Avaliação A3 Documento Técnico Governança e Serviços de TI

Análise Comparativa e
Complementaridade dos
Frameworks de TI

Implementação integrada do COBIT 2019, ITIL 4 e ISO/IEC 38500 nas organizações — como os três operam em camadas complementares para construir uma governança de ponta a ponta.

Integrantes 6 membros
Professor Leandro Pereira
Curso Sistemas de Informação
Semestre 5º · 2026/1
Seção 01

Introdução e Contextualização

Anos 60–80

Era do CPD

TI como caixa-preta. Mainframes centralizados, controles rígidos, distância total do negócio.

Anos 80–90

Descentralização

PCs disseminam TI, criam ilhas de automação, custos ocultos e riscos sem controle.

Anos 90–hoje

TI Estratégica

Internet torna sistemas mission-critical. ERPs integram o negócio. Governança se torna essencial.

A trajetória da Tecnologia da Informação atravessou três fases que moldaram a necessidade contemporânea de governança. Na era do Centro de Processamento de Dados (CPD), entre os anos 1960 e 1980, a TI era percebida como custo operacional — uma caixa-preta afastada das decisões estratégicas. A disseminação dos computadores pessoais nos anos 1980–90 descentralizou recursos, mas criou "ilhas de automação" sem padronização, dados duplicados e riscos de segurança crescentes (MOLINARO; RAMOS, 2011).

O catalisador regulatório foi o escândalo da Enron em 2001. Fraudes contábeis realizadas via manipulação de sistemas de TI expuseram a ausência sistemática de controles internos. A Lei Sarbanes-Oxley (SOX) de 2002 obrigou empresas com ações na bolsa norte-americana a demonstrar Controles Gerais de TI auditáveis — desde gestão de acesso até rastreabilidade de mudanças em sistemas financeiros.

O Problema Central

O gap estratégico que os três frameworks resolvem

Como garantir que a TI, em todos os seus níveis organizacionais, opere de forma alinhada, controlada e orientada à criação de valor? A ISO/IEC 38500 responde no nível do conselho diretivo; o COBIT 2019 no nível tático de governança e gestão; e o ITIL 4 no nível operacional de execução de serviços.

Objetivo Geral

Analisar a complementaridade entre COBIT 2019, ITIL 4 e ISO/IEC 38500:2015, demonstrando que a robustez de um sistema de governança advém da integração coerente dos três em camadas organizacionais distintas.

Metodologia

Abordagem exploratório-descritiva de cunho bibliográfico e qualitativo. Fontes: manuais oficiais da ISACA, AXELOS e norma ISO/IEC 38500:2015, complementados por Fernandes e Abreu (2014), Molinaro e Ramos (2011) e Freitas (2013).

Seção 02

Referencial Teórico Comum

Governança de TI

Avaliar · Dirigir · Monitorar

Responsabilidade do corpo diretivo — conselho e alta diretoria. Estabelece o rumo, define prioridades e monitora conformidade. Não executa.

Gestão de TI

Planejar · Construir · Executar · Monitorar

Responsabilidade dos executivos — CIO, gestores e equipes técnicas. Operacionaliza as diretrizes da governança.

⚠ Erro Comum

Confundir governança com gestão gera comitês que micro-gerenciam operações ou equipes que tomam decisões estratégicas sem mandato. O COBIT 2019 é o único framework que formaliza essa separação com precisão.

Os 5 Pilares da Governança de TI

01

Alinhamento Estratégico

Iniciativas de TI conectadas aos objetivos do negócio. Sem alinhamento, a TI é custo; com ele, é vantagem competitiva.

02

Entrega de Valor

Garantir que os investimentos em TI entreguem os benefícios esperados com foco em resultados tangíveis.

03

Gerenciamento de Riscos

Estrutura de identificação, análise e tratamento dos riscos tecnológicos, regulatórios e de continuidade.

04

Gestão de Recursos

Otimização de pessoas, orçamento, infraestrutura e informação para que estejam onde o negócio precisa.

05

Medição de Desempenho

KPIs e métricas que reportam a performance à diretoria e permitem avaliar se as metas estão sendo alcançadas.

