Anda di halaman 1dari 339

Governana em Tecnologia

da Informao
Volume nico

TI

Apoio:

Luis Claudio dos Santos


Lcia Blondet Baruque

Fundao Cecierj / Extenso


Rua Visconde de Niteri, 1364 Mangueira Rio de Janeiro, RJ CEP 20943-001
Tel.: (21) 2334-1569 Fax: (21) 2568-0725
Presidente
Masako Oya Masuda
Vice-presidente
Mirian Crapez
Coordenadora da rea de Governana: Gesto, Auditoria
e Tecnologia da Informao
Lcia Blondet Baruque

Material Didtico
Departamento de Produo

ORGANIZAO

Lcia Blondet Baruque


ELABORAO DE CONTEDO

Luis Claudio dos Santos


Lcia Blondet Baruque
REVISO LINGUSTICA

Alexandre Rodrigues Alves

EDITORA

ILUSTRAO

Fbio Rapello Alencar

Alessandra Nogueira

REVISO TIPOGRFICA

CAPA

Equipe CEDERJ

Alessandra Nogueira

COORDENAO DE
PRODUO

PRODUO GRFICA

Vernica Paranhos

Ronaldo d'Aguiar Silva


PROGRAMAO VISUAL

Carlos Cordeiro

Copyright 2010, Fundao Cecierj / Consrcio Cederj


Nenhuma parte deste material poder ser reproduzida, transmitida e gravada, por qualquer meio
eletrnico, mecnico, por fotocpia e outros, sem a prvia autorizao, por escrito, da Fundao.

S237g
Santos, Luis Claudio dos.
Governana em Tecnologia da Informao: v. 1 /
Luis Claudio dos Santos, Lcia Blondet Baruque. Rio de Janeiro:
Fundao CECIERJ, 2010.
336 p.; 19 x 26,5 cm.
ISBN: 978-85-7648-662-6
1. Governana. 2. Tecnologia da Informao. I. Baruque, Lcia
Blondet. II. Ttulo.

CDD: 004
2010/1
Referncias Bibliogrficas e catalogao na fonte, de acordo com as normas da ABNT e AACR2.

Governo do Estado do Rio de Janeiro

Governador
Srgio Cabral Filho

Secretrio de Estado de Cincia e Tecnologia


Alexandre Cardoso

Universidades Consorciadas
UENF - UNIVERSIDADE ESTADUAL DO
NORTE FLUMINENSE DARCY RIBEIRO
Reitor: Almy Junior Cordeiro de Carvalho

UFRJ - UNIVERSIDADE FEDERAL DO


RIO DE JANEIRO
Reitor: Alosio Teixeira

UERJ - UNIVERSIDADE DO ESTADO DO


RIO DE JANEIRO
Reitor: Ricardo Vieiralves

UFRRJ - UNIVERSIDADE FEDERAL RURAL


DO RIO DE JANEIRO
Reitor: Ricardo Motta Miranda

UFF - UNIVERSIDADE FEDERAL FLUMINENSE


Reitor: Roberto de Souza Salles

UNIRIO - UNIVERSIDADE FEDERAL DO ESTADO


DO RIO DE JANEIRO
Reitora: Malvina Tania Tuttman

Governana em Tecnologia
da Informao
SUMRIO

Volume nico

Prefcio ........................................................................................................ 7
Aguinaldo Aragon Fernandes

Introduo ............................................................................................... 11
Lcia Blondet Baruque / Luis Claudio dos Santos

Aula 1 Conceitos relacionados Governana .......................................... 21


Luis Claudio dos Santos / Lcia Blondet Baruque

Aula 2 Governana em TI .......................................................................... 51


Luis Claudio dos Santos / Lcia Blondet Baruque

Aula 3 ITIL: histrico, evoluo e conceitos............................................. 75


Luis Claudio dos Santos / Lcia Blondet Baruque

Aula 4 O suporte a servio de TI na ITIL v2. .......................................... 101


Luis Claudio dos Santos / Lcia Blondet Baruque

Aula 5 A entrega de servios de TI na ITIL v2. ...................................... 125


Luis Claudio dos Santos / Lcia Blondet Baruque

Aula 6 ITIL v3 evoluo focada no ciclo de vida do servio de TI


Parte 1.......................................................................................... 151
Luis Claudio dos Santos / Lcia Blondet Baruque

Aula 7 ITIL v3 evoluo focada no ciclo de vida do servio de TI


Parte 2.......................................................................................... 171
Luis Claudio dos Santos / Lcia Blondet Baruque

Aula 8 Introduo ao COBIT v4.1 Parte 1 ........................................... 193


Luis Claudio dos Santos / Lcia Blondet Baruque

Aula 9 Introduo ao COBIT v4.1 Parte 2. ......................................... 221


Luis Claudio dos Santos / Lcia Blondet Baruque

Aula 10 COBIT v4.1 Planejando, organizando, adquirindo e


implementando ......................................................................... 245
Luis Claudio dos Santos / Lcia Blondet Baruque

Aula 11 COBIT v4.1 Entregando, dando suporte, monitorando e


avaliando processos de TI.......................................................... 275
Luis Claudio dos Santos / Lcia Blondet Baruque

Aula 12 Outros modelos e normas de Governana................................. 299


Luis Claudio dos Santos / Lcia Blondet Baruque

Referncias ............................................................................................ 329

prefcio

Governana em Tecnologia da Informao


Atualmente no existe uma gesto empresarial, governamental e
do Terceiro Setor eficientes e eficazes sem os recursos de Tecnologia da
Informao (TI).
A Tecnologia da Informao vem permeando todos os processos
gerenciais e operacionais das organizaes, fazendo com que se produza
mais com menos, com menores custos. Possibilita tambm tomadas de
decises baseadas em informaes mais acuradas; isto melhora, portanto, o rendimento das empresas em atendimento ao seu mercado e
pblico-alvo e, por conseguinte, sua prosperidade e perenidade, gerando
riquezas, de forma direta ou indireta, para toda a sociedade.
Outro aspecto da TI, importante mencionar, que as redes de
computadores e os mundos virtuais vm aproximando, instantaneamente, a comunicao entre organizaes e seus clientes e fornecedores. Se
pegarmos um exemplo de uma cadeia produtiva industrial ou de servios, as mesmas j podem ser interligadas em tempo real possibilitando
a realidade da cadeia de valor estendida ou a organizao em rede,
transpondo agora barreiras nacionais.
Entretanto, ao mesmo tempo em que a TI fornece meios relativamente baratos para que a organizao alcance seus objetivos e se insira
neste mundo em rede, talvez um dos principais elementos de risco
operacional para as organizaes. Quanto maior a dependncia da
organizao com relao TI, maior o risco para os negcios.

Governana em Tecnologia da Informao

| Conceitos relacionados Governana em TI

bvio que a TI deve estar agregando valor para o negcio. A TI alinhada


ao negcio representa, por um lado, maior potencial para explorar cada
vez mais as oportunidades que surgirem; por outro, maior competncia
para evitar riscos que podem gerar perdas financeiras para a organizao e seus clientes (como nos casos de fraudes digitais em organizaes
bancrias e de carto de crdito, por exemplo).
Dessa forma, agora em 2010, no se concebe mais miopia na
gesto da TI. O fazejamento sem um alinhamento ao negcio e sem
agregar valor o principal elemento de descrdito de vrias reas de TI
nas organizaes, que no atendem a contento os requisitos do negcio
e as expem a riscos enormes.
Alm de exigir uma nova postura e uma srie de novas habilidades gerenciais dos gestores da TI nas organizaes, visando a facilitar o
entendimento mtuo entre TI e negcio, tambm preciso novas formas
de gesto, cujas melhores prticas de mercado podem propiciar um
excelente arcabouo para a gesto eficaz e eficiente da TI.
A minha experincia profissional, atuando em variados tipos de
organizaes, sejam pblicas e privadas, ao longo desses ltimos anos
tem me demonstrado que existe um grande hiato de formao gerencial
entre os executivos de TI, os quais, em sua grande maioria, tiveram uma
formao tcnica.
Neste contexto, da necessidade de melhorarmos a gesto da TI
nas organizaes, temos a emergente disciplina de Governana de TI
que, uma vez implantada nas organizaes, propicia reduo de riscos
da TI para o negcio, maior alinhamento da TI ao negcio, atendimento
a requisitos regulatrios de compliance internos e externos, agregao
de valor ao negcio, dentre outros objetivos.
Portanto, tenho que comemorar e dar minhas congratulaes
professora Lcia Baruque e ao professor Luis Claudio pela brilhante
iniciativa de estruturar e disponibilizar um curso a distncia sobre o tema
Governana em Tecnologia da Informao, possibilitando a milhares de
jovens e executivos de TI resolver este hiato de conhecimento rumo a
uma gesto profissional da TI nas organizaes.
Este curso, com certeza, estar atendendo a um clamor do negcio
nas organizaes.

Governana: Gesto, Auditoria e Tecnologia da Informao e Comunicao

Pela leitura do livro que acompanha o curso, o leitor adentrar


em temas que so cruciais para a gesto da TI, como a questo do alinhamento da TI ao negcio, os conceitos de Governana de TI, o estudo
sobre os principais modelos de melhores prticas como o CobiT e o ITIL,
e outros modelos igualmente importantes.
O leitor tambm se deparar com uma leitura muito didtica, fcil
de ser compreendida, com conceitos, exemplos e exerccios muito bem
elaborados visando ao aprendizado efetivo da matria.
Este livro serve tanto para o aprendiz em gesto de TI quanto para
os executivos de TI que ainda carecem de conhecimento sobre esse tema
crucial para o seu desempenho junto sua organizao.
Lembro, porm, que todo o conhecimento que seja adquirido deve
se tornar algo prtico no dia a dia das organizaes e, falando em Governana de TI, vimos que cada organizao requer o seu modelo prprio
particular e que tenha aderncia na sua cultura e filosofia de gesto.
Portanto a segunda parte da obteno do conhecimento colocar
em prtica o que se aprendeu e observar as lies aprendidas para implementar o que seja mais adequado dentro das premissas da organizao
(sua maturidade, restries oramentrias, estilos de gesto etc.).
Finalizando, tenho certeza de que o curso e o livro sero um marco
tanto no ensino a distncia como na literatura nacional sobre o tema.
Santana de Parnaba, 7 de fevereiro de 2010.
Prof. Dr. Aguinaldo Aragon Fernandes, CGEIT

CEC I E R J E X T E N S O E M G O V E R N A N A

Aguinaldo Aragon Fernandes


bacharel em Administrao
de Empresas pela Universidade Federal do Rio Grande
do Sul (1976), mestre em
Cincias em Administrao
pela Coppead, Universidade
Federal do Rio de Janeiro
(1983) e doutor em Engenharia de Produo pela Escola
Politcnica de Engenharia da
USP (2000), auditor lder de
Sistemas da Qualidade ISO
9001 e especialista em Gesto da Qualidade Total pela FGV. Profissional
e pesquisador da rea de tecnologia da informao com atuao no
mercado h mais de 35 anos. autor de vrios trabalhos publicados,
dentre os quais os livros Planejamento e controle de sistemas de informao, publicado pela Livros Tcnicos e Cientficos, em 1984, Gerncia
de projetos de sistemas: uma abordagem prtica, publicado pela Livros
Tcnicos e Cientficos, em 1989, com segunda edio em 1990; Gerncia estratgica da tecnologia da informao: como obter vantagens
competitivas, publicado tambm pela Livros Tcnicos e Cientficos em
1992; Gerncia de software atravs de mtricas, publicado pela Editora
Atlas em 1995; Fbrica de software: implantao e gesto de operaes,
publicado pela Editora Atlas em 2004, e Implantando a Governana de
TI: da estratgia gesto dos processos e servios, no prelo, publicado
pela Brasport, em 2006.
Ao longo de sua carreira atuou como analista, gerente e diretor em
empresas de prestao de servios em informtica, tendo prestado
servios tanto para instituies pblicas como privadas, tais como MEC,
Ministrio da Aeronutica, Bradesco, Ita, Citibank, BankBoston, Philip
Morris, Unisys, Getronics, Plen Technologies, Carlson Wagonlit, SPI
Automation, Ogeda, CPM, Accor Services, Banco IBI, C&A, BSI Tecnologia,
ABN AMRO Real S.A., Financeira Aymor, CEF, BB, Asbace/ATP, Consoft,
Altran,CVC,Visanet, Eletrobrs, BicBanco,etc. Na indstria de servios
de TI foi pioneiro no desenvolvimento de produtos e servios, como a
primeira fbrica de software do Brasil, operaes de outsourcing de
sistemas, metodologias de desenvolvimento de software, de gesto de
projetos, de garantia da qualidade, de mtricas, etc. Teve a oportunidade de coordenar e implantar modelos de qualidade para software e
suporte baseados na ISO e no SW-CMM e CMMI. professor do MBA
de Gesto da TI FIA/USP nas disciplinas de gesto de operaes de
servios de TI, das quais tambm coordenador. Professor do Ibmec
e orientador de teses de mestrado no IPT. Conselheiro Cientfico do
Instituto de Tecnologia de Software de So Paulo, membro do Isaca e
ITIL Foundation Certified pela EXIN, CobiT Foundation e CGEIT pelo
Isaca. Atualmente, atua nas suas empresas, ITSS e Aragon Consultores
Associados em projetos de Governana de TI e gesto empresarial e
governamental.

introduo

Governana em TI

| Introduo

Se voc no sabe para onde voc quer ir, qualquer caminho


voc pode seguir. Se voc no sabe onde voc est,
um mapa no vai ajudar.
Roger Pressman

Voc sabe o que Governana?

Governana o conjunto de responsabilidades e prticas exercidas pela diretoria e


pela gerncia executiva com o objetivo de prover uma direo
estratgica
es
empresa, assegurando que seus objetivos sejam alcanados e seus riscos gerenciados apropriadamente, verificando
que seus recursos sejam usados de forma responsvel,
com tica e transparncia.

Repare que, em linhas gerais, o processo de governana nas


empresas visa a responder a quatro questes bsicas:
1. Se a empresa est fazendo as coisas certas.
2. Se a empresa est atuando de forma correta.
3. Se o uso de recursos eficaz e eficiente.
4. Se os objetivos estabelecidos so alcanados.
Observe que o conceito de governana relativamente novo, mas
j se reconhece que boas prticas de governana aplicam-se a qualquer
tipo de empreendimento. Pense e responda: quais so as trs principais
reas do conhecimento que podem contribuir diretamente para uma boa
governana?
12

Governana: Gesto, Auditoria e Tecnologia da Informao

INTRODUO

Figura 1: Os trs pilares da Governana.

Cada uma dessas reas tem um objetivo definido dentro da


governana:
Gesto estabelece um sistema de controle gerencial, bem
como um ambiente que promova o alcance dos objetivos do
negcio.
Auditoria avalia de forma independente a adequao e a eficcia dos controles estabelecidos pela gerncia/diretoria.
Tecnologia da Informao apoia e capacita a execuo dos
controles do nvel estratgico ao operacional.

CEC I E R J E X T E N S O E M G O V E R N A N A

13

Governana em TI

| Introduo

STAKEHOLDERS
So as partes interessadas de um
negcio, projeto etc.
De maneira abrangente, podemos
pensar que h trs
grupos de stakeholders: aquelas pessoas
ou instituies que
possuem algum tipo
de envolvimento
profissional ou pessoal com a empresa
(investidores, clientes, funcionrios,
fornecedores, credores, acionistas,
usurios, parceiros
etc.); as pessoas que
podem ser afetadas,
de alguma forma,
pelos resultados da
operao da empresa
(uma comunidade
contrria construo de um viaduto
etc.).

A Governana Corporativa tornou-se um tema dominante


nos negcios por ocasio dos vrios escndalos financeiros
ocorridos nos EUA em meados de 2002 Enron, Worldcom e
Tyco, para citar apenas alguns. A gravidade de tais escndalos
abalou a confiana de investidores, realando a necessidade
das empresas de proteger o interesse de seus STAKEHOLDERS.
A Governana Corporativa tem a gerncia de risco como um
de seus principais componentes, que so: planejamento estratgico, liderana, definio de processos, acompanhamento
e gerncia de riscos.

