Livro-Texto Unidade IV

Prévia do material em texto

135
GOVERNANÇA CORPORATIVA DE TI
Unidade IV
7 COBIT® 2019: INTRODUÇÃO GERAL AO MODELO
Nesta unidade conheceremos o modelo Cobit® em sua versão mais atualizada, lançada em 2019. Ela 
é traduzida como um framework para governança de informação e tecnologia relacionada com uma 
visão bem mais abrangente que a edição anterior.
Faremos primeiro uma introdução ao Cobit® 2019, mostrando o seu contexto e sua estrutura. Logo 
depois passaremos para os dois conjuntos de princípios, em que um refere-se ao sistema de governança 
e outro ao framework de governança.
Finalizaremos abordando os fatores de desenho e a cascata de objetivos do Cobit® 2019.
7.1 Princípios e práticas
7.1.1 Introdução
O Cobit® 2019 está situado em um contexto de governança corporativa de informação e tecnologia, o 
Enterprise Governance of IT (Egit), que habilita o alinhamento entre TI e negócio (business/IT alignment). 
Ou seja, faz com que a TI e o negócio utilizem a mesma linguagem e tenham objetivos interligados. Por 
sua vez, esse alinhamento entre TI e negócio coopera para a criação de valor (value creation) para as 
partes interessadas. A próxima figura apresenta esse contexto.
Enterpise 
Governance of IT
Value
creation
Business/IT 
aligment
Figura 38 – Contexto da governança corporativa de informação e tecnologia
Fonte: Isaca (2019b, p. 11).
 Observação
Todas as publicações do Cobit® 2019 encontram-se disponíveis em língua 
inglesa, bem como os seus exames de certificação. Por isso, preservaremos 
as figuras utilizadas nas publicações originais da Isaca, no idioma original, 
a fim de facilitar o entendimento.
136
Unidade IV
A partir do alinhamento estratégico entre a TI e o negócio, o valor pode ser criado de três 
formas: em uma primeira forma, realizando benefícios por meio dos sistemas e serviços da TI; em 
uma segunda forma, por meio da otimização de riscos, que precisam ser sempre bem gerenciados; 
e em uma terceira forma, otimizando recursos e aumentando a eficiência operacional no uso da 
informação e das tecnologias.
Para que alcancemos todos esses resultados, é fundamental a implementação das práticas e de 
um modelo de governança de TI. Nesse sentido, o Cobit® 2019 se apresenta como opção um modelo 
disposto em quatro publicações:
• Introduction and methodology: apresenta uma introdução geral do modelo, contendo todos os 
detalhes sobre o Cobit® 2019 e as definições de governança.
• Governance and management objectives: descreve os quarenta objetivos de governança e 
gestão que substituíram os processos da versão anterior (Cobit® 5).
• Design guide: apresenta a forma de desenhar uma solução customizada de governança de TI 
baseada em Cobit® 2019.
• Implementation guide: apresenta um guia para implementar o Cobit® 2019 nas organizações.
Para compreender melhor a estrutura do Cobit® 2019, a figura a seguir apresenta todos os seus 
componentes.
Figura 39 – Estrutura do Cobit® 2019
Fonte: Isaca (2019b, p. 19).
137
GOVERNANÇA CORPORATIVA DE TI
Observando a figura, podemos conhecer as entradas (inputs to Cobit® 2019). A primeira entrada é a 
versão anterior, Cobit® 5, que traz certa proximidade entre as duas versões. A segunda entrada é formada 
por frameworks/padrões, além das regulamentações que influenciam na governança da informação e da 
tecnologia. A última entrada é a contribuição da comunidade de profissionais da Isaca e do mercado de 
governança de TI em geral, que sempre ajuda a criar melhorias para o modelo.
 Saiba mais
Para informações complementares sobre o tema, leia:
ISACA. Cobit® 2019: governance and management objectives. Rolling 
Meadows: Isaca, 2019.
Avançando um pouco mais, encontramos o Cobit® Core, que é formado pelos quarenta 
objetivos de governança e gestão (governance and managment objectives) divididos nos cinco 
domínios, sendo um de governança e quatro de gestão. Ao lado do Cobit® Core encontramos 
os fatores de desenho (design factors) e as áreas de foco (focus area), que, em conjunto com os 
objetivos de governança e gestão, contribuem para a customização de um sistema de governança 
corporativa para informação e tecnologia. Um último detalhe interessante da estrutura é que ela 
se fundamenta nas quatro publicações do Cobit® 2019 já mencionadas.
7.1.2 Princípios
O Cobit® 2019 apresenta dois conjuntos de princípios. O primeiro é chamado de princípios do sistema 
de governança, e o segundo é chamado de princípios do framework de governança. Esses conjuntos de 
princípios substituem os princípios do Cobit® 5 e podem ser vistos a seguir:
Quadro 29 – Princípios do Cobit® 2019
Princípios do sistema de governança Princípios do framework de governança
1. Prover valor para os stakeholders.
2. Abordagem holística.
3. Sistema de governança dinâmico.
4. Distinguir governança de gestão.
5. Customizados para as necessidades empresariais.
6. Sistema de governança fim a fim.
1. Baseados em um modelo conceitual.
2. Framework aberto e flexível.
3. Alinhados aos principais padrões de mercado.
Adaptado de: Isaca (2012).
138
Unidade IV
 Lembrete
O Cobit® 5 era formado por cinco princípios: atender às necessidades 
das partes interessadas; cobrir a empresa de ponta a ponta; aplicar um 
framework integrado e único; permitir uma abordagem holística; e 
distinguir governança de gestão.
7.1.3 Componentes do sistema de governança
Mais uma inovação trazida pelo Cobit® 2019 foi a criação dos componentes do sistema de governança. 
Eles substituíram aquilo que entendíamos por habilitadores no Cobit® 5. Segundo a Isaca (2019b, p. 21):
 
O sistema de governança é formado por componentes de forma individual 
ou coletiva para o bom funcionamento do governo da informação e da 
tecnologia em uma empresa. Eles também ajudam a atender os objetivos de 
governança e gestão.
Os componentes do sistema de governança são: processos; estruturas organizacionais; princípios, 
políticas e procedimentos; informação; cultura, ética e comportamentos; pessoas, habilidades e 
competências; e serviços, infraestrutura e aplicações.
Observe (desde a versão 5), que a Isaca vem trabalhando para dividir o protagonismo dos processos 
com outros componentes. A justificativa reside na ideia de que apenas processos não atestam a 
eficiência da governança. Precisamos de pessoas, princípios e estruturas organizacionais, enfim, dos 
outros componentes do sistema de governança.
7.1.4 Áreas de foco
Outra mudança interessante no Cobit® 2019 foi a recriação da ideia de áreas de foco, que não existia 
no Cobit® 5, mas existia no Cobit® 4.1 em um outro contexto e com outras características específicas. Na 
versão 4.1 as áreas de foco eram compreendidas como cinco pilares que sustentavam e direcionavam o 
núcleo da governança de TI. Já no Cobit® 2019, por ser um modelo muito mais aberto que a versão 4.1, 
não há um número limitado de áreas de foco.
No Cobit® 2019, segundo a Isaca (2019b, p. 22):
 
Uma área de foco descreve um determinado tópico de governança, 
domínio ou problema que pode ser tratado por uma coleção de objetivos 
de governança e gestão e seus componentes. Exemplos de áreas de foco 
incluem: pequenas e médias empresas, cibersegurança, transformação 
digital, computação em nuvem, privacidade e DevOps (tradução do autor).
139
GOVERNANÇA CORPORATIVA DE TI
7.2 Fatores de desenho, cascata de objetivos e gerenciamento do desempenho
7.2.1 Fatores de desenho
Segundo a Isaca (2019b, p. 23): “Os fatores de desenho são fatores que podem influenciar o design 
do sistema de governança de uma empresa e posicioná-lo para o sucesso no uso da informação e da 
tecnologia” (tradução do autor).
O Cobit® 2019 estabelece os fatores de desenho (design factors) como um ferramental que adequa 
o sistema de governança de forma customizada a qualquer empresa ou contexto. Essas adequações e 
adaptações são fundamentais para a criação de valor a partir da informação e da tecnologia. A figura a 
seguir apresenta os 11 fatores de desenho do Cobit® 2019.
Enterprise 
strategy
Risk
profile
Enterprisegoals
I&T - related 
issues
Threat 
landscape
Compliance 
requirements
Sourcing 
model for ITRole of IT
IT 
implementation 
methods
Technology 
adoption 
strategy
Enterprise 
size
Future factors
Figura 40 – Fatores de design
Fonte: Isaca (2019b, p. 23).
O primeiro fator é a estratégia corporativa (enterprise strategy), que influencia fortemente o desenho 
do sistema de governança. A estratégia vai depender do arquétipo escolhido pela empresa (ou de uma 
combinação deles com os seus respectivos pesos) dentre aqueles mencionados a seguir:
Quadro 30 – Fator de desenho: estratégia corporativa
Arquétipo estratégico Foco
Crescimento/aquisição Crescimento.
