DE HAES, Steven; VAN GREMBERGEN, Wim; DEBRECENY, Roger S. COBIT 5 and

enterprise governance of information technology: Building blocks and research

opportunities. Journal of Information Systems, v. 27, n. 1, p. 307-324, 2013.

1

TRADUÇÃO LIVRE

COBIT 5 e governança corporativa de

tecnologia da informação: blocos de construção e oportunidades de pesquisa

Steven De Haes

Wim Van Grembergen University of Antwerp Roger S. Debreceny

University of Hawai’i at Manoa

RESUMO: O COBIT, atualmente em sua quinta edição, é uma estrutura de boas práticas para a governança corporativa de TI. Há uma pesquisa acadêmica limitada que analisa o COBIT ou utiliza o COBIT como um instrumento na execução de programas de pesquisa. Através da vinculação dos principais elementos e princípios do COBIT aos insights da literatura relacionada a TI e gerenciamento geral, este artigo explora o uso do COBIT em atividades futuras de pesquisa. Este artigo posiciona o COBIT como uma estrutura para o controle corporativo de TI. As principais direções e princípios fundamentais da estrutura são descritos. Conexões são feitas destas orientações e princípios para a literatura relevante. Perguntas de pesquisa para pesquisas futuras sobre governança corporativa de TI e COBIT 5 são propostas e discutidas.

Palavras-chave: governança corporativa de TI; Governança de TI; COBIT; alinhamento de negócios /

TI; de indicadores equilibrados; sistemas organizacionais; Controles de TI.

I. INTRODUÇÃO

A tecnologia de informação (IT) tornou-se crucial no apoio, sustentabilidade e crescimento das empresas. Anteriormente, as diretorias e os executivos da alta

administração poderiam minimizar seu envolvimento na direção da TI, deixando a maioria das decisões para o gerenciamento funcional. Na maioria dos setores e indústrias, tais

atitudes são agora impossíveis, já que as empresas estão cada vez mais dependentes da TI

para sobreviver e crescer. Essas organizações também enfrentam um amplo espectro de

ameaças externas decorrentes de TI, incluindo abuso, cibercrime, fraude, erros e

omissões. A TI tem o potencial de suportar as estratégias de negócios existentes, bem como

moldar novas estratégias. A TI torna-se cada vez mais não só um fator de sucesso para o dia-a-dia das operações, mas também como um facilitador crítico para o aumento da

vantagem competitiva ( Van Grembergen e De Haes 2009; Weill e Ross 2009). Dada a

centralidade da TI no gerenciamento de riscos corporativos e geração de valor, um foco

específico na governança corporativa de TI (EGIT) surgiu nas últimas duas décadas ( De

Haes e Van Grembergen, 2008b; Thorp, 2003; Wilkin e Chenhall, 2010). A governança corporativa de TI é parte integrante da governança corporativa. O EGIT aborda a definição e

implementação de processos, estruturas e mecanismos relacionais na organização que

permitem que o conselho e o gerenciamento sênior de negócios e TI executem suas

responsabilidades no suporte ao gerenciamento de risco e valor ( Van Grembergen e De

Haes 2009).

As empresas estão cada vez mais fazendo investimentos tangíveis e intangíveis na

melhoria da governança corporativa de TI. Em apoio a isso, as empresas estão recorrendo à

relevância prática de estruturas de boas práticas geralmente aceitas , como o COBIT

( ISACA 2009a). O COBIT, agora em sua quinta edição, descreve um conjunto de boas

2

práticas para a diretoria e gerência operacional e de TI sênior1 ( ISACA 2012b).Estabelece

um conjunto de controles sobre a tecnologia da informação e os organiza em torno de uma

estrutura lógica de processos relacionados à TI2. O COBIT faz parte de um conjunto de

produtos, incluindo: implementação; guias de gerenciamento e garantia de serviços; nível

baixo práticas; e mapeamento para cognate frameworks e standards. Pesquisas indicam

que as organizações estão adotando o COBIT na prática ( Debreceny e Gray 2013; ISACA

2011c; Van Grembergen e De Haes 2009). Dadas as origens históricas do COBIT na

comunidade de auditoria, há uma conexão particular entre a estrutura do COBIT e a

conduta da garantia de TI. No entanto, tem havido pesquisas acadêmicas limitadas que

alavancam ou exploram o COBIT. Muitos dos princípios básicos do COBIT baseiam-se em

modelos, conceitos e teorias das literaturas de TI e de gerenciamento geral. Existem, como

resultado, oportunidades de pesquisa que referenciam e alavancam o COBIT. Neste artigo,

discutimos como o framework COBIT 5 abrange conceitos das literaturas profissional e

acadêmica e se baseia em iterações anteriores do COBIT. A principal contribuição deste

artigo é que ele busca fornecer orientações e desafios para a realização de pesquisas que se

baseiem no COBIT 5. Como tal, o principal objetivo do documento é estreitar a lacuna entre

pesquisa e prática acadêmica. O artigo fornece uma visão geral das direções que o COBIT está tomando e oferece

sugestões de pesquisas que tomam o COBIT como sua unidade de análise ou como uma

fonte de modelos, práticas e conhecimento para o design da pesquisa. O trabalho prossegue da seguinte forma. Na Seção II, o conceito de Enterprise Governance of IT é definido com

mais detalhes. O COBIT é então posicionado como uma estrutura para o controle

corporativo de TI. Em seguida, na Seção III, a maneira pela qual o COBIT 5 abraça insights

da literatura de TI e gerenciamento geral é explorada. Algumas orientações para pesquisas

futuras sobre governança corporativa de TI e COBIT estão descritas na Seção

IV. Finalmente, a Seção V traz algumas considerações finais juntas.

II. FUNDO

Esta seção do documento fornece informações sobre a forma do EGIT, coloca o COBIT dentro do desenvolvimento histórico do EGIT e descreve algumas das principais dimensões da abordagem do COBIT para a governança de TI.

Governança Corporativa de TI

O conceito de governança de TI existe há menos de duas décadas. No início da

década de 1990, as principais vertentes da governança de TI podiam ser discernidas na

literatura acadêmica. A primeira vertente estudou formas alternativas de organização da

função de TI e o impacto dessas formas nos resultados de negócios ( ITGI 2005; Ives e

Jarvenpaa 1993). Uma segunda vertente explorou a natureza e o efeito do alinhamento

entre os consumidores corporativos de serviços de TI ("o negócio") e a função de TI

( Henderson e Venkatraman, 1993; Luftman, 1996; Venkatraman et al., 1993). Uma

terceira vertente, inspirada na pesquisa de Porter sobre estratégia e vantagem competitiva

( Porter 1979, 1985), abordava as ligações entre a estratégia empresarial, o investimento em

1 Os autores deste documento participaram ativamente do desenvolvimento do COBIT ao longo da última

década, incluindo a participação no Comitê Diretor do COBIT e equipes de desenvolvimento em vários

momentos do período.

2 Uma estrutura é um conjunto de princípios orientadores e boas práticas que são explicitamente

projetados para serem adaptados pelas organizações adotantes. As estruturas são diferenciadas dos

padrões projetados para adoção monolítica. Os padrões também estão mais tipicamente associados à certificação de organizações adotantes. Confusamente, alguns dos ―padrões‖ promulgados pela International Standards Organization são essencialmente estruturas (por exemplo, ISO / IEC 2008).

