Introduo ao COBIT

v4.1 Parte 1
Ao nal desta aula, voc dever ser capaz de:
Identicar, listar e explicar os principais conceitos
sobre o COBIT

tais como os critrios de informao,

as reas foco da Governana e os indicadores de
desempenho e de meta.
Listar e exemplicar os domnios do COBIT

.
8
o
b
j
e
t
i
v
o
s
A
U
L
A
Meta da aula
Explicar os conceitos iniciais
sobre o COBIT

.
1
2
Pr-requisitos
So pr-requisitos para esta aula ter atingido os obje-
tivos das primeiras aulas que tratam do Planejamento
Estratgico, da Governana em TI e das duas verses da
ITIL

, a saber, a verso 2 e a verso 3.

194 Governana: Gesto, Auditoria e Tecnologia da Informao
Governana em Tecnologia da Informao | Introduo ao COBIT

v4.1 Parte 1
INTRODUO
A sigla COBIT

signica, em ingls, objetivos de controle para a

informao e tecnologia (Control Objectives for Information and related
Technology). Ok, mas de que trata o seu contedo? Costumamos dizer
que o contedo do COBIT

baseado em controles para a rea de TI

diretamente relacionados gesto do negcio. No arriscado dizer que
a Governana em TI implementada atravs do COBIT

, ou seja, dentro
do mbito da TI so os seus objetivos de controle que guiaro quaisquer
outras iniciativas da TI, por exemplo, com relao utilizao ou no
da ITIL

v3, do PMBOK

v4, ou de qualquer outra norma, padro ou

conjunto de boas prticas voltados para a TI. Voc deve estar imagi-
nando que o COBIT

o assunto mais importante desse nosso curso de

Governana. Se tivssemos de dar uma resposta rpida, poderamos at
dizer que sim! Na verdade, cada assunto importante, dependendo do
momento que a empresa estiver passando. Essa ideia car mais clara
em nossa ltima aula, quando abordaremos o tema Governana em TI
envolvendo todos os assuntos vistos no curso.
Voc sabe quantos anos se passaram desde a publicao da pri-
meira verso do COBIT

? Uma dcada? Duas? A sua primeira verso foi

publicada pela ISACF (Information Systems Audit and Control Founda-
tion) em 1994. A ISACF era uma ramicao da ISACA

(Information
Systems Audit and Control Association) que a associao detentora dos
direitos sobre o COBIT

. Hoje o ITGI (Information Technology Gover-

Vimos que a ITIL

possui uma srie de boas prticas

para a construo de processos de TI. Mas, a ITIL

ajuda a TI a conseguir o alinhamento estratgico?
Na verdade, ela no o modelo mais adequado
para esse m. E qual seria o modelo mais adequado
ento? Vamos estudar o COBIT

a partir desta aula

e ver como ele responde a essa questo!
CE C I E R J E X T E N S O E M G O V E R N A N A 195
A
U
L
A

8
nance Institute), organizao criada pela prpria ISACA

, desempenha
a funo de garantir a evoluo do COBIT

.
A ISACA

ainda mantm o acrnimo por questes de marketing

em seu site e em todo o seu material, porm ela no utiliza mais os
termos controle, auditoria e sistemas de informao quando a sigla
mencionada, isto , ISACA

s uma logomarca que um dia signicou

information systems audit and control association, mas hoje no mais.
Um dos motivos bvios para isso o fato de que uma associao para
auditoria e controle de sistemas de informao no o que a ISACA

representa hoje. Os pers de seus membros (assim como as suas preo-
cupaes) vo muito alm do controle e auditoria, embora essas duas
funes ainda estejam tambm presentes.
Atualmente o COBIT

se encontra na verso 4.1, publicada em

2007. Sua evoluo atravs dos anos se deu da seguinte forma:
1996 - Verso 1
Foi publicada a primeira verso com foco mais voltado para
auditoria e controle de sistemas de informao com base em
padres tcnicos, prossionais e regulatrios internacionais.
1998 - Verso 2
Publicao da segunda verso, agora com uma losoa de que
os objetivos de controle deviam ser baseados nos resultados
pretendidos pela TI, ou seja, primeiro se pensa onde a TI quer
chegar e, depois, em quais objetivos precisam ser estabelecidos
para que ela chegue l. Dessa forma o COBIT

comeou a servir
de ponto de partida para que os executivos de TI gerenciassem
os seus processos a m de atingir os resultados almejados.
2000: Verso 3
Publicao da terceira verso revisada para se adequar a vrios
outros modelos, normas, padres e conjuntos de boas prticas
que se tornavam famosos naquela poca (tais como a ITIL

e
o PMBOK

). Essa verso marcou a passagem do COBIT

da
losoa do controle para a losoa da gesto e gerenciamento.
Era uma adequao viso da TI prestadora de servio que se
tornaria muito forte no novo sculo. Observe que naquele ano
foram publicadas novas verses da ITIL

, do PMBOK

, do
COBIT

e de vrios outros modelos.

196 Governana: Gesto, Auditoria e Tecnologia da Informao
Governana em Tecnologia da Informao | Introduo ao COBIT

v4.1 Parte 1
Note ainda que a diferena de abordagem, embora sutil,
muito importante. A palavra controle traz consigo uma ideia
de reatividade muito mais ligada ecincia operacional. J
os termos gesto e gerenciamento esto mais ligados a aes
proativas necessrias eccia estratgica. Caso j no tivsse-
mos discutido tanto as diferenas entre essas duas expresses, a
diferena poderia mesmo lhe parecer pequena. Esperamos que
este no seja mais o seu pensamento.
2005: Verso 4
Em 2005 uma nova verso trouxe tona uma expresso que
agora toma conta de todas as discusses dos executivos de TI e
de suas equipes: a Governana em TI. A verso 4 do COBIT

possua 34 reas de processo e 214 objetivos gerais de controle
visando implementao de processos de TI que garantam o
alinhamento estratgico. Uma ideia muito clara nessa verso
era a de que o novo documento tinha um pblico alvo mais
heterogneo formado no s por tcnicos da rea de TI, mas
tambm por executivos e auditores, ou at mesmo por gestores
de outras reas interessados em interagir melhor com a TI.
fato que essa era a ideia desde a verso 2, mas esse objetivo
foi inteiramente atingido atravs do novo formato da verso 4
de 2005. Talvez por conta disso, essa verso tenha tornado o
COBIT

mais conhecido em todo o mundo.