Inovação/diferenciação Oferecimento de produtos e serviços diferenciados e inovadores.
Liderança em custo Redução de custos em curto prazo.
Serviço ao cliente/estabilidade Fornecimento de serviços estáveis e orientados para o cliente.
Adaptado de: Isaca (2019b).
O segundo fator é representado pelos objetivos corporativos (enterprise goals), que têm forte 
relação com o primeiro fator. Isso se dá porque, ao definir estratégias, inevitavelmente objetivos são 
estabelecidos. O próximo quadro apresenta o fator desenho – objetivos corporativos, por meio de um 
140
Unidade IV
conjunto de objetivos definidos pelo framework Cobit® 2019, considerando as dimensões do BSC. No 
desenho do sistema de governança, é necessário informar os objetivos corporativos mais importantes.
Quadro 31 – Fator de desenho: objetivos corporativos
Referência Dimensão do BSC Objetivo corporativo
EG01 Financeira Portfólio de produtos e serviços competitivos.
EG02 Financeira Risco de negócio gerenciado.
EG03 Financeira Conformidade com leis e regulamentos externos.
EG04 Financeira Qualidade da informação financeira.
EG05 Cliente Cultura de serviço orientada ao cliente.
EG06 Cliente Continuidade e disponibilidade do serviço de negócio.
EG07 Cliente Qualidade da informação gerencial.
EG08 Processos internos Otimização da funcionalidade do processo interno de negócio.
EG09 Processos internos Otimização dos custos do processo de negócio.
EG10 Processos internos Habilidade, motivação e produtividade da equipe.
EG11 Processos internos Conformidade com políticas internas.
EG12 Aprendizado e crescimento Programas de transformação digital gerenciados.
EG13 Aprendizado e crescimento Inovação de produtos e negócio.
Adaptado de: Isaca (2019b).
 Observação
O BSC é um sistema de gestão estratégica que suporta o estabelecimento 
e o controle de objetivos balanceados em quatro perspectivas ou dimensões: 
financeira; cliente; processos internos; e aprendizado e crescimento.
O terceiro fator de desenho é o perfil de risco (risk profile) da organização relacionada à informação e 
à tecnologia. Esse fator auxilia no mapeamento das áreas de risco e no apetite para riscos que a empresa 
possui. O próximo quadro apresenta as categorias de risco. No desenho do sistema de governança, é 
necessário analisar cada categoria de risco no que tange a impacto e probabilidade.
Quadro 32 – Fator de desenho: perfil de risco
Referência Categoria de risco
1 Tomadas de decisão de investimentos em TI.
2 Gerenciamento de ciclo de vida de programas e projetos.
3 Custos e supervisão de TI.
4 Especialização em TI, habilidades e comportamentos.
5 Arquitetura corporativa de TI.
6 Incidentes de infraestrutura operacional de TI.
141
GOVERNANÇA CORPORATIVA DE TI
Referência Categoria de risco
7 Ações não autorizadas.
8 Problemas de adoção e uso de software.
9 Incidentes de hardware.
10 Falhas de software.
11 Ataques lógicos.
12 Incidentes de terceiros e fornecedores.
13 Incompatibilidade.
14 Questões geopolíticas.
15 Ação industrial.
16 Ação da natureza.
17 Inovação baseada em tecnologia.
18 Questões ambientais.
19 Gerenciamento de dados e informações.
Adaptado de: Isaca (2019b).
O quarto fator de desenho é o conjunto de questões relacionadas à informação e à tecnologia (related 
issues – I&T), envolvendo riscos ou demais circunstâncias. O quadro a seguir apresenta essas questões. 
No desenho do sistema de governança, é necessário apontar quais questões são mais importantes e 
quais são menos importantes.
Quadro 33 – Fator de desenho: questões relacionadas à informação e à tecnologia
Referência Descrição
A Frustração entre as diferentes entidades de TI em toda a organização devido a uma percepção de baixa contribuição para o valor do negócio.
B Frustração entre os departamentos de negócio e o departamento de TI devido a iniciativas fracassadas ou uma percepção de baixa contribuição para o valor do negócio.
C Incidentes significativos relacionados à TI, como perda de dados, violações de segurança, falhas em projetos e aplicações.
D Problemas de entrega de serviços pelos terceiros de TI.
E Falhas em atender aos requisitos regulatórios ou contratuais relacionados à TI.
F Descobertas regulares de auditoria, ou outros relatórios de avaliação sobre baixo desempenho de TI, ou qualidade de TI relatada ou problemas de serviço.
G Gastos substanciais de TI ocultos e desonestos.
H Duplicações ou sobreposições entre várias iniciativas ou outras formas de recursos desperdiçados.
I Recursos de TI insuficientes, equipe com habilidades inadequadas ou desgaste/insatisfação da equipe.
J Mudanças habilitadas por TI ou projetos que frequentemente falham em atender às necessidades dos negócios e são entregues com atraso ou geram mais despesas.
K Relutância dos membros do conselho, dos executivos ou do gerenciamento sênior em se envolver com a TI, ou a falta de compromisso de patrocínio empresarial para TI.
L Modelo operacional de TI complexo e/ou mecanismos de decisão pouco claros para decisões relacionadas à TI.
142
Unidade IV
Referência Descrição
M Custo de TI excessivamente alto.
N Implementação falha ou malsucedida de novas iniciativas ou inovações causadas pela TI atual, arquitetura e sistemas.
O Lacuna entre o conhecimento técnico e comercial que leva a usuários de negócios e informações e/ou especialistas em tecnologia falando idiomas diferentes.
P Problemas regulares com qualidade de dados e integração de dados em várias fontes.
Q Alto nível de computação do usuário final, criando uma falta de supervisão e controle sobre os aplicativos que estão sendo desenvolvidos e colocados em operação.
R Área de negócios implementando suas próprias soluções de informação com pouco ou nenhum envolvimento da área de TI da empresa.
S Ignorância e/ou não conformidade com os regulamentos de privacidade.
T Incapacidade de explorar novas tecnologias ou inovar usando I&T.
Adaptado de: Isaca (2019b).
O quinto fator de desenho é o cenário de ameaça (threat landscape) em que a organização está 
situada. O quadro a seguir apresenta esses cenários. No desenho do sistema de governança, é necessário 
apontar o peso de cada cenário atual de ameaça.
Quadro 34 – Fator de desenho: cenário de ameaça
Cenário de ameaça Descrição
Normal A organização está operando sob o que são considerados níveis normais de ameaça.
Alto Devido à sua situação geopolítica, setor ou perfil específico, a organização está operando em um ambiente de alta ameaça.
Adaptado de: Isaca (2019b).
O sexto fator de desenho é o conjunto de requisitos de conformidade (compliance requirements), 
que funciona como um grande elo entre a governança corporativa e a governança de TI. O próximo 
quadro apresenta esses requisitos de conformidade. No desenho do sistema de governança, é necessário 
informar a situação do ambiente regulatório.
Quadro 35 – Fator de desenho: requisitos de conformidade
Ambiente regulatório Descrição
Requisitos de conformidade 
baixos
A organização está sujeita a um conjunto mínimo de requisitos de 
conformidade regulares, que são inferiores à média.
Requisitos de conformidade 
normais
A organização está sujeita a um conjunto de requisitos de conformidade 
comuns, que são regulares em diferentes setores.
Requisitos de conformidade 
altos
A organização está sujeita a requisitos deconformidade acima da média, 
geralmente relacionados ao setor ou a condições geopolíticas.
Adaptado de: Isaca (2019b).
143
GOVERNANÇA CORPORATIVA DE TI
O sétimo fator de desenho é o papel da TI (role of IT) nas organizações, que retrata também a forma 
como a TI é vista pela organização. O quadro a seguir apresenta cada um desses papéis. No sistema de 
governança, é necessário apontar qual é o papel desejável da TI para o negócio.
Quadro 36 – Fator de desenho: papel da TI
Papel da TI Descrição
Suporte A TI não é crucial para a execução e continuidade dos processos e serviços de negócio, nem para sua inovação.
Fábrica
Quando a TI falha, há um impacto imediato na execução e continuidade dos 
processos e serviços de negócio. No entanto, a TI não é vista como um motivador 
para inovar processos e serviços de negócio.
Inversão A TI é vista como um motivador para inovar processos e serviços. 
Estratégico A TI é essencial para a execução e inovação dos processos e serviços de negócio da organização.
Adaptado de: Isaca (2019b).
O oitavo fator de desenho é o modelo de fornecimento para TI (sourcing model for IT) a ser utilizado 
na organização. O quadro a seguir apresenta esses modelos. No desenho do sistema, é necessário 
informar como é o fornecimento de serviços de TI na empresa.
