Como este tema funciona na sua empresa
COBIT é frequentemente visto como framework distante e acadêmico. Implementação completa seria desproporcional, mas alguns princípios — especialmente governança básica e alinhamento com negócio — trazem valor real. Abordagem pragmática: escolher 2-3 domínios críticos e usar COBIT como checklist, não como processo formal.
COBIT começa a ter lugar. Frequentemente adotado por exigência de cliente, auditoria ou preparação para crescimento. Desafio: implementação incompleta e falta de propriedade clara de domínios. Abordagem: implementação faseada, nomear DRIs (Designated Responsible Individuals) por domínio, usar dashboard simples de maturidade.
COBIT é framework de referência estruturado. Implementação completa de domínios em fases, maturity model integrado, roadmap contínuo de melhoria. Integração com ITIL, ISO 27001, gestão de riscos e strategy. Risco: complexidade burocrática que perde conexão com realidade operacional.
COBIT 2019 (Control Objectives for Information and Related Technology) é framework global de governance e gestão de tecnologia da informação que estrutura como organizações definem, monitoram e alcançam objetivos de TI. Diferente da versão anterior (COBIT 5), COBIT 2019 é orientado por objetivos de negócio e fatores de design, focando em aplicabilidade prática[1].
O que é COBIT 2019 e como difere de versões anteriores
COBIT 2019 é a versão mais recente do framework desenvolvido pela ISACA (Information Systems Audit and Control Association). A mudança de COBIT 5 para 2019 não foi apenas atualizações de conteúdo — foi redesenho fundamental da filosofia.
COBIT 5 era estruturado em 5 áreas de domínios e focava em processos. Você seguia um processo passo-a-passo e media maturidade por processo. COBIT 2019 inverte a lógica: começa com objetivos de negócio (o que você quer alcançar), desce para objetivos de TI (que capacidades de TI você precisa), e então estrutura processos e habilitadores que permitem alcançar esses objetivos[1].
Resultado: COBIT 2019 é mais prático para aplicação porque você não implementa processos por implementar — você implementa porque alcançam algo que importa ao negócio.
Outra mudança importante: COBIT 2019 reconhece que não existe implementação genérica. O framework introduz "fatores de design" — variáveis que definem qual implementação faz sentido para sua organização: tamanho, setor, model de negócio, nível de risco aceitável. Uma fintech tem implementação muito diferente de uma agência de publicidade.
Nível de adoção de COBIT por porte
Meta realista: maturidade nível 2-3 (processos definidos, alguns documentados, não completamente consistentes). Escolher domínios críticos (Governance, Strategy, Risk) e usar COBIT como checklist. Ferramental: templates simples, planilhas, sem investimento em plataforma de GRC.
Meta realista: maturidade nível 3-4 (processos consistentes, métricas, algumas melhorias contínuas). Implementação de 5-7 domínios críticos, dashboard de maturidade, treinamento do time. Ferramental: planilhas estruturadas, possível investimento em plataforma de GRC leve.
Meta realista: maturidade nível 4-5 (processos otimizados, automação, melhoria contínua). Implementação completa de domínios, integração com ITIL e outros frameworks, plataforma de GRC corporativa, audit e assessment formais.
Os domínios de COBIT 2019
COBIT 2019 estrutura 40 objetivos de governance e management sob 5 domínios:
- Govern (EDM — Evaluate, Direct, Monitor) — Como a organização define a direção de TI, monitora conformidade e melhora continuamente. Inclui governança estratégica, gestão de risco, otimização de recursos.
- Manage — Como a organização executa as decisões de governance. Subdivido em 3 subdomínios:
- Align (APO): como TI se alinha com negócio, estratégia, planejamento, organização
- Build (BAI): como você adquire, constrói, implementa e gerencia soluções de TI
- Deliver (DSS): como você entrega serviços de TI, suporta usuários, gerencia operações
- Evaluate (MEA) — Como você monitora, avalia e mede performance de TI contra objetivos e requisitos de conformidade
Cada domínio subdivide-se em processos, e cada processo tem objetivo, atividades, inputs/outputs e métricas.
Para uma pequena empresa que está começando, os processos mais críticos tipicamente são:
- EDM01 — Governance Board: estruturar governança básica (mesmo que simples)
- APO01 — Governance Framework: definir como TI contribui para negócio
- APO02 — Strategy: planejar estratégia de TI e portfólio
- DSS01 — Manage IT Services: entregar serviços com qualidade
- MEA01 — Monitor Performance: medir performance e reportar ao negócio
Fatores de design: como customizar COBIT para sua empresa
COBIT 2019 é genérico por design — o que significa que implementação em uma fintech não parece com implementação em uma agência de RH. Os fatores de design guiam essa customização:
- Escopo: Qual é o escopo de TI que você governa? Apenas infraestrutura on-premise? Inclui cloud? SaaS? Tudo?