3

TI e o desempenho empresarial (Andreu e Ciborra 1996; Chan et al. 1997; Weill 1990,

1992). Essa vertente recebeu um ímpeto considerável à medida que os pesquisadores

reagiram à pesquisa de Brynjolfsson (1993) que apontava para um aparente paradoxo entre

altos níveis de investimento em TI e uma ausência de evidências sobre os retornos desse

investimento. Foi somente no final dos anos 1990 que os artigos mencionaram a

governança de TI no título ou resumo (por exemplo, Brown 1997; Sambamurthy e Zmud

1999), embora esses artigos focassem principalmente em debates sobre a forma mais eficaz

de organização de TI. Na área profissional, a ISACA criou o IT Governance Institute (ITGI)

(www.itgi.org) em 1998 para promover o conceito de governança de TI. Conforme explicado

em mais detalhes em breve, as várias publicações da ISACA e do ITGI incorporaram

explicitamente noções de governança de TI no COBIT 3 ( ITGI 2000) e no conselho de

administração sobre governança de TI ( ITGI, 2001).

As perspectivas atuais sobre a governança corporativa de TI veem o EGIT como parte

integrante da governança corporativa. O recente Padrão ISO / IEC 38500 '' Governança

Corporativa de TI '' define a governança de TI como '' O sistema pelo qual o uso atual e

futuro da TI é direcionado e controlado. A governança corporativa de TI envolve a avaliação

e o direcionamento do uso de TI para apoiar a organização e monitorar esse uso para obter

planos. Inclui a estratégia e as políticas para usar a TI dentro de uma organização '' ( ISO /

IEC 2008). Van Grembergen e De Haes (2009)define o EGIT como o ''Conselho que

supervisiona a definição e implementação de processos, estruturas e mecanismos

relacionais na organização que permitem que os negócios e TI executem suas

responsabilidades no suporte ao alinhamento de negócios/TI e a criação de valor de

negócios de investimentos‖. Ambas as definições indicam claramente que a governança de

TI é responsabilidade dos conselhos diretivos e que a execução é da alta gerência.

O conceito de governança de TI tem recebido considerável atenção na literatura

acadêmica na última década. Wilkin e Chenhall (2010), em uma pesquisa recente sobre

governança de TI, estabelecem uma taxonomia de governança de TI. Eles vêem conceitos de

alinhamento estratégico, medição de desempenho, gerenciamento de risco e entrega de

valor como os facilitadores mais significativos da governança de TI. Wilkin e Chenhall

(2010) observam que estruturas organizacionais mais amplas, processos e tecnologias de

negócios e recursos de recursos influenciam os facilitadores e, por extensão, a governança

de TI. Wilkin e Chenhall (2010) veem a governança corporativa como uma influência

primordial na forma de governança de TI. Este foco na governança corporativa foi em

resposta a duas direções nas comunidades acadêmicas e profissionais. Primeiro, a

crescente importância da governança corporativa na administração geral e na literatura

acadêmica influenciou a pesquisa em governança de TI, assim como a orientação

profissional nos EUA ( COSO 1992) e suas contrapartes em outras partes do

mundo. O Sarbanes-OxleyO ato nos EUA em 2002 proporcionou um impulso significativo à

adoção generalizada de métodos de governança corporativa no campo e a uma expansão

dramática na literatura acadêmica, junto com publicações especializadas. Segundo, a

crescente importância da TI no cumprimento das metas da empresa, juntamente com a

tensão inerente ao alinhamento de negócios e gerenciamento de TI, levou a um

reconhecimento da importância de estabelecer metas de TI e direitos de decisão no nível de

governança ( De Haes e Van Grembergen 2008a; Thorp 2003; Weill e Ross 2009). Essas

forças iniciaram uma mudança na nomeação do conceito de "governança de TI" para

"governança de TI empresarial‖, que enfoca o envolvimento da diretoria e do gerenciamento

sênior de negócios em direções estratégicas e táticas para TI.

Origens e Posicionamento do COBIT

O COBIT é uma estrutura de governança de TI desenvolvida pela ISACA. A Figura 1

mostra os principais marcos no desenvolvimento do COBIT. A estrutura do COBIT surgiu

de iniciativas de membros da ISACA nas comunidades de auditoria financeira e de TI. Esses

profissionais de auditoria confrontaram ambientes cada vez mais automatizados. Para

orientar seu trabalho, o desenvolvimento inicial do COBIT foi como uma estrutura para a

4

execução de atribuições de auditoria de TI. Foi construído em torno de um conjunto

abrangente dos chamados "Objetivos de Controle para Processos de TI" (IASCF, 1994).

Em versões sucessivas, o COBIT fez a transição para uma estrutura de

gerenciamento e governança de TI mais ampla com ferramentas de gerenciamento,

incluindo métricas, fatores críticos de sucesso, modelos de maturidade e ferramentas para

a atribuição de funções e responsabilidades pelos processos de TI. O COBIT 4 viu o

desenvolvimento de ferramentas para alinhar os negócios e as metas de TI e seu

relacionamento com o suporte aos processos de TI. O COBIT 4 também fortaleceu a

conexão com outras estruturas de governança e estruturas e padrões de TI relevantes (ITGI

2005). Mais recentemente, o COBIT foi complementado com as estruturas de TI de TI e

Risco do Val ( ISACA 2009c, 2010). Estas abordaram as questões relacionadas a processos

de negócios e responsabilidades na criação de valor (Val IT) e gerenciamento de riscos (Risk

IT). Em cada caso, o Val IT e o Risk IT extraíram os conceitos e processos-chave do COBIT e

adicionaram orientação específica ao domínio .

Em abril de 2012, o COBIT 5 foi lançado, com o conceito de governança corporativa de TI como base ( ISACA 2012b). De acordo com a ISACA, '' o COBIT 5 fornece uma estrutura abrangente que ajuda as empresas a atingirem seus objetivos de governança e

gerenciamento da TI corporativa. O COBIT 5 permite que a TI seja governada e gerenciada

de maneira holística para toda a empresa, abrangendo as áreas funcionais e de

TI completas de ponta a ponta , considerando os interesses de TI das partes interessadas

internas e externas ‖ (ISACA 2012b). O COBIT 5 integra o conhecimento previamente disperso nas três estruturas da ISACA, a saber : COBIT, Val IT e Risk IT (ISACA 2009c,

2010; ITGI 2005).O COBIT, até certo ponto na quarta edição e de forma mais sistemática na

quinta edição, abrange o ciclo de vida da governança, gestão estratégica e tática dentro do

domínio de TI. As funções relativas de vários governos gerais, as estruturas de governança

de TI e de gerenciamento de TI são ilustradas na Figura 2, em duas dimensões: o nível de

abstração da estrutura ou padrão e a extensão em que a estrutura abrange o ciclo de vida da TI, desde o design de sistemas de governança até o gerenciamento tático de TI.

5

Estruturas de governança corporativa de propósito geral , como o COSO, estão em

um alto grau de abstração e abrangem apenas questões de governança e organização. No

outro extremo do contínuo, padrões como o TickIT (um padrão para desenvolvimento de

software de qualidade) estão relacionados apenas a um aspecto específico da TI. O TickIT e

outros padrões de TI se relacionam são relevantes no nível tático dentro da função de

TI. Outros padrões bem conhecidos , como o ITIL e o CMMI, referem-se principalmente à

administração, e não à governança, e às táticas, e não à estratégia ( Ahern et al., 2008;

Cabinet Office, 2011). Em lançamentos recentes, tanto o ITIL quanto o CMMI mudaram

mais para a estratégia e pelo menos alguns aspectos da governança.

