatórios 
Números de horas perdidas por usuário/por mês em função de um planejamento de 
capacidade insuficiente. 
DS4 - Garantir a continuidade dos serviços 
A necessidade de prover serviços de TI de maneira contínua requer o desenvolvimento, 
manutenção e testes de planos de continuidade dos serviços de TI, utilizando armazenamento 
externo de backups e proporcionando treinamento periódico sobre os planos de continuidade. 
 DS4.1 - Framework de continuidade de TI 
 DS4.2 - Plano de continuidade de TI 
 DS4.3 - Recursos críticos de TI 
 DS4.4 - Manutenção do plano de continuidade de TI 
 DS4.5 - Teste do plano de continuidade de TI 
 DS4.6 - Treinamento do plano de continuidade de TI 
 DS4.7 - Distribuição do plano de continuidade de TI 
 DS4.8 - Recuperação e retomada dos serviços de TI 
 DS4.9 - Armazenamento externo de backup 
 DS4.10 - Revisão pós-retomada 
Números de processos críticos para o negócio dependentes de recursos de TI que não 
estão cobertos por um plano de continuidade. 
DS5 - Garantir a segurança dos sistemas 
O objetivo deste processo é manter a integridade da informação e sua infraestrutura 
necessária. 
33 
 
 DS5.1 - Gerenciamento da segurança de TI 
 DS5.2 - Plano de segurança de TI 
 DS5.3 - Gerenciamento de identidade 
 DS5.4 - Gerenciamento de contas de usuários 
 DS5.5 - Teste de segurança, fiscalização e monitoramento 
 DS5.6 - Definição de incidentesde segurança 
 DS5.7 - Proteção da tecnologia de segurança 
 DS5.8 - Gerenciamento de chaves de criptografia 
 DS5.9 - Prevenção, detecção e correção de SW malicioso 
 DS5.10 - Segurança de redes 
 DS5.11 - Troca de dados importantes 
Número de violações em segregação de papéis e número de incidentes que afetaram a 
reputação da organização no mercado. 
DS6 - Identificar e alocar custos 
A necessidade para um sistema justo e imparcial de alocação de custos para o negócio 
requer a medição exata dos custos da TI e acordos com usuários de negócio para uma alocação 
correta. 
O objetivo deste processo é assegurar transparência e entendimento dos custos de TI e 
melhorar a eficiência por meio de uso consciente dos serviços de TI. 
 DS6.1 - Definição dos serviços 
 DS6.2 - Contabilidade de TI 
 DS6.3 - Modelo de custos e cobranças 
 DS6.4 - Manutenção do modelo de custos 
Percentual de variação entre orçamento, previsão e custo atual. 
DS7 - Educar e treinar usuários 
Um programa efetivo de treinamento melhora o uso efetivo da tecnologia com a redução de 
erros de usuários, aumenta a produtividade e aumenta a conformidade com controles chaves, tais 
como as medida de segurança para usuários. 
 DS7.1 - Identificação de necessidade de educação e treinamento 
 DS7.2 - Entrega de treinamento e educação 
 DS7.3 - Avaliação do treinamento recebido 
34 
 
Tempo decorrido entre a identificação de uma necessidade de treinamento e a entrega do 
mesmo. 
DS8 - Gerenciar a central de serviços e incidentes 
Respostas efetivas e no tempo adequado. Implementação da função da central de serviços. 
Buscar aumento da produtividade por meio da rápida resolução das perguntas dos usuários. 
 DS8.1 - Central de serviços 
 DS8.2 - Registro das solicitações dos usuários 
 DS8.3 - Escalação de incidentes 
 DS8.4 - Fechamento de incidentes 
 DS8.5 - Relatório e análises de tendências 
Taxa de abandono de ligações. Percentual de incidentes resolvidos dentro do tempo 
acordado ou em um período aceitável. 
DS9 - Gerenciar a configuração 
 Assegurar a integridade da configuração de hardware e software requer estabelecer e 
manter um preciso e completo repositório da configuração. 
 DS9.1 - Repositório de configuração e referência 
 DS9.2 - Identificação e manutenção de itens de configuração 
 DS9.3 - Revisão da integridade da configuração 
Número de divergências identificadas ente o repositório de configuração e a configuração 
atual dos ativos. 
DS10 - Gerenciar problemas 
Um gerenciamento efetivo de problemas requer a identificação e classificação de problemas, 
análise da causa raiz e resolução de problemas. 
 DS10.1 - Identificação e classificação de problemas 
 DS10.2 - Acompanhamento de problemas e resoluções 
 DS10.3 - Fechamento de problemas 
 DS10.4 - Integração do gerenciamento de configuração, incidentes e problemas 
Frequência de relatórios ou atualizações sobre o tratamento dos problemas, baseado na 
severidade. 
DS11 - Gerenciar dados 
35 
 