O papel da Governana em TI na governana da empresa

Imagine-se como um gerente executivo de uma grande empresa que


est sendo alvo constante de diversos ataques cibernticos. Tente agora
calcular o quanto a sua empresa pode vir a perder diante dessa situao.
Exatamente! Nos ambientes de negcio dinmicos e turbulentos de hoje, a TI serve no s para apoiar, mas, principalmente, para
capacitar a misso das empresas. Enquanto, no passado, os executivos
podiam delegar, ignorar ou evitar as decises relacionadas TI, isto hoje
simplesmente impossvel. A dependncia da TI torna-se cada vez mais
crtica, em uma economia baseada no conhecimento, onde as organizaes usam a tecnologia para gerenciar, desenvolver e reportar sobre
ativos intangveis, tais como informao e conhecimento. O sucesso da
empresa s pode ser obtido quando tais ativos so seguros, precisos,
confiveis, e fornecidos no tempo certo pessoa certa.
Tal dependncia da TI implica uma grande vulnerabilidade que
inerente aos ambientes complexos de TI. Ameaas tais como erros
e omisses, abusos, crimes cibernticos, fraudes, bem como sistemas
indisponveis custam muito caro para qualquer organizao.
Observe que, por um lado, a TI requer grandes investimentos de
capital e, por outro, os acionistas das empresas esto vidos por saber o
valor gerado por tais investimentos. Agora responda seguinte pergunta:
Por que a TI no agrega o valor esperado ao negcio? Na realidade, h uma
falta de alinhamento entre os objetivos do negcio e as atividades de TI.

14

Governana: Gesto, Auditoria e Tecnologia da Informao

INTRODUO

Tudo isto revela que a dependncia crtica das empresas em relao


TI requer um foco especfico em como govern-la. Isto necessrio para
assegurar no s bons resultados dos investimentos feitos em TI, como
tambm que os riscos associados a sua aplicao sejam mitigados.
Voc deve estar se perguntando: "O que tudo isto tem a ver com
a governana da empresa em geral?"
A Governana Empresarial um sistema atravs do qual as entidades
so dirigidas e controladas. A dependncia que o negcio tem da TI faz com
que os problemas referentes a Governana no possam ser resolvidos sem
considerar a TI. A Governana Empresarial deve, portanto, dirigir e contribuir para o estabelecimento da Governana em TI. A TI, por sua vez, pode
influenciar as oportunidades estratgicas da empresa, fornecendo informaes
valiosas para a elaborao de planos estratgicos. Dessa forma, a Governana
em TI ajuda a empresa a tirar o mximo proveito da informao e pode ser
vista como um fator propulsor da Governana Empresarial.
Agora vamos investigar melhor esta relao. Perceba que as atividades da empresa requerem informaes extradas das atividades de TI para
alcanar os objetivos do negcio e que a TI tem que estar alinhada com as
atividades da empresa para tirar o mximo proveito de suas informaes.
Assim, a Governana em TI e a Governana Empresarial no podem ser
consideradas disciplinas distintas e isoladas, sendo que aquela deve ser
integrada estrutura geral desta, conforme mostra a Figura 2:
Governana Corporativa
foca-se em:
Sude financeira da
empresa
Estratgia
Controladoria
Gesto de riscos
Gesto de eventos
crticos
Confiabilidade dos
recursos financeiros

Governana em TI foca-se em:

Governana
Corporativa

Governana
em TI

Alinhamento de TI com os objetivos


do negcio
Uso dos recursos de TI
Gerncia dos riscos de TI
Valor agregado

Governana
Empresarial

Governana Empresarial foca-se em:


Planejamento estratgico e alinhamento
com os objetivos da empresa
Gesto de sistemas financeiros e contbeis
Operaes da empresa
Controles internos
Figura 2: Dimenses da Governana.
CEC I E R J E X T E N S O E M G O V E R N A N A

15

Governana em TI

GOVERNANA

| Introduo

EM

TI

de responsabilidade da diretoria e
gerncia executiva,
sendo uma parte
integrante da Governana Empresarial e
consiste de liderana,
estruturas e processos organizacionais
que asseguram que a
TI apoia e amplia as
estratgias e os objetivos da organizao.
O COBIT
Control Objectives
for Information and
related Technology
um guia elaborado
pelo Information
Systems Audit and
Control Association,
estruturado como
framework, orientado a processo, que
apresenta objetivos
de controle a serem
aplicados desde o
planejamento da TI
at a sua avaliao,
de forma a ajudar
no gerenciamento da
TI, maximizando o
retorno sobre seus
investimentos.
ITIL (INFORMATION
TECHNOLOGY INFRASTRUCTURE LIBRARY)
um conjunto de
boas prticas para
elaborao, implantao e gerenciamento de processos de
TI, criada pela secretaria de comrcio
(Office of Government Commerce
OGC) do governo
ingls, tendo como
foco a descrio dos
processos necessrios
para gerenciar a
infraestrutura de TI
de forma eficiente e
eficaz e objetivando
garantir os nveis de
servio acordados
com os clientes internos e externos.

Agora que voc j entendeu a relao da Governana em TI com


a governana da empresa como um todo, tpico que ser aprofundado
mais adiante no curso, pense em quais ferramentas as organizaes
possuem para implementar a GOVERNANA EM TI. Voc j ouviu falar no
COBIT ou na ITIL?
A ITIL e o COBIT representam uma parte pequena da Governana podendo se incluir neste conceito conjuntos de boas prticas
como o guia PMBOK, a famlia de normas ISO para Gerenciamento
de Servios de TI (ISO 20000), a famlia de normas ISO para implementao do Sistema de Gerenciamento da Segurana da Informao (ISO
27000), conjuntos de boas prticas para Gerenciamento de Servios de
Telecomunicao (eTOM), alm de vrias outras normas, padres e
filosofias que possam ajudar de alguma forma a empresa a aumentar o
seu grau de maturidade em uma determinada rea de processos.
O contedo de nosso curso vai ter como foco, principalmente, os
controles do COBIT e as prticas da ITIL. O conceito de Governana muito mais amplo e vai alm daquilo que costuma ser tratado no
mercado, onde somente a ITIL e o COBIT so mencionados. Alguns
captulos tambm abordaro o conceito geral de estratgia e de governana e outras normas e padres, de maneira menos detalhada.
Note que cada vez mais as empresas requerem de voc, profissional de Gerncia ou de TI, conhecimentos sobre as melhores prticas
do mercado. A esta altura, voc deve estar preocupado com o nmero
de boas prticas, normas, padres etc. que dever absorver para poder
trabalhar com Governana em TI. No se preocupe. Saiba que a Fundao
Cecierj trabalha para apoiar voc nessa meta!
Representada pela professora Masako Masuda e pela professora
Mirian Crapez, a Fundao ampliou a sua misso e incluiu no escopo
do seu pblico-alvo os profissionais de mercado. No incio de 2008, foi
estabelecida uma nova rea do conhecimento na Diretoria de Extenso
voltada para a oferta de cursos no s aos professores da Educao
Bsica, mas tambm aos demais profissionais, intitulada Governana:
Gesto, Auditoria e Tecnologia da Informao (TI).
Um dos objetivos dessa rea, projetada e implantada pelas professoras Lcia Baruque e Cssia Baruque, de que os profissionais do
conhecimento, que so parte essencial da sociedade da informao,
possam se capacitar e se atualizar em temas de ponta, incluindo aqueles
que moram no interior do Estado.

16

Governana: Gesto, Auditoria e Tecnologia da Informao

INTRODUO

Sociedade da Informao
aquela cujo modelo de desenvolvimento social e
econmico baseia-se na informao como meio de criao do
co
conhecimento. Ela desempenha papel fundamental na produo de
riqueza e na contribuio para o bem-estar e a qualidade de
vida dos cidados. Tal sociedade encontra-se em processo de formao e expanso.

Profissional do conhecimento um termo adaptado de


knowledge worker, referindo-se a profissionais que trabalham
diretamente com a informao, produzindo ou fazendo uso do
conhecimento, em oposio queles envolvidos na produo
de bens ou servios. So analistas de sistemas, programadores,
desenvolvedores de produtos ou pessoal ligado tarefa de
planejamento e anlise, bem como pesquisadores envolvidos
principalmente com a aquisio, anlise e manipulao da
informao.
Esse termo foi popularizado pelo guru Peter Drucker.

Agora que voc est familiarizado com o conceito de Governana


e com a importncia de adquirir conhecimentos sobre Governana em
TI, mos obra. Vamos aprender muito a seguir!

Este material foi projetado para ser autoinstrucional. Entretanto, voc pode interagir com outros profissionais da rea ou
mesmo realizar atividades adicionais com feedback do tutor, ao
participar do nosso curso no ambiente virtual de aprendizagem
da Fundao.
Para maiores informaes, acesse: http://www.cederj.edu.br/
extensao/governanca/index.htm

Bons estudos e conte conosco!

CEC I E R J E X T E N S O E M G O V E R N A N A

17

Governana em TI

| Introduo

INFORMAES SOBRE O CURSO

Objetivo geral
Capacitar os participantes na aplicao de ferramentas e tcnicas para a
construo de processos baseados nos controles
do COBIT, nas boas prticas da ITIL e em outros
mo
modelos e normas visando gesto eficaz e eficiente da
Gove
Governana em TI, atendendo aos requisitos de responsabilidade, prestao de contas e transparncia.

Objetivos especficos
Aps este curso, o participante ir adquirir as seguintes capacidades:
Reconhecer e aplicar conceitos fundamentais da Governana em TI, tais
como eficincia operacional, eficcia estratgica, alinhamento estratgico
da TI, modelos de maturidade e objetivos de controle.
Realizar avaliao de maturidade em todas as reas de processo da TI com
base no COBIT.
Gerenciar ou participar de projetos de Governana em TI com base nos controles do COBIT.
Gerenciar ou participar de projetos para a construo de processos de TI com
base nas boas prticas da ITIL (v.2 ou v.3).
Verificar o que so e para que servem, no contexto da Governana em TI, outras
normas, padres ou modelos de boas prticas, como a ISO 38500, a ISO 20000, a
ISO 27000, o eSCM e o MOF.

Pblico-alvo
Este curso destinado a profissionais com curso superior interessados em
adquirir capacidades e desenvolver habilidades relacionadas ao contexto da
Governana em TI, principalmente com base no COBIT e na ITIL.

Ementa
Conceitos relacionados Governana em TI.
Conformidade regulatria versus Tecnologia da Informao.
ITIL v.2: o gerenciamento de servios de TI.
ITIL v.3: o ciclo de vida de servios de TI.
O COBIT v.4.1: conceitos e fundamentos.
reas de processo e objetivos de controle do COBIT.
Outros modelos e normas para a Governana em TI.
Projeto de Governana em TI.
Carga horria: 45 horas-aula.

18

Governana: Gesto, Auditoria e Tecnologia da Informao

INTRODUO

Masako Oya Masuda


Presidente da Fundao Centro de
Cincias e Educao Superior a Distncia do Estado do Rio de Janeiro
(Cecierj), vinculada Secretaria de
Estado de Cincia e Tecnologia. Possui graduao em Cincias Biolgicas pela Universidade de So Paulo,
mestrado em Cincias Biolgicas
(Biofsica) pela Universidade Federal do Rio de Janeiro, doutorado
em Cincias Biolgicas (Biofsica) pela Universidade Federal do Rio
de Janeiro e ps-doutorado pela University of California. Tem experincia na rea de Fisiologia, com nfase em Fisiologia Geral.

Mirian Araujo Carlos Crapez


Vice-presidente de Educao Superior a Distncia da Fundao Cecierj.
Graduada em Cincias Biolgicas pela
Universidade Federal de Minas Gerais,
com doutorado em Metabolismo de
aromticos e poliaromticos, realizado na Universit D'Aix-Marseille II, e
ps-doutorado na Universit Paris VI
(Pierre et Marie Curie). Atualmente
professora associada da Universidade
Federal Fluminense.

Lcia Blondet Baruque


Mestre e doutora em Informtica
pela PUC-Rio; bacharel em Cincias
Econmicas pela UFRJ; possui Certificate in Management pela John Cabot
University (Roma). Foi professora no
curso de ps-graduao de Anlise,
Projeto e Gerncia de Sistemas e
atuou no Centro de Educao a
Distncia da PUC-Rio. Atualmente,
professora associada da Fundao
Cecierj, coordenadora da rea de
Governana: Gesto, Auditoria e Tecnologia da Informao e
pesquisadora associada do Laboratrio de Tecnologia em Banco
de Dados da PUC-Rio. Trabalhou na auditoria da Exxon Company
International e na ONU, em Roma, bem como na diretoria do
Instituto dos Auditores Internos do Brasil. Membro do Institute
of Internal Auditors. CIA, CISA Exam.

CEC I E R J E X T E N S O E M G O V E R N A N A

19

Governana em TI

| Introduo

Cssia Blondet Baruque


Foi mestre e doutora em Informtica
pela PUC-Rio. Foi docente e atuou
como cocoordenadora da rea de
Governana: Gesto, Auditoria e Tecnologia da Informao da Fundao
Cecierj e como pesquisadora associada do Laboratrio de Tecnologia em
Banco de Dados da PUC-Rio. Trabalhou
como pesquisadora e professora na
PUC-Rio, IMPA, FGV-online e UEZO em temas como e-learning, bibliotecas digitais, data warehousing/OLAP e minerao de dados, alm de ter
exercido cargos importantes, o que lhe conferiu grande experincia em
desenvolvimento de sistemas, nas empresas Fininvest, Cyanamid, Banco
Nacional, Capemi, Shell e RFFSA.

Luis Claudio dos Santos


Mestre em Comunicaes Mveis pela
PUC-Rio e ps-graduado pelo programa
Management of Technology in Computer Networks do NCE/UFRJ. Graduou-se
em Engenharia de Computao pelo
ITA. Possui certificaes nas reas de
Gerenciamento de Projetos e Governana em TI (PMP, ITIL e COBIT). Possui
dez anos de experincia em Gesto
de Projetos e TI. Atua como consultor
na empresa Primmer e professor em
cursos de ps-graduao em universidades de So Paulo (Grupo Ibmec e
FIAP). Atua como Subject Matter Expert junto ao PMI (Project Management Institute), participando da elaborao dos exames de certificao
PMP e CAPM. Trabalhou no Departamento de Controle do Espao Areo,
da Aeronutica. Participou de projetos de maturidade em Gesto de
Servios de TI e Gerenciamento de Projetos para empresas de mdio e
grande porte de domnio pblico e privado. Como instrutor, ministrou
nessas reas mais de cinquenta treinamentos in company.

20

Governana: Gesto, Auditoria e Tecnologia da Informao

AULA

Conceitos relacionados
Governana

Meta da aula

objetivos

Explicar os conceitos iniciais relacionados


Governana em TI.

Ao final desta aula, voc dever ser capaz de:


1

listar e exemplificar os conceitos bsicos sobre o tema da aula, tais


como: eficincia operacional, eficcia estratgica, processos, melhoria
contnua, normas, boas prticas e regulamentos;

descrever e explicar o conceito de alinhamento estratgico da TI;

aplicar o grid estratgico e a matriz de informao.

Governana em Tecnologia da Informao

| Conceitos relacionados Governana em TI

INTRODUO

Voc j deve ter ouvido em algum lugar que hoje em dia a TI cada
vez mais importante para todas as empresas. Nesta aula voc aprender como se pode medir de maneira objetiva o nvel de importncia
da TI em uma empresa atravs de ferramentas muito simples. Alm
disso, voc aprender o que , afinal, o to almejado alinhamento
estratgico da TI.

As duas questes mais importantes em nossas primeiras aulas so:


O que planejamento estratgico?
O que Governana em TI?
No por coincidncia que nossas duas primeiras aulas so voltadas a responder
a essas questes. Nesta primeira aula ns vamos tratar do conceito de planejamento estratgico organizacional, com nfase no planejamento estratgico
da TI. Na segunda aula iremos discutir o conceito de Governana.

CONCEITOS INICIAIS
A evoluo da TI nas organizaes
Vrios autores buscaram definir a evoluo da TI nas organizaes.
Laurindo (2008) considera uma srie de outros estudos e apresenta divises que podem ser vistas como eras da evoluo da TI. Vamos utilizar
uma diviso derivada daquelas apresentadas em Laurindo e que servir
bem aos propsitos de nossas aulas de agora em diante.

22

Governana: Gesto, Auditoria e Tecnologia da Informao

Processamento de dados (anos 1950 a 1970)

AULA

Essa era se caracterizou pelo foco na eficincia operacional


da TI. A competitividade das organizaes era limitada e as decises da
TI, assim como a sua operao, eram centralizadas por poucos especialistas em tecnologia.

Figura 1.1: A TI nos anos 1950.