Conceitos de controle no COBIT

O conceito de controle no COBIT baseia-se na literatura geral de controle de

gerenciamento e sistemas de controle de gerenciamento. A teoria do controle gerencial

surgiu do comércio, particularmente com o desenvolvimento da corporação privada, à

medida que as empresas cresciam, de tal forma que a propriedade se separou da

administração ( Berle e Means, 1932 ), e de teorias que incluem a teoria geral da

administração de Fayol, teoria organizacional ( Cyert e March de 1963; March e Simon

1958 ) e a cibernética de Stafford Beer ( Beer, 1959, 1972). Visões anteriores do controle

gerencial foram fortemente influenciadas pelas abordagens de gestão científica de Anthony

e outros ( Anthony, 1965) e relacionadas principalmente à aquisição e uso de recursos na

busca de objetivos organizacionais. Mais tarde, porém, a teoria do controle gerencial

gravitou mais na direção de ver o controle como um conjunto de ferramentas para alcançar

os objetivos estratégicos da empresa ( Simons 1990, 2000). Por exemplo, Simons vê o

6

controle gerencial como um conjunto de normas informais e processos formais projetados

para vincular os resultados organizacionais aos objetivos estratégicos da organização.

Simons (1990, 2000) define quatro tipos de sistemas formais:

sistemas de crenças (―sistemas formais usados pelos altos executivos para definir, comunicar e reforçar os valores básicos, propósito e direção para a organização‖),

sistemas de fronteiras (' 'sistemas formais usados pelos altos gerentes para estabelecer limites e regras explícitas que devem ser respeitados),

sistemas de controle de diagnóstico (' 'sistemas de feedback formal usados para monitorar resultados organizacionais e corrigir desvios dos

padrões de desempenho pré-definidos' ') e

sistemas de controle interativo ( '' sistemas formais usados pelos gerentes de topo para se envolverem regularmente e pessoalmente nas atividades

de decisão dos subordinados '').

A visão de controle dentro do COBIT está amplamente alinhada com a perspectiva

de Simons. Por exemplo, a definição de controle no COBIT 3 é "as políticas, procedimentos,

práticas e estruturas organizacionais projetadas para fornecer garantia razoável de que os

objetivos de negócios serão alcançados e que eventos indesejados serão evitados ou

detectados e corrigidos" ( ITGI 2000). ,12). O conceito de um objetivo de controle é exclusivo

do COBIT. Ele vê a instituição do controle como levando a um resultado necessário ou a um

estado final. Como será discutido nas próximas seções, a palavra '' controle '' não está em

uso no COBIT 5 e é substituída por '' boas práticas ''. Elas estão em linguagem altamente

ativa e prescritiva, e sua dívida com o antigo controle do COBIT pressupostos objetivos é

claro. Essas novas boas práticas são definidas como ―uma atividade ou processo

comprovado que tem sido usado com sucesso por várias empresas e tem mostrado

resultados confiáveis‖ ( ISACA 2012b ).

III PRINCIPAIS INSTRUÇÕES NO COBIT 5

Esta seção analisa e coloca em contexto algumas das principais orientações do

COBIT 5. Isso fornece uma base para o desenvolvimento de um conjunto de questões de

pesquisa. Primeiro, a estrutura do COBIT 5 é construída em torno de cinco princípios

básicos:

atender às necessidades das partes interessadas;

cobrir a empresa de ponta a ponta;

aplicação de um quadro único e integrado;

possibilitar uma abordagem holística; e

separar a governança da gestão.

Esta seção discute cada um desses princípios e relaciona-os aos conceitos e insights

das literaturas gerenciais, contábeis e de TI. Segundo, a consideração da implementação do

COBIT agora tem um papel mais central na estrutura. Terceiro, o COBIT fez mudanças

significativas na medição da maturidade do processo de TI, mudando o conceito para

capacidade de processamento. Essa alteração alinha o COBIT com o padrão ISO / IEC

15504. Quarto, e por fim, as alterações no domínio e na estrutura do processo do

framework são revisadas.

7

Atendendo às necessidades das partes interessadas: Alinhamento estratégico de

negócios / TI

De acordo com a ISACA, o Princípio 1 (Atendimento às Partes Interessadas)

implica que o COBIT 5 forneça todos os processos necessários e outros capacitadores para

apoiar a criação de valor de negócios e o gerenciamento de riscos através do uso de TI. Este

princípio está intimamente ligado à noção de alinhamento estratégico iniciada

por Henderson e Venkatraman (1993). A ideia por trás do alinhamento estratégico entre a

diretoria, o gerenciamento operacional e a TI é abrangente e está presente no framework

COBIT desde o início. No entanto, o desafio é como as organizações podem alcançar o

alinhamento. O framework COBIT é grande e complexo. Normalmente, levará alguns anos

para a adoção total, mesmo para uma empresa relativamente pequena. Algumas das

questões importantes que a diretoria e a gerência devem abordar incluem:

Quais processos devem ser gerenciados com o COBIT?

Em que ordem deve esses processos serão introduzidos e desenvolvidos?

Quão profundo deve ser o investimento na implementação do conjunto de

processos?

A equipe de desenvolvimento do COBIT 5 realizou uma pesquisa para entender como

as metas da empresa direcionam as metas relacionadas à TI e vice-versa . Esses projetos de

pesquisa usaram entrevistas em profundidade em diferentes setores, juntamente com

pesquisas Delphi de especialistas no assunto. Esta pesquisa estabeleceu uma lista genérica

de metas corporativas, metas relacionadas a TI e suas inter-relações, ou ―cascata‖. Essa

cascata agora constitui o ponto de entrada principal do COBIT 5. No COBIT 5, há uma

suposição explícita de que as organizações devem começar analisando seu estado de

alinhamento de negócios / TI por meio da definição de metas corporativas, vinculando

essas metas a objetivos relacionados à TI e, posteriormente, aos processos de TI dentro do

COBIT ( De Haes e Van Grembergen 2010; Van Grembergen et al. 2008). Nos objetivos em

cascata, as metas corporativas e de TI são categorizadas em perspectivas financeiras, de

clientes, internas e de aprendizado e crescimento (Figura 3).

Isso segue as dimensões geralmente aceitas da análise do balanced scorecard. Cada

perspectiva contém vários objetivos comumente referenciados em organizações nessa área,

com base em pesquisas exploratórias executadas anteriormente ( Van Grembergen et al.

8

2008). Em seguida, os relacionamentos primários (P) e secundários (S)

entre as metas corporativas e relacionadas à TI são fornecidos, com base nas opiniões dos

especialistas. Essas relações indicam como as metas da empresa

direcionam as metas relacionadas à TI e / ou como asas metas apoiam as metas da

empresa. Como ilustração desta cascata, A Figura 4 mostra que o objetivo da empresa de ''

de conformidade externa com as leis e regulação '' requer um foco primário (P) sobre

os relacionados com TI objetivos do '' de conformidade e suporte de TI para o cumprimento

de negócios com externo leis e regulamentos '' e '' segurança da informação e infraestrutura

de processamento ''.

Ao adotar o COBIT 5, as organizações terão a importância ponderada

das metas relacionadas à TI para orientá-las na decisão sobre quais subgrupos dos 37

processos de TI são os mais importantes. para adoção antecipada.

Atendendo às necessidades das partes interessadas: o balanced scorecard

Para verificar se as necessidades das partes interessadas estão de fato sendo atendidas, um processo de medição precisa ser estabelecido ( Elbashir et al. 2008;

Hyvo¨nen 2007; O'Connor e Martinsons 2006). Os métodos tradicionais de desempenho,

como o retorno do investimento (ROI), capturam o valor financeiro dos projetos e sistemas

de TI, mas refletem apenas uma parte limitada do valor que pode ser fornecido pela TI ( Davern e Wilkin, 2010; Van Grembergen e De Haes, 2009). O COBIT baseia-se no

equilíbrio conceitos de scorecard desenvolvidos por Kaplan e Norton (1996) e adaptados

para o domínio de TI ( Hu e Huang 2006; Van Grembergen et al. 2003 ).