Core Framework — COBIT 2019 Seção 03

COBIT 2019 · ISACA

3.1 Evolução Histórica

96
COBIT 1 — 1996
Auditoria Financeira
4 domínios. Foco em controles para auditores. TI era "caixa-preta".
00
COBIT 3 — 2000
Gestão de TI
Introduz métricas de gerenciamento e modelo de maturidade (influência CMMI).
07
COBIT 4.1 — 2007
34 Processos de TI
Framework mais popular de gestão. Forte foco em alinhamento TI-negócio.
12
COBIT 5 — 2012
Governança Corporativa de TI (GEIT)
Maior revolução: responsabilidade da TI passa a ser do conselho. Integra ITIL, ISOs, TOGAF.
19
COBIT 2019 — Versão Atual
Flexibilidade e Customização
Fatores de Desenho, separação princípios sistema/framework, 40 objetivos atualizados.

3.2 Os 6 Princípios do Sistema de Governança

01
Fornecer Valor às Partes Interessadas
Equilíbrio triplo: realização de benefícios, otimização de riscos e otimização de recursos. Acionistas, clientes, reguladores e colaboradores são os stakeholders.
02
Abordagem Holística
Sete componentes interdependentes: princípios e políticas; processos; estruturas organizacionais; cultura e comportamento; informação; serviços e aplicações; pessoas e competências.
03
Sistema Dinâmico
O sistema de governança deve ser reavaliado sempre que Fatores de Desenho mudam — nova estratégia, nova regulamentação, novas tecnologias (IA, Cloud, DevOps).
04
Governança Distinta da Gestão
O corpo diretivo governa (EDM); a gerência executiva gere (APO, BAI, DSS, MEA). Única formalização explícita dessa separação entre todos os frameworks de mercado.
05
Adaptado às Necessidades da Empresa
Não existe "COBIT de prateleira". Os 11 Fatores de Desenho calibram quais objetivos são prioritários para o perfil de risco, tamanho e estratégia de cada organização.
06
Sistema de Ponta a Ponta (End-to-End)
A responsabilidade sobre o valor e o risco da tecnologia não é exclusiva do CIO — é de toda a liderança executiva. TI é parte integrante do negócio.

3.3 Cascata de Objetivos

O mecanismo que traduz necessidades abstratas dos stakeholders em processos operacionais concretos de TI, criando linha de visibilidade direta do board ao analista.

Necessidade do Stakeholder
Acionistas exigem crescimento sustentável da receita
Meta Corporativa — Enterprise Goal
EG01 — Portfólio de Produtos e Serviços Competitivos
Meta de Alinhamento — Alignment Goal
AG05 — Entrega de serviços de TI de acordo com os requisitos do negócio
Objetivo de Gestão COBIT
APO09 — Gerenciar Acordos de Nível de Serviço (SLAs)

3.4 Os 5 Domínios e os 40 Objetivos de Controle

EDM
Avaliar, Dirigir e Monitorar
5
objetivos
Governança
APO
Alinhar, Planejar e Organizar
14
objetivos
Plan
BAI
Construir, Adquirir e Implementar
11
objetivos
Do
DSS
Entregar, Servir e Suportar
6
objetivos
Do / Run
MEA
Monitorar, Avaliar e Analisar
4
objetivos
Check & Act
COBIT como Framework Integrador

O COBIT se posiciona como "guarda-chuva" intencional — não entra no detalhe operacional. O Princípio 3 do Framework — "Alinhado aos Principais Padrões" — formaliza a integração com ITIL, ISO 27001, TOGAF e outros. O COBIT define o quê controlar; os frameworks especialistas definem o como executar.

Core Framework — ITIL 4 Seção 04

ITIL 4 · AXELOS

O ITIL nasceu nos anos 1980 como iniciativa do governo britânico (CCTA) para padronizar práticas de TI. O ITIL 4 (2019) representou uma mudança de paradigma: abandono da visão de "entrega de serviços" em favor da co-criação de valor. O valor não é algo que a TI entrega — é algo que provedores e consumidores criam juntos. O ITIL 4 incorporou formalmente conceitos de Agile, DevOps e Lean (AXELOS, 2019).