Sistemas de informaes gerenciais (anos 1970 e 1980)


Essa era se caracterizou pelo foco na eficcia estratgica na gesto
da TI e os gestores comearam a se beneficiar de uma grande quantidade de dados que comeava a ficar disponvel em sistemas de banco
de dados.
Sistemas de informaes estratgicas (anos 1980 e 1990)
Nesse perodo o foco se manteve voltado para o uso estratgico da
TI. A TI ento comeou a ser vista no somente como algo que poderia
auxiliar as empresas a atingir suas metas de negcio, mas tambm como
um fator que poderia mudar completamente o prprio negcio.
Computao onipresente (anos 1990
at hoje)
Este perodo o "estado-da-arte" em que
se encontra a TI. Alguns se referem a essa era
usando a expresso computao ubqua, isto ,
acesso s funes e operao da TI em todo lugar,
a qualquer hora a partir de qualquer meio.

Figura 1.2: A TI nos anos 1990.

CEC I E R J E X T E N S O E M G O V E R N A N A

23

Governana em Tecnologia da Informao

| Conceitos relacionados Governana em TI

o que estamos observando com o advento de novos e cada vez


menores equipamentos mveis de transmisso, recepo e processamento
WIFI

de dados baseados em tecnologias como WIFI, WIMAX, BLUETOOTH, 3G e

O padro IEEE
802.11 uma tecnologia desenvolvida
pelo IEEE para
transmisso de dados
em redes locais sem
fio. O WIMAX (o
padro IEEE 802.16)
uma tecnologia
desenvolvida pela
mesma entidade para
transmisso em redes
sem fio em longas
distncias.
O Bluetooth (o
padro IEEE 802.15)
usado para transmisso a distncias
muito pequenas (1m
a 3m) em aplicaes
como home theater
sem fio, equipamentos embarcados em
automveis etc.
3G uma denominao genrica recebida
pelas tecnologias de
telefonia celular que
atendem a certos
requisitos de capacidade de transmisso
e mobilidade. Por
exemplo, as tecnologias WCDMA e
UMTS de telefonia
celular. Muitos pases
possuem redes 3G
que atingem todo o
seu territrio, como
o caso do Japo
e alguns pases da
Europa. No caso do
Brasil, a tecnologia
3G s est disponvel
nos grandes centros
urbanos.

outras que permitem acesso a dados com diversos graus de mobilidade


em redes sem fio de onde quer que voc esteja.
O que voc acha da evoluo da TI ao longo dos ltimos 50 anos?
Bem, talvez voc no tenha vivido todos esses anos de evoluo, mas
o fato que cada vez mais as escolhas feitas pela TI se tornam crticas
para o negcio, quer pelos investimentos envolvidos, quer pelo valor
estratgico.
O resultado disso que todos ns somos afetados pelo fato de
que cada profissional de TI precisa buscar no somente uma formao
tcnica, mas tambm uma formao administrativa sobre o negcio que
ele ajuda a sustentar atravs do seu trabalho tcnico. Por exemplo, o fato
de voc e vrios outros profissionais estarem buscando conhecimento
sobre a ITIL e o COBIT s confirma isso. Estudaremos ambos em
detalhes nas prximas aulas.

Voc pode acessar o site do IEEE (Institute of Electrical and


Electronic Engineers ou Instituto de Engenheiros Eltricos
e Eletrnicos) no endereo http://www.ieee.org/portal/site
e obter vrias informaes sobre os padres ou at mesmo
adquiri-los. Mas lembre-se: os padres do IEEE no so gratuitos! O site foi acessado em 30 de dezembro de 2009.

Tecnologia da Informao
O que essa expresso representa para voc?
Alguns autores, principalmente os europeus, se referem TI
usando a expresso TIC (Tecnologia da Informao e Comunicaes)
para se referir tambm s Telecomunicaes.
Atualmente muitos autores se referem ao conceito de TI (Tecnologia da Informao) como algo amplo que engloba no somente hardware
e software, mas tambm outros ativos como processos, procedimentos,
tecnologia e o prprio conhecimento explcito e documentado. Nesse
contexto amplo, as telecomunicaes tambm fazem parte do que
chamamos de TI.

24

Governana: Gesto, Auditoria e Tecnologia da Informao

Ao longo das aulas, vamos adotar esse conceito amplo de TI,

AULA

no sendo, portanto, necessrio utilizar TIC quando quisermos fazer


meno a algo dentro do ramo das telecomunicaes, pois, assim como
vrios autores, entendemos que hoje a TI engloba tambm essa rea
do conhecimento.

A eficincia operacional da TI
Qual o maior problema que a TI enfrenta hoje? Poderamos
dizer, sem medo de errar, que um dos maiores problemas da TI (se no,
o maior) a questo do excesso de solues existentes no mercado.
A grande concorrncia, aliada rpida reproduo das solues prontas,
leva as empresas a um cenrio de muita competio. As empresas optam
por investir todos os seus recursos e esforos em eficincia operacional
pura e simples, em detrimento da eficcia estratgica.
Note que essa deciso semelhante a apostar no pensamento:
No importa muito o que ns fazemos aqui. O que importa mesmo
que fazemos cada vez mais rpido e com menos recursos.
Ser que mesmo um objetivo plausvel e coerente fazer tudo cada
vez mais rpido e com cada vez menos recursos? At mesmo aquilo que
no precisaria ser feito? Muito bem. Se voc respondeu corretamente
a essas perguntas, voc entende perfeitamente bem a diferena entre
eficincia operacional e eficcia estratgica da TI.

A eficcia estratgica da TI
O termo eficcia responde a questes como:
O que importante para a empresa?
O que importante para a TI?
Que projetos, servios e operaes so importantes para a TI e
para a empresa? Quais no so?
Em vrias situaes podemos observar projetos sendo iniciados
e encerrados sem a avaliao estratgica adequada. O termo eficcia
est diretamente relacionado ao alinhamento estratgico. Para comear,
as primeiras coisas! Zelar pela eficcia zelar por iniciar projetos e
operaes de TI somente quando eles estiverem alinhados ao plano
diretor de TI (PDTI) que, por sua vez, dever estar alinhado ao plano
estratgico organizacional.

CEC I E R J E X T E N S O E M G O V E R N A N A

25

Governana em Tecnologia da Informao

| Conceitos relacionados Governana em TI

Uma definio mais


formal diz que eficincia de um
processo a medida de velocidade com
que as entradas do processo so convertidas em
suas sadas. Eficcia a medida do grau com que
as
a sadas satisfazem os requisitos iniciais do processo,
ou
o seja, perfeitamente possvel termos um processo
eficiente e ineficaz; melhor dizendo, converter entrae
das em sadas rapidamente, porm, sadas que no
atendem aos objetivos iniciais. O contrrio tambm verdade: possvel ser muito eficaz,
mas no ser eficiente.

Processos e melhoria contnua


Outras definies importantes dentro do conceito de Governana
so as definies de processo e de melhoria contnua.
Podemos definir um processo como um conjunto de atividades
ou tarefas executadas de acordo com regras, procedimentos ou funes
organizacionais para transformar as entradas do processo nas sadas
desejadas.

Procedimentos

Procedimentos

Procedimentos

Sadas

Entradas
Atividade

Regras

Atividade

Regras

Figura 1.3: Um processo simples.

26

Governana: Gesto, Auditoria e Tecnologia da Informao

Atividade

Regras

Observe que todo processo na empresa precisa ser formalizado e

AULA

sua formalizao precisa ter, no mnimo, a definio de quais so as entradas, quais so as sadas e quais so as ferramentas e tcnicas utilizadas
para transformar as entradas em sadas durante cada atividade ou tarefa
intermediria, ou seja, documentar um processo descrever a suas:
Entradas.
Sadas.
Atividades intermedirias.
Ferramentas e tcnicas.

Act

Plan

Check

Do

Alm disso, todo processo precisa ter:


Metas e objetivos.
Papis e responsabilidades.
Indicadores-chave de desempenho.
Responsveis pelo processo.
Figura 1.4: O ciclo PDCA.

Devemos lembrar que a ideia de processo to forte hoje em dia


que todos os conjuntos de boas prticas do mercado esto sendo escritos na forma de processo. assim com a ITIL, com o COBIT, com o
PMBOK, com as normas ISO etc.

Voc sabia que ISO no uma sigla? As letras ISO representam


Organizao Internacional para a Padronizao, ou, do ingls,
International Organization for Standardization. Note que, caso
fosse uma sigla, o correto seria IOS e no ISO. Diz-se que a organizao escolheu as letras ISO para fazer referncia palavra
isonomy (isonomia). A ISO cria padres mundiais em vrios setores
da economia. Os exemplos mais prximos do contexto da TI so
a famlia de normas ISO 20000, que trata do gerenciamento de
servios de TI, e a famlia de normas ISO 27000, que trata da segurana da informao. O site da organizao pode ser acessado no
endereo http://www.iso.org/iso/home.htm. O site foi acessado em
30 de dezembro de 2009.

CEC I E R J E X T E N S O E M G O V E R N A N A

27

Governana em Tecnologia da Informao

| Conceitos relacionados Governana em TI

Voc j trabalhou em alguma empresa onde tudo era feito atravs


de processos? Por que voc acha que algumas empresas optam por trabalhar por processos? Um processo importante porque atravs dele que a
inteligncia organizacional comea a acontecer. Quando no h processos,
a organizao tende a executar uma atividade ou resolver um problema de
vrias formas diferentes. Muitas vezes, a empresa acaba dependendo de
uma nica pessoa para resolver problemas que s ela sabe resolver.

Onde Estou?

Aonde quero
chegar?

O que fazer para


chegar l

Projetos &
Operaes

Projetos &
Operaes

Cheguei?
No

Sim

Figura 1.5: Ciclo da melhoria contnua.

28

Governana: Gesto, Auditoria e Tecnologia da Informao

E agora aonde
quero chegar?

Quando os processos esto definidos, a empresa ganha vantagem

AULA

competitiva, pois a inteligncia estar no processo e qualquer um poder


execut-lo. Imagine que, por algum motivo, um dos profissionais mais
atuantes de uma empresa precise ser substitudo (por transferncia,
por frias, por promoo etc.). No cenrio sem processos tudo precisa
ser reaprendido pela pessoa que venha a substituir esse profissional.
No cenrio com processos, a pessoa chega e passa a seguir o processo.
Apenas isso.
E o que se pode ganhar com isso? Ora, dessa forma a empresa
depende menos das pessoas para manter suas operaes repetitivas e pode
aproveitar melhor a capacidade de seus profissionais para as atividades
que geram maior valor agregado.
O objetivo de qualquer processo iniciar o ciclo de melhoria
contnua na organizao, uma vez que a formalizao do processo na
empresa contemplar os critrios de medio de desempenho que sero
analisados a fim de buscar melhoria no processo. A adoo de processos
faz a organizao pensar diariamente em responder a questes como:
Onde estamos agora? Aonde queremos chegar? O que temos de fazer
para chegar l? Chegamos aonde queramos? Onde estamos agora?
E assim sucessivamente...

Edwards Deming nasceu nos EUA em 1900 e ficou conhecido por


sua atuao no Japo a partir da dcada de 1950 na rea de qualidade e melhoria contnua de processos. Foi considerado o estrangeiro que gerou maior impacto sobre a indstria e a economia
japonesas no sculo XX. Foi Deming que popularizou o conceito
do ciclo PDCA, no qual est intrnseca a ideia da melhoria contnua. O ciclo PDCA envolve o
planejamento do processo
(Plan), a sua execuo (Do),
a avaliao do processo
(Check) e, finalmente, as
aes visando melhoria do
processo (Act). O ciclo PDCA
se tornou to importante
e to ligado ao conceito
de processo que todas as
normas ISO mais recentes
o referenciam fazendo um
paralelo do contedo da
prpria norma com a filosofia do ciclo de melhoria
contnua de Deming.
Figura 1.6: Edwards Demming.

CEC I E R J E X T E N S O E M G O V E R N A N A

29

Governana em Tecnologia da Informao

| Conceitos relacionados Governana em TI

Normas, boas prticas e regulamentos


As normas so tambm chamadas de padres de mercado. Existem
muitas normas, assim como existem vrios rgos mundiais de padronizao, como a ISO (International Organization for Standardization),
o IEEE (Institute of Electrical and Electronic Engineers), a ANSI (American National Standards Institute) e alguns outros.
As normas e padres escritos por uma dessas entidades tendem a
se tornar mandatrias para uma determinada rea da indstria. O que
acontece se um fornecedor ou fabricante optar por no seguir um padro
ou norma? Ora, no mximo ele estar sujeito ao fracasso comercial, na
medida em que mais entidades no mundo adotarem tal padro. Ser que
possvel implantar somente uma parte da norma? No. Em geral, a
norma precisa ser implementada na sua totalidade, atendendo a todos
os seus requisitos.
Outro conceito importante o das boas prticas. Como voc
deve imaginar, as boas prticas possuem o objetivo de informar o que
consenso no mercado e que j vem sendo adotado pelas organizaes
com resultados favorveis. Voc deve estar se perguntando agora:
ser que possvel implementar somente uma parte das boas prticas
em uma determinada rea? Agora a resposta sim! tpico das boas
prticas o fato de que possvel implementar somente partes de seu
contedo, atender parte dos requisitos e mesmo adaptar o que est nas
boas prticas realidade da empresa que venha a adot-la. Na verdade,
essa abordagem (adaptar as boas prticas a uma realidade especfica)
at recomendada.
Outra caracterstica importante o fato de que as chamadas
boas prticas so distribudas e compartilhadas de forma gratuita, ao
contrrio das normas, que devem ser compradas pela empresa ou pelo
profissional interessado em us-las. As boas prticas representam um
caminho rpido para alcanar timos resultados, uma vez que elas
tratam de conhecimentos testados e aprovados por vrias organizaes
em todo o mundo.

30

Governana: Gesto, Auditoria e Tecnologia da Informao

AULA

Atividade

Preencha as lacunas:

Dois exemplos de boas prticas so ________________, para gerenciamento de projetos, e __________________, para gerenciamento de servios de TI. Dois exemplos de
famlias de normas desenvolvidas para a rea de TI pela ISO so a _______________ e
a _____________________.

Resposta
Dois exemplos de boas prticas so PMBOK, para gerenciamento de projetos, e
ITIL, para gerenciamento de servios de TI. Dois exemplos de famlias de normas
desenvolvidas para a rea de TI pela ISO so a ISO 20000 e a ISO 27000.

Voc deve ter observado que em ambos os casos (normas e boas


prticas) a empresa ainda possui alguma liberdade: adotar ou no adotar.
No caso dos regulamentos h duas opes: acatar ou ser penalizado.
Percebeu a diferena? Na verdade, no existe opo com relao aos
regulamentos. claro que muitas vezes um regulamento (ou lei) obriga
uma empresa a adotar uma determinada norma para operar em uma
determinada rea, caso em que, por fora de regulamentao, a empresa
estar obrigada a adotar a norma.

Funes e processos organizacionais


Costuma-se dizer que a TI est em tudo o que fazemos. Porm
o que tudo? Nosso esforo por definir alinhamento estratgico
da TI necessita da definio de qual o papel que ela desempenha
nas organizaes.
Embora seja muito difcil construir uma lista absoluta sobre quais
so as funes organizacionais, possvel fazer uma diviso simples para
efeito de classificao inicial. Aqui segue uma sugesto nossa que vem
da experincia de mercado. Essa lista ser usada ao longo de todas as
outras aulas:

CEC I E R J E X T E N S O E M G O V E R N A N A

31

Governana em Tecnologia da Informao

| Conceitos relacionados Governana em TI

Pessoas

Processos

Tecnologia

Figura 1.7: Pessoas, processos e tecnologia.

Aquisio de materiais e logstica.


Comercial, vendas e marketing.
Operao e produo.
Recursos humanos.
Finanas.
Controle e auditoria.
Podemos dizer que tudo (ou quase tudo...) o que acontece em uma
organizao acontece em uma dessas reas. A denominao dessas reas
pode at variar de empresa para empresa e de setor para setor, mas a
atividade-fim praticamente a mesma.
Sabe o que mais importante aqui? A TI est cada vez mais
presente em cada uma dessas reas nas organizaes. H um consenso
de que todas as funes dentro das organizaes dependem no apenas
de bons profissionais, mas tambm de bons processos e da tecnologia
adequada.

32

Governana: Gesto, Auditoria e Tecnologia da Informao

AULA

O PLANEJAMENTO ESTRATGICO DA TI
Sobre o termo estratgia
Voc sabia que a competio natural nas empresas evolucionria
e dirigida pelas leis das probabilidades, o que diferente da estratgia, que
tende a ser revolucionria e dirigida tambm pela intuio. A estratgia
visa a acelerar o ritmo das mudanas favorecendo quem as provocou.