- Ambiente organizacional: Qual é a cultura? Você está em indústria regulada (finança, saúde)? Qual é o nível de risco que você pode tolerar?
- Necessidades de TI: TI é centro de custo ou motor de negócio? Isso define quanto você investe em governança
- Objetivos corporativos: Quais são os top 3-5 objetivos de negócio? COBIT deve apoiar eles
- Estratégia de entrega de TI: Você usa modelo tradicional (tudo interno), cloud, hybrid? Governança muda conforme modelo
Exemplo: Uma startups SaaS que cresce rápido vai priorizar APO (alinhamento com negócio em mudança constante), BAI (construção rápida de soluções) e gestão de risco. Uma empresa tradicional estável pode focar em DSS (entregar com consistência) e conformidade.
Como medir maturidade com COBIT
COBIT define modelo de maturidade de 6 níveis (0-5) para cada processo:
- Nível 0 — Incomplete: Processo não é realizado ou falha substancialmente
- Nível 1 — Performed: Processo é executado e alcança objetivo, mas modo informal e reativo
- Nível 2 — Managed: Processo é planejado, executado, monitorado e ajustado; documentação existe
- Nível 3 — Defined: Processo é padronizado, documentado e comunicado; métricas definidas
- Nível 4 — Quantitatively Managed: Processo é controlado usando dados; há automação; contínua otimização
- Nível 5 — Optimized: Processo é inovação contínua; integração com outros processos; melhorias proativas
Para medir maturidade, você conduz assessment — questionário que coleta evidência sobre como cada processo está operando. A partir das respostas, calcular nível de maturidade (1-5).
Abordagem pragmática para empresa iniciante:
- Escolher 5-7 processos críticos (ao invés de todos os 40)
- Para cada processo, responder 3-5 perguntas simples sobre como ele opera (formulário online ou planilha)
- Consolidar respostas e definir nível de maturidade atual
- Definir target de maturidade (ex: nível 3 para os próximos 2 anos) e ações para chegar lá
Ferramentas online como COBIT Toolbox (oferecida pela ISACA) permitem assessment estruturado. Para empresa muito pequena, uma planilha simples com checklist de atividades COBIT já funciona.
Roadmap de implementação faseada
Implementar COBIT não é projeto único — é roadmap de múltiplas fases que pode levar anos em empresa grande. Abordagem recomendada:
Fases de implementação conforme o porte
Fase 1 (mês 1-3): Assess maturidade atual dos 5 processos críticos. Documentar processo governança básico. Fase 2 (mês 4-6): Implementar melhorias quick-win (atas de decisões, documentação simples). Fase 3 (contínuo): Manutenção e ajuste conforme crescimento.
Fase 1 (mês 1-3): Assess governance atual. Definir objetivos COBIT que suportam estratégia de negócio. Fase 2 (mês 4-9): Implementar domínio Govern (governance board, strategy). Fase 3 (mês 10-15): Implementar subdomínio Manage crítico (Align e parte de Build). Revisão e contínuo ajuste após.
Fase 1 (mês 1-6): Assess e design governance corporativa baseada em COBIT. Onda 1 (mês 7-12): Implementar Govern. Onda 2 (mês 13-24): Implementar Manage (todos subdomínios). Onda 3 (mês 25+): Implementar Evaluate, integração com ITIL e frameworks de risco, otimização contínua.
Quick Wins são implementações de baixo custo e alto impacto para ganhar momentum:
- Estruturar reunião de comitê de TI com pauta e atas (EDM)
- Documentar estratégia de TI em 1-2 páginas (APO02)
- Implementar dashboard simples de KPIs de TI (MEA)
- Definir processo de priorização de demandas (APO05)
Quick Wins são importantes porque mostram valor de COBIT rapidamente, mantêm momentum do projeto e justificam investimento contínuo.
Integração com ITIL, ISO 27001 e outras normas
COBIT é framework de governance e estratégia; não substitui frameworks operacionais como ITIL, que detalha como executar serviços de TI.
Na prática, muitas organizações usam COBIT + ITIL + ISO 27001:
- COBIT: "O que TI deve alcançar" (objectives)
- ITIL: "Como entregar TI de forma eficiente" (service management practices)
- ISO 27001: "Como gerenciar segurança da informação" (information security management)
Por exemplo, objetivo COBIT de "gerenciar incidentes de TI" (DSS02) se desdobra em processos ITIL de gestão de incidentes (como responder rápido, escalar, fechar). E implementação de gestão de incidentes segue padrões ISO 27001 de segurança.