Quadro 37 – Fator de desenho: modelo de fornecimento de serviços de TI
Modelo de fornecimento 
de serviços de TI Descrição
Terceirização A organização considera os serviços de terceiros para fornecer serviços de TI.
Cloud A organização maximiza o uso da cloud para fornecer serviços de TI.
Fornecimento interno A organização realiza o fornecimento para a sua própria equipe e serviços de TI.
Híbrido Um modelo misto é aplicado, combinando os outros três modelos em diferentes graus.
Adaptado de: Isaca (2019b).
Os métodos de implementação de TI (IT implementation methods) são o nono fator de desenho que 
as organizações adotam no seu dia a dia. O quadro a seguir apresenta esses métodos.
Quadro 38 – Fator de desenho: métodos de implementação de TI
Método de 
implementação de TI Descrição
Ágil A organização usa métodos de trabalho de desenvolvimento ágil para o desenvolvimento de software.
DevOps A organização usa métodos de trabalho DevOps para operações, implantação e criação de software.
Tradicional A organização usa uma abordagem mais clássica para o desenvolvimento de software (cascata) e separa o desenvolvimento de software das operações.
Híbrido A organização usa uma combinação de implementação de TI tradicional e moderna, geralmente chamada de “TI bimodal”.
Adaptado de: Isaca (2019b).
144
Unidade IV
O décimo fator de desenho é a estratégia de adoção tecnológica (technology adoption strategy) e 
pode ser visto a seguir:
Quadro 39 – Fator de desenho: estratégia de adoção tecnológica
Padrões de adoção 
de tecnologia Descrição
Pioneira A organização geralmente adota novas tecnologias o mais cedo possível e tenta ganhar vantagem.
Seguidora A organização normalmente espera que as novas tecnologias se tornem comuns e comprovadas antes de adotá-las.
Adoção lenta A organização está muito atrasada com a adoção de novas tecnologias.
Adaptado de: Isaca (2019b).
O décimo primeiro fator de desenho é o tamanho da organização (enterprise size), e deve ser 
considerado para as pequenas, médias e grandes empresas.
7.2.2 Cascata de objetivos do Cobit® 2019
Desde a versão 4.1 do Cobit®, a cascata de objetivos tem se revelado uma ferramenta muito importante 
na definição e implementação dos sistemas de governo para área de TI. O Cobit® 2019 apresenta uma 
versão de cascata de objetivos com certas semelhanças quando comparada com as anteriores.
Stakeholder 
driver and needs
Alignment
goals
Enterprise
goals
Governance and 
management 
objectives
Cascade to
Cascade to
Cascade to
Figura 41 – Cascata de objetivos do Cobit® 2019
Fonte: Isaca (2019b, p. 28).
145
GOVERNANÇA CORPORATIVA DE TI
Segundo a Isaca (2019b, p. 28):
 
A cascata de objetivos oferece suporte aos objetivos da empresa, que é 
um dos principais fatores de desenho para um sistema de governança. Ela 
suporta a priorização de objetivos de governança e gestão tendo por base a 
priorização das metas da empresa (tradução do autor).
A ideia da cascata de objetivos é, a partir das necessidades e direcionamentos das partes interessadas 
(stakeholder drivers and needs), apresentar objetivos corporativos (enterprise goals) e desdobrá-los em 
objetivos alinhados (alignment goals). Com esses objetivos alinhados, são estabelecidos os objetivos de 
governança e gestão (governance and management objectives) do Cobit® 2019.
 Lembrete
O Cobit® 2019 estabelece 13 objetivos corporativos que são considerados 
também como um fator de desenho.
Os objetivos corporativos são cascateados em objetivos de alinhamento, que podem ser vistos a seguir. 
O Cobit® 2019 estabelece esses objetivos de alinhamento relacionados à informação e à tecnologia.
Quadro 40 – Objetivos de alinhamento
Referência Dimensão do BSC
Objetivo de 
alinhamento Métricas
AG01 Financeira
Conformidade de 
TI e suporte para 
conformidade de 
negócios com leis 
e regulamentos 
externos
– Custo de não conformidade com a TI, incluindo acordos e 
multas, e o impacto da perda de reputação.
– Número de problemas de não conformidade relacionados à TI 
relatados ao conselho ou causando comentários públicos ou 
constrangimento.
– Número de questões de não conformidade relacionadas a 
contratos ou acordos com provedores de serviços de TI.
AG02 Financeira Gestão do risco relacionado à TI
– Frequência apropriada de atualização do perfil de risco.
– Porcentagem de avaliações de risco empresarial, incluindo 
risco de TI.
– Número de incidentes significativos relacionados à TI que não 
foram identificados em uma avaliação de risco.
AG03 Financeira
Benefícios obtidos 
por investimento em 
TI ou por meio do 
portfólio de serviços 
de TI
– Percentual de investimentos de TI, cujo benefício descrito no 
business case atende ou excede as expectativas.
– Percentual de serviços de TI para os quais os benefícios 
esperados (como declarado nos acordos de nível de serviço) são 
realizados.
AG04 Financeira
Qualidade da 
informação 
financeira relativa 
à TI
– Satisfação das principais partes interessadas em relação ao 
nível de transparência, compreensão e precisão da informação 
financeira da TI.
– Percentual de serviços de TI com custos e benefícios definidos 
e aprovados.
146
Unidade IV
Referência Dimensão do BSC
Objetivo de 
alinhamento Métricas
AG05 Cliente
Entrega de serviços 
de TI conforme as 
necessidades dos 
negócios
– Percentual das partes interessadas da empresa satisfeitas com 
a entrega de serviços de TI.
– Número de interrupções de negócios devido a incidentes nos 
serviços de TI.
– Percentual de usuários satisfeitos com a qualidade das 
entregas de serviços de TI.
AG06 Cliente
Agilidade em 
transformar 
requisitos 
de negócios 
em soluções 
operacionais
– Nível de satisfação dos executivos de negócios com a 
capacidade da TI em responder a novos requisitos.
– Tempo médio de lançamento de novos serviços e aplicações 
de TI.
– Tempo médio para transformar objetivos estratégicos de TI em 
uma iniciativa acordada e aprovada.
– Número de processos de negócios críticos suportados por 
infraestruturas e aplicativos atualizados.
AG07 Cliente
Segurança da 
informação, da 
infraestrutura, das 
aplicações e da 
privacidade de dados
– Número de incidentes de confidencialidade que causam perdas 
financeiras, interrupção de negócios ou constrangimento 
público.
– Número de incidentes de disponibilidade causando perda 
financeira, interrupção de negócios ou constrangimento 
público.
– Número de incidentes de integridade que causam perdas 
financeiras, interrupção de negócios ou constrangimento 
público.
AG08 Processos internos
Habilitando e 
apoiando processos 
de negócios por 
integração de 
aplicativos e 
tecnologia
– Tempo de execução dos serviços ou processosde negócios.
– Número de atrasos em programas de negócios habilitados por 
TI ou incorrendo em custos adicionais devido a questões de 
integração tecnológica.
– Número de mudanças nos processos de negócios com atrasos 
ou retrabalho devido a questões de integração tecnológica.
– Número de aplicativos ou infraestruturas críticas operando em 
silos e não integrados.
AG09 Processos internos
Entrega de 
programas dentro do 
prazo, respeitando 
o orçamento, 
atendendo requisitos 
e padrões de 
qualidade
– Número de programas/projetos no prazo e dentro do 
orçamento.
– Número de programas que precisam de retrabalho significativo 
devido a defeitos de qualidade.
– Percentual das partes interessadas satisfeitas com a qualidade 
dos programas/projetos.
AG10 Processos internos
Qualidade da gestão 
da informação da TI
– Nível de satisfação do usuário com qualidade, oportunidade 
e disponibilidade de informações de gestão relacionadas à TI, 
levando em conta os recursos disponíveis.
– Proporção e extensão de decisões de negócios errôneas nas 
quais informações erradas ou indisponíveis relacionadas à TI 
eram um fator-chave.
– Percentual de informações que atendem aos critérios de 
qualidade.
AG11 Processos internos
Conformidade de 
TI com políticas 
internas
– Número de incidentes relacionados à não conformidade com 
políticas relativas à TI.
– Número de exceções às políticas internas.
– Frequência de revisão e atualização de políticas.
147
GOVERNANÇA CORPORATIVA DE TI
Referência Dimensão do BSC
Objetivo de 
alinhamento Métricas
AG12
Aprendizado 
e 
crescimento
Staff competente 
e motivado com 
mútua compreensão 
da tecnologia e 
negócios
– Percentual de executivos com experiência em TI.
– Percentual de profissionais de TI com experiência em negócios.
– Número ou percentual de empresários com experiência em 
gestão de tecnologia.
AG13
Aprendizado 
e 
crescimento
Conhecimento, 
experiência e 
iniciativas para 
a inovação nos 
negócios
– Nível de consciência e compreensão do executivo de negócios 
das possibilidades de inovação em TI.