O COBIT 5 fornece medidas de resultado no nível do processo de TI. A Figura 5

mostra um exemplo do processo de "Gerenciamento de segurança", fornecendo metas de

processo específicas e métricas relacionadas. A consolidação dessas métricas nos níveis de

processos corporativos, relacionados a TI e COBIT permite que as organizações criem um

scorecard abrangente para todo o ambiente de TI. Isso permite que as organizações

desenvolvam um instrumento de medição para verificar as necessidades das partes

interessadas.

9

Cobrindo a Empresa de ponta a ponta

O segundo princípio (Abrangendo a Empresa de Ponta a Ponta ) articula que o

COBIT 5 cobre todas as funções e processos dentro da empresa. O COBIT 5 não se

concentra apenas na "função de TI", mas trata as informações e tecnologias relacionadas

como ativos ou capacidades que precisam ser examinadas junto com outros ativos da

empresa. Essa perspectiva se alinha com Weill e Ross (2009) sobre as literaturas de visão e

capacidades baseadas em recursos ( Andreu e Ciborra, 1996; Feeny e Willcocks, 1998; Law

e Ngai, 2007; Tarafdar e Gordon, 2007). Weill e Ross esclarecem a necessidade de que a

administração geral de negócios assuma a responsabilidade de governar o uso de TI na

criação de valor a partir de investimentos de negócios habilitados por TI e responsabilidade

por eles . Em muitas organizações, isso implica uma mudança crucial nas atitudes e no

comportamento da administração geral de negócios e de TI, bem como do conselho

administrativo. Como Weill e Ross (2009)nota: ―Se os gerentes seniores não aceitarem a

responsabilidade pela TI, a empresa inevitavelmente lançará seu dinheiro de TI em

múltiplas iniciativas táticas, sem impacto claro nas capacidades organizacionais. A TI se

torna um passivo em vez de um ativo estratégico‖.

Relacionado a essa discussão, o COBIT 5 abrange processos de TI e processos de negócios relacionados a TI . Colaboração e relações recíprocas e dependências

de tarefas entre gerenciamento de negócios, gerenciamento de TI e partes externas são um

elemento importante da governança de TI ( Cragg et al. 2011; Zarvi c et al. 2012). O COBIT 5 fornece gráficos RACI (Responsável, Responsável, Consultado, Informado) nos quais as

funções de negócios e de TI são incluídas. Para ilustrar isso, a Figura 6 fornece um exemplo

de gráfico RACI para o processo '' Gerenciar Contratos de Serviço ''.

10

Esse gráfico RACI indica que, para o processo de SLA, as funções de negócios e de TI têm primário (P) e secundário (S) responsabilidades3 e responsabilidades.

Aplicação de uma estrutura única e integrada: COBIT, Risk IT e Val IT

O Princípio 3 (Aplicando uma estrutura única e integrada) explica que o COBIT 5 se alinha em um alto nível com outros padrões e estruturas relevantes. Assim, ele pode

servir como uma estrutura abrangente para governança e gerenciamento da TI

corporativa. O COBIT 5 integra todos os departamentos de TI da ISACA anteriores materiais de governança no COBIT 4, no Val IT e no Risk IT ( ISACA 2007, 2009c, 2010).Nesta

abordagem abrangente, o COBIT identifica 37 processos de TI espalhados por domínios de

governança e gerenciamento. Os cinco processos de governança são responsabilidades do

conselho em TI, abrangendo a definição da estrutura de governança, responsabilidades em

termos de valor (por exemplo, critérios de investimento), riscos (por exemplo, apetite ao risco), recursos (por exemplo, otimização de recursos) e transparência. TI para as partes

interessadas. Nós retornamos ao governo mais adiante nesta seção. No domínio de

gerenciamento, existem quatro subdomínios: '' Alinhar, Planejar e Organizar '' (APO); ''

Construir, Adquirir e Implementar '' (BAI); '' Deliver, Service and Support '' (DSS); e ''

Monitorar, Avaliar e Avaliar '' (MEA). O domínio APO diz respeito à identificação de como a

TI pode contribuir melhor para a realização dos objetivos de negócios. Uma estrutura de gerenciamento é necessária e processos específicos relacionados à estratégia e táticas de TI,

arquitetura corporativa, inovação e gerenciamento de portfólio. Outros processos

importantes neste domínio abordam o gerenciamento de orçamentos e custos, recursos

humanos, relacionamentos, contratos de serviços, fornecedores, qualidade, risco e

segurança.

3 accountabilities and responsibilities. / accountabilitie - prestação de contas

11

O domínio BAI concretiza a estratégia de TI através da identificação, em detalhe, dos

requisitos de TI e da gestão do programa e projetos de investimento. Este domínio considera

ainda a capacidade de gerenciamento, mudança organizacional, mudanças de TI, aceitação

e transição, conhecimento, ativos e configurações. O domínio Entrega, Serviço e Suporte

(DSS) refere-se à entrega real dos serviços de TI necessários. Ele contém processos de

gerenciamento de operações, solicitações de serviços e incidentes, problemas, continuidade,

serviços de segurança e controles de processos de negócios. O quarto domínio de

gerenciamento, MEA, inclui os processos que são responsáveis pela avaliação da qualidade

em conformidade com os requisitos de controle para todos os processos mencionados

anteriormente. Ele aborda o gerenciamento de desempenho, o monitoramento do controle

interno e a conformidade regulamentar (ISACA 2012b).

O COBIT 5 enfatiza a exigência de que a gerência geral de negócios seja responsável

pelo gerenciamento de TI. Processos que abordam funções de negócios específicas são

APO3: Gerenciar Arquitetura Empresarial, APO4: Gerenciar Inovação e BAI05: Gerenciar

Mudança Organizacional. Um processo específico nos controles de processos de negócios

(controles de aplicativos) é incluído ('' DSS06: Gerenciar Controles de Processos de Negócios

'').

Possibilitando uma Abordagem Holística: Sistemas Organizacionais

O quarto princípio (Habilitando uma Abordagem Holística) explica que a

implementação eficiente e eficaz da governança e gerenciamento da TI corporativa requer

uma abordagem holística. Essa abordagem leva em consideração vários componentes

interativos: processos, estruturas organizacionais e recursos humanos. Esse desafio de

implementação está relacionado ao que é descrito na literatura de gerenciamento

estratégico como a necessidade de um sistema organizacional, ou seja, "a forma como uma

empresa leva seu pessoal a trabalhar em conjunto para realizar o negócio" ( De Wit e Meyer,

2005).). Tal sistema organizacional requer a definição e aplicação de estruturas (por

exemplo, unidades e funções organizacionais) e processos (para garantir que as tarefas

sejam coordenadas e integradas), e atenção às pessoas e aspectos relacionais (por exemplo,

cultura, valores, crenças conjuntas).

Peterson (2004) e De Haes e Van Grembergen (2009) aplicaram essa teoria do

sistema organizacional ao EGIT. As organizações podem e estão implantando o EGIT

usando uma mistura de várias estruturas, processos e mecanismos relacionais. As

estruturas EGIT incluem unidades organizacionais e funções responsáveis por tomar

decisões de TI e por permitir contatos entre as funções de tomada de decisões

de gerenciamento de negócios e de TI (por exemplo, comitês de direção de TI). Os processos

EGIT referem-se à formalização e institucionalização de procedimentos estratégicos de

tomada de decisão e monitoramento de TI, para garantir que o dia-a-dia os resultados são

consistentes com as políticas e fornecem um ciclo de feedback (por exemplo, balanced

scorecard de TI). Esses mecanismos relacionais são, em última instância, sobre a

participação ativa e relacionamento colaborativo entre o conselho, altos executivos, gestão

de TI e gestão de negócios.