2007: Verso 4.1
Em 2007 houve apenas um incremento do COBIT

. A maior
mudana aconteceu nos objetivos de controle de cada rea de
processo, que foram revisados para orientar melhor a empresa
com relao eccia estratgica da TI, ou seja, a criao de
processos efetivos que culminem no alcance de metas e objeti-
vos de negcio. Um fato que chamou a ateno foi o de que o
COBIT

v4.1 continuou tendo 34 reas de processo. Embora

os objetivos de controle tenham diminudo um pouco (de 214
na verso 4 para 210 na verso 4.1), a comunidade passou a
crer que o COBIT

atingiu a sua maturidade. Isso porque o

seu contedo, no que diz respeito s macro reas de processo,
parece ter se estabilizado.
Figura 8.1: Cubo da governana.
CE C I E R J E X T E N S O E M G O V E R N A N A 197
A
U
L
A

8
Embora uma informao meramente quantitativa no seja o
nico fator determinante para se chegar a alguma concluso, sempre
desanimador quando um modelo reconhecido mundialmente muda de
forma drstica de uma verso para outra (acrescentando ou retirando
contedos). Isso costuma acontecer com modelos pouco amadurecidos.
Para a nossa felicidade, esse no parece ser mais o caso do COBIT

.
Voc sabia que a ISACA

foi fundada antes de o homem ir lua? Em 1967 um pequeno

grupo de indivduos com prosses e interesses similares que atuavam em auditoria e testes
em sistemas computacionais se encontraram para discutir uma forma de criar um conjunto
centralizado de diretrizes de auditoria. Na poca esses sistemas j se tornavam cada vez mais
crticos e complexos. Em 1969, ano em que o homem pisou na lua principalmente por causa
dos avanos nos sistemas embarcados em aeronaves, o grupo foi fundado formalmente.
Hoje a ISACA

possui mais de 86.000 membros com os pers diferenciados de vrios setores

da economia e em mais de 160 pases. O site ocial da ISACA

o http://www.isaca.org.
J o ITGI (IT Governance Institute) foi criado somente em 1998 em reconhecimento ao fato
de que a TI se tornava cada vez mais importante dentro das empresas e passava a ser vista
como uma rea crtica para o sucesso em atingir os objetivos de negcio. O site ocial do
ITGI o http://www.itgi.org. Esse site foi acessado em 30 de dezembro de 2009.
CONCEITOS ESSENCIAIS
Misso e princpios do COBIT

Agora pare e pense: qual seria a misso do COBIT

? A sua mis-
so, conforme descrio no documento do COBIT

v4.1, pesquisar,
desenvolver, publicar e promover um modelo para a Governana em TI
convel, atualizado e internacionalmente aceito que possa ser adotado
por empresas e utilizado no dia a dia por gerentes de negcio, prossio-
nais de TI e auditores.
Mas anal, partindo dessa misso, em que o COBIT

pode auxiliar
voc no seu trabalho dirio? Bem, talvez ele no lhe ajude diretamente,
mas com certeza ele poder auxiliar muito a sua empresa a atingir o
alinhamento estratgico da TI, seja qual for o setor onde ela atua.
198 Governana: Gesto, Auditoria e Tecnologia da Informao
Governana em Tecnologia da Informao | Introduo ao COBIT

v4.1 Parte 1
O contedo da ltima verso do COBIT

v4.1 foi escrito para que

a sua misso fosse cumprida atravs das seguintes metas:
Fornecer uma forma concreta de a empresa implementar
o alinhamento entre os objetivos de negcio e os obje-
tivos da TI.
Ajudar a alcanar a conformidade regulatria sendo
compatvel com os padres de controle e auditoria mais
comuns (como o COSO, por exemplo) utilizados por
rgos reguladores ou por auditores externos.
Ser compatvel com as boas prticas, normas e padres
de TI mais reconhecidos e utilizados no mundo.
Ser independente de quaisquer tecnologias.
Ser um modelo orientado a processos com uma estrutura que
permita fcil navegao e pesquisa pelo seu contedo.
Fornecer uma linguagem comum que utilize termos e
denies que sero entendidos tanto pelos prossionais
do provedor de TI na empresa quanto pelos gestores
do negcio.
COSO ( COM-
MI TTEE OF
SPONSORI NG
ORGANI ZATI ONS
OF THE TREAD-
WAY COMMI S-
SI ON)
um comit cria-
do em 1985 nos
EUA para prevenir
fraudes em demons-
traes contbeis.
Trata-se de uma
organizao sem ns
lucrativos formada
por representantes
das principais asso-
ciaes de classes
ligadas rea nan-
ceira. Dedica-se
melhoria nos rela-
trios nanceiros,
sobretudo pelo cum-
primento de contro-
les internos e pela
aplicao da tica
prossional. Atual-
mente as recomen-
daes do COSO
so amplamente
praticadas em todo
o mundo, inclusive
no Brasil. Voc pode
obter mais informa-
es sobre o COSO
no site http://www.
coso.org/.
Esse site foi acessado
em 30 de dezembro de
2009.
Figura 8.2: Ciclo bsico do COBIT.
Requisitos do
negcio
Recursos
de TI
Informao
empresarial
Processos de TI
COBIT
que
responde a
direciona os
investimentos em
que so
usados para
para entregar
CE C I E R J E X T E N S O E M G O V E R N A N A 199
A
U
L
A

8
Por ser
mais focado em obje-
tivos de negcio, o contedo do
COBIT

muito abrangente, mas pouco

detalhado no que diz respeito a como os
processos devem ser implementados. Perce-
ba que vale aqui a seguinte ideia: O COBIT

contm muito sobre o que deve ser feito e
para que deve ser feito e, por outro lado,
contm pouco sobre o como deve
ser feito.
p
Dessa forma a utilizao do COBIT