4.2 As 4 Dimensões da Gestão de Serviços

Dimensão 1

Organizações e Pessoas

Cultura organizacional, papéis, responsabilidades e competências. Uma equipe tecnicamente excelente com cultura de silos entrega serviços abaixo do potencial.

Dimensão 2

Informação e Tecnologia

Dados gerenciados (base de conhecimento, CMDB) e tecnologias de suporte (ferramentas ITSM, plataformas de nuvem, sistemas de monitoramento).

Dimensão 3

Parceiros e Fornecedores

Ecossistema de organizações que contribuem para a entrega dos serviços. Gestão inadequada de fornecedores pode comprometer SLAs e continuidade operacional.

Dimensão 4

Fluxos de Valor e Processos

Como as partes da organização trabalham de forma integrada. Um fluxo de valor é a série de etapas que transforma uma demanda em valor entregue ao consumidor.

4.3 Os 7 Princípios Orientadores

P1
Focar no Valor
Tudo que a organização faz deve gerar valor para clientes e partes interessadas. "Como isso cria valor?" deve ser a primeira pergunta de qualquer iniciativa.
P2
Começar Onde Você Está
Não parta do zero sem avaliar o que já existe. Processos, ferramentas e relatórios existentes são ativos — eliminá-los sem critério é desperdício.
P3
Progredir Iterativamente com Feedback
Divida grandes iniciativas em iterações menores. Entregue valor mais cedo e colete feedback a cada ciclo. Reflexo direto da influência do Agile e Lean.
P4
Colaborar e Promover a Visibilidade
Quebre os silos. O trabalho deve ser visível para todas as partes. Colaboração requer confiança, e confiança requer visibilidade.
P5
Pensar e Trabalhar Holisticamente
Nenhuma parte funciona isoladamente. Otimizar uma parte sem considerar o impacto no todo pode gerar resultados piores do que o estado anterior.
P6
Manter a Simplicidade e a Praticidade
Use o número mínimo de etapas para atingir um objetivo. Pensamento Lean: se um processo tem dez aprovações, questione se todas são necessárias.
P7
Otimizar e Automatizar
Otimize o processo antes de automatizá-lo. A intervenção humana deve ocorrer apenas onde agrega valor real. Automatizar um processo ruim produz resultados ruins mais rapidamente.

4.4 O Sistema de Valor de Serviço (SVS)

O SVS descreve como todos os componentes de uma organização trabalham como sistema para co-criar valor. Entrada: Oportunidades e Demandas. Saída: Valor.

01
Cadeia de Valor de Serviço (SVC)
02
34 Práticas de Gerenciamento
03
7 Princípios Orientadores
04
Governança (EDM)
05
Melhoria Contínua
🔗 Conexão com COBIT

A presença explícita do componente "Governança" no núcleo do SVS é a ponte intencional de integração com o COBIT — sua definição é diretamente alinhada ao domínio EDM (Avaliar, Dirigir, Monitorar).

4.6 Práticas Essenciais

Central de Serviços (Service Desk)
Ponto de contato único entre usuários e TI. Recebe, registra, prioriza e encaminha todos os contatos — incidentes, requisições, dúvidas.
Gestão de Incidentes
Restaura a operação normal o mais rápido possível. Minimiza o impacto no negócio.
↔ DSS02 COBIT
Gestão de Problemas
Identifica e elimina causas raiz de incidentes recorrentes. Três modos: reativo, proativo e gerenciamento de erros conhecidos.
Controle de Mudanças
Garante que alterações em sistemas sejam avaliadas, aprovadas e implementadas de forma controlada, minimizando novas interrupções.
↔ BAI06 COBIT
Core Framework — ISO/IEC 38500 Seção 05

ISO/IEC 38500 · Board-Level

Design Intencional

A ISO/IEC 38500 é uma norma de princípios de alto nível, desprovida intencionalmente de processos operacionais, fluxogramas ou catálogos de controle. Seu público-alvo é o Conselho de Administração (board) e a Alta Diretoria — não o staff técnico. A ausência de processos não é limitação — é escolha de design deliberada.