A palavra "estratgia" vem do grego stratego, que significa general. O termo estratgia se originou na rea militar, assim como
os conceitos de nvel operacional, ttico e estratgico. Essa ideia
estudada desde a Grcia antiga. Naquela poca, no campo de
batalha, os generais definiam as estratgias (Devemos tomar
aquela cidade amanh, porque depois isso no ser mais possvel.),
os coronis escolhiam as tticas mais adequadas (Vamos iniciar
a invaso amanh ao anoitecer, nos aproximando pelo mar.),
e aos sargentos e soldados s restava a operacionalizao (Vamos
entrar no barco amanh ao anoitecer, remar, desembarcar, apontar
as armas, disparar e, se tivermos sorte, permanecer vivos!).

Note que a estratgia resulta de processos revolucionrios que


subvertam o estado natural das coisas (status quo), levando uma empresa
a uma posio que no ser facilmente alcanada e disputada por outras.
Ou seja, qualquer resultado alcanado por uma estratgia descrita na
forma de uma receita conhecida tende a ser rapidamente copiada, haja
vista que h uma rpida difuso da informao e do conhecimento atravs de consultorias. E, nesse contexto, sabemos que a prpria TI acaba
contribuindo para facilitar ainda mais a difuso do conhecimento quase
que em tempo real.
Pois bem, tal cenrio de alta competio e difuso de boas prticas,
informaes e receitas prontas para o sucesso favorece muito a eficincia operacional (que visa a resultados de curto prazo) e desfavorece a
eficcia estratgica (que visa a resultados de mdio e longo prazo). Voc
se lembra do que falamos a respeito desses conceitos? Caso contrrio,
revise-os, pois eles so essenciais.

CEC I E R J E X T E N S O E M G O V E R N A N A

33

Governana em Tecnologia da Informao

Atividade

| Conceitos relacionados Governana em TI

2
2

H vrias tcnicas de seleo de projetos utilizadas no mercado. Cite e explique


pelo menos duas. Descreva como os projetos so selecionados na empresa onde
voc trabalha.
_____________________________________________________________________________
______________________________________________________________________________
______________________________________________________________________________
______________________________________________________________________________
______________________________________________________________________________
______________________________________________________________________________
______________________________________________________________________________
______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________

Resposta
Algumas tcnicas possveis so: perodo de payback, Taxa Interna de Retorno
(TIR), Valor Presente Lquido (VPL) e anlise de custo-benefcio. O perodo de
payback baseado no tempo que, segundo o plano de negcios, os lucros oriundos do produto do projeto tero compensado seu investimento. Quanto menor o
perodo de payback, melhor. A anlise de custo-benefcio leva em considerao
vrios fatores positivos e negativos e tenta mensur-los de maneira sistemtica,
a fim de chegar a uma concluso sobre quais projetos so mais atrativos para a
empresa. Os benefcios somados precisam ser maiores que os custos somados.
Taxa Interna de Retorno (TIR) e Valor Presente Lquido (VPL) envolvem anlises
mais avanadas do setor financeiro e contbil da organizao. Essas tcnicas visam
a selecionar no presente um projeto em detrimento de outros com base no retorno
financeiro obtido sobre o capital investido, com base em aspectos econmicos
(como inflao prevista no perodo) ou com base em aspectos temporais
(como a durao dos projetos analisados).

34

Governana: Gesto, Auditoria e Tecnologia da Informao

1
AULA

A eficincia operacional visa aquisio de


hardware, software e outros ativos que
possam significar receitas para os resultados
imediatos sem levar em considerao o custo-benefccio das aquisies ou prejuzos de mdio e longo prazos.
A eficcia estratgica visa a garantir resultados de mdio
e longo prazo, alinhando o investimento de hoje aos resultados seguros e duradouros de amanh. Hoje, a TI vive
basicamente um momento de desenfreada busca pela
eficincia operacional e nenhuma preocupao com
a eficcia estratgica, o que fatalmente levar
algumas empresas (ou setores inteiros)
ao colapso.

Observe que, para muitas empresas, mais seguro copiar o que


as outras esto fazendo e garantir suas receitas do que arriscar algo
sozinha, empunhando a bandeira do alinhamento estratgico. Assumir
os riscos de tomar decises implica abrir mo de receitas que so certas no
presente em favor de receitas incertas no futuro. Mas, no cenrio atual,
abdicar de qualquer receita pouco atraente, mesmo com a promessa
de um grande benefcio no futuro. Ou seja, as empresas no fazem mais
escolhas. Na maior parte das vezes, elas copiam seus concorrentes, invertendo apenas a ordem de quem copia a quem. E isso gera um excesso
de solues prontas que so sempre implementadas a toque de caixa
(tudo para ontem...). Assim, nunca sobra tempo para pensar e fazer
as escolhas estratgicas!
Voc sabe qual o resultado disso? Como a TI tende a estar em
tudo que a empresa faz, parte da correria de todos os departamentos
acaba terminando na TI, e esta, por sua vez, vive correndo por causa de
seus prprios projetos. So os incndios do dia a dia, dos quais ningum
que trabalhe com TI, em qualquer empresa, rea ou parte do mundo,
est livre.

Planejamento estratgico da organizao


Antes de tratarmos do alinhamento estratgico da TI,
vamos definir como se consegue o alinhamento estratgico
da organizao como um todo.

CEC I E R J E X T E N S O E M G O V E R N A N A

35

Governana em Tecnologia da Informao

| Conceitos relacionados Governana em TI

Uma
ideia que precisamos definir agora e no
abandonar mais a de que
n h como conseguir um bom
no
a
alinhamento
estratgico da TI
se a empresa no possuir um
plano estratgico organizacional.

isso mesmo! Sem a definio das famosas misso e viso ficar


muito difcil para a TI escrever bem o seu plano diretor de TI, porque a
base dele construda a partir do plano estratgico organizacional.
Pois bem. Precisamos voltar um passo antes de avanar e perguntar
o seguinte: como se constri o plano estratgico de uma empresa? Existem
vrias formas, e a forma escolhida pela empresa precisa estar de acordo
com a sua realidade. Entretanto, algumas regras so importantes.

Figura 1.8: Planejamento.

Segundo Rezende (2008), o plano estratgico precisa:


Ser elaborado com equipes multidisciplinares.
Abranger todos os departamentos da empresa (inclusive a TI).
Descrever metas e objetivos de curto, mdio e longo prazos.
Determinar estratgias para atingir metas.
Ser revisto periodicamente.
Responder a questes como o qu, por qu, quem,
onde, quando, como e por quanto.
Quais seriam as etapas para a elaborao do plano estratgico?

36

Governana: Gesto, Auditoria e Tecnologia da Informao

Rezende (2008) descreve as fases para a elaborao do plano.

AULA

Ressaltamos que, segundo nosso entendimento, perfeitamente possvel que


haja outros caminhos, at porque trilhar caminhos diferentes faz parte do
prprio pensamento estratgico. Reproduzimos a seguir os passos, segundo
esse autor, com algumas adaptaes para a adequao ao nosso contexto:
Preparao, divulgao e capacitao.
Anlise dos ambientes interno e externo.
Estabelecimento de diretrizes.
Planejamento das estratgias.
Implementao das estratgias.
Monitoramento e controle de projetos e operaes.
Anlise e atualizao do plano.
De todas as etapas, uma das mais importantes a anlise dos
ambientes externo e interno, pois a partir dela que devem ser descritas
as estratgias. Como uma empresa pode decidir como atuar sem saber
qual o cenrio que a cerca? No pode!
Ser bem difcil aproveitar oportunidades em reas em que a organizao possui fraquezas (pois fatalmente os concorrentes conhecero tal
oportunidade e podero explor-la melhor). Por outro lado, ser muito
ruim para ela no atentar para certas ameaas que esto diretamente
relacionadas s suas fraquezas corporativas.
Uma ferramenta muito utilizada para analisar o ambiente externo
o modelo das cinco foras, de Porter.
Esse modelo diz que:
A rivalidade entre os concorrentes definir o sucesso em um setor.
A rivalidade ser tanto maior quanto maior for a ameaa de
novos entrantes e quanto maior for a ameaa de produtos substitutos.
A rivalidade ser tanto maior quanto maior for o poder de barganha de clientes e quanto maior for poder de barganha de fornecedores.
O que acontece quando novos produtos substitutos surgem no
mercado? Normalmente, o mercado deixa de existir, diminui ou muda
suas caractersticas quando os clientes comeam a obter os mesmos
resultados atravs de outros produtos. o caso da mquina de escrever
tradicional, dos floppy disks etc.

CEC I E R J E X T E N S O E M G O V E R N A N A

37

Governana em Tecnologia da Informao

| Conceitos relacionados Governana em TI

Figura 1.9: Anlise do cenrio externo.

Por outro lado, a ameaa de novos entrantes o que faz com que
outro fornecedor possa comear a oferecer o mesmo produto ou servio,
segmentando o mercado. Em alguns setores, muito fcil o surgimento
de concorrentes, literalmente da noite para o dia, como o caso das
vendas pela internet. Em outros, o surgimento de novos concorrentes
no acontece com tanta facilidade, como no caso do setor de aviao.
O poder de barganha dos clientes o que deve
ANLISE SWOT
Na conquista do objetivo

Interna
(organizao)

Ajuda

Atrapalha

ser avaliado quando se quer saber at que ponto o


cliente insatisfeito pode suportar o mau servio antes de
procurar outro fornecedor. Em algumas reas, o poder
de barganha dos clientes cada vez mais alto, como
no caso da telefonia celular. Em outras, o poder ainda

Foras

Fraquezas

bem reduzido, como nos sistemas operacionais para


computadores pessoais.

Externa
(ambiente)

Finalmente, o poder de barganha dos fornecedores depende de quem so os compradores de suas


Oportunidades

Ameaas

o fornecedor tiver, maior ser o poder de barganha da

Figura 1.10: Matriz S.W.O.T.


Fonte: http://pt.wikipedia.org/wiki/An%C3%A1
lise_SWOT.

38

matrias-primas e insumos. Quanto menos compradores


empresa por menores preos na aquisio de insumos
para a sua cadeia de produo.

Governana: Gesto, Auditoria e Tecnologia da Informao

Para analisar a empresa do ponto de vista interno, muitas organi-

AULA

zaes utilizam a matriz S.W.O.T melhor, ou a matriz F.O.F.A. SWOT.


Esta um acrnimo em ingls para foras (strenghts), fraquezas (weakness), oportunidades (opportunities) e ameaas (threats). Porm,
importante deixar claro que, enquanto as foras e fraquezas so caractersticas analisadas do ponto de vista interno da empresa, as ameaas e
oportunidades so avaliadas tambm do ponto de vista externo.
O grande benefcio dessa matriz o fato de que a anlise levar
ao conhecimento no s das fraquezas, mas tambm das foras da organizao. Note que um erro comum as organizaes escolherem suas
metas e traarem estratgias sem ter a menor ideia do cenrio externo
ou do cenrio interno, cujas consequncias normalmente so percebidas
somente quando os projetos j esto em sua fase de execuo.

Atividade 3
Por que a grande maioria das empresas no se preocupa em conhecer o ambiente
2
interno e o ambiente externo nos quais opera e em selecionar projetos de acordo
com seu contexto? Explique a consequncia disso.
_____________________________________________________________________________
_____________________________________________________________________________
______________________________________________________________________________
______________________________________________________________________________
______________________________________________________________________________
______________________________________________________________________________
______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________

Resposta
A maioria das empresas age dessa forma porque opera em ambientes cada
vez mais competitivos, em que as presses por resultados imediatos supera a
necessidade de planejamento estratgico de mdio e longo prazos. A consequncia desse cenrio o fato de que h setores em que as empresas apenas
reproduzem entre si uma cartilha com os mesmos processos, vendem os mesmos
produtos e fornecem os mesmos servios, limitando-se a fazer sempre a mesma
coisa, apenas buscando eficincia naquilo que fazem. Esse cenrio prejudica o
pensamento estratgico, pois dificulta qualquer tentativa de garantir o alinhamento que seria conseguido atravs das escolhas que a empresa deveria fazer
com relao aos seus produtos e servios.

CEC I E R J E X T E N S O E M G O V E R N A N A

39

Governana em Tecnologia da Informao

| Conceitos relacionados Governana em TI

Enfim, a empresa deve conhecer a si mesma, seus concorrentes e


seus clientes antes de definir qualquer meta. bvio que a empresa deve
escolher metas que usem suas foras para explorar as oportunidades que
de fato existam no mercado. E, por outro lado, bvio e esperado que
as empresas optem por investir em diminuir as suas fraquezas quando
as ameaas relacionadas a elas se mostrem muito grandes.

Ferramentas para o Planejamento Estratgico da TI


O que deve vir primeiro: o plano diretor de TI ou o plano estratgico
da organizao? O plano diretor de TI sempre deve levar em considerao
a misso, viso, valores e metas do plano estratgico da empresa. Qualquer
projeto da TI precisa estar alinhado ao pensamento estratgico e, por outro
lado, a TI precisa ter tempo de se adequar aos novos cenrios que vo
surgindo a partir das decises estratgicas que so tomadas dentro de
outros departamentos.
Algo que vem mudando no cenrio da computao onipresente o fato
de que, cada vez mais, a estratgia da TI tende a mudar a estratgia da prpria
organizao. Algumas empresas mudaram sua forma de operao nos ltimos anos por causa das escolhas feitas com base nas tecnologias disponveis.
o caso, por exemplo, de muitas empresas que hoje possuem parte significativa
de seu faturamento baseada no comrcio eletrnico, vendendo desde livros e
produtos eletroeletrnicos at roupas e produtos alimentcios.

Atividade 4
Vimos que a estratgia da TI pode ser uma impulsionadora da estratgia da orga- 2
nizao. Encontre exemplos na Internet ou em seu ambiente de trabalho de que
isso acontece ou aconteceu e descreva-os resumidamente.
_____________________________________________________________________________
______________________________________________________________________________
______________________________________________________________________________
______________________________________________________________________________
______________________________________________________________________________
______________________________________________________________________________
______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
__________________________________________________________________________

40

Governana: Gesto, Auditoria e Tecnologia da Informao

1
AULA

Resposta
H vrios exemplos de empresas em que o avano tecnolgico acabou mudando o prprio negcio tradicional das empresas. H empresas que nasceram
no mercado tradicional e que, por conta dos avanos da tecnologia, possuem
hoje boa parte de suas operaes migradas para o mundo digital. Podemos
citar como exemplo lojas de varejo, como a Americanas, livrarias, como a FNAC
etc. Existem exemplos em que a tecnologia influenciou tanto a empresa que o
seu nascimento j aconteceu no mundo digital e elas no possuem nenhuma
operao moda tradicional, como no caso de livrarias como a Amazon, sites de
leilo como o Mercado Livre etc. Tambm existem setores que conseguem lucrar
mais, tanto atravs da prestao de servios pela Internet e quanto atravs do
modelo tradicional, a exemplo dos bancos, das companhias areas, das agncias
de turismo, das redes de hotis etc.

Agora vamos apresentar e explicar duas ferramentas que ajudam


a responder duas questes bsicas. Preste muita ateno, pois ambas as
ferramentas ajudaro a responder a estas duas questes.
Quanto a TI importante para o negcio da empresa?
Quanta informao est contida no produto de sua empresa?
o que veremos nos prximos itens.

Voc j deve ter ouvido que a TI muito


importante para o negcio. Mas fato que tal dependncia no acontece no mesmo nvel para todo tipo
de empresa em qualquer setor da economia. Sabemos
que existem empresas que dependem muito mais da
TI do que outras. Como exemplo, podemos citar
o setor bancrio, no qual a TI pode ser vista como

Impacto da TI no presente

Dependncia da TI para o negcio


(o grid estratgico)
TI Produo
(companhias
areas)

TI Suporte
(maufatura
tradicional)

TI Estratgica
(bancos e telecom)

TI Mudana
(e-commece)

uma verdadeira linha de produo. Se a TI para,


o banco para tambm.
Impacto da TI no futuro
Figura 1.11: O grid estratgico.