auxiliar a empresa a ligar os

objetivos do negcio aos objetivos da TI. Ele cumprir o papel de servir
de elo entre o planejamento estratgico da empresa e o plano diretor de
TI. Ele ir ajudar a alinhar os objetivos e metas de negcio aos objetivos
dos processos operacionais da TI.
Como? Vejamos um exemplo. Imagine que uma empresa possua
em seu plano estratgico um objetivo do tipo: melhorar o alinhamento
estratgico da TI com o negcio. Voc acha isso abstrato? Pois bem, assim
so os objetivos estratgicos! Genricos o suciente para darem uma dire-
o, mas pouco detalhados o suciente para no limitarem as opes de
quem precisa concretiz-los. Por outro lado, eles devem estar relacionados
misso da empresa e de acordo com os seus valores e princpios.
Um objetivo como esse pode ser desdobrado em vrias metas
para a rea de TI. Uma delas, por exemplo, seria garantir que a aqui-
sio e manuteno de software acontecessem de forma alinhada com
os requisitos do negcio e que isso fosse feito em tempo hbil e a um
custo razovel para a empresa. Como isso se tornaria real? Ora, atravs
de um processo de desenvolvimento eciente e ecaz. E qual o caminho
para criar processos de desenvolvimento ecientes e ecazes? Ora, por
exemplo, traduzindo os requisitos de negcio para as especicaes de
software; aderindo a padres de desenvolvimento para que haja um
controle integrado de mudanas; priorizando requisitos de software
com base na relevncia para o negcio; e separando as atividades de
desenvolvimento, testes e operao. E como a empresa saberia que esse
objetivo est sendo atingido? Ora, por exemplo, atravs do nmero de
200 Governana: Gesto, Auditoria e Tecnologia da Informao
Governana em Tecnologia da Informao | Introduo ao COBIT

v4.1 Parte 1
problemas operacionais causados por aplicaes que geraram paralisa-
o nos servios; ou atravs do percentual de usurios satisfeitos com
as funcionalidades que foram entregues.
Voc pode se perguntar: Como anal o COBIT

ajudaria?
Em absolutamente tudo. Todas as respostas (e at mesmo as per-
guntas) no exemplo acima foram extradas do texto do COBIT

.
O mapeamento com o COBIT

imediato bastando para isso analisar

a meta estratgica e determinar qual preocupao com relao TI ela
expressa. Normalmente as metas estratgicas estaro relacionadas a
uma das reas foco da Governana (ou a mais de uma). As reas foco
da Governana, segundo o COBIT

, so: alinhamento estratgico da TI;

entrega de valor pela TI; gerenciamento do risco da TI; gerenciamento
dos recursos de TI; e anlise de desempenho da TI. Estudaremos essas
reas em nossa prxima aula.
Nesse exemplo, para facilitar, a meta j mencionava o alinhamento
estratgico da TI. Porm, em qualquer outro caso, traduzir as aspiraes
do plano estratgico para as reas foco da Governana no ser difcil.
Bem, essa uma forma simples de se pensar em como o COBIT

pode-
ria ajudar na prtica. Durante essa aula ainda iremos analisar outros
exemplos.
Foco no negcio
De acordo com sua misso, voc sabe qual o principal objetivo
do COBIT

? Seu principal objetivo ser orientado ao negcio! Mas o

que seria um modelo orientado ao negcio anal? Um modelo orientado
ao negcio um modelo construdo no s para os prossionais respon-
sveis pelo provimento dos servios de TI, mas principalmente para
os executivos responsveis pelo negcio. O COBIT

oferece diretrizes
claras para que estes executivos possam tomar decises sobre a TI.
O ciclo bsico do COBIT

exemplicado na Figura 8.2. Nela os

requisitos de negcio direcionam investimento em recursos de TI. Recur-
sos de TI so utilizados por processo de TI. Processos de TI entregam
dados que devem atender aos critrios de informao. A informao
utilizada para gerar requisitos de negcio.
Nesse contexto, informaes teis podem ser previses sobre
aspectos econmicos que afetaro o mercado onde a empresa atua;
desejo ou necessidade de clientes e usurios por acompanhar inova-
CE C I E R J E X T E N S O E M G O V E R N A N A 201
A
U
L
A

8
es tecnolgicas; entrada de novos concorrentes disputando o mes-
mo mercado; discrepncias existentes entre o nvel de servio desejado
pelo usurio e o nvel de servio entregue; previses de demandas futuras
pelos servios e sobre a capacidade atual da empresa; informaes sobre
ameaas e vulnerabilidades que afetam a empresa e sobre os processos
de gerenciamento do risco; necessidade de atendimento a normas, leis
e regulamentos; ou simplesmente desejo de aumentar o retorno sobre o
investimento realizado.
Note que somente um conjunto de processos bem-estruturados de
TI fornecer servios que garantiro empresa a gerao das informa-
es vitais tomada de deciso e denio dos requisitos de negcio.
Voc j percebe que a informao representa um papel fundamental no
COBIT

? Gerenciar bem a informao o corao do sistema de Gover-

nana em TI e vital para atingir o objetivo de alinhar os processos de
TI estratgia da empresa.
O COBIT

fornece matrizes com metas genricas de negcio e

metas genricas de TI e mostra como elas podem ser mapeadas segundo
os critrios de informao. Estes exemplos, que so genricos, podem
ser usados para guiar a empresa na determinao de suas metas espec-
cas. Alm disso, o COBIT

fornece mtricas que permitem mensurar

resultados obtidos pelos processos de TI e compar-los com as metas
e objetivos que deveriam ser atingidos. Em outras palavras, a empresa
pode responder, com relao a cada processo, questo: fazendo isso
que conseguiremos chegar aonde queremos chegar?
Alm disso, o COBIT

herdou os princpios da Gover-
nana sobre os quais o COSO foi
construdo, a saber: responsabili-
dade (responsibility), prestao de
contas (accountability) e transpa-
rncia (transparency).
202 Governana: Gesto, Auditoria e Tecnologia da Informao
Governana em Tecnologia da Informao | Introduo ao COBIT

v4.1 Parte 1
Mas voc reconheceria uma meta se a visse? O que so metas de
TI e metas do negcio anal? Vamos tratar melhor desse assunto nas
prximas aulas sobre o COBIT