– Número de iniciativas aprovadas resultantes de iniciativas 
inovadoras, ideias de TI.
– Número de campeões de inovação reconhecidos/premiados.
Adaptado de: Isaca (2019b).
A partir desses objetivos de alinhamento, nós encontramos os objetivos de governança e gestão mais 
apropriados para a implantação do sistema de governança e gestão.
7.2.3 Gerenciamento do desempenho do Cobit® 2019
O gerenciamento do desempenho do Cobit® 2019 é conhecido como Cobit® Performance 
Management (CPM). Ele integra de forma essencial o Cobit®, que, em sua versão de 2019, volta a ter 
o Capability Maturity Model Integration (CMMI) como inspiração, diferentemente da versão 5, que se 
baseava na norma ISO/IEC 15504 para avaliar a capacidade dos processos. A ideia do CPM é aferir o 
desempenho de todos os componentes de um sistema de governança, no entanto, a Isaca só desenvolveu 
de forma satisfatória a aferição do nível de capacidade dos processos e o nível de maturidade das 
áreas de foco.
O nível de capacidade dos processos é medido em uma escala que vai do nível 0 até o nível 5. 
O quadro a seguir apresenta esses níveis.
Quadro 41 – Níveis de capacidade dos processos
Nível Detalhamento
Nível 0
Ausência de capacidade básica.
Abordagem incompleta para atender à governança/gestão.
Alguns objetivos de algumas práticas do processo são atendidos.
Nível 1
O processo atinge parcialmente o seu propósito por meio da aplicação de um conjunto 
incompleto de atividades.
Execução de atividade em um nível inicial, intuitivo e não muito organizado.
Nível 2 O processo alcança seu propósito por meio da aplicação de um conjunto básico, mas completo, de atividades que podem ser caracterizadas como executadas.
Nível 3
O processo atinge seu propósito de forma organizada por meio de ativos organizacionais.
Consideramos que aqui os processos são bem definidos.
Nível 4
O processo atinge seu propósito.
O desempenho do processo é medido quantitativamente.
Nível 5
O processo atinge seu propósito.
O desempenho do processo é medido sempre em busca da melhoria contínua.
148
Unidade IV
 Observação
A medição dessa capacidade ocorre no Cobit® 2019 tendo por base as 
atividades, permitindo uma visão mais clara do nível de capacidade.
8 COBIT® 2019: OBJETIVOS DE GOVERNANÇA E GESTÃO
Passamos por alguns conjuntos de práticas conhecidas e nos encontramos com o framework Cobit®. 
Abordamos primeiro as versões mais antigas (Cobit® 4.1 e 5) e apresentamos uma introdução geral do 
Cobit® 2019, que é a versão mais atualizada.
Vamos continuar o nosso itinerário de governança corporativa da informação e da tecnologia 
baseado no Cobit® 2019, agora com o foco nos objetivos de governança e gestão.
8.1 Objetivos de governança e gestão
8.1.1 Introdução
Os objetivos de governança e gestão do Cobit® 2019 representam os antigos processos descritos nas 
versões anteriores 4.1 e 5 do Cobit®. Eles são quarenta e estão agrupados em cinco domínios diferentes 
(sendo um dedicado à governança e quatro dedicados à gestão).
O único domínio de governança é o domínio avaliar, dirigir e monitorar (Evaluate, Direct and 
Monitor – EDM). O domínio EDM apresenta cinco objetivos de governança que auxiliam na avaliação 
das estratégias, na direção da TI e no monitoramento das escolhas e ações estratégicas.
Os quatro domínios de gestão são:
• Alinhar, planejar e organizar (Align, Plan and Organize – APO): apresenta 14 objetivos 
de gestão voltados para o planejamento, organização e alinhamento das atividades de apoio 
relacionadas à informação e tecnologia.
• Construir, adquirir e implementar (Build, Acquire and Implement – BAI): apresenta 
11 objetivos de gestão voltados para a construção, aquisição e implementação de soluções 
relacionadas à TI.
• Entrega, serviço e suporte (Deliver, Service and Support – DSS): apresenta seis objetivos de 
gestão voltados para entrega e suporte de serviços de TI.
• Monitorar, avaliar e analisar (Monitor, Evaluate and Assess – MEA): apresenta quatro 
objetivos de gestão voltados para o monitoramento de desempenho e da conformidade de TI.
149
GOVERNANÇA CORPORATIVA DE TI
 Observação
Comparando-o com o Cobit® 5, houve um aumento de três processos 
(objetivos de gestão), sendo um no domínio APO, outro no domínio BAI e 
um último no domínio MEA.
A figura a seguir apresenta os objetivos de governança e gestão em cada um dos seus domínios.
Figura 42 – Objetivos de governança e gestão
Fonte: Isaca (2019c, p. 12).
8.1.2 Propósitos dos objetivos de governança e gestão
Cada objetivo de governança e gestão tem um propósito específico. Para que compreendamos 
melhor, o próximo quadro apresenta de forma simplificada os propósitos de cada um deles.
150
Unidade IV
Quadro 42 – Descrição dos objetivos de gestão e governança do Cobit® 2019
Referência
Objetivo de 
governança ou 
gestão
Propósito
EDM01
Estabelecimento 
e manutenção 
do framework 
de governança 
assegurado
– Prover uma abordagem consistente, integrada e alinhada de governança 
corporativa de informação e tecnologia.
– Assegurar que os processos de TI sejam avaliados de forma efetiva e 
transparente para verificar conformidade com aspectos legais e de regulação e 
que os requisitos de governança da alta administração sejam atendidos.
EDM02
Entrega de 
benefícios 
assegurada
– Assegurar um valor ótimo do conjunto das iniciativas, dos ativos e serviços 
de TI, entrega de custo adequado, obtenção dos custos exatos das iniciativas 
e os benefícios prováveis de forma que o negócio possa ser apoiado efetiva e 
eficazmente.
EDM03 Otimização do risco assegurada
– Assegurar que os riscos derivados de TI não ultrapassem os limites de apetite e 
tolerância de riscos da organização.
EDM04 Otimização dos recursos assegurada
– Assegurar que os recursos de que a TI necessita sejam fornecidos de maneira 
otimizada.
EDM05
Assegurar o 
engajamento das 
partes interessadas
– Garantir que as partes interessadasapoiem o roadmap e os planos de TI.
– Comunicar o desempenho da TI para as partes interessadas e confirmar que os 
objetivos de TI estão alinhados com os objetivos da organização.
APO01
Framework 
de gestão da 
informação 
e tecnologia 
gerenciado
– Implementar uma abordagem consistente para que os requisitos de 
governança sejam atendidos, cobrindo componentes de governança como 
processos de gestão, estrutura organizacional, papéis e responsabilidades, 
atividades confiáveis e repetíveis, itens de informação, políticas e 
procedimentos, habilidades e competências, cultura e comportamento, 
infraestrutura e aplicações.
APO02 Estratégia gerenciada
– Apoiar a transformação digital da organização e entregar o valor desejado 
através de um roadmap de mudanças incrementais.
– Alinhar cada iniciativa de TI com os objetivos estratégicos da TI.
– Permitir mudanças nos diferentes aspectos da organização, de canais a 
processos e dados, cultura, habilidade, modelo operacional e incentivos.
APO03
Arquitetura 
empresarial 
gerenciada
– Representar os diferentes blocos de construção que constituem a organização 
e seus relacionamentos, assim como os princípios que guiam o seu projeto 
para permitir uma entrega responsiva e eficiente dos objetivos operacionais e 
estratégicos.
APO04 Inovação gerenciada
– Atingir vantagem competitiva, inovação para o negócio, melhorar a 
experiência do cliente, aperfeiçoar a eficiência e eficácia operacional pela 
exploração de desenvolvimentos em TI e em tecnologias emergentes.
APO06 Orçamento e custos gerenciados
– Promover uma parceria entre a TI e as partes interessadas da organização 
para permitir o uso eficiente e eficaz dos recursos de TI e prover transparência 
acerca dos custos e do valor das soluções.
– Permitir que a organização tome decisões em relação ao uso de recursos e 
serviços de TI.
APO07 Recursos humanos gerenciados
– Otimizar as capacidades dos recursos humanos para atender aos objetivos 
empresariais.
APO08 Relacionamentos gerenciados
– Permitir o conhecimento correto, habilidades e comportamentos para criar 
resultados, aumento da confiança mútua e o efetivo uso dos recursos para 
estimular um relacionamento produtivo com as partes interessadas na 
organização.
APO09 Acordos de serviços gerenciados
– Assegurar que os produtos, serviços de TI e os níveis de serviços atendam às 
necessidades atuais e futuras da organização.