CEC I E R J E X T E N S O E M G O V E R N A N A

41

Governana em Tecnologia da Informao

| Conceitos relacionados Governana em TI

Os quadrantes anteriores so chamados grid estratgico. Ele


representa um modelo adaptado que pode ser encontrado em Laurindo
(2008) apud McFarlan, 1984.
O objetivo do grid estratgico guiar a empresa na definio do
grau de importncia que a TI tem para o negcio.
No exemplo anterior, h empresas cujo impacto para o negcio
baixo tanto no presente quanto no futuro, ou seja, no existem projetos
cuja previso seja de aumentar a importncia da TI para a empresa. A TI
dessas empresas chamada de TI Suporte. Na maior parte das empresas
de manufatura a TI se enquadra nessa categoria. Para elas, a TI , e ser
por muito tempo, um centro de suporte operao e s ser lembrada
quando algo para de funcionar na operao.
Por outro lado, para algumas empresas a TI no possui importncia muito grande hoje, mas algumas mudanas estratgicas podero
fazer com que a TI se torne mais importante no futuro. H exemplos
de empresas tradicionais que esto migrando parte de suas operaes
para a internet (Casas Bahia, FNAC etc.). A TI pode se enquadrar no
conceito de TI Mudana (ou Transio)...
Existem, porm, algumas empresas para as quais o impacto da TI
no presente alto, mas no h nenhuma tendncia de que esse impacto
se torne maior no futuro. o caso das empresas areas, que j passaram
por uma fase de grandes mudanas operacionais h alguns anos, quando
todas implementaram seus sistemas de vendas e outros servios, tais como
check-in pela internet. Nesse caso, a TI dessas empresas chamada de
TI Produo (ou Fbrica).
Por ltimo, existem empresas que destacamos como aquelas para
as quais a TI possui o maior impacto hoje e tal impacto continuar
crescendo no futuro, devido gama de novas possibilidades que as
caractersticas do negcio permite explorar. Chamamos essa categoria
de TI Estratgica. Um exemplo o setor bancrio: nele, os servios pela
Internet a cada dia alteraram a competio no setor. Por isso a TI nesse
ambiente uma TI Estratgica.
Voc pode dizer aonde queremos chegar com tal classificao? Ora,
quanto mais importante for a TI para o negcio, maior ser a importncia
de que ela seja tratada de acordo com tal grau de importncia.

42

Governana: Gesto, Auditoria e Tecnologia da Informao

AULA

Dependncia da informao para o produto (a matriz de


informao)
Mas ainda existe outra forma de definir a importncia da TI para
a empresa (at mesmo para no correr o risco de errar...): a utilizao
da matriz de informao. Ela representa um modelo adaptado que pode

Informao no Processo Produtivo

ser encontrado em Laurindo (2008) apud Porter, 1985.

Refinaria de
petrleo

Bancos e
finaceiras

Cimento

Informao no Produto Final


Figura 1.12: A matriz de informao.

Outra maneira de buscar alguma representao sobre o valor que


a Tecnologia da Informao possui em uma organizao determinar
o quanto de informao est presente no produto ou servio final da
empresa. A princpio pode parecer a voc que um pouco diferente definir o valor de um produto ou servio em quantidade de informao,
porm tal classificao se presta ao nosso propsito.
O primeiro grupo composto por empresas cujo produto final
no possui grande quantidade de informao (por exemplo, empresas
que fabricam cimento) e em cujo processo produtivo tambm no h
necessidade de manipular grandes quantidades de informao, ou seja,
h pouca informao no processo produtivo e h pouca informao
no produto final. Portanto, poderamos concluir que tais empresas no
dependem tanto da TI para se manter em operao.
No extremo oposto esto empresas cujo processo produtivo
depende muito da Tecnologia da Informao (como exemplo, citamos

CEC I E R J E X T E N S O E M G O V E R N A N A

43

Governana em Tecnologia da Informao

| Conceitos relacionados Governana em TI

os bancos e empresas do setor financeiro). Alm disso, para esse tipo


de empresas, o prprio produto final composto em grande parte por
informao (como exemplo, citamos as empresas do ramo de comunicao, como jornais, revistas etc.).
Um exemplo interessante so as empresas do ramo petrolfero, cujo processo produtivo depende muito da informao, mas cujo
produto final no.
Por outro lado, dada a importncia da informao em qualquer
rea hoje em dia, seria difcil encaixar uma empresa no quadrante no
qual no h importncia alguma da informao no processo produtivo
e no h importncia da informao no produto final.

Atividade

Voc j se questionou sobre em qual quadrante do grid estratgico se encaixa 3


a TI da sua empresa? E com relao matriz de informao? Em que quadrante ela est? Voc diria que o tratamento dado TI na sua empresa adequado
sua importncia?
_____________________________________________________________________________
______________________________________________________________________________
______________________________________________________________________________
______________________________________________________________________________
______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
____________________________________________________________________________

Comentrio
A resposta depende do seu ambiente. A aplicao do grid estratgico e da matriz
de informao ser feita com o auxlio do tutor nas atividades online.

44

Governana: Gesto, Auditoria e Tecnologia da Informao

AULA

O alinhamento estratgico da TI
O que voc concluiu at agora? O que o alinhamento estratgico
da TI e como ele poderia ser conseguido? Note que a resposta para essas
perguntas parece ser bastante simples, porm a implementao da frmula nem tanto. Ora, o alinhamento estratgico da TI se d quando tudo que
a TI faz (ou quase tudo) possui alguma importncia diretamente retirada
do pensamento estratgico organizacional. Somente assim poderemos
dizer que os projetos e as operaes da TI acontecem com o objetivo de
cumprir ou ajudar a cumprir a misso da organizao.
Ento, claro que seria impossvel seguir adiante se a prpria
organizao no possusse um rumo estratgico bem definido. por isso
que projetos de elaborao do plano diretor de TI s vezes comeam
j com grande probabilidade de serem malsucedidos, porque se espera
governar a TI em uma empresa que no valoriza o pensamento estratgico. Por mais que isso parea bvio, precisamos ressaltar aqui que esse
caminho no dar certo. a mudana feita de baixo para cima que custa
mais tempo e mais esforo do que custaria caso a mudana acontecesse
seguindo as etapas necessrias.
O alinhamento depende de mudanas na forma como a organizao conduz seus projetos em todas as reas e departamentos (que, como
vimos, cada vez mais dependem da TI para ser bem-sucedidos).
O caminho natural para a obteno do alinhamento estratgico
da TI seria, partindo do plano estratgico da empresa, construir o plano
diretor de TI.

CONCLUSO
Vimos nesta aula que a TI tem se tornado cada vez mais importante
em todas as empresas, e isso requer que os profissionais de TI acompanhem
tal evoluo e comecem a enxergar a TI como um provedor de servios.
muito importante que voc comece a construir, desde j, um pensamento
voltado tanto para a estratgia organizacional quanto para a estratgia da
TI, independente do seu cargo e de suas funes na empresa.

CEC I E R J E X T E N S O E M G O V E R N A N A

45

Governana em Tecnologia da Informao

| Conceitos relacionados Governana em TI

Tambm vimos que a importncia da TI, embora seja crescente em


todas as reas, varia de organizao para organizao. Voc precisa saber
como definir objetivamente qual esse papel da TI na sua empresa.
Uma das formas de fazer isso atravs da avaliao com base no grid
estratgico ou na matriz de informao. Essa uma das formas de voc
identificar problemas do seu dia a dia que esto ligados a prticas da sua
empresa com relao TI que no esto alinhadas real importncia
dessa rea para o negcio.

Atividade online
3

A
Agora
que voc j conhece vrios conceitos iniciais relacionados Governana em
TI, v sala de aula virtual e resolva a atividade proposta pelo tutor. Nessa atividade,
voc ir elaborar um questionrio de avaliao a fim de aplicar o grid estratgico e a
matriz de informao na sua empresa para determinar o grau de importncia que a TI
tem para a sua organizao.

RESUMO
Assim como vrios outros autores, usaremos em nossas aulas um
conceito amplo para a expresso TI que abrange hardware, software,
telecomunicaes, pessoas, processos e procedimentos da rea de TI.
Eficcia fazer o que deve ser feito. Eficincia fazer algo com menos
recursos. possvel ser eficiente sem ser eficaz e vice-versa.
Processos transformam uma ou mais entradas em uma ou mais sadas
atravs de atividades. Cada atividade executada segundo regras utilizando
tcnicas e ferramentas diversas (automatizadas ou no).
Podemos utilizar um conjunto de boas prticas em partes, pois nada nas
boas prticas mandatrio.
As normas ou padres devem ser implementados na sua totalidade, embora
a empresa possa optar por no adot-los;
Regulamentos ou leis so mandatrios, ou seja, toda empresa que atua
na rea afetada pelo regulamento precisa obedecer. s vezes uma lei exige
o atendimento de determinados padres e normas do mercado.

46

Governana: Gesto, Auditoria e Tecnologia da Informao

1
AULA

As funes organizacionais podem ser divididas em: Aquisio de Materiais


e Logstica; Comercial, Vendas e Marketing; Operao e Produo; Recursos
Humanos; Finanas; Controle; e Auditoria. Cada vez mais todas essas funes
dependem, alm das pessoas, de processos e de tecnologias.
Construir estratgias organizacionais algo que no pode ser feito
somente com base em modelos prontos, pois, se isso fosse possvel, qualquer
empresa teria acesso a tal informao. O que todo mundo possui no deve
ser considerado estratgico.
O modelo das cinco foras e a matriz S.W.O.T. so ferramentas importantes
para a anlise dos cenrios externo e interno da organizao durante a
elaborao do plano estratgico;
O grid estratgico ajuda a organizao a definir o quanto a TI importante
para o negcio hoje e o quanto dever ser no futuro.
A matriz de informao ajuda a organizao a definir o quanto o produto
final da organizao depende da informao.

Informaes sobre a prxima aula


Na prxima aula iremos falar do prprio conceito da Governana em TI e
do plano diretor de TI. Alm disso, trataremos da questo da conformidade
regulatria, detalhando os exemplos da Lei Sarbanes-Oxley e do Acordo
da Basileia, ambos considerados marcos regulatrios importantes para a
Governana em TI em todo o mundo.
Procure utilizar os conhecimentos adquiridos at aqui e at a prxima
aula!

CEC I E R J E X T E N S O E M G O V E R N A N A

47

Governana em Tecnologia da Informao

| Conceitos relacionados Governana em TI

Atividades Finais
1) Ns conclumos, ao longo do texto, que no recomendado elaborar um plano diretor
de TI em uma organizao que no possua um plano estratgico organizacional. Voc
conhece um exemplo onde aconteceu? O resultado foi satisfatrio?
2) Analise a sua prpria organizao e defina o principal produto (ou servio) oferecido
por ela. Depois responda com relao sua empresa:
a. Qual o papel e importncia da TI?
b. Qual a importncia da informao no produto final?
3) A melhor definio de processo :
a. (
b. (
c. (
d. (

) Possui incio, meio e fim e gera um produto nico.


) Define atividades que levam entradas a sada desejada.
) Possui regras para promover a melhoria contnua.
) fortemente baseado no ciclo PDCA de E. Deming.

4) Um diretor leu um artigo sobre uma nova metodologia para a implantao acelerada
de um mdulo de sistema ERP. Essa metodologia promete reduzir em 50% o tempo
normal de implantao. Sem titubear, o diretor pede ao gerente que utilize tal metodologia, pois isso economizar tempo no projeto que j se encontra atrasado. Esse um
exemplo tpico de:
a. (
b. (
c. (
d. (

) Atitude errada na busca pela eficincia operacional.


) Atitude errada na busca pela eficcia estratgica.
) Atitude correta na busca pela eficincia operacional.
) Atitude correta na busca pela eficcia estratgica.

5) (Analista de Sistemas TCE-AL FCC/2008) Na anlise SWOT so atributos da organizao


a. ( ) as ameaas e os pontos fracos, porm os pontos fortes e as ameaas so considerados condies externas.
b. ( ) as metas e os obstculos, porm os fatores crticos de sucesso e os pontos fortes so considerados condies externas.
c. ( ) as oportunidades e os pontos fracos, porm os pontos fortes e as ameaas so
considerados condies externas.
d. ( ) os pontos fortes e fracos, porm as ameaas e as oportunidades so consideradas condies externas.
e. ( ) as metas e os fatores crticos de sucesso, porm as ameaas e os pontos fortes
so considerados condies externas.
6) Explique a principal diferena entre boas prticas, normas, padres e regulamentos.

48

Governana: Gesto, Auditoria e Tecnologia da Informao

1
AULA

7) (Analista do Judicirio TRF-5 FCC/2003) A arquitetura de sistemas de informao de


uma organizao deve ser composta pelo:
a. mapeamento dos processos e atividades empresariais, relacionados com as reas,
os produtos e sistemas que os apiam.
b. relacionamento das reas com os sistemas que os apiam.
c. relacionamento dos produtos e servios com os sistemas que os apiam.
d. conjunto e pela estrutura dos recursos computacionais, envolvendo instalaes,
equipamentos, softwares, sistemas, dados e pessoal.
e. conjunto dos sistemas com respectivas documentaes de programas e arquivos.
8) (Analista Judicirio TRT-15 CESPE/2008) Com relao a gesto de tecnologia da
informao (TI), julgue os prximos itens.
a. O grid estratgico de McFarlan permite analisar impacto no negcio da empresa de
aplicaes de TI presentes e futuras, definindo quatro quadrantes, cada um representando uma situao para a empresa: suporte, fbrica, transio e estratgico.
b. O COBIT (control objectives for information and related technology) uma estrutura
de controle de TI em que os processos e os objetos de controle so segmentados
em quatro domnios: planejamento e organizao; aquisio e implementao;
entregas e suporte; monitorao. Ao contrrio do ITIL, o COBIT no inclui etapas e
tarefas, porque uma estrutura de controle e no, uma estrutura de processos.

Respostas
1. A mudana que acontece sem apoio da alta direo nunca o melhor caminho.
Pode-se at conseguir algum sucesso, mas com certeza o sucesso vir de forma
muito mais traumtica e demorada do que poderia vir caso houvesse um comprometimento da alta direo e um compromisso com o pensamento estratgico em
todos os departamentos. Alm disso, sempre que esse tipo de abordagem acaba
dando certo, verificamos que existiu por trs do projeto a participao de uma pessoa
com extrema capacidade de relacionamento interpessoal e outras habilidades que,
nem sempre, est disponvel em todas as empresas. E, vale ressaltar, a empresa
deve evitar, sempre que possvel, depender de habilidades interpessoais para aquilo
que deveria ser feito atravs de processos bem definidos.
2. Essa atividade importante, pois faz com que o aluno pense sobre tudo que foi
falado dentro do seu contexto. Por isso ela aparece ao longo da aula vrias vezes.
A resposta a esta questo depender do contexto do aluno e ser respondida na
atividade on line indicada.
3. Alternativa b. Os outros itens contm informaes que esto relacionadas ao processo, mas no contm a definio de processo que o que a questo solicita.

CEC I E R J E X T E N S O E M G O V E R N A N A

49

Governana em Tecnologia da Informao

| Conceitos relacionados Governana em TI

4. Alternativa a. Decidir sem pensar sempre um erro; mesmo quando h um


benefcio muito claro em jogo, o prejuzo pode no compensar o investimento.
O diretor deve procurar entender melhor a metodologia em questo, pois os
artigos em revistas podem ser tendenciosos e verificar se ela se adqua sua
realidade. De acordo com nossa aula, a viso do diretor foi uma viso baseada
na eficincia operacional somente.
5. Alternativa d. Foras e fraquezas so analisadas do ponto de vista interno.
Ameaas e oportunidades so analisadas, tambm, do ponto de vista externo.
6. A principal diferena reside na opo que a empresa possui por adotar ou no
o seu contedo (ou partes dele). No caso das boas prticas, tudo possvel,
ou seja, permitido no adotar, adotar em partes ou adotar totalmente. No caso
de normas e padres, ainda existe a opo pela adoo ou no, mas, uma vez
adotado, o padro ou norma tem de ser seguido risca (100%). Com relao
aos regulamentos, no h opo. A empresa alcanada pela regulamentao
precisa obedecer a ele na sua totalidade e no existe a opo por no segui-lo
sem ser penalizado. Obviamente existem outras diferenas, mas essas so as que
mais chamam a ateno e a mais citada no mercado.
7. Alternativa a. A abordagem do trabalho por processos um assunto discutido em
TI h muito tempo. E, como se pode ver, cobrado em provas h muito tempo.
8. Respostas:
a. Verdadeiro.
b. Verdadeiro.

50

Governana: Gesto, Auditoria e Tecnologia da Informao

AULA

Governana em TI

Meta da aula

objetivos

Explicar o conceito da Governana em TI.

Ao final desta aula, voc dever ser capaz de:


1

descrever o conceito de Governana em TI;

explicar os efeitos da legislao sobre a


Governana em TI;

identificar e listar os passos da elaborao


de um modelo de Governana em TI para a
sua empresa;

explicar como acontece a elaborao de


um plano diretor de TI.

Governana em Tecnologia da Informao

| Governana em TI

INTRODUO

Voc sabe o que Governana em TI? E o que a Governana


em TI tem a ver com a Constituio Federal de 1988? Voc
sabe? Vamos adiante para entender esses assuntos, pois
existe, sim, uma relao entre tudo isso!