. Por hora, tenha em mente que hoje

toda empresa usa a TI, de uma forma ou de outra, para operacionalizar
iniciativas de negcio. A maneira com que a TI usada pela empresa deve
ser representada na forma de metas de TI. Denir o trabalho na forma
de metas permite um controle maior sobre o que feito pela TI. Para que
as metas de TI sejam adequadas, deve haver direcionamento estratgico
expresso na forma de requisitos de negcio (papel desempenhado pelo
cliente e pelo usurio) e um entendimento claro sobre o que precisa ser
entregue (papel desempenhado pelo provedor de TI). nesse ponto que
acontece o alinhamento estratgico.
Uma vez que as metas foram denidas, elas precisam ser monitora-
das atravs de mtricas a m de assegurar que as expectativas esto sendo
atendidas. Para que o cliente entenda as metas da TI, os objetivos e suas
mtricas devem ser expressos em termos de negcio que possam ser facil-
mente compreendidos. O COBIT

possui algumas matrizes que fornecem

uma viso sobre como metas genricas de negcio se relacionam com metas
especcas de processos da TI e com os critrios de informao.
Complete as lacunas:
1. Os pri nc pi os bsi cos da Governana so a ____________________, a
____________________ e a ____________________.
2. O COBIT

contm muito sobre ____________________ deve ser feito e

____________________ deve ser feito e, por outro lado, contm pouco sobre
____________________ deve ser feito.
3. ____________________ direcionam os investimentos em ____________________ que so
usados por ____________________ para entregar ____________________ que respondem
aos ____________________.
Respostas
1. Os princpios bsicos da Governana so a responsabilidade, a prestao de
contas e a transparncia.
2. O COBIT

contm muito sobre o que deve ser e para que deve ser feito e, por
outro lado, contm pouco sobre como deve ser feito.
Atividade 1
1
CE C I E R J E X T E N S O E M G O V E R N A N A 203
A
U
L
A

8
Os recursos de TI
A empresa precisar implementar um conjunto de processos para
atingir as metas de TI. Esses processos consumiro recursos humanos e
infraestrutura tecnolgica. Esses recursos constituem a arquitetura de
TI da empresa.
Para atingir as metas a empresa precisar investir a m de que os
recursos (pessoas e tecnologias) tenham as capacidades adequadas para
acompanhar as capacidades do negcio, o que dever resultar nas sadas
esperadas. Por exemplo, se uma empresa deseja acelerar o uxo dos pro-
cessos de toda sua cadeia produtiva, a m de entregar mais produtos em
menos tempo, ela poder precisar adquirir ferramentas de automatizao
e integrao de sistemas (aquisio de um ERP, por exemplo) e treinar
seus funcionrios sobre as funcionalidades dessa ferramenta.
3. Requisitos de negcio direcionam os investimentos em recursos de TI que
so usados por processos de TI para entregar informaes empresariais que
respondem aos requisitos de negcio.
ERP ( ENTER-
PRI SE RESOURCE
PLANNI NG)
uma sigla que
representa, em
portugus, sistemas
integrados de gesto
empresarial. Esses
sistemas se populari-
zaram na dcada de
1980 e tinham como
bandeira a integrao
de todos os sistemas
de informao da
organizao em um
s. Normalmente
esses sistemas pos-
suem vrios mdulos
(nanceiro, contbil,
de recursos huma-
nos, de fbrica, de
vendas, de compras,
de marketing, de
relacionamento com
o cliente, etc). Alguns
exemplos de ERP
muito usados pelas
empresas brasileiras
so o SAP, o Micro-
siga, o Datasul. Na
dcada de 1990, algu-
mas grandes empresas
tambm optaram por
entrar nesse segmen-
to e hoje tambm
possuem sistemas
ERP consolidados no
mercado, tais como a
Oracle e a Microsoft.
Hoje existem solues
de ERP no mercado
para praticamente
todos os tipos e tama-
nhos de empresa.
Alm disso, em raras
excees, algumas
empresas optam por
desenvolver em casa o
seu prprio ERP.
Figura 8.3: Recursos humanos da TI.
204 Governana: Gesto, Auditoria e Tecnologia da Informao
Governana em Tecnologia da Informao | Introduo ao COBIT

v4.1 Parte 1
No COBIT

os recursos de TI so descritos como

aplicaes, como informao, como infraestrutura tecnol-
gica ou como pessoas. Entende-se por aplicaes sistemas
automatizados que processam a informao. Informao o
resultado dos dados nas mais variadas formas aps serem
processados. A infraestrutura tecnolgica toda forma de
hardware, software, sistema operacional, sistemas de geren-
ciamento de banco de dados, equipamentos de redes e mdias
alm do prprio ambiente que suporta a infraestrutura. esta
infraestrutura tecnolgica que permite o processamento pelas
aplicaes. As pessoas so necessrias para planejar, organi-
zar, adquirir, implementar, entregar, dar suporte, monitorar e avaliar as
aplicaes e a tecnologia utilizadas para oferecer os servios. Os recursos
humanos podem ser internos, terceirizados ou contratados sob demanda.
Assim, repetindo, os recursos da TI segundo o COBIT

so:
Aplicaes.
Informao.
Infraestrutura.
Pessoas.
Critrios de informao
Uma das caractersticas mais curiosas do COBIT

sua abordagem
baseada na informao e nos chamados critrios de informao. Voc
deve estar se perguntando o que seriam (ou quais seriam) esses critrios.
Bem, para satisfazer os objetivos de negcio, a informao precisa ser
adequada a certos critrios de controle, aos quais o COBIT

se refere
como requisitos de negcio para a informao. Com base em losoas
e em reas distintas como a qualidade, a segurana da informao e a
rea nanceira, foram denidos sete critrios. So eles:
Figura 8.4: Informao globalizada.
CE C I E R J E X T E N S O E M G O V E R N A N A 205
A
U
L
A

8
Eccia
A eccia lida com a relevncia e a pertinncia da informao,
ou seja, garante que a informao processada de fato aquela
que precisa ser processada para manter o negcio.
Ecincia
A ecincia diz respeito otimizao na utilizao de recursos
para processar a informao, ou seja, garante que a informao
seja processada em menos tempo, com menos pessoas etc.
Condencialidade
Garantia de que a informao sensvel ser protegida contra
acessos no autorizados.
Integridade
Garantia de que a informao fornecida ser exata e completa.
Disponibilidade
Garantia de que a informao necessria estar disponvel no
momento em que ela for necessria.
Conformidade
Garante que a informao atenda aos objetivos da legislao
pertinente e aos arranjos contratuais. A conformidade trata de
fatores externos, tais como normas, regulamentos e leis do setor,
externos e internos, tais como contratos e outros arranjos esta-
belecidos com clientes, fornecedores e parceiros.
Conabilidade
Garante que a informao necessria ser gerada de maneira
apropriada para que os responsveis pelo negcio possam desem-
penhar o seu papel e cumprir as suas responsabilidades.
206 Governana: Gesto, Auditoria e Tecnologia da Informao
Governana em Tecnologia da Informao | Introduo ao COBIT

v4.1 Parte 1
reas de processos e indicadores
Uma dvida que voc pode estar guardando at agora : O que
vem a ser exatamente uma rea de processo? fato que a estrutura
do COBIT

toda orientada a processos. Tudo nele foi escrito com

base nos processos, assim como denimos nas primeiras aulas.
Chamamos de reas de processo e no processos simples-
mente, porque o COBIT

no contm a descrio de nenhum

processo a exemplo do que acontece na ITIL

. Em cada rea so
descritas informaes diversas, tais como a sua relevncia segundo
as reas foco da Governana em TI (que sero estudadas ainda
nesta aula), um resumo das metas de TI, das metas de processo e
1. Qual dos itens abaixo no um tipo de recurso de TI segundo o COBIT