5.2 Os 6 Princípios Orientadores

R
Responsabilidade (Responsibility)
Indivíduos e grupos entendem e aceitam suas responsabilidades no fornecimento e demanda de TI. Quem demanda responde pelo resultado; quem fornece responde pela qualidade.
S
Estratégia (Strategy)
A estratégia de negócio considera as capacidades atuais e futuras de TI. Os planos de TI satisfazem as necessidades da estratégia. A TI é parte constituinte da estratégia — não complemento.
A
Aquisição (Acquisition)
Aquisições de TI são feitas por razões válidas, com análise de custo-benefício adequada, balanceando riscos e benefícios no curto e no longo prazo. Transparência e accountability nas decisões.
D
Desempenho (Performance)
A TI apoia o propósito da organização, suportando-a para atingir objetivos e respondendo às necessidades presentes e futuras do negócio.
C
Conformidade (Conformance)
A TI cumpre todas as legislações e regulamentações aplicáveis. O board deve conhecer as obrigações regulatórias de TI — LGPD, SOX, PCI-DSS — e garantir estruturas para o cumprimento.
H
Comportamento Humano (Human Behavior)
Políticas e decisões de TI demonstram respeito pelo comportamento humano, incluindo necessidades atuais e emergentes de todas as pessoas no processo.

5.3 O Ciclo Avaliar → Dirigir → Monitorar (EDM)

E

Avaliar

Board avalia uso atual e futuro da TI, estratégias, propostas e riscos. Recebe relatórios gerenciais como insumo.

D

Dirigir

Board publica políticas e diretrizes que orientam a gestão executiva. Define o que é aceitável, prioritário e proibido — sem descer ao "como".

M

Monitorar

Board monitora o desempenho via KPIs reportados pela gestão. Verifica conformidade, performance e realização de benefícios.

🔗 Conexão com COBIT 2019

O domínio de governança do COBIT denomina-se EDM — Evaluate, Direct and Monitor — exatamente a mesma nomenclatura da ISO 38500. Não é coincidência: é decisão de design da ISACA para demonstrar alinhamento explícito. A diferença é de profundidade: a ISO define o modelo em princípios abstratos; o COBIT o operacionaliza em 5 objetivos de controle mensuráveis (EDM01 a EDM05).

Seção 06

Análise Comparativa e Matriz de Complementaridade

A comparação multidimensional é necessária para demonstrar que os três frameworks não competem entre si — atuam em camadas organizacionais distintas com propósitos complementares. Sete critérios cobrem as dimensões essenciais de diferenciação.

Critério ISO/IEC 38500:2015 COBIT 2019 (ISACA) ITIL 4 (AXELOS)
Foco Principal Governança corporativa de TI — o que esperar Governança e gestão via objetivos de controle Gerenciamento de serviços e co-criação de valor
Público-Alvo Conselho de Administração, CEO, Alta Diretoria CIO, auditores internos, gestores de TI Equipes de TI, service managers, analistas de suporte
Nível de Detalhe Baixo — apenas diretrizes e princípios Alto — 40 objetivos, práticas e KPIs Alto — 34 práticas, SVC com 6 atividades
Abordagem 6 princípios éticos e estratégicos Processos de controle auditáveis e mensuráveis Práticas orientadas a valor, iteração e feedback
Estrutura Ciclo EDM: Avaliar, Dirigir, Monitorar 5 domínios: EDM (5) + APO (14) + BAI (11) + DSS (6) + MEA (4) SVS + SVC (6 atividades) + 34 práticas de gerenciamento
Certificação Não possui certificação profissional ISACA: Foundation, Design, Implementation PeopleCert: Foundation, Managing Professional, Strategic Leader
Lacuna se Isolado Sem processos, métricas ou guias operacionais Não detalha execução de serviços no campo Sem elo estratégico com objetivos do board

6.3 Sobreposições e Lacunas Estruturais

Sobreposição Principal

DSS (COBIT) ↔ ITIL Operacional

O domínio DSS do COBIT e as práticas de Entrega e Suporte do ITIL convergem na gestão de operações de serviço, incidentes e continuidade. A diferença é de profundidade: COBIT define objetivos e indicadores; ITIL fornece o guia detalhado de execução.