Como dissemos na primeira aula, as duas questes mais importantes nesta


primeira parte do curso so:

O que planejamento estratgico?


O que Governana em TI?

Nesta segunda aula vamos tratar do conceito de Governana em TI e responder


segunda pergunta, haja vista que a primeira pergunta foi respondida em
nossa primeira aula.

GOVERNANA EMPRESARIAL
Governana Empresarial o conjunto de processos, costumes,
polticas e procedimentos que regulam a maneira como uma empresa
administrada em todas as suas reas. Portanto, a Governana Empresarial
inclui tambm o estudo do relacionamento entre os diversos atores desse
cenrio, isto , todas as pessoas envolvidas. Citamos alguns exemplos tpicos desses atores (embora a lista ainda possa ser aumentada). So eles:

52

Governana: Gesto, Auditoria e Tecnologia da Informao

Acionistas.

AULA

Conselho de administrao.
Funcionrios do nvel executivo.
Funcionrios em geral.
Fornecedores e parceiros.
Usurios e clientes.
Instituies reguladoras.
Figura 2.1: Governana Empresarial no sculo XXI.

Voc ficou curioso quando dissemos que a lista pode ser aumentada? Bem, basta pensar que, nos dias de hoje, as questes envolvendo
o meio ambiente e a forma com que as sociedades podem alter-lo em
benefcio de seus negcios tambm tm ganhado importncia cada vez
maior. E como isso afeta a TI? Ora, voc j ouviu falar da TI Verde?
A filosofia por trs desta ideia pode ser resumida da seguinte forma:
na hora de decidir sobre a aquisio de uma plataforma de

CLUSTERS

com quatro ou com cinco, voc deve levar em considerao a economia


de energia que ser obtida utilizando quatro servidores e no cinco!
A economia que voc faz ajudar a economizar a gua do planeta, assim
como outros recursos naturais que so gastos para produzir energia.
Pode parecer exagero, mas no fundo, no fundo, a filosofia essa. A TI
precisa levar em considerao o meio ambiente em tudo o que ela faz e
TI Verde precisa deixar de ser apenas uma filosofia...

O conceito de TI Verde apareceu


h poucos anos e vem se tornando
cada vez mais forte, principalmente
neste sculo, com o constante debate sobre as questes ambientais.
Em resumo, podemos dizer que
TI Verde uma filosofia que tem
como resultado a adoo de prticas sustentveis para tornar menos
prejudicial o uso da TI pelas empresas e pelo consumidor final. Voc
pode ler artigos sobre o assunto em
http://info.abril.com.br/corporate/
ti-verde/. Esse site foi acessado em
30 de dezembro de 2009.

Um CLUSTER um
conjunto de computadores que utiliza
sistemas operacionais distribudos
que permitem o
compartilhamento
de recursos e tarefas
de processamento.
Um cluster pode ser
construdo inclusive
a partir de computadores convencionais,
com baixo poder de
processamento; uma
vez operando em
cluster, esses computadores passam a
funcionar como se
fossem uma nica
mquina com poder
de processamento
avanado capaz de
realizar atividades
complexas muito
mais rapidamente.

Figura 2.2: TI Verde.

CEC I E R J E X T E N S O E M G O V E R N A N A

53

Governana em Tecnologia da Informao

| Governana em TI

Vale ressaltar que o nosso assunto principal nesta aula, a Governana em TI, um subconjunto da Governana Empresarial, que um
guarda-chuva maior para a governana.

GOVERNANA EM TI
Voc sabia que vrios autores procuraram definir a Governana
em TI e no h uma forma comum a eles? Sempre h ligeiras diferenas.
Por exemplo, em Weill (2006) encontramos a seguinte definio: "Governana em TI consiste em um ferramental para a especificao dos direitos
de deciso das responsabilidades, visando encorajar comportamentos
desejveis no uso da TI."
J o ITGI (IT Governance Institute) define Governana em TI
como algo que "responsabilidade da alta administrao, incluindo
diretores e executivos, na liderana, nas estruturas organizacionais e
nos processos que garantam que a TI da empresa sustente e estenda as
estratgias e objetivos da organizao".

O ITGI (IT Governance Institute) foi criado em 1998 em reconhecimento ao aumento cada vez maior da importncia da TI
para o sucesso de todas as empresas. O ITGI presta assistncia
a lderes de TI e altos executivos empresariais com relao ao
objetivo maior de promover o alinhamento estratgico da TI.
Voc pode acessar o site do ITGI no endereo: http://www.itgi.
org. Esse site foi acessado em 30 de dezembro de 2009.

Muitos trabalhos tambm procuraram definir o contexto no qual


se insere a Governana em TI. Porm, consenso para muitos autores,
entre eles Fernandes (2008), que o estudo da Governana em TI precisa considerar diversas dimenses, tais como o ambiente de negcio, a
integrao tecnolgica, a segurana da informao, a dependncia da
TI com o negcio, a questo da conformidade regulatria, a prestao
de servios pela TI e o manuseio da informao.

54

Governana: Gesto, Auditoria e Tecnologia da Informao

A Era da
Informao

Governana

TI como
Prestadora de
Servios

Governana em TI

2
Integrao
Tecnologia

AULA

Ambiente de
negcios

Segurana da
Informao

Dependncia do
Negcio em
Relao TI

Marcos de
Regulao

Figura 2.3: Dimenses da Governana em TI.

Ambiente de negcio da TI
O ambiente de negcio se caracteriza pela intensa competio,
o que origina a necessidade de inovao constante e a busca diria pela
eficincia operacional em detrimento da eficcia estratgica. A concorrncia agora global, e o poder dos clientes e fornecedores alto na
maioria dos setores. Tudo isso aumenta muito os riscos que podem afetar
qualquer negcio.

Integrao tecnolgica
A partir da dcada de 1970, que chamamos de era dos sistemas
de informaes gerenciais, os sistemas comearam a sofrer integrao ou
migrao para outros sistemas com suporte s funes de gerenciamento
de bancos de dados. Na mesma poca surgiram vrias novas linguagens
de programao que permitiam o rpido desenvolvimento de sistemas de
software. Esse movimento foi consolidado na dcada de 1990.
Rapidamente as empresas comearam a passar por alguns
problemas srios, com o excesso de solues para tudo (o que parece
no ter sido solucionado at hoje...). Durante esses anos, os sistemas
ERP (Enterprise Resource Planning) ou sistemas de gesto empresarial integrada comearam a tentar unir essa "colcha de retalhos".
No cenrio atual, vrias siglas convivem e tentam manter o controle
sobre o ativo mais importante da organizao, que a informao.

CEC I E R J E X T E N S O E M G O V E R N A N A

55

Governana em Tecnologia da Informao

| Governana em TI

Data
Mining

BI

Assim, prometem organizar a manipulao da


Data
Warehouse

informao de maneira a agregar valor organizao. Podemos citar algumas:

ERP

CRM

Data Mining.
Data Warehouse.

ECommerce

EBusiness

BI (Business Inteligence).
CRM (Customer Relationship
Management).

B2C

B2B

ERP (Enterprise Resource


Planning).
E-Business.
E-Commerce.
B2B (Business-to-Business).
B2C (Business-to-Consumer).

Segurana da informao
A segurana da informao no foi preocupao nos primeiros anos da TI, mas hoje
representa um papel cada vez mais importante.
VPN sigla em
ingls para Rede
Privada Virtual
(Virtual Private
Network) um
conceito utilizado quando uma
empresa utiliza
uma rede de dados
pblica (por exemplo, a internet)
para comunicao
com funcionrios
que trabalham
remotamente (em
casa, no aeroporto
etc.) ou com outras
empresas (parceiros, fornecedores
etc.). Normalmente as VPNs utilizam criptografia
e outras tcnicas
para garantir a
segurana da
informao.

56

Vrias tecnologias, principalmente aquelas que


permitem acesso remoto (VPNS, extranets, internet etc.) e aquelas que permitem acesso com mobilidade (WiFi, WiMax, 3G etc.) tornam a questo
da segurana o calcanhar de aquiles de qualquer sistema.
Por isso, fraudes em sistemas de TI tm o potencial de gerar prejuzos cada vez mais altos, na medida em que as empresas migram parte
de suas receitas para o mundo digital.

Dependncia do negcio
Apenas para citar um exemplo, digamos que a empresa est pensando em investir na proteo de seus ativos contra ataques pela internet.
Quanto ela deve investir? A resposta depende do que ela quer proteger.
Esse item deixa claro que a importncia da TI para o negcio precisa
ser determinada, a fim de que todo investimento feito em TI possua uma
razo diretamente extrada de seu plano estratgico.

Governana: Gesto, Auditoria e Tecnologia da Informao

AULA

Marcos regulatrios
Toda empresa est sujeita a algum grau de controle por parte
do Estado ou por parte de entidades privadas. Esse controle tem sido
cada vez maior. Os exemplos da Lei Sarbanes-Oxley e do Acordo da
Basileia (que estudaremos no final desta aula) so os mais importantes
do ponto de vista mundial. Porm, dependendo da rea, a empresa
precisa atender a uma srie de questes regulatrias e a TI ir precisar
acompanhar a empresa fornecendo os meios para o atendimento desses
requisitos legais.

A TI como prestadora de servios


Note que, na aula passada, ressaltamos que a ideia de processo
cada vez mais aceita como o melhor caminho para alcanar resultados
timos em qualquer rea (inclusive na TI). Do mesmo modo, o conceito
de que a TI uma rea prestadora de servios cada vez mais aceita em
todo o mundo. Disso retiramos tambm a ideia de que a TI precisa definir,
para cada um de seus servios, quem seu cliente, quem seu usurio,
quem seu patrocinador etc. Tudo isso , sem dvida, uma mudana de
paradigma para uma rea acostumada a ser um centro de custo responsvel
por lidar com hardware e software e oferecer suporte tcnico.

A Era da Informao
Como voc sabe, hoje em dia h muito mais conectividade, muito
mais informao, maiores demandas por novos servios, centenas de
fornecedores das mesmas solues, dezenas de ferramentas e tcnicas
consagradas pelo mercado, muito mais modelos de gesto etc.
Tudo isso contribui para alimentar o crculo vicioso (ou virtuoso) da Era da Informao. Cada um de ns gera mais informao na
medida em que tudo digitalizado (fotos, documentos, msicas, livros
etc.) e compartilhamos mais informao por meio de aplicaes diversas
(Twitter, Facebook, LinkedIN, Youtube, Emule, Kazaa etc.). Isso sem
falar em contedos completos de cursos de graduao e MBAs que esto
sendo totalmente digitalizados e adaptados para o formato EAD, tal
como este nosso curso!

CEC I E R J E X T E N S O E M G O V E R N A N A

57

Governana em Tecnologia da Informao

| Governana em TI

Tudo isso gera necessidade de maior conectividade (largura


de banda, processamento, memria etc.), ou seja, as pessoas necessitam de mais recursos e a TI fornece mais recursos. Na medida em
que elas tm mais recursos, geram e compartilham mais informao.
E assim vamos!

Atividade

Voc j entendeu a filosofia por trs da Governana em TI? Pesquise pelo menos 1
mais uma dimenso que pode fazer parte do contexto da Governana em TI e
explique a relao existente.
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________

Resposta
Assim como a Governana Empresarial no pode prescindir da filosofia voltada
para o meio ambiente, bvio que a Governana em TI tambm no pode mais
viver sem pensar no verde. Portanto, outra dimenso que se enquadra no contexto
do estudo da Governana em qualquer contexto a dimenso das questes
ambientais e ecolgicas, ou seja, a chamada TI Verde.

CONFORMIDADE REGULATRIA
Sarbanes-Oxley (SOX)
A Lei Sarbanes-Oxley tem como objetivo proteger investidores da
bolsa de valores contra fraudes contbeis e financeiras das companhias
americanas que forjavam dados de seus balanos anuais a fim de evitar
perdas no valor de suas aes.

58

Governana: Gesto, Auditoria e Tecnologia da Informao

2
AULA

Sarbanes e Oxley so nomes de dois senadores norte-americanos


responsveis por escrever a referida lei. Ela atinge diretamente as
empresas americanas que possuem capital aberto e, indiretamente,
todas as filiais dessas empresas no mundo, no caso das multinacionais. Alm disso, outras empresas que se relacionam com essas
empresas, tais como parceiros e fornecedores, tambm acabam
sendo afetados e, s vezes, auditados.

Esta lei contm vrias diretrizes sobre a gerao, uso e armazenamento de informaes, diretrizes
para auditoria, define papis e responsabilidades
da alta direo, discorre sobre a imputabilidade de
gerentes financeiros, diretores e presidentes no caso
de fraudes e trata de vrios outros temas.
O maior benefcio da SOX para a TI mundial
foram os ensinamentos obtidos a partir de sua publicao nos Estados Unidos. Vrias empresas fecharam
as portas porque no conseguiram se adequar aos seus
artigos a um custo aceitvel para o negcio ou porque
no foi mais possvel falsificar informaes e sair impune (ou, pelo menos, isso ficou muito mais difcil).

Figura 2.4: Conformidade regulatria.

Alguns itens da Lei


Sarbanes-Oxley com impacto
direto na TI:
As informaes sobre operaes passadas
devem ficar disponveis por um perodo de
cinco anos para fins de auditoria.
As informaes requisitadas devem estar
disponveis sempre que necessrio s pessoas
cujo acesso legtimo.
As informaes no devem ser acessadas
por pessoas que no possuam direito
de acesso legtimo.
Os dados informados devem ser
atualizados e corretos.

CEC I E R J E X T E N S O E M G O V E R N A N A

59

Governana em Tecnologia da Informao

| Governana em TI

Mas quais empresas conseguiram atender a tais exigncias?


As empresas que se adequaram aos novos princpios legais tinham uma
caracterstica em comum: o fato de que elas possuam reas de TI ao
mesmo tempo eficazes e eficientes. Essa caracterstica vista hoje como
um fator decisivo, pois o mundo inteiro aprendeu a lio. Para muitas
organizaes, simplesmente no foi possvel atender ao que a lei determinava, e elas no tiveram outra sada seno fechar as portas.

Acordo da Basileia
Trata-se de um acordo internacional assinado por representantes
de vrios bancos centrais de vrios pases do mundo na cidade de Basileia,
Sua. Esse acordo afetou todos os pases signatrios, entre eles o Brasil.

O Acordo da
Basileia possui trs pilares:
Estabelece procedimentos mnimos
para o clculo dos riscos de capital (risco de
crdito e risco operacional), buscando atingir
objetivos comuns mesmo quando a abordagem de
gerenciamento de risco distinta.
Define regras para auditorias em instituies financeiras, visando a avaliar os mtodos de identificao,
anlise, monitoramento e controle dos riscos.
Estabelece regras para tornar pblicas as informaes acerca do grau de exposio ao risco
ao qual est sujeita uma instituio,
face aos resultados obtidos em
auditorias.

Regulamentao no Brasil
No Brasil h excesso de regulamentao sobre qualquer tema.
Enquanto a constituio norte-americana, por exemplo, a mesma desde
1787 e possui menos que dez artigos e no mais que trinta emendas, a
constituio brasileira em vigor a oitava, possui mais de 250 artigos e
j passou por mais cinquenta emendas. Alm disso, leis e decretos completam uma lista imensa de regulamentaes em todos os setores.

60

Governana: Gesto, Auditoria e Tecnologia da Informao

A partir de 1998, houve um esforo por desenvolver o chamado

AULA

estado novo, em que tarefas tipicamente exercidas pelo Estado passaram


a ser, aos poucos, exercidas por empresas de direito privado, com a participao ou no do Estado, sob a fiscalizao das agncias reguladoras.
De l para c, vrias agncias foram criadas. Citamos alguns exemplos:
Anatel (Agncia Nacional de Telecomunicaes).
Aneel (Agncia Nacional de Energia Eltrica).
ANP (Agncia Nacional do Petrleo).
Anac (Agncia Nacional de Aviao Civil).
Antaq (Agncia Nacional de Transportes Aquavirios).
ANA (Agncia Nacional das guas).
ANTT (Agncia Nacional de Transporte Terrestre).
Anvisa (Agncia Nacional de Vigilncia Sanitria).
ANS (Agncia Nacional de Sade).
Ancine (Agncia Nacional do Cinema).
Em um ambiente to instvel, a questo
da conformidade legal se torna muito complicada
para qualquer empresa. Porm, isso no pode ser
motivo para que a questo seja totalmente descartada da agenda de diretores e gerentes de TI.
importante que tais executivos possuam reservas
de recursos (e de tempo) para lidar com questes
de conformidade regulatria e que, na medida do
possvel, tentem se antecipar a elas.
A essa altura desnecessrio dizer que a

Figura 2.5: A TI em boas mos.

adequao s leis que estejam em vigor altamente recomendada e que


a no adequao, por si s, j implica uma deciso em total desacordo
com o conceito de Governana em TI.
J percebeu o que tudo isso tem a ver com a Governana em TI?
Como dissemos, j faz muito tempo que a TI deixou de ser somente
um setor responsvel por servidores e aplicaes. Atualmente, a TI
uma rea que deve se relacionar com o negcio to bem como qualquer
outra rea. A conformidade legal sempre foi uma exigncia para todas
as outras reas da empresa e, desde os marcos regulatrios da SOX e
da Basileia, passou a ser tambm para a TI. Alm disso, no raro as

CEC I E R J E X T E N S O E M G O V E R N A N A

61

Governana em Tecnologia da Informao

| Governana em TI

exigncias de conformidade legal de uma rea acabam gerando projetos


para os quais a TI precisar alocar recursos de pessoal, de equipamentos
ou de aplicaes.