151
GOVERNANÇA CORPORATIVA DE TI
Referência
Objetivo de 
governança ou 
gestão
Propósito
APO10 Fornecedores gerenciados
– Otimizar a capacitação disponível de TI para apoiar a estratégia e o roadmap 
de TI, minimizando o risco associado com o não atendimento, pelos 
fornecedores, dos requisitos de conformidade e de desempenho e assegurar 
preços competitivos.
APO11 Qualidade gerenciada
– Assegurar a entrega consistente de soluções e serviços de tecnologia para 
atender aos requisitos de qualidade da organização e satisfazer as partes 
interessadas.
APO12 Risco gerenciado
– Integrar o gerenciamento de riscos da TI com o gerenciamento de riscos da 
organização e balancear os custos e benefícios dos riscos relacionados à TI.
APO13 Segurança gerenciada
– Manter o impacto e a ocorrência de incidentes de segurança da informação 
dentro do apetite de risco da organização.
APO14 Dados gerenciados
– Assegurar o uso dos conjuntos de dados críticos para atender aos objetivos da 
organização.
BAI01 Programas gerenciados
– Realizar o valor desejado e reduzir o risco de atrasos, custos e erosão do valor.
– Assegurar a qualidade e o valor dos entregáveis dos programas.
– Acompanhar projetos do programa e maximizar a contribuição do programa 
ao portfólio de investimento.
BAI02
Definição de 
requisitos 
gerenciada
– Criar soluções otimizadas que atendem ao negócio da organização enquanto 
minimizam o risco.
BAI03
Identificação 
e construção 
de soluções 
gerenciadas
– Assegurar a entrega de produtos e serviços digitais de forma ágil e escalável.
– Estabelecer soluções a tempo e de custo efetivo capaz de apoiar os objetivos 
estratégicos e operacionais da organização.
BAI04
Disponibilidade 
e capacidade 
gerenciadas
– Manter a disponibilidade do serviço, a gestão eficiente de recursos e a 
otimização do desempenho do sistema através da predição do desempenho 
futuro e dos requisitos de capacidade.
BAI05
Mudança 
organizacional 
gerenciada
– Preparar e obter comprometimento das partes interessadas com as mudanças 
no negócio e reduzir os riscos de falha.
BAI06 Mudanças de TI gerenciadas
– Permitir a entrega rápida e confiável de uma mudança ao negócio.
– Mitigar o risco de impactar negativamente a estabilidade e a integridade do 
ambiente modificado.
BAI07
Aceitação e 
transição da 
mudança de TI 
gerenciadas
– Implementar soluções de forma segura e alinhadas com as expectativas e os 
resultados esperados acordados.
BAI08 Conhecimento gerenciado
– Fornecer o conhecimento e a informação requerida para apoiar o pessoal 
envolvido com governança e gestão de TI e permitir decisões com base em 
informações.
BAI09 Ativos gerenciados
– Fazer a contabilidade de todos os ativos e otimizar o valor fornecido pelo seu 
uso.
BAI10 Configuração gerenciada
– Fornecer informação suficiente sobre os ativos de serviços para permitir que 
o serviço seja efetivamente gerenciado e avaliar o impacto de mudanças em 
relação a incidentes de serviços de TI.
BAI11 Projetos gerenciados
– Realizar os resultados definidos para o projeto e reduzir atrasos e custos 
inesperados.
– Assegurar a qualidade dos entregáveis do projeto e sua contribuição ao 
programa e ao portfólio de investimento.
DSS01 Operações gerenciadas – Entregar os produtos e serviços de TI conforme o planejado.
152
Unidade IV
Referência
Objetivo de 
governança ou 
gestão
Propósito
DSS02
Solicitações de 
serviços e incidentes 
gerenciados
– Aumentar a produtividade e minimizar disrupções através da rápida resolução 
de solicitações e incidentes relatados pelos usuários.
– Avaliar o impacto de mudanças e o tratamento dos incidentes.
– Resolver os chamados e reestabelecer os serviços em resposta ao incidente.
DSS03 Problemas gerenciados
– Aumentar a disponibilidade, melhorar os níveis de serviços, reduzir custos, 
melhorar a conveniência e satisfação do cliente através da redução de 
problemas operacionais e identificar a causa raiz como parte da resolução do 
problema.
DSS04 Continuidade gerenciada
– Adaptar rapidamente, continuar as operações do negócio e manter a 
disponibilidade de recursos e informação em níveis aceitáveis para a 
organização em eventos de indisponibilidade ou interrupção significativa de 
serviços.
DSS05
Serviços de 
segurança 
gerenciados
– Minimizar os impactos no negócio de vulnerabilidades e incidentes 
operacionais de segurança da informação.
DSS06
Controles de 
processos de 
negócio gerenciados
– Manter a integridade da informação e a segurança dos ativos de informação 
tratados nos processos de negócios na organização e em terceiros contratados.
MEA01
Monitoramento 
do desempenho e 
da conformidade 
gerenciado
– Prover transparência do desempenho, conformidade e dirigir o atingimento 
dos objetivos.
MEA02 Sistema de controle interno gerenciado
– Obter transparência para as principais partes interessadas sobre a adequação 
do sistema de controle interno para fornecer confiança na operação e no 
atingimento dos objetivos da empresa e entendimento dos riscos residuais.
MEA03
Conformidade com 
requisitos externos 
gerenciada
– Assegurar que a organização esteja em conformidade com todos os requisitos 
externos.
MEA04 Garantia gerenciada
– Permitir que a organização projete e desenvolva iniciativas eficientes e efetivas 
de garantia, fornecendo orientação para o planejamento, definição do escopo, 
execução e acompanhamento de auditorias usando um roadmap baseado em 
práticas reconhecidas de auditoria.
Adaptado de: Fernandes, Abreu e Diniz (2019).
8.1.3 Estrutura dos objetivos de governançae gestão
Os objetivos de governança e gestão seguem uma estrutura formada por uma identificação 
inicial, pela cascata de objetivos e pelos seus componentes. A sua identificação inicial é formada 
por: nome do domínio (domain); área de foco (focus area); objetivo de governança ou de gestão 
(governance/management objective); descrição (description); e propósito (purpose).
A cascata de objetivos é formada por: objetivos corporativos (enterprise goals); objetivos de 
alinhamento (alignment goals); exemplos de métricas para objetivos corporativos (example metrics for 
enterprise goals); e exemplo de métricas para objetivos de alinhamento (example metrics for alignment 
goals). A próxima figura apresenta a identificação inicial e a cascata de objetivos.
153
GOVERNANÇA CORPORATIVA DE TI
Figura 43 – Identificação inicial e cascata de objetivos de um objetivo de governança/gestão
Adaptada de: Isaca (2019c).
Os componentes que constam em cada um dos objetivos de governança e gestão são: processos 
(process); estruturas organizacionais (organizational structures); fluxos e itens de informação 
(information flows and items); pessoas, habilidades e competências (people, skills and competencies); 
políticas e procedimentos (policies and procedures); cultura, ética e comportamentos (culture, ethics 
and behavior); e serviços, infraestruturas e aplicações (services, infrastructure and applications).
 Observação
Esses componentes dos objetivos de governança e gestão são justamente 
os componentes do sistema de governança.
8.1.4 Componentes dos objetivos de governança e gestão
O primeiro componente dos objetivos de governança e gestão são os processos. Nele encontramos 
as práticas (governance/managment practice), as métricas (metrics), as atividades (activities) que 
compõem o processo, o nível de capacidade (capability level) de cada atividade, as regulamentações/
padrões/modelos (standards, frameworks, compliance requirements) relacionados ao objetivo de 
governança/gestão e a referência detalhada (detailed reference) das regulamentações/padrões/modelos 
mencionados. A figura a seguir apresenta o componente processo.
154
Unidade IV
Figura 44 – Componente processo
Fonte: Isaca (2019c, p. 19).
O segundo componente são as estruturas organizacionais que exercem papéis e responsabilidade 
sob as práticas de governança e gestão. Esse componente apresenta uma matriz conhecida como Raci, 
contendo uma relação entre estruturas organizacionais e práticas-chave de gestão/governança. Cada 
estrutura pode exercer um papel de: responsável (Responsible - R); responsabilizado (Acountable - A); 
consultado (Consulted – C); e informado (Informed – I).
 Observação
O responsável está ligado às responsabilidades de cumprimento e 
execução da prática. O responsabilizado é o prestador de contas, ou seja, o 
responsável geral pelo resultado.
Ainda no componente estruturas organizacionais encontramos uma indicação de regulamentações/
padrões/modelos (standards, frameworks, compliance requirements) relacionados ao componente e à 
referência detalhada (detailed reference) das regulamentações/padrões/modelos mencionados. A figura 
a seguir apresenta esse componente.
Figura 45 – Componente estruturas organizacionais
Fonte: Isaca (2019c, p. 21).