O processo de gerenciamento de dados também inclui estabelecer procedimentos efetivos 
para gerenciar a biblioteca de mídias, backup e recuperação e disponibilizar mídias apropriadas. 
 DS11.1 - Requisitos de negócio para o gerenciamento de dados 
 DS11.2 - Providências para retenção e armazenamento 
 DS11.3 - Sistema de gerenciamento de biblioteca de mídias 
 DS11.4 - Descarte 
 DS11.5 - Backup e restauração 
 DS11.6 - Requisitos de segurança para gerenciamento de dados 
Números de incidentes onde dados importantes foram recuperados após a mídia ter sido 
descartada. 
DS12 - Gerenciar os ambiente físicos 
O objetivo deste processo é proteger ativos e dados do negócio e minimizar o risco de 
interrupção do negócio. 
 DS12.1 - Seleção de local e layout 
 DS12.2 - Medidas de segurança física 
 DS12.3 - Acesso físico 
 DS12.4 - Proteção contra fatores ambientais 
 DS12.5 - Gerenciamento das instalações físicas 
Frequência de avaliação de riscos físicos e revisões. Número de incidentes causados por 
brechas ou falhas na segurança física. 
DS13 - Gerenciar operações 
O objetivo deste processo é a manutenção da integridade dos dados e assegurar que a 
infraestrutura de TI possa resistir e se recuperar de erros e falhas. 
 DS13.1 - Procedimento e instruções operacionais 
 DS13.2 - Agendamento de trabalhos 
 DS13.3 - Monitoramento da infraestrutura de TI 
 DS13.4 - Documentos importantes e dispositivos de saída 
 DS13.5 - Manutenção preventiva de hardware 
Números de níveis de serviço impactados por incidentes operacionais e horas de downtime 
não planejado causados por incidentes operacionais. 
36 
 
MONITORAR E AVALIAR - ME 
 
ME1 – Monitorar e avaliar a performance da TI 
Este processo inclui definir indicadores de performance relevantes, relatórios sistemáticos e 
no tempo adequado sobre questões de performance e ações tomadas em relação a desvios. 
 ME1.1 – Abordagem de monitoramento 
 ME1.2 – Definição e coleções de dados de monitoramento 
 ME1.3 – Métodos de monitoramento 
 ME1.4 – Avaliação da performance 
 ME1.5 – Relatórios para a alta administração e executivos 
 ME1.6 – Ações corretivas 
Percentual de processo críticos monitorados 
 
ME2 – Monitorar e avaliar controles internos 
Este processo inclui monitorar e reportar exceções de controle, resultados de auto-avaliação 
e revisão de terceiros. 
 ME2.1 – Framework de monitoramento de controles internos 
 ME2.2 – Revisão de supervisão 
 ME2.3 – Controle de exceções 
 ME2.4 – Controle de autoavaliação 
 ME2.5 – Segurança de controles internos 
 ME2.6 – Controles internos de terceiros 
 ME2.7 – Ações corretivas 
Número de brechas graves nos controles internos, número de iniciativas para melhoria dos 
controles, número e cobertura de auto-avaliação de controles. 
ME3 – Assegurar aderência com requisitos externos 
O objetivo deste processo é assegurar a conformidade com leis, regulamentação e 
requisitos contratuais. 
 ME3.1 – Identificação de requisitos externos de conformidade com a legislação, 
regulamentação e contratos 
 ME3.2 – Otimização das respostas aos requisitos externos 
37 
 
 ME3.3 – Otimização das respostas aos requisitos externo 
 ME3.4 – Validação positiva de conformidade 
 ME3.5 – Relatórios integrados 
Custo da não conformidade, incluindo acordos e multas. 
ME4 – Prover governança de TI 
O objetivo deste processo é integrar a governança de TI com os objetivos da governança 
corporativa. 
 ME4.1 – Estabelecimento de um framework de governança de TI 
 ME4.2 – Alinhamento estratégico 
 ME4.3 – Entrega de valor 
 ME4.4 – Gerenciamento de recursos 
 ME4.5 – Gerenciamento de riscos 
 ME4.6 – Avaliação de performance 
 ME4.7 – Auditoria independente 
Frequência de relatórios emitidos da alta-administração para partes interessadas. 
 