Lacuna Crítica

ISO 38500 ↔ ITIL sem intermediário

Sem o COBIT como camada tática intermediária, não há mecanismo que traduza as diretrizes do conselho em objetivos de controle mensuráveis que orientem a operação. O gap entre princípios abstratos e práticas técnicas permanece sem ponte.

6.4 Cenários de Falha na Adoção Isolada

Apenas ITIL 4 Excelência operacional sem direção estratégica

A equipe de TI desenvolve excelência operacional. SLAs cumpridos, satisfação alta. Mas o CFO não tem indicadores que demonstrem retorno sobre investimento. O board não tem visibilidade sobre riscos. Quando a empresa precisa cortar custos, a TI é vulnerável por não conseguir demonstrar valor estratégico.

Apenas COBIT 2019 Controles perfeitos sem guia operacional

Auditorias impecáveis, dashboards de controle detalhados, objetivos formalmente definidos. Mas a equipe não sabe como tratar um incidente crítico fora do horário comercial — não há guia de escalada. Uma mudança sem procedimento formal causa quatro horas de interrupção. O COBIT definiu os objetivos; ninguém sabia como executá-los.

Apenas ISO 38500 Política excelente, nenhuma mudança concreta

O board aprova uma política robusta de governança baseada nos seis princípios. O documento é excelente. Mas não há processos, indicadores nem práticas. A política permanece no papel. As equipes continuam trabalhando como sempre. Governança existe no nível de princípios éticos, mas não se traduz em nenhuma mudança operacional.

Seção 07

Modelo de Integração Complementar

7.1 O Modelo de Camadas Organizacionais

ISO/IEC 38500

Camada Estratégico-Diretiva

O board define o porquê e o que esperar. Avalia, dirige e monitora. Não executa. Pergunta: "Que valor esperamos da TI e quais riscos aceitamos?"

Board · CEO
COBIT 2019

Camada Tático-Controladora

O CIO traduz em o que controlar e mensurar. A Cascata de Objetivos operacionaliza as metas corporativas em 40 objetivos de controle mensuráveis.

CIO · Auditores
ITIL 4

Camada Operacional-Executora

As equipes executam como fazer com eficiência. 34 práticas e a Cadeia de Valor de Serviço guiam a operação cotidiana dos serviços de TI.

Staff · Técnicos

7.2 Fluxos Dinâmicos de Conexão

Trilha A — Desempenho
ISO 38500
Princípio de Desempenho
Board exige que TI suporte e responda às necessidades organizacionais.
COBIT 2019
EDM02 — Garantir Realização de Benefícios
Comitê de TI define metas de entrega de valor e processos de controle relevantes.
ITIL 4
Gestão de Nível de Serviço
Equipe negocia, define e monitora SLAs que garantem valor entregue e medido.
Trilha B — Conformidade
ISO 38500
Princípio de Conformidade
Board determina que TI cumpra LGPD, SOX e regulamentações aplicáveis.
COBIT 2019
MEA03 — Gerenciar Conformidade Externa
Gestor de compliance mapeia requisitos regulatórios e define controles necessários.
ITIL 4
Controle de Mudanças · Gestão de Ativos
Equipes implementam logs de acesso, rastreabilidade e controles técnicos que sustentam a conformidade.

7.3 Cenário Prático — Software House em Florianópolis

Contexto

Software house de médio porte, 150 funcionários. Busca fechar contrato com banco internacional que exige práticas formais de governança de TI, conformidade com LGPD e processos de gestão de incidentes documentados.

Etapa 1 Conselho de Administração — ISO/IEC 38500

Com base nos Princípios de Conformidade e Estratégia da ISO 38500, o board aprova resolução formal de comprometimento com a governança de TI. Emite diretriz: "A TI deve demonstrar controles auditáveis e práticas de gestão de riscos formalizadas." Define como meta estratégica a obtenção do contrato com o banco.