O COBIT 5 baseia-se nessas percepções e incorpora discussões formais sobre os chamados '' Enablers '' em sua estrutura. Esses são fatores que, individual e coletivamente,

influenciam se algo funcionará - nesse caso, governança e gerenciamento da TI

corporativa. A estrutura descreve sete categorias de facilitadores, dos quais os "processos",

"estruturas organizacionais" e "cultura, comportamento e ética" se relacionam estreitamente com o conceito de sistemas organizacionais.

12

Separando a Governança da Gestão

Finalmente, o Princípio 5 é sobre a distinção que o COBIT 5 faz entre

governança e gerenciamento. Isso se baseia fortemente na orientação do padrão ISO /

IEC sobre '' Governança Corporativa de TI '' (ISO 38500) ( ISO / IEC 2008) e estruturas

gerais de governança, como o COSO. Havia elementos de governança nas versões anteriores

do COBIT, mas eles estavam misturados aos aspectos de gerenciamento. No COBIT 5, a

organização dos processos de governança segue o modelo EDM ('' Evaluate - Direct -

Monitor '')conforme estabelecido na ISO 38500. Os processos de governança de TI são de

responsabilidade do conselho de administração e asseguram que os objetivos da empresa

sejam alcançados através da avaliação das necessidades das partes interessadas; definição

de direção por meio de priorização e tomada de decisão; e monitorar o desempenho, a

conformidade e o progresso em relação aos planos. Com base nessas atividades de

governança, os planos de negócios e de TI planejam, criam, executam e monitoram

atividades (uma tradução COBIT do círculo PDCA, Fazer, Verificar, Agir) de Deming em

alinhamento com a direção definida pelo órgão de governança para atingir os objetivos da

empresa.

Implementando Governança Corporativa de TI

Outra mudança importante no COBIT 5 é a atenção aos desafios da implementação

do EGIT na empresa. A ISACA já havia fornecido orientações sistemáticas sobre a

implementação da governança de TI ( ISACA 2009a, 2009b), mas essa orientação era

separada da estrutura básica do COBIT. Como resultado, as organizações adotantes

frequentemente negligenciaram os consideráveis desafios da implementação do COBIT. A

orientação sobre a implementação foi atualizada ( ISACA 2012a), mas agora, no entanto, as

mensagens centrais desta orientação são incorporadas ao framework COBIT. A orientação

define um estágio de setes ciclos de vida para a implementação do EGIT, desde o início do

programa EGIT, passando pela revisão da eficácia e sustentando a implementação. As

principais mensagens da orientação incluem a necessidade de criar um ambiente

apropriado para as mudanças envolvidas na implementação do EGIT, e reconhecendo a

importância crítica de construir um caso de negócio realista para a realização do EGIT.

Maturidade do processo e capacidade de processo

A maturidade do processo tem sido um componente essencial do COBIT por mais de

uma década. A determinação do nível de maturidade do processo para determinados

processos permite que as organizações determinem quais processos estão essencialmente

sob controle e quais representam possíveis desafios de gerenciamento ( Weill, 1992). A

avaliação da maturidade do processo é discutivelmente uma condição necessária para a

implementação do EGIT. O conceito de maturidade do processo em versões anteriores do

COBIT foi adotado e adaptado do Modelo de Maturidade da Capacidade do Software

Engineering Institute ( Debreceny e Gray 2013). No COBIT 5, a maturidade do processo foi

substituída pelo conceito de capacidade de processo ( ISACA 2011b), baseado no padrão

ISO / IEC 15504 (SPICE) '' Tecnologia da Informação – Processo Avaliação. ‖Um benefício

deste modelo de avaliação é o foco aprimorado em confirmar que um determinado processo

está realmente atingindo sua finalidade e entregando os resultados exigidos conforme o

esperado. De fato, um requisito para atender ao nível um do modelo de maturidade de cinco

níveis do COBIT 5 é que o ―o processo implementado alcança seu propósito de processo‖ e,

no nível dois, o processo é ―implementado de forma gerenciada (planejada, monitorada e

ajustada), e seus produtos de trabalho são apropriadamente estabelecidos, controlados e

mantidos‖. Pode ser um desafio para as organizações demonstrarem e, como resultado, os

níveis de maturidade do processo sob o novo modelo de avaliação serão consideravelmente

13

menores do que no modelo anterior de maturidade do processo baseado em CMM no COBIT

4. Isso pode apresentar alguns desafios de implementação.

IV. COBIT 5 E OPORTUNIDADES DE INVESTIGAÇÃO

Esta seção baseia-se nas seções anteriores que procuraram desenvolver uma

compreensão dos principais princípios e conceitos do COBIT 5 para explorar possíveis

novas oportunidades de pesquisa. Wilkin e Chenhall (2010) definiram cerca de 20 questões

de pesquisa em vários domínios em sua taxonomia4 de governança de TI (alinhamento

estratégico, entrega de valor, gerenciamento de risco, gerenciamento de recursos e medição

de desempenho). Nosso objetivo é complementar Wilkin e Chenhall, apontando para uma

pesquisa que

investiga o COBIT como um artefato5;

vê o COBIT dentro de um ecossistema de estruturas e padrões

competitivos e complementares; ou

usa o COBIT como uma base de medição comum para a investigação de

algum aspecto particular do EGIT ou áreas cognatas de investigação,

como auditoria e garantia de TI.

Pesquisando o COBIT como um artefato

O COBIT e seu conjunto de produtos associados é um conjunto amplo, multifacetado e complexo de orientação. O conteúdo do COBIT é consideravelmente mais

complexo que o COSO ou as estruturas de alto nível , como a ISO / IEC 38500. O COBIT é

sistematicamente projetado para abranger todo o ciclo de vida do investimento, com aspectos de governança e gerenciamento. Essa complexidade dá origem à necessidade de

pesquisas sobre o COBIT como um artefato.

A qualidade e consistência do COBIT como um artefato

É necessário investigar os fundamentos, o design, a aplicabilidade e a consistência

interna do COBIT, ou a falta deles. Por exemplo, o COBIT 5 integra três estruturas

significativas, porém relacionadas, que abrangem a governança e o gerenciamento de TI

(COBIT), a geração de valor (Val IT) e o gerenciamento de riscos (Risk IT). Essa integração é

uma grande empresa e o sucesso dessa integração ainda não está claro. Um exemplo de

pesquisa sobre o COBIT como artefato é o de Boritz (2005), que considerou noções de

integridade da informação no COBIT, outras estruturas de prática e a literatura

acadêmica. Boritz (2005), após os especialistas em levantamentos, concluiu-se que a

maneira como os atributos de informação e a integridade das informações eram

estabelecidos no COBIT deveria ser significativamente modificada para incorporar

informações. O estudo Boritz é a única pesquisa que sistematicamente investiga o projeto

de qualquer aspecto do COBIT. Existe uma clara necessidade de pesquisa adicional.

4 Taxonomia: ciência ou técnica de classificação. 5 Artefato: aparelho, engenho, mecanismo construído para um fim determinado.

14

A associação entre prescrição e condições do mundo real

O COBIT e outras estruturas similares são tiradas da boa prática no campo e são

essencialmente prescritivas. A qualidade dessa prescrição é tão boa quanto o processo de identificação da boa prática. As várias iterações do COBIT são baseadas em

pesquisa original,

uso generalizado de especialistas em workshops e grupos de trabalho, e

contribuições de padrões e estruturas cognatas.