155
GOVERNANÇA CORPORATIVA DE TI
O terceiro componente é o fluxo de itens de informação. Nele encontramos as entradas (inputs), 
saídas (outputs) e uma indicação de regulamentações/padrões/modelos (standards, frameworks, 
compliance requirements) relacionados ao componente e à referência detalhada (detailed reference) 
das regulamentações/padrões/modelos mencionados. A próxima figura apresenta esse componente.
Figura 46 – Componente: fluxo e itens de informação
Fonte: Isaca (2019c, p. 23).
O quarto componente é formado pelas pessoas, habilidades e competências adequadas para 
atendermos ao objetivo de governança/gestão. O quinto componente é formado pelas políticas e 
procedimentos relevantes relacionadas aos objetivos de governança/gestão. O sexto componente 
é formado pela cultura, pela ética e pelo comportamento relacionados a esse objetivo de governança e 
gestão. O sétimo componente fornece informações detalhadas sobre infraestruturas, serviços e aplicações. 
A figura a seguir apresenta esses componentes.
Figura 47 – Demais componentes dos objetivos de governança e gestão
Fonte: Isaca (2019c, p. 24-25).
156
Unidade IV
8.2 Exemplos de objetivos de governança/gestão, desenho e implementação
8.2.1 Exemplo de objetivos de governança
Para melhor compreendermos os objetivos de governança e gestão, vamos apresentar o EDM01 
– Estabelecimento e manutenção do framework de governança assegurado (Ensured Governance 
Framework Setting and Maintenance). Esse objetivo de governança trata da análise, articulação, 
implementação e manutenção dos componentes do sistema de governança.
A próxima figura apresenta as identificações iniciais do EDM01.
Figura 48 – Identificações iniciais do EDM01
Fonte: Isaca (2019c, p. 29).
 Lembrete
Um dos propósitos do EDM01 é prover uma abordagem consistente, 
integrada e alinhada de governança corporativa para informação e tecnologia.
A seguir a cascata de objetivos do EDM01. Nela encontramos a determinação dos objetivos 
corporativos EG03, EG08 e EG12. Esses objetivos corporativos são desdobrados em objetivos de 
alinhamento AG01 e AG03. Observe também que em ambos os objetivos se encontram métricas bem 
definidas para cada um deles.
157
GOVERNANÇA CORPORATIVA DE TI
Figura 49 – Cascata de objetivos do EDM01
Fonte: Isaca (2019c, p. 29).
Como o EDM01 possui três práticas de governança, apresentaremos apenas a primeira, que é a 
EDM01.01 – Avaliar o sistema de governança (Evaluate the Governance System). A próxima figura 
apresenta o componente processos do EDM01 com a prática de governança EDM01.01.
Figura 50 – Componente processos do EDM01
Fonte: Isaca (2019c, p. 29).
158
Unidade IV
 Observação
A representação das práticas de governança/gestão encontrada nos 
objetivos de governança é feita da seguinte forma: XXXNN.ZZ. Nela, XXX 
representa o domínio, NN representa o número de ordem do objetivo 
de governança/gestão e ZZ representa o número de ordem da prática de 
governança/gestão.
A prática de governança EDM01.01 possui oito atividades, nas quais as quatro primeiras operam 
normalmente no nível de capacidade “2”, e as quatro últimas operam normalmente no nível de 
capacidade “3”. Percebemos ainda que um dos guias relacionados para essa prática é a ISO/IEC 38500:2015, 
no item 5.2 (Princípio de Responsabilidade).
Partindo para o componente estruturas organizacionais do EDM01, a figura a seguir apresenta os 
papéis e as responsabilidades para cada uma das práticas de governança.
Figura 51 – Componente estruturas organizacionais do EDM01
Fonte: Isaca (2019c, p. 31).
Na sequência, a figura apresenta o fluxo e os itens de informação da prática EDM01.01 do objetivo 
de governança EDM01. Observe que as entradas para essa prática são oriundas da prática MEA03.02 e 
externamente ao Cobit® (outside Cobit®). As saídas dessa prática são destinadas a diversas práticas de 
gestão do objetivo de gestão APO01, e também a todos os objetivos de governança do domínio EDM.
159
GOVERNANÇA CORPORATIVA DE TI
Figura 52 – Componente fluxo e itens de informação da prática EDM01.01
Fonte: Isaca (2019c, p. 32).
A figura a seguir apresenta os outros componentes do EDM01.
Figura 53 – Demais componentes do EDM01
Fonte: Isaca (2019c, p. 33).
160
Unidade IV
8.2.2 Os objetivos de governança/gestão e a cascata de objetivos
Para executar bem o desenho do sistema de governança, é necessário que a cascata de objetivos do 
Cobit® 2019 funcione de forma eficiente. Por isso, o Cobit apresenta uma relação entre os objetivos 
corporativos e os objetivos de alinhamento. A figura a seguir apresenta essa relação.
Figura 54 – Relação entre os objetivos corporativos e objetivos de alinhamento
Fonte: Isaca (2019c, p. 297).
Observe quea relação entre os dois objetivos gera um mapeamento P (primário) e S (secundário). 
O P indica forte relação entre o objetivo corporativo e o objetivo de alinhamento. O S indica fraca 
relação entre o objetivo corporativo e o objetivo de alinhamento.
Continuando o cascateamento para o melhor desenho do sistema de governança, a próxima 
figura apresenta a relação entre os objetivos de alinhamento e os objetivos de governança. 
O mapeamento P e S segue a mesma ideia apresentada na figura anterior.
161
GOVERNANÇA CORPORATIVA DE TI
Figura 55 – Relação entre os objetivos de alinhamento e os objetivos de governança e gestão
Fonte: Isaca (2019c, p. 298).
8.2.3 Desenhando um sistema de governança customizado
Continuando o desenho do sistema de governança de forma customizada, devemos partir dos 
fatores de desenho para conseguir priorizar bem os objetivos de governança e gestão para uma 
determinada organização. Por isso, a Isaca disponibiliza uma planilha de cálculos considerando cada um 
dos fatores de desenho de acordo com a organização para priorizar os objetivos de governança e gestão 
mais adequados.
162
Unidade IV
A figura a seguir apresenta a planilha da pasta de trabalho do Excel que é utilizada nos cálculos.
Figura 56 – Planilha de desenho do sistema de governança
Adaptada de: Isaca (2019a).
Nessa pasta do Excel, encontramos uma planilha para cada fator de desenho, que deve ser analisado 
para organização em que se deseja implementar um sistema de governança. Após o preenchimento 
adequado de todas as planilhas, são gerados dashboards contendo gráficos de radar que indicam a 
priorização dos objetivos de governança para a organização analisada. A próxima figura apresenta um 
desses resultados, quando a planilha foi preenchida de forma aleatória.
Figura 57 – Dashboard do sistema de governança
Adaptada de: Isaca (2019a).
163
GOVERNANÇA CORPORATIVA DE TI
 Saiba mais
Para conhecer um pouco mais sobre o desenho do sistema de 
governança, consulte o livro a seguir e leia o guia que acompanha a 
planilha de cálculos.
ISACA. Guia de design do Cobit® 2019: projetando uma solução de 
governança de tecnologia e informação. Rolling Meadows: Isaca, 2019.
 Resumo
Nesta unidade apresentamos com certo grau de profundidade o modelo 
Cobit® 2019. Fizemos uma introdução geral do framework apresentando o 
contexto do Cobit® na governança corporativa de informação e tecnologia. 
Avançamos nos princípios do sistema de governança e do framework de 
governança preparando as bases para o entendimento sobre os componentes 
importantes do modelo. Também apresentamos os fatores de desenho, a 
cascata de objetivos do Cobit® e o gerenciamento de desempenho feito 
a partir do modelo de capacidade de processos.
Estudamos os objetivos de governança e gestão do Cobit® 2019 
apresentando os seus cinco domínios: avaliar, dirigir e monitorar; alinhar, 
planejar e organizar; construir, adquirir e implementar; entrega, serviço 
e suporte; e monitorar, avaliar e analisar. Os propósitos de cada objetivo 
foram mencionados, bem como sua estrutura geral.
Concluímos a unidade mencionando um dos objetivos de governança 
e apresentando uma relação entre eles e a cascata de objetivos, além do 
desenho final do sistema de governança.
164
Unidade IV
 Exercícios
Questão 1. Leia o texto a seguir.
Princípios e benefícios do Cobit® 2019: atualização foi projetada para flexibilizar o desenvolvimento 
de uma estratégia de governança
Cristina de Luca - 20/01/2019
Figura 58 
A governança de TI define quem tem a autoridade para tomar decisões, determina a responsabilidade 
pelas ações e propõe a forma como o desempenho de TI será avaliado. Assim como o Itil®, o Cobit® 
propõe normas e padrões para a instituição da governança de TI em nossas empresas.
O Cobit® (Control Objectives for Information and related Technology) é um framework de 
gerenciamento de TI concebido pela Isaca para ajudar as empresas a desenvolver, organizar e implementar 
estratégias em torno do gerenciamento de informações e governança.