Etapa 2 Comitê de TI — COBIT 2019

O CIO recebe a diretriz e aciona a Cascata de Objetivos: Meta Corporativa EG04 (Conformidade e Transparência) → Metas de Alinhamento AG10 e AG11 → Objetivos APO12 (Gerenciar Riscos) e APO13 (Gerenciar Segurança). Os Fatores de Desenho calibram o escopo: médio porte, setor financeiro, LGPD. Um plano com KPIs e prazos é apresentado ao board.

Etapa 3 Equipes Operacionais — ITIL 4

Com objetivos e indicadores definidos pelo COBIT, as equipes implementam: Central de Serviços reestruturada com registro formal de todos os chamados; Gestão de Incidentes com fluxos de escalada e SLAs por severidade; Controle de Mudanças com aprovação formal para sistemas que tratam dados pessoais (requisito LGPD). Os três frameworks atuaram harmonicamente: board deu direção, CIO traduziu em controles, equipes executaram.

Seção 08

Conclusão e Síntese do Projeto

Tese Central

A robustez não advém da escolha do melhor framework — advém da sabedoria em integrá-los.

A governança bem-sucedida protege o valor do acionista na mesma medida em que empodera o analista de suporte em seu cotidiano operacional. Frameworks de governança não são burocracia corporativa — são estruturas que conectam propósito e execução, estratégia e operação, board e equipe técnica, de forma coerente e auditável.

Descobertas Consolidadas

01 · Os três frameworks operam em níveis organizacionais distintos e não-concorrentes: ISO 38500 no estratégico-diretivo, COBIT 2019 no tático-controlador e ITIL 4 no operacional-executor.

02 · O domínio EDM do COBIT é espelho operacional do modelo EDM da ISO 38500 — mesma nomenclatura, alinhamento intencional, hierarquia de desdobramento.

03 · A presença do componente "Governança" no núcleo do SVS do ITIL 4 demonstra que o framework foi desenhado para operar sob diretrizes de governança superior — ponte intencional com o COBIT e a ISO 38500.

04 · A Cascata de Objetivos do COBIT é o mecanismo de tradução estratégica que conecta as necessidades dos stakeholders às práticas operacionais do ITIL, através de metas corporativas, metas de alinhamento e objetivos de gestão.

05 · A adoção isolada de qualquer um dos três produz lacunas críticas. Sem ISO 38500: excelência operacional sem direção. Sem COBIT: o board não tem indicadores. Sem ITIL: objetivos de controle sem execução prática.

ISO

Define o porquê e o que esperar. Sem processo, sem execução — mas a âncora estratégica do sistema.

COBIT

Traduz em o que controlar. Liga o board à operação. Sem ele, a ponte estratégica-operacional não existe.

ITIL

Especifica o como executar. Sem ele, os objetivos de controle ficam no papel.

Seção 09

Referências Bibliográficas

Formatadas conforme NBR 6023 (ABNT).

AXELOS. ITIL Foundation: ITIL 4 Edition. Norwich: TSO, 2019.
DAY, G. S.; SCHOEMAKER, P. J. H.; GUNTHER, R. E. Gestão de tecnologias emergentes. Porto Alegre: Bookman, 2003.
FERNANDES, A. A.; ABREU, V. F. Implantando a Governança de TI: da estratégia à gestão de processos e serviços. 4. ed. Rio de Janeiro: Brasport, 2014.
FOGGETTI, C. (org.). Gestão Ágil de Projetos. São Paulo: Education do Brasil, 2014.
FREITAS, M. A. S. Fundamentos do gerenciamento de serviços de TI. 2. ed. Rio de Janeiro: Brasport, 2013.
ISACA. COBIT 2019 Framework: Introduction and Methodology. Rolling Meadows: ISACA, 2018.
ISO/IEC 38500:2015. Information technology — Governance of IT for the organization. Geneva: ISO, 2015.
MOLINARO, L. F. R.; RAMOS, K. H. C. Gestão de tecnologia da informação: governança de TI. Rio de Janeiro: LTC, 2011.