?
a. ( ) Aplicaes.
b. ( ) Informao.
c. ( ) Relatrios.
d. ( ) Pessoas.
2. So critrios de informao no COBIT

?
a. ( ) Ecincia e autorizao.
b. ( ) Continuidade e disponibilidade.
c. ( ) Integridade e quantidade.
d. ( ) Disponibilidade e conabilidade.
3. Complete as lacunas:
O atendimento conformidade regulatria pode ser uma exigncia externa, tal como
uma ____________________ ou um ____________________ do setor ou uma exigncia
interna, tal como um ____________________ estabelecido com um ____________________,
____________________ ou ____________________.
Respostas
1. Letra c. Os tipos de informao so as aplicaes, a informao, a infra-estrutura
tecnologia e as pessoas.
2. Letra d. So sete os critrios: ecincia e a eccia; condencialidade, integri-
dade e disponibilidade; conabilidade e conformidade regulatria.
3. O atendimento conformidade regulatria pode ser uma exigncia externa, tal
como uma lei ou um regulamento do setor ou uma exigncia interna, tal como um
contrato estabelecido com um terceiro, parceiro ou cliente.
Atividade 2
1
Figura 8. 5: Indicadores de desempenho.
CE C I E R J E X T E N S O E M G O V E R N A N A 207
A
U
L
A

8
das atividades mais importantes, alm de um resumo das mtricas. Estu-
daremos em detalhes cada um destes itens em nossa prxima aula.
Note que as reas de processo possuem objetivos de controle bem
denidos no COBIT

. So um total de 34 reas de processo e 210 objeti-

vos de controle divididos entre essas reas. Cada um desses objetivos de
controle identicado por duas letras que se referem ao domnio (PO,
AI, DS e ME) e dois nmeros separados por um ponto. Por exemplo, o
objetivo de controle PO1.2 o objetivo nmero dois da rea nmero
um do domnio de planejamento e organizao. A propsito, trata-se do
objetivo gerenciamento de valor da TI (IT value management) da rea
denir um plano estratgico da TI (Dene a strategic IT plan) do dom-
nio PO (Plan and organise). Assim como o PO1.2, existem no COBIT

outros 210 objetivos de controle. Voc acha que muita informao?
De fato talvez seja, mas como ele foi construdo para servir de material
de consulta no dia a dia e tambm para ser amigvel, o COBIT

cumpre
um papel importantssimo na Governana.
Falaremos mais sobre cada uma das reas de processo nas prximas
aulas. Por hora, precisamos ressaltar que, alm dos objetivos de controle
considerados especcos, o COBIT
'
tambm possui objetivos genricos,
ou seja, aqueles objetivos que devem ser atendidos por todos os 210 pro-
cessos de todas as 34 reas de todos os quatro domnios (que tranquilo,
pois ainda iremos estud-los nessa aula).
Os objetivos de controle genricos so identicados por PCn
(Process Control number). So seis os objetivos de controle genricos
de todos os processos, a saber:
PC1 Objetivos e metas de processo.
PC2 Propriedade do processo.
PC3 Repetitividade do processo.
PC4 Papis e responsabilidades.
PC5 Poltica, planos e procedimentos.
PC6 Melhoria de desempenho do processo.
208 Governana: Gesto, Auditoria e Tecnologia da Informao
Governana em Tecnologia da Informao | Introduo ao COBIT

v4.1 Parte 1
Perceba que isso algo muito parecido com o que j havamos
visto no caso da ITIL

. Ora, parecido justamente porque esses modelos

de boas prticas, controles, normas etc. so sempre revisados para serem,
at certo ponto, compatveis uns com os outros. Ento, o que os objetivos
de controle genrico esto querendo dizer que todo processo precisa ter
metas e objetivos; precisa ter um responsvel por ele; precisa ter bem de-
nidos os seus papis e as suas responsabilidades; precisa ser adequadamente
documentado e detalhado na forma de polticas, planos e procedimentos;
precisa possuir mtricas para que tenha seu desempenho medido e para
que possa melhorar continuamente; e precisa ser repetitvel.
Opa! O que signica repetitvel? Esse realmente um termo
novo no contexto das nossas aulas (mas no nem um pouco novo no
contexto de boas prticas). Essa terminologia j vem sendo adotada
principalmente na rea da qualidade. Um processo repetitvel quando
ele pode ser repetido (bvio) para produzir os mesmos resultados, ou
seja, quando um processo pode ser repetido 1.000 vezes e, sob as mes-
mas condies, produz o mesmo resultado 1.000 vezes. Outro termo
s vezes mencionado a reprodutividade. Diz respeito ao fato de que
o processo pode ser repetido por 1.000 pessoas diferentes e produzir o
mesmo resultado sempre. O COBIT

utiliza o termo repetitividade para

ambos os casos.
O.K. E quanto melhoria contnua? Ora, j sabemos a essa altura
que o processo precisa ser medido e j vimos que as medies acontecem
de acordo com os indicadores de desempenho. O COBIT

traz um novo
tipo de indicador, que o indicador de meta COBIT
.
Alm disso, ele
tambm descreve os fatores crticos de sucesso. Os principais indicadores
do COBIT

so:
Indicadores-chave de meta
Os indicadores de meta medem o nvel de desempenho do
processo no que diz respeito ao alcance de uma meta de mais
alto nvel (metas de negcio referentes estratgia). Em ingls
os indicadores de meta so conhecidos como KGIs (Key Goal
Indicators).
Indicadores-chave de desempenho
Os indicadores de desempenho possuem o mesmo signicado
que possuam na ITIL