Lançado pela primeira vez em 1996, foi inicialmente projetado como um conjunto de objetivos de 
controle de TI para ajudar a comunidade de auditoria financeira a navegar melhor pelo crescimento dos 
ambientes de tecnologia. Em 1998, a Isaca lançou a versão 2, que expandiu a metodologia para que 
pudesse ser aplicada fora da comunidade de auditoria. Mais tarde, nos anos 2000, a Isaca desenvolveu 
a versão 3, que incluiu as técnicas de gerenciamento de TI e de controle de informações encontradas no 
framework atual.
O Cobit® 4 foi lançado em 2005, seguido pelo Cobit® 4.1, em 2007. Essas atualizações incluíram mais 
informações sobre a governança em torno das tecnologias de informação e comunicação. Em 2012, o 
Cobit® 5 foi lançado e, em 2013, o Isaca lançou um complemento a ele, que incluía mais informações 
para as empresas sobre gerenciamento de riscos e governança de informações.
No ano passado, a Isaca anunciou uma versão atualizada do Cobit®, descartando o número da 
versão, nomeando-a de Cobit® 2019. Essa versão atualizada foi projetada para evoluir constantemente 
com “atualizações mais frequentes e fluidas”. O objetivo é criar estratégias de governança mais flexíveis, 
colaborativas e voltadas para tecnologias recentes.
165
GOVERNANÇA CORPORATIVA DE TI
“A estrutura Cobit® prospera há mais de 20 anos porque aborda os princípios essenciais de negócios 
que são tão verdadeiros hoje quanto nos anos 90”, comenta Mark Thomas, fundador da Escoute 
Consulting, em um artigo recente. “É importante fornecer orientação atualizada relativa ao atual 
cenário tecnológico, e o Cobit® 2019 deu um enorme passo à frente nesse sentido”, comenta.
O que há no Cobit® 2019?
O Cobit® 2019 atualiza o framework para a TI atual, abordando novas tendências, tecnologias e 
necessidades de segurança. Novos conceitos e nova terminologia foram introduzidos no modelo básico 
do Cobit®, que inclui quarenta objetivos de governança e gerenciamento para estabelecer um programa 
de governança. O sistema de gerenciamento de desempenho agora permite mais flexibilidade ao usar 
medições de maturidade e capacidade. No geral, o framework é projetado para oferecer mais flexibilidade 
às empresas ao personalizar uma estratégia de governança de TI.
[...]
Uma grande diferença entre o Cobit® e outros frameworks é que ele foca especificamente em 
segurança, gerenciamento de risco e governança de informações. Isso é enfatizado no Cobit® 2019, com 
melhores definições do que o Cobit® é e do que ele não é. Por exemplo, a Isaca diz que o Cobit® 2019 não é 
um framework para organizar processos de negócios, gerenciar tecnologia, tomar decisões relacionadas 
à TI ou determinar estratégias ou arquitetura de TI. Em vez disso, ele é projetado estritamente como 
um framework para governança e gerenciamento da TI corporativa em toda a organização. Isso é mais 
bem esclarecido na versão atualizada; portanto, nela, há menos confusão sobre como o Cobit® deve ser 
usado e implementado.
Disponível em: https://bit.ly/3yY7EAD. Acesso em: 11 fev. 2021. Adaptado.
Com base na leitura e nos seus conhecimentos, avalie as afirmativas.
I – O Cobit® (Control Objectives for Information and related Technology) pode ser definido como 
um modelo de gerenciamento de TI que auxilia as organizações na elaboração, na organização e na 
implantação de ações relativas à gestão de informações e à governança.
II – No Cobit® 2019 houve a adição de conceitos e de termos ao modelo básico e a introdução 
de mecanismos que possibilitaram às organizações certo grau de personalização da estratégia de 
governança de TI por elas adotada.
III – Um fato que distingue o Cobit® dos demais modelos é o fato de ele ser desenvolvido para 
auxiliar na governança de informações e no gerenciamento da TI corporativa de toda a organização, 
com foco na segurança.
166
Unidade IV
É correto o que se afirma em:
A) I, apenas.
B) II, apenas.
C) III, apenas.
D) I e II, apenas.
E) I, II e III.Resposta correta: alternativa E.
Análise das afirmativas
I – Afirmativa correta.
Justificativa: segundo o texto, “o Cobit® (Control Objectives for Information and related Technology) 
é um framework de gerenciamento de TI concebido pela Isaca para ajudar as empresas a desenvolver, 
organizar e implementar estratégias em torno do gerenciamento de informações e governança”.
II – Afirmativa correta.
Justificativa: segundo o texto, “o Cobit® 2019 atualiza o framework para a TI atual, abordando 
novas tendências, tecnologias e necessidades de segurança”. Além disso, “novos conceitos e nova 
terminologia foram introduzidos no modelo básico do Cobit® que inclui quarenta objetivos de 
governança e gerenciamento para estabelecer um programa de governança”. Adicionalmente, “no geral, 
o framework é projetado para oferecer mais flexibilidade às empresas ao personalizar uma estratégia de 
governança de TI”.
III – Afirmativa correta.
Justificativa: segundo o texto, “uma grande diferença entre o Cobit® e outros frameworks é que ele 
foca especificamente em segurança, gerenciamento de risco e governança de informações”. Além disso, 
“ele é projetado estritamente como um framework para governança e gerenciamento da TI corporativa 
em toda a organização”.
167
GOVERNANÇA CORPORATIVA DE TI
Questão 2. O Cobit® 2019 é constituído por dois conjuntos de princípios:
• Conjunto A: corresponde ao conjunto de princípios do sistema de governança.
• Conjunto B: corresponde ao conjunto de princípios do framework de governança.
Considere os princípios I, II e III a seguir:
• Princípio I: realizar uma abordagem holística.
• Princípio II: usar como base um modelo conceitual.
• Princípio III: poder ser customizado para as necessidades empresariais.
Os princípios I, II e III encontram-se, respectivamente, nos conjuntos:
A) A, A e A.
B) B, B e B.
C) A, B e A.
D) A, A e B.
E) B, A e A.
Resposta correta: alternativa C.
Análise da questão
Os dois conjuntos de princípios do Cobit® 2019 e seus componentes podem ser vistos no 
quadro a seguir.
Quadro 43 – Conjuntos de princípios do Cobit® 2019
Conjunto A
Princípios do sistema de governança
Conjunto B
Princípios do framework de governança
Prover valor para os stakeholders.
Fazer abordagem holística.
Ser um sistema de governança dinâmico.
Distinguir governança de gestão.
Poder ser customizado para as necessidades empresariais.
Ser um sistema de governança fim a fim.
Ser baseado em um modelo conceitual.
Ser um framework aberto e flexível.
Estar alinhado aos principais padrões de mercado.
Adaptado de: Isaca (2012).
168
REFERÊNCIAS
Audiovisuais
ENRON: os mais espertos da sala. Direção: Alex Gibney. EUA: Jigsaw Production, 2005. 110 min.
Textuais
ABNT. NBR ISO/IEC 38500: tecnologia da informação – governança da TI para a organização. Rio de 
Janeiro: ABNT, 2018.
ABPMP. Guide to the business process management body of knowledge (BPM CBOK®): version 4.0. 
St. Paul: ABPMP, 2019.
AKABANE, G. K. Gestão estratégica da tecnologia da informação: conceitos, metodologias, 
planejamento e avaliações. São Paulo: Atlas, 2012.
ANDRADE, A.; ROSSETTI, J. P. Governança corporativa: fundamentos, desenvolvimento e tendências. 
São Paulo: Atlas, 2012.
ANSOFFF, H. I.; MCDONNELL, E. Implantando a administração estratégica. São Paulo: Atlas, 1993.
ASSIS, C. B. Governança e gestão da tecnologia da informação: diferenças na aplicação em empresas 
brasileiras. 2011. Dissertação (Mestrado em Engenharia de Produção) – Universidade de São Paulo, 
São Paulo, 2011.
AUBERT, B. A.; RIVARD, S.; PATRY, M. Assessing the risk of it outsourcing. 1998. Disponível em: 
https://bit.ly/3fjYsig. Acesso em: 25 maio 2021.
AXELOS. Itil® Foundation. 4. ed. Norwich: TSO, 2019.
B3. Ações. [s.d.]. Disponível em: https://bit.ly/2S5Bq5J. Acesso em: 19 maio 2021.
BANZATO, E. Tecnologia da informação aplicada à logística. São Paulo: Iman, 2005.
BCB. Resolução n. 4.658, de 26 de abril de 2018. 2018. Disponível em: https://bit.ly/3yFF2Mk. 
Acesso em: 28 maio 2021.
BEAL, A. Gestão estratégica da informação: como transformar a informação e a tecnologia da 
informação em fatores de crescimento e de alto desempenho nas organizações. São Paulo: Atlas, 2004.
BLOK, M. Compliance e governança corporativa. 3. ed. Rio de Janeiro: Freitas Bastos, 2020.