Essa abordagem é, necessariamente, apenas uma amostragem parcial das condições do mundo real . Tuttle e Vandervelde (2007) pesquisam a aplicabilidade do COBIT 3 como uma estrutura de controle interno para a auditoria de demonstrações financeiras e

concluem que o COBIT pode ser empregado dessa maneira. Há uma necessidade de

pesquisa para entender a relação entre as prescrições do COBIT e as condições do mundo

real.

COBIT como um framework

O COBIT é uma estrutura e não um padrão e, como resultado, é projetado para ser adaptado pela adoção de organizações. No entanto, pouco se sabe a respeito de quais

componentes da estrutura são necessários para ser retida, a fim de que a adoção ainda seja

eficaz. Isso se aplica tanto horizontalmente (escolha de processos) quanto vertical

(componentes incluindo capacidade de processo, gráficos RACI, etc.). Por exemplo:

Seria viável adotar o COBIT com apenas cinco processos na camada de governança, desprovidos de gráficos RACI, modelagem de capacidade de

processo e outros atributos COBIT principais?

O COBIT poderia ser usado apenas pelo conselho e pelo comitê de auditoria e ainda ser funcional?

Pesquisando o COBIT dentro de um ecossistema de estruturas competitivas e

complementares

Um princípio fundamental do projeto do COBIT 5 é alinhar sistematicamente com estruturas e padrões cognatos. Isso inclui estruturas de governança de maior abstração

(por exemplo, ISO / IEC 2008) e estruturas mais específicas posicionadas no nível

de gerenciamento relacionado a TI (por exemplo, TOGAF [Open Group 2009]). Entender

como o COBIT opera em um ecossistema de estruturas concorrentes e colaboradoras é uma

importante área de pesquisa.

A relação entre COBIT, COSO, ISO / IEC 38500 e outras estruturas de governança

ISACA tem feito um grande investimento ao longo dos anos em COBIT mapeamento

para outros frameworks, com mapeamentos detalhados de COBIT 4 a dez outras estruturas

incluindo COSO, ITIL, PMBOK, e TOGAF ( ISACA 2011a ). Não há pesquisas acadêmicas sobre a interação dessas relações. Perguntas incluem:

Como uma empresa gerencia vários frameworks e padrões?

Como as empresas medem e gerenciam o desempenho em vários frameworks e padrões?

15

O envolvimento do Conselho de Administração em Governança Corporativa de TI

Como discutimos acima, há uma forte influência no COBIT a partir de estruturas

gerais de governança, incluindo a estrutura de controle interno do COSO, e da ISO / IEC

38500. O COBIT 5 distingue claramente entre governança e gerenciamento. Pesquisas limitadas estão disponíveis sobre como os conselhos estão assumindo a responsabilidade de

governar e monitorar a TI. A partir da análise dos relatórios anuais e das Discussões e

Análises da Gerência (MD & As), ou através de estudo de caso, estudo de campo ou

levantamento, seria interessante entender se o conselho está assumindo as cinco áreas de

responsabilidade discutidas no COBIT:

Quais dos cinco processos de governança são realmente adotados pelos conselhos?

O que os conselhos relatam sobre suas funções de governança de TI no relatório anual?

Qual é a relação entre o envolvimento dos conselhos e o desempenho de governança de TI?

COBIT 5 e a Auditoria de Controles Internos

No contexto dos EUA, a Lei Sarbanes-Oxley exige que os registrantes da SEC certifiquem se há pontos fracos importantes no controle interno, alinhados com uma

estrutura de controle. Registrantes maiores devem ter seus controles internos

auditados. Embora a Lei Sarbanes-Oxley não exija uma única estrutura de controle interno,

efetivamente todos os registrantes escolhem a estrutura do COSO. A estrutura do COSO inclui alguns comentários limitados sobre o papel da tecnologia da informação na

manutenção de controles internos e a minuta de exposição para uma versão revisada do

COSO torna essa conexão ainda mais forte ( Janvrin et al., 2012 ). Faz agora sete anos

desde que uma versão personalizada do COBIT para os objetivos de controle de TI sob

o ato Sarbanes-Oxley foi promulgado pelo ISACA ( ITGI 2006). Perguntas de pesquisa incluem:

Qual papel o COBIT desempenha no suporte a programas de auditoria

internos e externos?

O COSO faz menção explícita aos controles de aplicativos. Os controles de aplicativos de negócios agora são mais centrais no COBIT 5. Até que ponto a

orientação sobre os controles de aplicativos de negócios no COBIT e no COSO

está correlacionadas? Quais são as aplicações práticas e uso desta

orientação?

COBIT como uma base de medição comum

O COBIT fornece orientação de boas práticas para o ciclo de vida completo do investimento em TI. Ele vem com um conjunto de ferramentas de gerenciamento e

orientação de suporte. O COBIT oferece, então, uma base para a medição de uma ampla

variedade de pesquisas sobre o EGIT. Debreceny e Gray (2013) explicitam os componentes

de processos de TI e maturidade de processo do COBIT 4 em um grande estudo de campo

internacional. Pesquisas similares podem nos permitir entender o cenário do EGIT e validar o projeto do COBIT.

Alinhamento de metas corporativas e de TI

O conceito de alinhamento de negócios / TI não é novo, mas ainda está no topo da

agenda de muitas organizações. Com base no modelo de alinhamento estratégico

de Henderson e Venkatraman (1993) e na pesquisa original ( Van Grembergen et al. 2008 ),

16

o COBIT fornece uma abordagem sobre como definir metas corporativas

e metas relacionadas à TI . Será importante entender como esse relacionamento é

robusto. A pesquisa de estudo de caso pode revelar se as organizações estão claramente articulando metas corporativas e metas relacionadas à TI , e até que ponto essas metas são

simbióticas6. Questões específicas podem incluir:

As empresas estão claramente articulando suas prioridades à TI?

A TI está ativamente envolvida na discussão estratégica de negócios

A empresa está envolvida na definição dos objetivos relacionados à TI ?

Como as organizações medem o desempenho da TI?

Medir o valor da TI é um desafio complexo. À medida que o COBIT alavanca os

insights do balanced scorecard, ele fornece uma referência para construir estruturas de medição conceituais para a TI como um todo ou para processos específicos de TI. Projetos

de pesquisa poderiam trabalhar na construção de tais estruturas conceituais baseadas no

COBIT, e então validar se tais instrumentos de medição estão em uso e otimizados com

base em conclusões empíricas. Exemplos de questões específicas são:

As organizações estão usando o COBIT para criar balanced scorecards?

As métricas do COBIT 5 são utilizáveis para prática?

Como as empresas estão organizando o processo de gerenciamento de desempenho?

Como está envolvido o negócio em governança corporativa de TI?

Há uma ênfase no COBIT 5 no estabelecimento de responsabilidades de ponta a ponta em governar e gerenciar ativos e recursos de TI. Os gráficos RACI no COBIT 5

fornecem modelos utilizáveis para a análise de se o gerenciamento geral de negócios está

assumindo suas responsabilidades relacionadas à TI . Perguntas de pesquisa incluem:

Os gerentes de negócios estão cientes das responsabilidades atribuídas nos gráficos COBIT 5 RACI?

Os gerentes de negócios assumem as responsabilidades conforme atribuído nos gráficos COBIT 5 RACI?

Quais são os facilitadores e inibidores para os gerentes de negócios assumirem as responsabilidades conforme atribuído nos gráficos COBIT 5

RACI?

Como as organizações estão implementando a governança corporativa de TI?