Atividade 2
O Brasil est passando por um momento de adequao contbil e fiscal fortemente 2
direcionado pelos avanos na rea de TI. Essa adequao tem sido chamada de
Sped Contbil e Sped Fiscal. Pesquise o que isso e explique o que tem a ver com a
questo da Governana em TI.
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
______________________________________________________________________________
_______________________________________________________________________________
______________________________________________________________________________

Resposta
O Sped Contbil e o Sped Fiscal o maior exemplo de necessidade de adequao
pelo qual as empresas esto passando no momento aqui no Brasil, por fora de
regulamentao. A exigncia (que legal e, portanto, mandatria) est acontecendo principalmente por causa dos avanos alcanados pelos rgos pblicos
na rea de TI. Vrias empresas esto se adequando aos novos tempos e em ritmo
acelerado, pois o rgo regulamentador (no caso, a Receita Federal do Brasil)
estipulou datas para tal adequao. As empresas esto migrando aos poucos (por
setor da economia e regime contbil), para que a mudana acontea com menor
impacto. Aps a data limite estipulada para cada setor, a empresa que no estiver
regulamentada passar a ser multada mensalmente pelo no cumprimento
da lei. E de que consiste tal adequao? Diminuir a quantidade de papis fiscais
e contbeis (livros, notas fiscais, guias de pagamento etc.) e passar tudo para o
formato digital utilizando conceitos avanados de criptografia.

62

Governana: Gesto, Auditoria e Tecnologia da Informao

2
AULA

Voc sabe o que o Sped Contbil e Sped Fiscal? Esses so uns dos
maiores exemplos de evoluo tecnolgica visando diminuio
da burocracia contbil e fiscal jamais vistos no Brasil. O Sped
Contbil trata da substituio dos livros da escriturao mercantil
das empresas pelos seus equivalentes digitais. O Sped Fiscal est
relacionado escriturao fiscal digital, que baseada em arquivos digitais que sero assinados (digitalmente utilizando recursos
de criptografia e assinatura digital) e transmitidos, via internet,
para a Receita Federal do Brasil. Saiba mais em http://www1.
receita.fazenda.gov.br/default.htm. Esse site foi acessado em 30
de dezembro de 2009.

UM MODELO PARA A GOVERNANA EM TI


Apresentamos a seguir, de forma muito resumida, os passos mnimos para a construo de processos visando Governana em TI.

Elaborar o plano estratgico da empresa


Qualquer modelo para a Governana em TI deve ser construdo com base no fato de que no h Governana em TI se a
prpria organizao no tiver o pensamento voltado para a governana.
E essa governana nada mais que uma filosofia pautada em uma srie de
medidas efetivas visando ao melhor controle do negcio de acordo com
os recursos disponveis.
Quais so os fatores que afetam o plano estratgico de uma
organizao? As entradas para a elaborao de um plano estratgico
costumam ser de vrios tipos. Por exemplo:
Demandas externas (tais como presses econmicas, presses
por inovao, diretrizes da matriz e novos concorrentes).
Demandas internas (solicitaes de novos servios, projetos em
andamento em diversos departamentos, resultados de vendas que viram
projetos etc.).
Presses sociais (acessibilidade, incluso digital, TI Verde etc.).
E, alm disso, o que mais pode afetar o plano estratgico?
A empresa precisa estar muito ciente de sua misso e de sua viso, pois
a partir desta que sero definidas as estratgias para atingir metas
relacionadas s demandas sem se desviar de sua misso.

CEC I E R J E X T E N S O E M G O V E R N A N A

63

Governana em Tecnologia da Informao

Planejamento
Estratgico da
Empresa

| Governana em TI

Alinhamento
Campliance

Plano Diretor
de TI

Deciso e
Alocao

Gesto e
Operao

Medio e Desempenho

Figura 2.6: Etapas do modelo de Governana.

Examinar as questes de conformidade regulatria


Como j dissemos, algo importante a se considerar em relao ao
ambiente externo tambm a questo das leis que regulam a operao
da empresa no setor (ou setores) onde ela atua. Alguns setores so mais
afetados pelas alteraes frequentes da legislao tcnica (por exemplo,
o setor de telecomunicaes); outros so mais afetados pelas legislaes
ambientais (por exemplo, o setor da
indstria petrolfera). H ainda algumas
legislaes que acabam afetando todos os
setores da economia, como no caso das
legislaes trabalhistas e tributrias.
Dentro do contexto da governana, a questo da conformidade legal to
importante quanto as questes tecnolgicas. Vale ressaltar que a alta direo
deve estar comprometida em conhecer
as questes de conformidade que podem
afetar a sua operao, pois, como j
dissemos, os projetos de conformidade
Figura 2.7: Alinhamento entre PDTI e Plano Estratgico.

64

Governana: Gesto, Auditoria e Tecnologia da Informao

so mandatrios.

Isso significa que, com relao a esses projetos, no h como optar

AULA

por no cumpri-los. Alm disso, tais projetos normalmente possuem


restrio de tempo dada pelo poder regulador.

Elaborar o plano diretor de TI


Mas, afinal, o que o plano diretor de TI (PDTI)?
O plano diretor contm estratgias diretamente extradas do
plano estratgico da organizao que serviro para alinhar os objetivos
da TI aos objetivos da organizao. Na verdade, os objetivos da rea de
TI devem ser construdos a partir dos objetivos da organizao.

O plano diretor
de TI contm diretrizes para
a rea de TI de curto, mdio e longo
prazos. Embora esses valores no sejam
absolutos, pois devem variar de empresa
para empresa e de setor para setor, o que o
p
mercado tem praticado para curto, mdio
e longo prazos na rea de TI : um ano,
dois a trs anos e cinco a seis
anos, respectivamente.

Tomar decises e fazer alocaes


O que fazer aps a elaborao do plano diretor de TI? Com o
PDTI em mos, o diretor de TI deve executar funes como:
Decidir sobre quais projetos iniciar ou cancelar.
Interromper ou iniciar operaes da TI.
Obter recursos para os projetos e operaes.
Fazer a alocao dos recursos.
Estabelecer as diretrizes para o gerenciamento da capacidade, disponibilidade e continuidade da infraestrutura de servios de TI.
Esta uma etapa que tem foco na eficcia estratgica, ou seja,
escolher o que deve ser feito de acordo com o PDTI, que, por sua vez,
teve sua origem no plano estratgico da organizao. As direes para a
TI, que significam a eficcia estratgica, j foram dadas no PDTI.

CEC I E R J E X T E N S O E M G O V E R N A N A

65

Governana em Tecnologia da Informao

| Governana em TI

Garantir o controle e o gerenciamento da operao


Observe que, uma vez iniciados os projetos e as operaes, ou
seja, uma vez que as escolhas sobre o que deve ser feito j foram feitas de
forma eficaz, a rea de TI deve ter como meta a utilizao eficiente dos
recursos. Operaes e projetos podem ser cancelados ou interrompidos
a qualquer momento por motivos diversos, como falta de alinhamento
com a nova estratgia organizacional, determinao de que o projeto
ou operao no conseguir atender mais aos objetivos iniciais ou at
mesmo por falta de recursos. Lembre-se de que o PDTI deve ser revisado
periodicamente, e novas estratgias podem ser adotadas, dependendo
dos novos cenrios que surjam.
nessa fase que so desenvolvidos os acordos com usurios e
fornecedores para garantir a qualidade dos servios prestados. tambm
neste momento que projetos so selecionados, planejados, executados
e encerrados pela TI.

Atividade

Preencha as lacunas com os seguintes termos e expresses: plano diretor de TI 3


operaes portflio plano estratgico projetos metas regulamentao alocao.
O primeiro passo para a elaborao do modelo de Governana em TI o exame do
_____________________ da empresa, onde suas diretrizes esto definidas e documentadas.
O segundo passo examinar as questes de _________________, pois elas podem ter impacto direto nos __________ e __________ da TI. Somente aps as etapas anteriores que o
_____________________ poder ser escrito de forma consistente, pois suas metas devem ser
extradas e desdobradas diretamente do prprio plano estratgico da empresa. Por fim, restar
equipe de TI tomar as decises de __________, pois tais decises definiro quais projetos
e operaes sero de fato executados. Finalmente, cabe ao provedor de TI o gerenciamento
efetivo de seu __________ para que os _________ da TI, e consequentemente os da empresa,
sejam atingidos.

Resposta Comentada
O primeiro passo para a elaborao do modelo de Governana em TI o exame do plano
estratgico da empresa, onde suas diretrizes esto definidas e documentadas. O segundo passo
examinar as questes de regulamentao, pois elas podem ter impacto direto nos projetos
e operaes da TI. Somente aps as etapas anteriores que o plano diretor de TI poder ser
escrito de forma consistente, pois suas metas devem ser extradas e desdobradas diretamente
do prprio plano estratgico da empresa. Por fim, restar equipe de TI tomar as decises de
alocao, pois tais decises definiro quais projetos e operaes sero de fato executados. Finalmente, cabe ao provedor de TI o gerenciamento efetivo de seu portflio para que os objetivos
da TI, e consequentemente os da empresa, sejam atingidos.

66

Governana: Gesto, Auditoria e Tecnologia da Informao

AULA

O PLANO DIRETOR DE TI
Definio do PDTI

O plano diretor de TI
(PDTI) um documento de alto nvel,
ou seja, elaborado pelo diretor de TI com o
auxlio de outras partes interessadas e do prprio
pessoal do provedor de TI. Ele deve conter informaes
menos detalhadas, porm, mais abrangentes.
O plano diretor de TI precisa ser um documento vivo. Isso
quer dizer que deve ser revisado periodicamente (no
caso da TI, aconselha-se pelo menos uma reviso
a cada trimestre). As metas do PDTI devem
estar alinhadas s metas da
organizao.

Contedo do PDTI
Todo plano visa a responder questes simples do tipo:
O que ser feito?
Quem far?
Quando far?
Por que far?
Onde far?
Como far?
Quanto custar?
Note que o PDTI deve responder a
essas questes para a rea de TI de forma
menos detalhada, porm, suficiente para
que ocorra o detalhamento posterior na
forma de polticas, procedimentos e outros
documentos que completam a informao
do PDTI. Os gerentes de TI so responsveis por detalhar o plano diretor de TI e
operacionalizar suas diretrizes na forma de
projetos e operaes.

Figura 2.8: O PDTI um documento formal.

CEC I E R J E X T E N S O E M G O V E R N A N A

67

Governana em Tecnologia da Informao

| Governana em TI

Elaborao do PDTI
Note que o PDTI deve ser feito de forma interdisciplinar, envolvendo pessoas de outras reas da organizao. Tal necessidade ser tanto
maior quanto maior for a importncia estratgica da TI para o negcio.
Observe que todas as reas envolvidas devem ter cincia de que existe
um plano estratgico organizacional e que a elaborao do PDTI parte
desse plano maior sob todos os aspectos.
O PDTI deve conter o portflio de TI da empresa, ou seja, deve
guiar a todos com relao ao que a TI faz na forma de projetos ou operaes continuadas e o que a TI no faz. Que servios a TI fornece e que
servios ela no fornece.
Voc pode esperar algumas dificuldades tpicas no processo de
elaborao do plano. Citamos algumas:
Tendncia a detalhar informaes mais do que o necessrio.
Tendncia a ser demasiadamente otimista ao selecionar as diretrizes em detrimento dos recursos de TI disponveis.
Reatividade da equipe de TI acostumada a lidar somente com
questes operacionais.

A ITIL E O COBIT NO CONTEXTO DA GOVERNANA

OK. J tempo de comearmos a tratar da ITIL e do COBIT .


Dissemos que estes so apenas dois dos modelos que podem ser abordados dentro do contexto da Governana. Mas onde esses modelos se
encaixam? A Figura 2.9 descreve essa interao entre alguns dos diversos
modelos disponveis (existem vrios outros...).
Note que uma organizao pode ter uma postura reativa e esperar
que as presses externas ou internas a empurrem rumo melhoria em seus
processos, o que tende a acontecer de forma muito desgastante e traumtica. Por outro lado, ela pode agir proativamente e buscar a melhoria
em suas reas de processo utilizando algum modelo de boas prticas ou
normas existentes. Essa ltima abordagem facilitada quando a empresa
governa corretamente no s a TI, mas todas as suas outras reas.
Voltaremos a falar de cada um destes modelos nas aulas finais deste

curso. Por ora, vamos apenas manter o foco na ITIL e no COBIT .

68

Governana: Gesto, Auditoria e Tecnologia da Informao

AULA

COBIT
Imagine que voc o diretor de TI de uma empresa com mais de
oito mil funcionrios em uma mesma planta e a TI possua oitenta pessoas
que atuam nas mais diversas reas. O que voc deve fazer para saber se o
gerenciamento de projetos de TI bom ou ruim? Que critrios adotar para
medir seu trabalho e comparar com o que outras organizaes fazem?

Presses Externas e Internas (Inovao, Avano


Tecnolgico, Projetos de outras rea, Compliance,
Acompanhar a Concorrncia, etc).

Planejamento Estratgico

PRINCE 2

eSCM-CL

eSCM-SP

PMBOK

ISO 9000

ISO 20000

TI Proativa

TI Reativa

Controles de TI (COBIT)

SCRUM
ISO 27000
eTom

MOF
ITIL

ISO 31000

Seis Sigma
A Empresa

Figura 2.9: Vrios caminhos para a Governana.

Pois bem, o COBIT resolve essa questo. Em sua verso mais


recente, ele define as 34 reas de processo da TI (gerenciamento de projetos de TI somente uma delas) e fornece formas de medir a maturidade
de cada uma.
Digamos que voc, ainda na cadeira de diretor de TI da empresa
mencionada, resolva melhorar o seu nvel de maturidade em gerenciamento de projetos de TI. O que voc deve fazer? O primeiro passo a ser
seguido descobrir qual o grau de maturidade atual em gerenciamento
de projetos de TI da empresa. O prximo saber qual grau de matu

ridade a empresa precisa atingir. O COBIT tambm auxiliar voc a


encontrar essa resposta.

CEC I E R J E X T E N S O E M G O V E R N A N A

69

Governana em Tecnologia da Informao

| Governana em TI

E se voc quiser saber o quanto a sua equipe boa em lidar com


incidentes de TI no dia a dia? Os usurios acham que os servios prestados pelo provedor de TI so de alta qualidade ou de baixa qualidade?
Existe capacidade ociosa na sua TI? Voc poderia estar oferecendo mais

servios e no est? Enfim, mais uma vez, o COBIT possui todas essas
respostas.

ITIL

Existem, porm, algumas perguntas que o COBIT no responder. So aquelas perguntas comeadas com Como.... Isso porque

o COBIT possui informaes sobre os controles que devem ser perseguidos e os indicadores-chave de desempenho em todas as reas da
TI, mas no possui informaes sobre como a organizao ir suprir
as lacunas (gaps) para amadurecer em alguma rea. a que entram as

boas prticas e normas indicadas em cinza na Figura 2.9, como a ITIL ,

o PMBOK etc.

Como a ITIL pode ajudar ento? Ora, a ITIL contm processos


que visam melhoria do sistema de gerenciamento de servios de TI.
Em sua segunda verso, ela contm dez dos processos mais importantes
para a Tecnologia da Informao reunidos nos livros de suporte a servios de TI e entrega de servios de TI. Caso a empresa note, por meio do

COBIT , que o seu grau de maturidade em gerenciamento de incidentes

de TI ruim, ela poder usar a ITIL a fim de melhorar esse processo,

pois a ITIL contm informaes sobre o que deve ser feito.