BM&FBOVESPA. O Novo Mercado. 2008. Disponível em: https://bit.ly/3ui9HvP. Acesso em: 25 maio 2021.
169
BRORSCHIVER, S.; SILVA, A. L. R. Technology roadmap: planejamento estratégico para alinhar 
mercado-produção-tecnologia. Rio de Janeiro: Interciência, 2016.
BURGESS, M. Princípios de administração de redes e sistemas. 2. ed. Rio de Janeiro: LTC, 2006.
CAIÇARA JUNIOR, C. Sistemas integrados de gestão – ERP: uma abordagem gerencial. Curitiba: 
InterSaberes, 2015.
CARVALHO, A.; LORENA, A. C. Introdução à computação: hardware, software e dados. Rio de Janeiro: LTC, 2017.
COSTA, I. et al. Qualidade em tecnologia da informação: conceitos de qualidade nos processos, 
produtos, normas, modelos e testes de software no apoio às estratégias empresariais. São 
Paulo: Atlas, 2012.
COSTA NETO, O. P. L. (coord.). Qualidade e competência nas decisões. São Paulo: Blucher, 2007.
COSTA NETO, O. P. L.; CANUTO, S. A. Administração com qualidade: conhecimentos necessários para a 
gestão moderna. São Paulo: Blucher, 2010.
ELEUTÉRIO, M. A. N. Sistemas de informações gerenciais na atualidade. Curitiba: InterSaberes, 2015.
FERNANDES, A. A.; ABREU, V. F. Implantando a governança de TI. Rio de Janeiro: Brasport, 2014.
FERNANDES, A. A.; ABREU, V. F.; DINIZ, J. L. Governança digital 4.0. Rio de Janeiro: Brasport, 2019.
FOINA, P. R. Tecnologia da informação: planejamento e gestão. São Paulo: Atlas, 2009.
FREITAS, M. A. S. Fundamentos do gerenciamento de serviços de TI. 2. ed. Rio de 
Janeiro: Brasport, 2013.
GIACOMELLI, G. Governança corporativa. Porto Alegre: Sagah, 2017.
GIL, A. L. Qualidade total em informática. São Paulo: Atlas, 1999.
GIL, A. L.; BIANCOLINO, C. A.; BORGES, T. N. Sistemas de informações contábeis: uma abordagem 
gerencial. São Paulo: Saraiva, 2010.
GONZALEZ, R. S. Governança corporativa: o poder de transformação das empresas. São Paulo: Trevisan, 2012.
GORDON, S. R.; GORDON, J. R. Sistemas de informação: uma abordagem gerencial. 3. ed. Rio de 
Janeiro: LTC, 2006.
IBGC. Código das melhores práticas de governança corporativa. 5. ed. São Paulo: IBGC, 2015.
170
ITGI. Cobit® 4.1. Rolling Meadows, 2007.
IIBA. Babok®: a guide to the business analysis body of knowledge. 3. ed. Pickering: IIBA, 2015.
ISACA. Cobit® 5: a business framework for the governance and management of enterprise IT. Rolling 
Meadows: Isaca, 2012.
ISACA. Cobit® 2019: design toolkit – designing an information & technology governance solution. 
Rolling Meadows: Isaca, 2019a.
ISACA. Cobit® 2019: governance and management objectives. Rolling Meadows: Isaca, 2019b.
ISACA. Cobit® 2019: introduction and methodology. Rolling Meadows: Isaca, 2019c.
ISACA. Guia de design do Cobit® 2019: projetando uma solução de governança de tecnologia e 
informação. Rolling Meadows: Isaca, 2019d.
JOÃO, B. N. Informática aplicada. São Paulo: Pearson, 2019.
LANZINI, L. E. Governança corporativa e compliance: global trading. Curitiba: Contentus, 2020.
LAUDON, K. C.; LAUDON, J. P. Sistemas de informação gerenciais. 10. ed. São Paulo: Pearson 
Pratice Hall, 2013.
LAURINDO, F. J. B. Tecnologia da informação: planejamento e gestão de estratégias. São 
Paulo: Atlas, 2008.
LUCIANO, E. M; TESTA, M. G. Controles de governança de tecnologia da informação para a terceirização 
de processos de negócio: uma proposta a partir do Cobit®. Journal of Information Systems and 
Technology Management, v. 8, n. 1, p. 237-262, 2011.
LUNARDI, G. L.; BECKER, J. L; MACADA, A. C. G. Um estudo empírico do impacto da governança de TI 
no desempenho organizacional. São Paulo, 2012.
MARÇULA, M.; BENINI FILHO, P. A. Informática: conceitos e aplicações. São Paulo: Érica, 2013.
MAGALHÃES, I. L.; PINHEIRO, W. B. Gerenciamentode serviços de TI na prática. São 
Paulo: Novatec, 2007.
MOLINARO, L. F. R.; RAMOS, K. H. C. Gestão de tecnologia da informação. Rio de Janeiro: LTC, 2011.
MONKS, R. A. G.; MINOW, N. Power and accountability. New York: Harper Collins, 1992.
MORAIS, I. S.; GONÇALVES, G. R. B. Governança de tecnologia da informação. Porto Alegre: Sagah, 2018.
171
MOREIRA, A. W.; VIEIRA NETO, J. Diferenças entre gestão de TI e governança de TI: uma breve 
comparação. In: CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO, Rio de Janeiro, 2014.
MOURA, M. Supergovernança: um olhar ampliado sobre os desafios das empresas familiares. São 
Paulo: Trevisan, 2020.
MUNHOZ, A. S. Fundamentos de tecnologia da informação e análise de sistemas para não analistas. 
Curitiba: InterSaberes, 2017.
O´BRIEN, J.; JAMES, A. Sistemas de informação e as decisões gerenciais na era da internet. Tradução: 
Cid Knipel Moreira. São Paulo: Saraiva, 2002.
OCDE. Os princípios da OCDE sobre o governo das sociedades. 2004. Disponível em: https://bit.ly/3v5rh7A. 
Acesso em: 20 maio 2021.
OLIVEIRA, D. P. R. Estruturação do conselho de administração: governança corporativa na prática – 
integrando acionistas, conselho de administração e diretoria executiva na geração de resultados. 3. ed. 
São Paulo: Atlas, 2015.
OLIVEIRA, F. B. Tecnologia da informação e da comunicação: a busca de uma visão ampla e 
estruturada. São Paulo: Pearson, 2007.
PADOVEZE, C. L. Sistemas de informações contábeis: fundamentos e análise. 7. ed. São Paulo: Atlas, 2015.
PETROBRAS. ESG: meio ambiente, social e governança. 2020. Disponível em: https://bit.ly/3uvmrPO. 
Acesso em: 28 maio 2021.
REZENDE, D. A.; ABREU, A. F. Tecnologia da informação aplicada a sistemas de informação empresariais. 
São Paulo: Atlas, 2013.
SANTOS, A. A. Informática na empresa. São Paulo: Atlas, 2015.
SARBANES-OXLEY act of 2002. 2002. Disponível em: https://bit.ly/3hxg3Vv. Acesso em: 18 maio 2021.
SILVA, A. L. C. Governança corporativa e sucesso empresarial: melhores práticas para aumentar o valor 
da firma. São Paulo: Saraiva, 2006.
SILVA, E. C. Governança corporativa nas empresas: guia prático de orientação para acionistas, 
investidores, conselheiros de administração e fiscal, auditores, executivos, gestores, analistas de 
mercado e pesquisadores. 4. ed. São Paulo: Atlas, 2016.
SOUZA NETO, M. V. Computação em nuvem: nova arquitetura de TI. 2. ed. Rio de Janeiro: Brasport, 2015.
SOUZA NETO, M. V. Virtualização: tecnologia central do datacenter. 2. ed. Rio de Janeiro: Brasport, 2016.
172
STAIR, R. M.; REYNOLDS, G. W. Princípios de sistemas de informação. 9. ed. São Paulo: Cengage Learning, 2011.
TIGRE, P. B. Gestão da inovação: a economia da tecnologia do Brasil. Rio de Janeiro: Elsevier, 2006.
VELOSO, R. Tecnologias da informação e da comunicação: desafios e perspectivas. São Paulo: Saraiva, 2011.
VERAS, M. Cloud computing: nova arquitetura de TI. Rio de Janeiro: Brasport, 2012.
VERAS, M. Computação em nuvem: nova arquitetura de TI. Rio de Janeiro: Brasport, 2015.
VERAS, M. Virtualização: tecnologia central do datacenter. 2. ed. Rio de Janeiro: Brasport, 2016.
WEILL, P.; ROSS, J. W. Governança de TI: como as empresas com melhor desempenho administram os 
direitos decisórios de TI na busca por resultados superiores. São Paulo: Makron Books, 2006.
Informações:
www.sepi.unip.br ou 0800 010 9000