As empresas reconhecem cada vez mais a importância do EGIT. Muitas organizações lutam para implementar e incorporar essas práticas de governança em suas

organizações. Através de pesquisa de casos e pesquisas, será vital verificar como as

organizações estão adotando o EGIT. Com base na teoria de sistemas organizacionais, o

COBIT 5 pode ser uma base para protocolos de entrevista e pesquisa. Algumas questões

específicas são:

Quais processos do COBIT 5 e práticas / estruturas relacionadas são mais

adotadas nas organizações?

Quais processos do COBIT 5 e práticas / estruturas relacionadas são percebidos como mais eficazes?

6 Simbiose: associação íntima entre duas pessoas.

17

Quais processos e práticas / estruturas relacionadas ao COBIT 5 são percebidos como fáceis / difíceis de implementar?

V. RESUMO E CONCLUSÃO

Nas últimas duas décadas, o papel da tecnologia da informação nas organizações

mudou de uma função basicamente de suporte e transacional para um pré-requisito

essencial para a geração de valor estratégico. Além disso, embora a TI desempenhe um

papel importante na mitigação7 do risco corporativo, as tecnologias da informação também

criam riscos. Esses riscos incluem possíveis perdas monetárias, redução da capacidade

operacional e, particularmente importante em um mundo cada vez mais conectado, perdas

para a reputação da empresa. O aumento do foco em TI para geração de valor, bem como o

cumprimento das obrigações de conformidade em uma série de setores, resultou em maior

atenção da diretoria e da gerência sênior em TI. O início dos anos 90 viu a introdução do

termo governança de TI,

Em um período similar, a ISACA promulgou cinco versões da estrutura EGIT de

boas práticas, COBIT. A comunidade de auditoria de TI teve uma forte influência na

primeira versão em 1996. Serviu como um plano para a realização de auditorias de funções

de TI. O COBIT amadureceu e se adaptou às mudanças no ambiente externo. A última

iteração8, COBIT 5, inclui vários desenvolvimentos importantes influenciados por mudanças

no ambiente externo e por estruturas novas e revisadas às quais o COBIT se alinha.

Primeiro, há uma separação distinta entre governança e

gerenciamento. O novo domínio de governança tem cinco processos

que estariam nas mãos do conselho e da administração mais

graduada.

Em segundo lugar, o COBIT 5 integra a orientação no COBIT 4, no

Val IT e no Risk IT.

Terceiro, A importante contribuição que a TI faz no alcance dos

objetivos organizacionais é central para o framework.

Quarto, a avaliação da maturidade do processo, uma métrica

principal no COBIT, agora se alinha aos padrões internacionais.

Quinto, responder aos desafios da adoção de estruturas de

governança, como o COBIT, foi mais diretamente integrado à

estrutura.

O COBIT é uma estrutura de governança e gerenciamento completa e abrangente

que se beneficia de muitos anos de experiência e alinhamento com outras estruturas e

padrões. No entanto, há pouca pesquisa acadêmica que utiliza o COBIT como um

instrumento na execução de programas de pesquisa. Por meio de uma indicação clara de

como os elementos centrais do COBIT 5 são baseados em insights de gerenciamento geral e

de TI, este artigo contribui para a exploração do uso do COBIT em atividades futuras de

pesquisa. Um catálogo de possíveis perguntas de pesquisa é fornecido que

investiga o COBIT como um artefato;

vê a estrutura dentro de um ecossistema de estruturas e padrões

competitivos e complementares; ou

usa-lo como uma base de medição comum para a investigação de

algum aspecto particular de EGIT ou áreas cognatas de investigação,

como auditoria e garantia de TI.

Essas questões de pesquisa podem ser uma fonte de inspiração para pesquisadores

neste campo. Existem muitas oportunidades de pesquisa em EGIT e domínios de pesquisa

alinhados. Finalmente e provavelmente mais importante, essas oportunidades têm

implicações tanto para a teoria quanto para a prática.

7 Mitigar: tornar(-se) mais brando, mais suave, menos intenso (ger. dor, sofrimento etc.);

aliviar, suavizar, aplacar. 8 Iteração: repetição.

18

REFERÊNCIAS

Ahern, DM, A. Clouse e R. Turner. 2008. CMMI Distilled: Uma Introdução Prática à Melhoria Integrada de

Processos. 3ª edição . Boston, MA: Addison-Wesley.

Andreu, R. e C. Ciborra. 1996. Aprendizado organizacional e desenvolvimento de capacidades essenciais: o papel

da TI. Journal of Strategic Information Systems 5 (2): 111-127.

Anthony, RN 1965. Sistemas de Planejamento e Controle: Uma Estrutura para Análise . Boston, MA: Divisão de

Pesquisa, Escola de Pós-Graduação em Administração de Empresas, Universidade de Harvard.

Beer, S. 1959. Cibernética e Gestão . Londres, Reino Unido: English Universities Press.

Cerveja, S. 1972. Cérebro da Empresa . Londres, Reino Unido: The Penguin Press.

Berle, AA e GC significa. 1932. A Corporação Moderna e a Propriedade Privada . Nova Iorque, NY: The Macmillan

Company.

Boritz, JE 2005. Opinião dos praticantes sobre os principais conceitos de integridade da informação. Revista

Internacional de Sistemas de Informação Contábil 6 (4): 260-279.

Brown, C. 1997. Examinando o surgimento de soluções híbridas de governança de SI: Evidências de um único site

de caso. Information Systems Research 8 (1): 69-94.

Brynjolfsson, E. 1993. O paradoxo da produtividade da tecnologia da informação. Comunicações do ACM36

(12): 66-77.

Escritório do Gabinete. 2011. ITIL Lifecycle Suite . Londres, Reino Unido: O escritório de artigos de papelaria.

Chan, YE, SL Huff, DW Barclay e DG Copeland. 1997. Orientação estratégica de negócios, orientação estratégica

de sistemas de informação e alinhamento estratégico. Pesquisa de Sistemas de Informação: ISR: Uma Revista do

Institute of Management Sciences 8 (2): 125–150.

Comitê de Organizações Patrocinadoras da Comissão Treadway (COSO). 1992. Controle Interno - Estrutura

Integrada . New York, NY: Comitê de Organizações Patrocinadoras da Comissão Treadway.

Cragg, P., M. Caldeira e J. Ward. 2011. Competências dos sistemas de informação organizacional nas pequenas

e médias empresas. Informação e Gestão 48 (8): 353-363.

Cyert, RM e JG March. 1963. Uma Teoria Comportamental da Empresa . Englewood Cliffs, NJ: Prentice Hall, Inc.

Davern, MJ e CL Wilkin. 2010. Para uma visão integrada da medição de valor de TI. Revista Internacional de

Sistemas de Informação Contábil 11 (1): 42-60.

De Haes, S. e W. Van Grembergen. 2008a. Analisando a Relação entre a Governança de TI e a Maturidade do

Negócio / Alinhamento de TI . Proceedings da 41ª Conferência Internacional do Havaí em Ciências do

Sistema, Kailua-Kona, HI, Shidler College of Business, Universidade do Havaí em Manoa.

De Haes, S. e W. Van Grembergen. 2008b. Um estudo exploratório sobre o projeto de uma linha de base mínima

de governança de TI através da pesquisa Delphi. Comunicações do AIS 22: 443-458.

De Haes, S. e W. Van Grembergen. 2009. Um estudo exploratório sobre implementações de governança de TI e seu

impacto no alinhamento de negócios / TI. Gestão de Sistemas de Informação 26 (2): 123–137.

De Haes, S. e W. Van Grembergen. 2010. Analisando o impacto da governança corporativa das práticas de TI no

desempenho dos negócios. Revista Internacional de Alinhamento e Governança de TI / Negócios 1 (1): 14–38.