. Eles determinam mtricas para mensurar

CE C I E R J E X T E N S O E M G O V E R N A N A 209
A
U
L
A

8
at que ponto o processo est atingindo os objetivos ttico-
operacionais inicialmente denidos (metas de processo referen-
tes operao). Em ingls, voc deve lembrar, os indicadores
de desempenho so conhecidos com KPIs (Key Performance
Indicators).
Fatores crticos de sucesso
Os fatores crticos de sucesso (Critical Success Factors) dizem
respeito a algo sem o qual os processos no podero ser nem ecientes
nem ecazes. Como a prpria expresso indica, so fatores crticos e,
para eles, no existe meio termo. Ou so cumpridos ou o fracasso ser
rpido e certo!
importante que voc entenda a diferena entre os indicadores
de meta e os indicadores de desempenho. Lembra-se da ideia de que um
processo pode ser muito eciente sem ser ecaz e vice-versa? mais ou
menos por a...
Vamos analisar um exemplo concreto. Imagine um processo que
tenha como meta (de processo) a deteco, anlise e gerenciamento dos
acessos aos sistemas de TI. Por trs dessa meta podem existir metas de alto
nvel bem claras, como evitar ataques de hackers (meta de TI) e manter
a reputao da empresa perante aos seus clientes (meta de negcio).
Pois bem, imagine ainda que esse processo est indo muito bem
no que diz respeito deteco, anlise e gerenciamento dos acessos.
Nesse caso, podemos dizer que o processo est atingindo os seus obje-
tivos? A resposta : depende... E esse o ponto! A empresa pode no
estar gozando de uma boa reputao perante os clientes por conta de
produtos de m qualidade que foram vendidos ou os hackers em questo
podem estar invadindo a empresa usando tcnicas de engenharia social,
por exemplo. Tudo isso a despeito do fato de que os acessos esto todos
sendo monitorados perfeitamente.
Entendeu agora porque os processos precisam de dois tipos de
indicadores? Os indicadores de desempenho esto ligados aos objetivos
operacionais que o processo visa a atingir (no caso acima, monitorar
todos os acessos). J os indicadores de meta esto ligados aos objetivos
estratgicos que, atravs do processo, a empresa visa a atingir (no caso
acima, preservar a imagem e impedir ataques de hackers). Os indicadores
ajudaro a empresa a se manter sempre na direo correta.
210 Governana: Gesto, Auditoria e Tecnologia da Informao
Governana em Tecnologia da Informao | Introduo ao COBIT

v4.1 Parte 1
1. O que mede o indicador-chave de meta?
a. ( ) Nveis de maturidade.
b. ( ) Desempenho dos processos.
c. ( ) Grau de controle.
d. ( ) Alcance de objetivos.
2. O que mede o indicador-chave de desempenho?
a. ( ) Nveis de maturidade.
b. ( ) Desempenho dos processos.
c. ( ) Grau de controle.
d. ( ) Alcance de objetivos.
Respostas
1. Letra d. O indicador de meta est relacionado eccia do processo, ou seja,
aos objetivos nais que precisam ser alcanados atravs do processo.
2. Letra b. O indicador de desempenho est relacionado ecincia do processo,
ou seja, ao desempenho obtido ao executar suas atividades.
Atividade 3
1
Com relao aos fatores crticos, devemos ressaltar que eles so
denidos atravs do estudo dos objetivos da organizao e deles so
derivados. Quando bem denidos, eles se tornam um ponto de refern-
cia para tudo o que h na organizao. Ou seja, qualquer coisa pode
acontecer, menos deixar de cumprir aquilo que um fator crtico de
sucesso. Algumas empresas denem seus fatores crticos com base na
sua misso, viso e valores.
DOMNIOS DO COBIT

A maior parte do contedo do COBIT

v4.1 composta pela des-

crio de 210 objetivos de controle divididos em 34 reas de processo.
Essas 34 reas so, por sua vez, divididas em domnios que, de certa
forma, tambm obedecem mesma losoa da melhoria contnua.
Note que a TI dever perseguir a melhoria contnua de cada um
dos 210 processos. Por outro lado, a melhoria de todos os processos den-
tro de um domnio (PO, AI, DS ou ME), tambm signicar um esforo
CE C I E R J E X T E N S O E M G O V E R N A N A 211
A
U
L
A

8
maior de melhoria contnua. Observe que, nesse caso, a ideia da melhoria
contnua est presente de maneira recursiva e sistmica e que, no fundo,
temos mais uma vez presente a losoa do famoso ciclo PDCA.
METAS E OBJETIVOS DE NEGCIO
INFORMAO
ME
DS
PO
AI
Figura 8.6: Ciclo de processos segundo os domnios do COBIT

.
Planejar e organizar (PO)
O domnio de planejamento e organizao (PO Plan and orga-
nise) cobre as estratgias e tticas da empresa e lida com questes sobre
como a TI pode contribuir melhor para atingir as metas de negcio.
A realizao da viso estratgica precisa ser planejada, comunicada e
gerenciada sob diferentes perspectivas. Segundo o COBIT

, os processos
do domnio PO lidam diretamente com questes como:
A TI e a estratgia do negcio esto alinhadas?
A empresa est atingindo um timo uso de seus recursos?
Todos na empresa entendem as metas e objetivos da TI?
Os riscos para a TI so entendidos e gerenciados?
A qualidade dos sistemas de TI adequada s necessida-
des de negcio?
Ecincia,
Efetividade,
Conformidade
regulatria e
Conabilidade
Integridade,
Disponibilida-
de e Conden-
cialidade
Planejar e organizar
Monitorar e avaliar
Adquirir e implementar Entregar e dar suporte
212 Governana: Gesto, Auditoria e Tecnologia da Informao
Governana em Tecnologia da Informao | Introduo ao COBIT

v4.1 Parte 1
Adquirir e implementar (AI)
Para realizar as estratgias de TI, as solues de TI precisam ser
identicadas, desenvolvidas (ou adquiridas) e colocadas em produo.
Alm disso, para atingir o mesmo objetivo, mudanas e manutenes
precisam ser realizadas de forma planejada. Segundo o COBIT

, so
os processos do domnio de aquisio e implementao (AI Acquire
and implement), que lidam com estes itens. Estes processos respondem
a questes como:
Os novos projetos so selecionados de forma a entregar
produtos e servios que satisfaam s metas de negcio?
Os novos projetos so selecionados de forma a entregar
produtos e servios no tempo acordado e dentro do
oramento?
Os novos produtos e servios, quando em produo,
atendero s funcionalidades inicialmente previstas pelo
usurio?
As mudanas no ambiente produo sero feitas sem
impactos nos negcios em andamento?
Entregar e dar suporte (DS)
O domnio de entregar e dar suporte (DS Deliver and support) lida
com a real efetivao dos servios. Isso inclui a entrega, o gerenciamento
da segurana e da continuidade, o suporte ao usurio, o gerenciamento de
dados e outras facilidades operacionais. Segundo o COBIT