Integração efetiva significa:
- Usar COBIT para definir objetivos estratégicos de TI
- Usar ITIL para estruturar processos operacionais que alcançam esses objetivos
- Usar ISO 27001 para garantir segurança em cada processo
- Usar métricas e KPIs (MEA) para medir se tudo junto está funcionando
Risco comum: implementar COBIT, ITIL e ISO 27001 como três projetos separados sem integração — resultado é overhead processual que não agrega valor.
Sinais de que sua empresa precisa estruturar governança com COBIT
Se você se reconhece em três ou mais cenários abaixo, COBIT pode ser ferramenta valiosa para ganhar controle.
- Você não consegue responder "qual é a estratégia de TI" — TI reage a demandas sem direção clara
- Decisões sobre TI são tomadas sem input estruturado de negócio ou com muita subjetividade
- Cliente importante pediu "evidência de governance de TI" e você não tem
- Auditor externo apontou fraquezas em governance (falta de documentação, propriedade unclear)
- Você quer crescer mas sente que TI é bottleneck — falta de estrutura para escalar
- Projetos de TI frequentemente perdem prioridade ou são interrompidos por crises operacionais
- Você não sabe qual é o retorno dos investimentos que faz em TI
Caminhos para implementar COBIT 2019
Implementação de COBIT pode ser conduzida internamente ou com apoio de consultor especializado.
Viável quando você tem gestor de TI experiente e tempo dedicado para estruturar.
- Perfil necessário: gestor de TI com experiência em governance, disposição de aprender COBIT
- Tempo estimado: 3-6 meses para implementação inicial (assessment + primeiras melhorias); contínuo após
- Faz sentido quando: você quer conhecimento interno e tem time disponível
- Risco principal: sem referência externa, pode implementar de forma incompleta ou não otimizada
Indicado quando você quer aceleração e expertise de consultoria.
- Tipo de fornecedor: Consultoria em COBIT e IT Governance, ou auditoria especializada
- Vantagem: expertise consolidada, benchmark com outras empresas, implementação acelerada, treinamento do time
- Faz sentido quando: você precisa de governance rapidamente (ex: cliente pedindo compliance)
- Resultado típico: assessment profissional em 4-6 semanas, implementação de quick-wins e roadmap em 12 semanas
Precisa de apoio para estruturar governança de TI com COBIT?
Se implementar COBIT 2019 é prioridade, o oHub conecta você gratuitamente a consultoras especializadas em governança de TI. Em menos de 3 minutos, você descreve seu ambiente e recebe propostas personalizadas, sem compromisso.
Encontrar fornecedores de TI no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
Qual é a diferença entre COBIT 2019 e COBIT 5?
COBIT 5 era estruturado em domínios de processo. COBIT 2019 inverte a lógica: começa com objetivos de negócio e desce para processos que os alcançam. COBIT 2019 também introduz "fatores de design" que reconhecem que cada organização é diferente — não existe implementação único-tamanho-serve-todos.
Como implementar COBIT 2019 em minha empresa?
Comece com assessment de maturidade atual de processos críticos (5-7 processos). Defina objetivos COBIT que suportam estratégia de negócio. Implemente em fases: quick wins primeiro, depois consolidação. Para PME, abordagem pragmática é usar COBIT como checklist, não tentar implementação completa.
Quais são os domínios do COBIT 2019?
COBIT 2019 tem 5 domínios: Govern (governance estratégica), Manage (execução — subdividido em Align, Build, Deliver), Evaluate (avaliação e conformidade). Cada domínio contém múltiplos processos com objetivos, atividades e métricas.
COBIT 2019 é obrigatório no Brasil?
COBIT não é obrigatório por lei. É obrigatório quando cliente, auditor ou regulador pede compliance com COBIT. Em setores regulados (finança, saúde), governance de TI é frequentemente requisito e COBIT é framework comumente aceito.
Como medir maturidade com COBIT 2019?
COBIT define modelo de maturidade 0-5 (incomplete até optimized). Para medir, conduzir assessment (questionário estruturado) sobre como cada processo opera. Ferramentas como COBIT Toolbox ajudam. Para PME, assessment simples em planilha já funciona.
Quanto custa implementar COBIT 2019?
Custo varia muito. Implementação interna pode ser baixa (tempo de gestor de TI). Com consultor, espere de $50k a $500k dependendo de escopo (PME vs. grande empresa, assessment vs. implementação completa). ROI geralmente se materializa em 12-24 meses através de melhor eficiência, redução de riscos e decisões mais fundamentadas.
Fontes e referências
- ISACA. COBIT 2019 Framework: Governance and Management Objectives. ISACA.
- ISO/IEC. ISO/IEC 38500:2015 — Governance of Information Technology for the Organization. International Organization for Standardization.
- Axelos. ITIL 4 Foundation: Create, Deliver and Support Valuable Services. Axelos/PeopleCert.