De Wit, B. e R. Meyer. 2005. Síntese da Estratégia: Paradoxos da Estratégia Rotativa para Criar Vantagem

Competitiva . Londres, Reino Unido: Cengage Learning EMEA.

Debreceny, RS e GL Gray. 2013. Governança de TI e maturidade de processo: um estudo de campo

multinacional. Jornal de Sistemas de Informação 27 (1).

Elbashir, M. Z., P. A. Collier, and M. J. Davern. 2008. Measuring the effects of business intelligence systems: The

relationship between business process and organizational performance. International Journal of Accounting

Information Systems 9 (3): 135–153.

Feeny, D., and L. Willcocks. 1998. Core IS capabilities for exploiting information technology. Sloan Management

Review 39 (3): 9–21.

Henderson, J. C., and N. Venkatraman. 1993. Strategic alignment: Leveraging information technology for

transforming organizations. IBM Systems Journal 32 (1): 4–16.

Hu, Q., and C. D. Huang. 2006. Using the balanced scorecard to achieve sustained IT-business alignment: A case

study. Communications of AIS 17: 2–45.

Hyvo¨nen, J. 2007. Strategy, performance measurement techniques, and information technology of the firm and

their links to organizational performance. Management Accounting Research 18 (3): 343–366.

ISACA. 2007. COBITt 4.1. Rolling Meadows, IL: ISACA.

ISACA. 2009a. Building the Business Case for COBITt and Val ITe: Executive Briefing. Rolling Meadows, IL: ISACA.

ISACA. 2009b. Implementing and Continually Improving IT Governance. Rolling Meadows, IL: ISACA.

ISACA. 2009c. The Risk IT Framework: Risk IT Based on COBIT. Rolling Meadows, IL: ISACA.

ISACA. 2010. Enterprise Value: Governance of IT Investments. The Val IT Framework 2.0. Rolling

Meadows, IL: ISACA.

ISACA. 2011a. COBIT Mapping: Overview of International IT Guidance. Rolling Meadows, IL: ISACA.

19

ISACA. 2011b. COBITt Process Assessment Model (PAM): Using COBITt 4.1. Rolling Meadows, IL:

ISACA.

ISACA. 2011c. Global Status Report on the Governance of Enterprise IT (GEIT)—2011. Rolling Meadows, IL:

ISACA.

ISACA. 2012a. COBIT 5 Implementation. Rolling Meadows, IL: ISACA.

ISACA. 2012b. COBIT 5: A Business Framework for the Governance and Management of Enterprise IT. Rolling

Meadows, IL: ISACA.

Information Systems Audit and Control Foundation (IASCF). 1994. Control Objectives for Information and Related

Technology: COBIT. Rolling Meadows, IL: Information Systems Audit and Control Foundation.

International Organization for Standardization/International Electrotechnical Commission (ISO/IEC).

2008. ISO/IEC 38500 Corporate Governance of Information Technology. Geneva, Switzerland: International

Organization for Standardization/International Electrotechnical Commission.

IT Governance Institute (ITGI). 2000. COBIT. Rolling Meadows, IL: IT Governance Institute.

IT Governance Institute (ITGI). 2001. Board Briefing on IT Governance. Rolling Meadows, IL: IT Governance

Institute.

IT Governance Institute (ITGI). 2005. COBITt 4. Rolling Meadows, IL: IT Governance Institute.

IT Governance Institute (ITGI). 2006. IT Control Objectives for Sarbanes-Oxley: The Role of IT in the Design and

Implementation of Internal Control over Financial Reporting. 2nd Ed. Rolling Meadows, IL: IT Governance

Institute.

Ives, B., and S. L. Jarvenpaa. 1993. Organizing for global competition: The fit of information technology. Decision

Sciences 24 (3): 547–580.

Janvrin, D. J., E. A. Payne, P. Byrnes, G. P. Schneider, and M. B. Curtis. 2012. The updated COSO

Internal Control—Integrated Framework: Recommendations and opportunities for future research. Journal of

Information Systems 26 (2): 189–213.

Kaplan, R. S., and D. P. Norton. 1996. The Balanced Scorecard: Translating Strategy into Action. Boston, MA:

Harvard Business School Press.

Law, C. C. H., and E. W. T. Ngai. 2007. IT infrastructure capabilities and business process improvements:

Association with IT governance characteristics. Information Resources Management Journal 20 (4): 25–47.

Luftman, J. N. 1996. Competing in the Information Age: Strategic Alignment in Practice. Oxford, U.K.: Oxford

University Press.

March, J., and H. Simon. 1958. Organizations. New York, NY: John Wiley.

O’Connor, N. G., and M. G. Martinsons. 2006. Management of information systems: Insights from accounting

research. Information and Management 43 (8): 1014–1024.

Open Group. 2009. The Open Group Architecture Framework (TOGAF), Version 9. Zaltbommel, The Netherlands:

Van Haren Publishing.

Peterson, R. 2004. Crafting information technology governance. Information Systems Management 21 (4): 7–22.

Porter, M. E. 1979. How competitive forces shape strategy. Harvard Business Review (March-April):137– 145.

Porter, M. E. 1985. Competitive Advantage: Creating and Sustaining Superior Performance. New York, NY: Free

Press.

Sambamurthy, V., and R. W. Zmud. 1999. Arrangements for information technology governance: A theory of

multiple contingencies. MIS Quarterly 23 (2): 261–290.

Simons, R. 1990. The role of management control systems in creating competitive advantage: New

perspectives. Accounting, Organizations and Society 15 (1/2): 127–143.

Simons, R. 2000. Performance Measurement and Control Systems for Implementing Strategy. Upper Saddle River,

NJ: Prentice Hall.

Tarafdar, M., and S. Gordon. 2007. Understanding the influence of information systems competencies on process

innovation: A resource-based view. The Journal of Strategic Information Systems 16 (4): 353–392.

Thorp, J. 2003. The Information Paradox. New York, NY: McGraw-Hill Ryerson.

Tuttle, B., and S. D. Vandervelde. 2007. An empirical examination of CobiT as an internal control framework for

information technology. International Journal of Accounting Information Systems8 (4): 240–263.

Van Grembergen, W., and S. De Haes. 2009. Enterprise Governance of Information Technology: Achieving Strategic

Alignment and Value. New York, NY: Springer.

Van Grembergen, W., R. Saull, and S. J. De Haes. 2003. Linking the IT balanced scorecard to the business

objectives at a major Canadian financial group. Journal for Information Technology Cases and Applications 5

(1): 23–45.

Van Grembergen, W., S. De Haes, and H. Van Brempt. 2008. Understanding How Business Goals Drive IT Goals.

Rolling Meadows, IL: ISACA.

Venkatraman, N., J. C. Henderson, and S. Oldach. 1993. Continuous strategic alignment: Exploiting information

technology capabilities for competitive success. European Management Journal 11 (2): 139–149.

Weill, P. 1990. Strategic investment in information technology: An empirical study. Information Age 12 (3): 141–

147.

20

Weill, P. 1992. The relationship between investment in information technology and firm performance: A study of

the value-manufacturing sector. Information Systems Research 3 (4): 307–333.

Weill, P., and J. W. Ross. 2009. IT Savvy: What Top Executives Must Know to Go From Pain to Gain. Boston, MA:

Harvard Business School Press.

Wilkin, C. L., and R. H. Chenhall. 2010. A review of IT governance: A taxonomy to inform accounting information

systems. Journal of Information Systems 24 (2): 107–146.

Zarvic, N., C. Stolze, M. Boehm, and O. Thomas. 2012. Dependency-based IT governance practices in inter-

organizational collaborations: A graph-driven elaboration. International Journal of InformationManagement 32

(6): 541–549.