, os processos
do domnio DS lidam diretamente com questes como:
Os servios de TI esto sendo entregues de acordo com
as prioridades do negcio?
Os custos da TI esto sendo otimizados?
A fora de trabalho capaz de usar os sistemas de TI de
forma segura e produtiva?
So garantidos os princpios de segurana da informao,
tais como a condencialidade, a integridade e a dispo-
nibilidade?
CE C I E R J E X T E N S O E M G O V E R N A N A 213
A
U
L
A

8
Monitorar e avaliar (ME)
Todos os processos de TI precisam ser avaliados regularmente
segundo critrios de qualidade e conformidade regulatria. Os processos
do domnio de monitoramente e avaliao (ME Monitor and evaluate)
possuem atividades de gerenciamento do desempenho, monitoramento
do controle interno, conformidade regulatria e Governana em TI.
Segundo o COBIT

, os processos desse domnio lidam diretamente com

questes como:
O desempenho da TI medido para detector problemas
antes que seja tarde demais?
O gerenciamento assegura que os controles internos so
ecientes e ecazes?
Os resultados da TI podem ser mapeados em metas de
negcio?
Existem controles adequados segurana da informao
com relao a condencialidade, integridade e disponi-
bilidade?
Os domnios do COBIT

so apresentados na forma de um ciclo que se assemelha

ao ciclo PDCA. Que paralelo pode ser feito entre os quatro domnios e o ciclo?
Resposta
Embora parea muito bvio, deve-se atentar para o fato de que relacionamento no
do tipo um-para-um simplesmente. O domnio PO possui processos cujas ativi-
dades tm mais a ver com o P (Plan) do PDCA. J os domnios AI e DS esto mais
relacionados ao D (Do) do ciclo PDCA. O ME tem a ver tanto com o C (Check),
Atividade 4
2
214 Governana: Gesto, Auditoria e Tecnologia da Informao
Governana em Tecnologia da Informao | Introduo ao COBIT

v4.1 Parte 1
quanto com o A (Act). Vale ressaltar que o A (Act) acontece propriamente
no momento em que as informaes de negcio orientam a empresa a tomar
decises sobre quais metas de negcio so as mais adequadas. Ou seja, no
momento em que a informao orientar os requisitos de negcio que, por sua
vez, direcionaro investimentos em recursos de TI, que sero utilizados pelos
processos de TI. E o ciclo recomea.
CONCLUSO
No incio dessa aula dissemos que a evoluo do COBIT

acon-
teceu ao longo dos anos de modo a deixar para trs o modelo basea-
do no controle e auditoria para passar a ser um modelo baseado em
Governana. Mas o controle no necessrio? Claro que . No s
necessrio como o COBIT

estudado como um conjunto de controles

para a rea de TI. Mas qual o mistrio anal? O COBIT

ou no
um conjunto de controles?
A diferena sutil mais uma vez. Sutil, porm extremamente
importante. O fato que o COBIT

, principalmente da verso 4 em dian-

te, passou a ter controles denidos e orientados pelas metas e objetivos
de negcio. Percebeu agora a diferena? A TI continua sendo controlada
e auditada, porm, o controle parte de objetivos diretamente ligados s
metas da organizao. Essa a chave do alinhamento estratgico e a
principal ideia dessa aula.
Esperamos que voc tenha entendido que o COBIT

um docu-
mento mais voltado para o negcio cujo contedo foi escrito para ser
interpretado por pessoas com pers diferenciados, principalmente da
rea executiva, que tm como misso garantir o alinhamento das metas
da TI com as metas de negcio.
CE C I E R J E X T E N S O E M G O V E R N A N A 215
A
U
L
A

8
Vamos discutir os assuntos desta aula no frum desta semana?
Ttulo: COBIT

versus Governana em TI: Quanto ele importante?

Objetivo: Se voc ainda tem dvidas sobre como concretizar a Gover-
nana de TI na sua empresa, saiba que voc no deve estar sozinho.
Esse tipo de sentimento muito comum e praticamente todas as
organizaes encontram diculdades na hora de colocar em prtica a
teoria apresentada no COBIT

. Os comentrios so sempre parecidos:

A teoria relativamente simples, mas a prtica nem tanto. Pois bem,
nesse frum vamos trocar ideias e discutir a prtica da Governana
nas empresas!
Como as empresas tm implementado a Governana em TI? V sala de aula vir-
tual e resolva a atividade proposta pelo tutor. O objetivo da atividade , atravs de
pesquisa e consulta bibliograa, estudar alguns casos reais de projetos de Governana.
Atividade online
2 1
O COBIT

pode ser visto como um modelo com objetivos de controle para

a TI voltados para o alinhamento estratgico e Governana.
Os princpios da Governana herdados do COSO pelo COBIT so a
responsabilidade, a prestao de contas e a transparncia.
Os recursos da TI so classicados no COBIT

como aplicaes, informao,

infraestrutura tecnolgica e pessoas.
Os critrios de informao so a ecincia, a eccia, a condencialidade,
a integridade, a disponibilidade, a conabilidade e a conformidade
regulatria.
O COBIT

possui um conjunto de 210 objetivos de controle divididos em

34 reas de processo.
As 34 reas de processo do COBIT

so agrupadas em quatro domnios

que representam um ciclo semelhante ao ciclo PDCA.
R E S UMO
216 Governana: Gesto, Auditoria e Tecnologia da Informao
Governana em Tecnologia da Informao | Introduo ao COBIT

v4.1 Parte 1
Na prxima aula vamos nos aprofundar ainda mais nos estudos do COBIT

.
Nesta aula vamos explicar o conceito de maturidade em reas de processo,
falar das reas foco da Governana em TI segundo o COBIT

e discutir a sua
viso integrada, ou seja, como todos os conceitos que acabamos de estudar
aqui, e outros que estudaremos, se integram na prtica. Tambm falaremos
a respeito de outras publicaes complementares ao COBIT

v4.1.
Ns nos veremos na prxima aula! At breve.
Informaes sobre a prxima aula
1. A melhor definio para o COBIT

seria:
a. um conjunto de boas prticas para a TI que contm 34 objetivos de
controle divididos em 04 domnios.
b. um conjunto de controles para a TI que contm 210 objetivos de controle
divididos em 34 domnios.
c. um conjunto de boas prticas para a TI que contm 34 objetivos de controle
divididos em 04 reas de processo.
d. um conjunto de controles para a TI que contm 210 objetivos de controle
divididos em 34 reas de processo.
Atividades Finais
Requisitos de negcio direcionam investimento em recursos de TI.
Recursos de TI so utilizados por processo de TI. Processos de TI entregam
informao que atendem aos critrios de informao. A informao
utilizada para gerar requisitos de negcio.
CE C I E R J E X T E N S O E M G O V E R N A N A 217
A
U
L
A