38 
 
FAMÍLIA DE PRODUTOS COBIT 
COBIT ONLINE - 
Acesso para os recursos por meio do MyCOBIT. Pode-se comparar o desempenho de sua 
empresa com outras do mesmo segmento, ter acesso a questionários. O serviço é restrito para 
assinantes. 
VAL IT 
Recurso que complementa o COBIT com uma perspectiva de negócio e finanças, obtendo o 
melhor retorno possível da TI. 
COBIT SECURITY BASELINE 
Oferece introdução a segurança da informação. Baseado na norma ISO 17799, com sumário 
dos principais riscos de segurança. 
GUIA DE IMPLEMENTAÇÃO DE TI 
KIT com os modelos extremamente úteis com ferramentas de diagnóstico e técnicas para 
relatórios que auxiliam na adoção de framework de governança baseado no COBIT, oferecendo um 
modelo genérico que permite estabelecer um plano de ação para adaptá-los às necessidades da sua 
empresa. 
COBIT QUICK START 
Versão compactada dos recursos do COBIT com foco nos processos mais críticos de TI, 
seus objetivos, controles e métricas. 
COBTI FOUNDATIONS 
E exame para cerificação COBIT FOUNDATIONS tem 1 hora de duração e é composto de 
40questões de múltipla escolha, sendo que, para aprovação o aproveitamento deve ser de 70 %, ou 
seja, 28 questões. 
È necessário indicar quem será o seu proctor 11– pessoa que vai acompanhar você no 
momento do exame para assegurar que este seja realizado dentro dos padrões. 
O investimento é de US$ 120,00 e não há limites de tentativas. 
 
 
11
 É a pessoa quem vai receber o seu login para o acesso ao site no dia da prova e irá acompanhá-lo durante o exame para que você não consulte o material. 
39 
 
LISTA DE ABREVIATURAS E SIGLAS 
 
 
GTI Gestão da Tecnologia de Informação 
TI Tecnologia da Informação 
COBIT Control Objectives for Information and related Technology 
ITIL ITIL 
ISACA Information Systems Audit and Control Association 
BSC Balanced ScoreCard 
ITGI O IT Governance Institute (ITGI) foi formado pela ISACA em 1998 para promover o pensamento 
internacional sobre GTI. 
 
 
40 
 
 
APENDICE 
COBIT 
O COBIT foi desenvolvido inicialmente pela fundação ISACA - Information Systems Audit and Control Association, que é uma instituição 
fundada em 1967, e é atualmente mantido pelo ITGI. 
COBIT (1996) e COBIT 2 ª Edição (1998) Concentre-se em objetivos de controle 
COBIT 3 ª Edição (2000) Orientações de Gestão adicionadas 
COBIT 4.0 (2005) e COBIT 4.1 (2007) Os processos de governança e conformidade adicionadas e processos de garantia removidos 
COBIT 5 baseia-se em versões anteriores do COBIT e está direcionado para usuários que já estão envolvidos na governança de TI 
empresarial. (GEIT). , também traduz as necessidades dos envolvidos em metas específicas, práticas e personalizadas dentro do contexto da 
empresa. 
Princípio 1 Reunião as Necessidades dos Envolvidos: 
Necessidades das partes interessadas têm que ser transformada em estratégia acionável de uma empresa. 
A empresa existe para criar valores para seus stakeholders e, concretizando benefícios a um custo ideal de recursos. 
A necessidade das partes interessadas poderem ser relacionada a um conjunto de objetivos corporativos genéricos. 
A necessidade das partes interessadas poderem ser relacionada a um conjunto de objetivos corporativos genéricos. 
PIRAMIDE DE MASLOW 
Abraham Maslow foi um psicólogo de grande destaque por causa de seu estudo relacionado às necessidades humanas. Segundo ele, o 
homem é motivado segundo suas necessidades que se manifestam em graus de importância onde as fisiológicas são as necessidades iniciais e as de 
realização pessoal são as necessidades finais. Cada necessidade humana influencia na motivação e na realização do indivíduo que o faz prosseguir 
para outras necessidades que marcam uma pirâmide hierárquica