8
2. Como o COBIT

pode ser usado em uma empresa em conjunto com outros

padres e boas prticas tais como a ITIL

v.3 e a ISO 27000?

a. Para melhorar o entendimento desses padres.
b. Como um guia para a escolha ou no destes modelos.
c. Para validar a correo de cada modelo.
d.. Como uma segunda viso sobre os mesmos assuntos.
3. O COBIT

v.4.1 promove um elo entre:

a. Expectativas dos gestores e responsabilidades da TI.
b. Expectativas de auditores e responsabilidade dos gestores.
c.. Expectativas do pessoal de TI e responsabilidades dos auditores.
d. Expectativas do pessoal de TI e responsabilidade dos gestores.
4. (Analista do MPE-SE FCC/2009) A correta correspondncia entre uma dimenso do
modelo COBIT (cubo) e um de seus elementos dimensionais, respectivamente,
a. Information Criteria e Fiduciary.
b. IT Process e Quality.
c. IT Process e People.
d. IT Resources e Fiduciary.
e. Information Criteria e Process.
5. Explique o que so os domnios, os objetivos de controle e as reas de processo
do COBIT

v.4.1.
6. Analise a afirmao: Fatores crticos de sucesso so mais adequados para auxiliar
na implantao de controles gerenciais da TI durante mudanas organizacionais do
que os indicadores de meta.
218 Governana: Gesto, Auditoria e Tecnologia da Informao
Governana em Tecnologia da Informao | Introduo ao COBIT

v4.1 Parte 1
7. (Analista Judicirio do TRT-15 FCC/2009) NO um domnio de governana
no framework do COBIT:
a. monitorao.
b. requisitos e processos.
c. aquisio e implementao.
d. planejamento e organizao.
e. entrega e suporte.
8. (Analista rea 2 BACEN FCC/2006) Com relao ao framework de auditoria
de tecnologia da informao COBIT, a definio correta dos Key Performance
Indicators :
a. So aqueles que definem as medies que dizem gerncia se atingiram
ou no seu objetivo final acordado com as reas de negcio.
b. So aqueles que definem as questes ou aes mais importantes que a
gerncia deve controlar sob os pontos de vista estratgico, tcnico, organi-
zacional ou procedural.
c. So aqueles que consistem no desenvolvimento de um mtodo de pontuao
em que a organizao pode proceder auto-avaliao.
d. So aqueles que definem medies que determinam quo bem os processos
de tecnologia da informao esto desempenhando seu papel em alcanar
os objetivos propostos.
e. So aqueles que definem as mudanas necessrias ao desempenho dos pro-
cessos de negcio, aps serem constatadas falhas que levaram a problemas
nestes processos.
9. (Unio ESAF/2008) Com relao padronizao, medio e controle de processos,
correto afirmar que uma organizao deve
a. medir o conjunto de prticas, procedimentos e polticas organizacionais, garan-
tindo que os objetivos do negcio sejam atingidos.
b. medir os processos com nvel de maturidade mais baixos para definir a estra-
tgia da organizao.
c. implementar indicadores de desempenho visando medies que informam
alta administrao o quanto os processos esto sendo bem executados, no
sentido de viabilizar o atendimento dos objetivos de negcios.
d. medir a diagonal principal da matriz de responsabilidades, com o objetivo de
associar os papis s suas responsabilidades.
e. ignorar sua situao atual e identificar pontos onde possvel a implantao
de uma melhoria.
CE C I E R J E X T E N S O E M G O V E R N A N A 219
A
U
L
A

8
Repostas
1. Alternativa d. O COBIT

contm 210 objetivos de controle divididos em 34

reas de processo. As 34 reas de processo so divididas em 04 domnios.
2. Alternativa b. O COBIT

abrange todas as reas que os outros modelos abor-

dam. Ele servir como um guia mais estratgico a ser utilizado pelos gestores do
negcio a fim de definir onde e por que a TI deve melhorar. Uma vez que essa
deciso tenha sido tomada, podero entrar em cena (ou no) outros padres,
normas e boas prticas.
3. Alternativa a. As expectativas dos gestores da empresa so o reflexo dos requisi-
tos de negcio. O gerenciamento dos processos de TI responsabilidade da TI que
deve ser cumprida para que as expectativas da alta direo sejam atendidas.
4. Alternativa a. Examinar o cubo do COBIT

e lembrar que os critrios de infor-

mao foram baseados em trs reas: qualidade (quality), financeira (fiduciary)
e segurana (security).
5. Os domnios so agrupamentos das reas de processo de acordo com as
similaridades de seus objetivos. Na verso 4.1 do COBIT

, eles so quatro (PO, AI,

DS e ME) e normalmente so representados segundo um ciclo que se assemelha
muito ao ciclo PDCA. As reas de processo da TI so reas para as quais devem
existir processos bem definidos. So 34 reas divididas nos quatro domnios que
abordam (ou pretendem abordar) todos os aspectos da TI. Os objetivos de controle
representam as metas a serem alcanadas pelos processos de cada rea. Na verso
4.1 h 210 objetivos de controle divididos nas 34 reas de processo.
6. Afirmao falsa. Fatores crticos de sucesso so itens que devem ser atendidos para
que as mudanas citadas possam ocorrer (condio sine qua non). Os indicadores
de meta so mais adequados quando se quer mensurar resultados da execuo de
processo. E o que se quer no proposto (implantao de controles gerenciais).
7. Alternativa b. So 04 domnios do COBIT

e requisitos e processos no um
deles.
8. Alternativa d. Decorre diretamente da definio de indicador-chave de desem-
penho.
9. Alternativa c. So os indicadores-chave os responsveis por tornar efetiva a
padronizao, medio e controle de processos.