CONCLUSO
Vimos que a Governana em TI muito mais prxima de uma
filosofia do que de algo que possa ser implantado ou adquirido por
intermdio de consultorias. Mesmo porque a governana est fortemente
ligada ao pensamento estratgico da empresa, ou seja, intimamente ligada
personalidade da organizao. Voc deve ter plena conscincia de que,
antes de pensar em Governana em TI, a empresa como um todo deve
estar comprometida com a mudana que precisar ser implementada
em todas as reas.

70

Governana: Gesto, Auditoria e Tecnologia da Informao

importante entender tambm que planejamento estratgico tem

AULA

tudo a ver com governana. Resumindo de maneira muito simples, o modelo de governana depende da elaborao do plano estratgico da empresa.
Por sua vez, o modelo de Governana da TI depende do plano diretor de
TI, que, por sua vez, ser elaborado a partir do plano estratgico.
Por fim, lembre-se de que o conceito de Governana em TI
um conceito muito abrangente. Envolve vrias dimenses e precisa
estar atento a muitos fatores que podem afetar as operaes da TI e,
consequentemente, da empresa. Como vimos na aula passada, o grau de
afetao ser tanto maior quanto maior for a dependncia da empresa
em relao TI.

Atividade online
A
Agora que voc j conhece bastante coisa sobre o conceito de Governana em TI, 4
v sala de aula virtual e resolva a atividade proposta pelo tutor. O instrutor ir
trabalhar com modelo padronizado (template) de um plano diretor de TI. O objetivo
explicar como acontece a elaborao de um PDTI a partir de um modelo genrico.

RESUMO

Governana em TI um conceito amplo e vai alm da ITIL e do COBIT .


Governana de TI envolve tudo o que a TI faz e depende fortemente do
alinhamento estratgico da TI. Uma coisa no existe sem a outra.
Governana em TI envolve dimenses como a perspectiva do negcio,
a segurana da informao, a conformidade regulatria, a prestao de
servios, o manuseio da informao e a conformidade regulatria.
A Era da Informao acelera a evoluo, dificulta o pensamento estratgico
e a Governana em TI.
A conformidade regulatria um fator importante do planejamento
estratgico da TI desde os marcos regulatrios da Lei Sarbanes-Oxley (SOX)
e do Acordo da Basileia.

CEC I E R J E X T E N S O E M G O V E R N A N A

71

Governana em Tecnologia da Informao

| Governana em TI

Os passos mnimos para um projeto de governana so: elaborar o plano


estratgico, examinar as questes de conformidade regulatria, elaborar o
plano diretor de TI, tomar decises e fazer alocaes e garantir o controle
e o gerenciamento da operao.

Informaes sobre a prxima aula

Na prxima aula vamos iniciar os estudos da segunda verso da ITIL ,


publicada em 2000, mas largamente utilizada at hoje. Nessa aula sero

estudados conceitos iniciais da ITIL e a funo da central de servios, que


responsvel por implementar o ponto nico de acesso entre o usurio e
o provedor de TI.
Procure utilizar os conhecimentos adquiridos e at a prxima aula!

Atividades Finais
1) Analise as afirmaes abaixo (V para Verdadeiro e F para Falso).
a) Acionistas, executivos, funcionrios, instituies e o meio ambiente fazem parte
do contexto da Governana em TI.
b) Uma empresa brasileira sem filial no exterior pode ser auditada com base na Lei
Sarbanes-Oxley por uma empresa estrangeira.
c) A TI Verde esta relacionada s reas de TI das empresas cujas atividades possuem
alto impacto no meio ambiente, tais como indstria petrolfera, usinas etc.
2) Assinale I para ITIL e C para COBIT:
a) ( ) Possui controles para o que deve ser feito na rea de TI.
b) ( ) Contm detalhes sobre como atingir metas de processo.
c) ( ) Possui detalhes sobre entradas e sadas de processos.
d) ( ) Contm informaes sobre metas de negcio.
e) ( ) Possui modelos de maturidade para reas de processo.

72

Governana: Gesto, Auditoria e Tecnologia da Informao

2
AULA

f) ( ) Possui indicadores de meta dos processos.


g) ( ) Contm informaes menos abrangentes e mais detalhadas.
h) ( ) Contm informaes mais abrangentes e menos detalhadas.
3) (Tcnico Superior PGE-RJ FCC/2009) Atitudes ou polticas discriminatrias, sob
qualquer pretexto, so totalmente inaceitveis na Governana por se tratar de um dos
seus princpios bsicos, que
a) transparncia.
b) perenidade.
c) responsabilidade corporativa.
d) prestao de contas.
e) equidade.
4) (Auditor em TI Estado-BA FCC/2004) Para um planejamento estratgico de TI ser do
conhecimento dos responsveis pelos processos de negcio e de outras partes relevantes
da organizao, a administrao deve assegurar:
a) a incluso de novas estratgias na elaborao de planos de TI.
b) as mudanas peridicas dos planos de TI.
c) a comunicao dos planos de TI.
d) o monitoramento e a avaliao dos planos de TI.
e) a elaborao de planos de TI de curto e longo prazo.
5) Partindo da meta Nossa empresa manter sua posio de liderana e destaque na
rea de outsourcing de TI ao longo do ano de 2009, escreva trs metas para a rea de TI
que so consequncias ou desdobramentos dessa meta organizacional.
6) Quais so as etapas macro do modelo de Governana em TI visto nesta aula. Explique como
as etapas se encaixam no ciclo de elaborao do plano estratgico e do plano diretor de TI.
7) (Analista Tcnico de TI SUSEP ESAF/2006) Entre os benefcios advindos da adoo de
boas prticas de Governana Corporativa, correto afirmar que:
a) ela cria, por si s, valor para a empresa.
b) proporciona uma administrao ainda melhor, em benefcio dos acionistas majoritrios como prioridade.
c) proporciona aos proprietrios (acionistas ou cotistas) a gesto estratgica de sua
empresa, sem a necessidade da efetiva monitorao da direo executiva.
d) disponibiliza ferramentas que asseguram ao Conselho de Administrao o controle
da propriedade sobre a gesto, descartando a necessidade de Auditoria Independente
e de Conselho Fiscal.
e) os investidores tendem a pagar mais por aes de empresas que adotam melhores
prticas de administrao e transparncia.

CEC I E R J E X T E N S O E M G O V E R N A N A

73

Governana em Tecnologia da Informao

| Governana em TI

Respostas
1.

a. Verdadeiro.
b. Verdadeiro.
c. Falso. TI Verde se aplica a qualquer tipo de empresa.

2.

a. C. O COBIT possui objetivos de controles.

b. I. A ITIL indica como devem ser implementados os processos.

c. I. A ITIL mais detalhada e possui descrio de processos.

d. C. O COBIT foi escrito a partir da viso de negcio da TI.

e. C. O COBIT ajuda a determinar o nvel de maturidade da TI.

f. C. O COBIT possui indicadores-chave de meta dos processos.

g. I. A ITIL mais detalhada, mas no aborda certos temas.

h. C. O COBIT aborda todas as reas da TI, com poucos detalhes.


3) Alternativa E. A questo se refere ao princpio da equidade que visa a evitar que
questes discriminatrias de qualquer espcie afetem o sucesso da Governana.
4) Alternativa C. Para tornar o plano conhecido pelas partes interessadas preci

so comunicao efetiva. Veremos mais tarde que o COBIT possui processos que
tratam especificamente destas questes.
5) Os exemplos so muitos e dependem do momento por que a organizao est
passando. Alguns exemplos seriam:
A TI investir em treinamento e certificao dos analistas em eSCM.
A TI investir no relacionamento com os clientes atuais capacitando os profissionais alocados em clientes em habilidades interpessoais.
A TI iniciar uma campanha com outros departamentos para o fornecimento
de recursos humanos no s na modalidade outsourcing, mas tambm na
nova modalidade body shop (alocao de profissionais e mo de obra na
organizao cliente para serem gerenciados por ele).
6) As etapas so: elaborar o plano estratgico, examinar questes de conformidade
regulatria, elaborar o plano diretor de TI, decidir e fazer alocaes, gerir a operao
e controlar o desempenho. Note que a elaborao do plano estratgico vem antes.
Cada etapa, por sua vez, pode ser melhor detalhada segundo critrios especficos
que podem variar de setor para setor e de empresa para empresa. Por exemplo, as
etapas da elaborao do PDTI podem variar etc.
7) Alternativa E. Esta questo interessante, pois ressalta o fato de que o retorno
obtido com aes de Governana tambm acontece na forma de recursos financeiros
diretos, principalmente no caso de empresas de capital aberto.

74

Governana: Gesto, Auditoria e Tecnologia da Informao

AULA

ITIL: histrico, evoluo e


conceitos

Meta da aula

objetivos

Explicar os processos de suporte a servios de TI da ITIL v2.

Ao final desta aula, voc dever ser capaz de:


1

identificar, listar e explicar os principais conceitos da ITIL;

explicar o que a central de servios da ITIL;

listar as principais funes da central de servios da ITIL.

Pr-requisitos
So pr-requisitos para esta aula ter atingido
os objetivos da Aula 1, Conceitos relacionados
Governana, e os objetivos da Aula 2, A Governana em TI.

Governana em Tecnologia da Informao

| ITIL: Histrico, evoluo e conceitos

INTRODUO

De onde surgiu a ITIL e como ela se enquadra no


contexto da Governana em TI? Voc sabia que os
chamados Call Centers tm tudo a ver com a ITIL?
Responder a estas e a outras questes nosso objetivo nesta aula. Ento, vamos adiante!

Muito bem! Chegou a hora de iniciarmos nossos estudos sobre um


dos principais conjuntos de boas prticas mencionados at o momento
e um dos mais utilizados e conhecidos no mercado mundial, inclusive
no Brasil.
Estamos falando da ITIL. Nesta aula, nosso foco ser estudar a
segunda verso da ITIL, publicada no ano 2000, mas ainda largamente usada em consultorias, projetos de melhoria em gerenciamento de
servios de TI e em certificaes profissionais. Devido larga absoro
da ITIL em sua segunda verso, ela ainda subsiste em paralelo nova
verso, publicada em 2007. A verso mais recente da ITIL (verso 3)
tambm ser estudada em nosso curso nas prximas aulas.

As letras I.T.I.L. representam a sigla para Information Technology


Infrastructure Library ou, em portugus, biblioteca da infraestrutura de TI. A palavra biblioteca no vem por acaso. De fato, a ITIL
composta por vrios livros, cada um tratando de um assunto de
TI especfico. Por exemplo, a verso 2 da ITIL possui sete livros
que tratam de assuntos diversos como suporte a servios de TI e
entrega de servios de TI.

76

Governana: ITIL : Gesto, Auditoria e Tecnologia da Informao

3
AULA

A ITIL
no uma metodologia. um conjunto de boas
prticas para construir processos
para a rea de TI nas organizaes. Esses
processos podem ser idnticos aos que
existem nos livros de ITIL, ou adaptados de acordo com a realidade
da empresa.

A biblioteca ITIL se refere a um conjunto de processos escalveis,


ou seja, processos que podem ser adaptados s necessidades de cada
empresa, independente do seu porte. Guarde bem este conceito, pois
vamos precisar muito dele. A razo principal para a adoo de boas
prticas a construo de processos visando melhoria contnua da rea
de TI, aumento da satisfao do cliente e do usurio de TI e aumento da
autoestima dos profissionais que fornecem servios de TI.
Observe que uma constatao importante trazida pela ITIL para
o cenrio de TI mundial o fato de que, voc, como profissional de TI,
precisar cada vez mais entender do negcio que voc ajuda a sustentar
na organizao, a fim de desempenhar bem o seu papel. Assim, seu foco
no pode mais ser o de um operador de tecnologia, mas sim o de algum
preocupado com o servio que est sendo prestado pelas tecnologias e
como usurios e clientes so afetados por ela. Dessa forma, o trabalho
dos profissionais de TI passa a ser mais direcionado para pessoas e processos do que somente para tecnologias.

Nvel de maturidade

Melhoria
contnua

Alinhamento
estratgico da TI

Planejar, Executar,
Avaliar resultados,
novas aes

Melhoria
contnua
Tempo
Figura 3.1: Nveis de maturidade e melhoria contnua.

CEC I E R J E X T E N S O E M G O V E R N A N A

77

Governana em Tecnologia da Informao

| ITIL: Histrico, evoluo e conceitos

Por incrvel que parea, ainda nos dias de hoje, esse pensamento
no acompanha a maioria dos profissionais de TI em seu ambiente de
produo e, quando acompanha, muitas vezes faltam processos adequados na organizao para que tal pensamento de fato se reflita em
melhoria no servio prestado.
Imagine que algum pergunte a voc, apontando para um equipamento servidor em plena produo: Quanto custa este servidor?. Nessa
situao, voc pode dar duas respostas. Uma levar em considerao
apenas o valor do hardware conforme a nota fiscal do fornecedor. Outra
resposta levar em conta o valor do ativo em produo (configurado,
instalado e operacional), o valor das informaes armazenadas por ele,
o valor dos servios que dependem dele, o valor dos impactos negativos
caso ele fique inoperante e, claro, o valor do prprio hardware (em muitos
casos, o mais barato de todos os itens). Percebeu a diferena?

HISTRICO BREVE DA ITIL


O governo britnico
Voc deve saber que a Inglaterra conhecida por desenvolver
normas, padres e boas prticas que acabam se tornando mundialmente
importantes e reconhecidos. Para a rea de TI, alm da ITIL, podemos
citar tambm o exemplo da ISO 27000 (famlia de normas para o gerenciamento da segurana da informao), que foi originada do BS 7799
(British Standard 7799).
No Reino Unido, a ITIL deu origem ao BS 15000 em 2003 que,
mais tarde, daria origem famlia de normas mundiais ISO 20000 para
o Gerenciamento de Servios de TI. Iremos falar da ISO 20000 no final
deste curso.
A ITIL surgiu na Inglaterra no final da dcada de 1980, sob a
tutela da ento chamada CCTA (Central Computer and Telecommunications Agency), que possua funes semelhantes s funes do Serpro
aqui no Brasil.

78

Governana: ITIL : Gesto, Auditoria e Tecnologia da Informao

Atualmente a CCTA foi incorporada ao OGC (Office of Govern-

AULA

ment Commerce) e a mantenedora dos direitos sobre a ITIL. O OGC,


que possui vrias outras funes na Inglaterra, homologou o ITSMF
(IT Service Management Forum) como frum oficial para discutir e
desenvolver todos os assuntos especificamente relacionados s melhores
prticas da ITIL.
Podemos citar como funes do ITSMF:
Certificar entidades para fornecer treinamentos oficiais.
Certificar profissionais de TI em diversos nveis.
Homologar centros de realizao de provas.
Identificar as melhores prticas e revisar a biblioteca.
Publicar peridicos oficiais em todo o mundo.

O ITSMF holands foi o primeiro chapter fora do Reino Unido,


criado em novembro de 1993. Atualmente o ITSMF possui desmembramentos em todo o mundo, chamados chapters (captulos).
Hoje existem chapters do ITSMF em pases como frica do Sul,
Blgica, Alemanha, ustria, Sua, EUA, Austrlia e Brasil. Acesse
o site do ITSMF no Brasil no endereo: http://www.itsmf.com.br.
O site foi acessado em 30 de dezembro de 2009.

Em 2001, mais 500 empresas j faziam parte do consrcio patrocinador das comunidades do ITSMF para discusso das melhores prticas
em gerenciamento de servios de TI em todo o mundo. Segundo Magalhes (2007), uma pesquisa da empresa Forrester Research apontou que,
das empresas com faturamento igual ou superior a US$ 1 bilho em 2008,
80% utilizavam boas prticas baseadas na ITIL em suas reas, sees
ou departamentos de TI (contra 40% em 2006 e 13% em 2004).

ISO20.000
BSI15000
OGCITIL2
ITIL
Idade
Escura da TI

1970

1980

1990

2000

2005

Figura 3.2: Evoluo histrica da ITIL.

CEC I E R J E X T E N S O E M G O V E R N A N A

79

Governana em Tecnologia da Informao

| ITIL: Histrico, evoluo e conceitos

Por ltimo, ressaltamos que os livros oficiais da ITIL publicados


pelo OGC (Office of Government Commerce) esto disponveis para
compra e possuem direitos de cpia. Porm, o estudo, a transmisso e
a utilizao das boas prticas so livres.

A primeira verso da ITIL


Voc sabe quando a primeira verso da ITIL foi publicada? H
mais de vinte anos, entre 1989 e 1995, pelo governo britnico, atravs
da CCTA (Central Communications and Telecommunications Agency).
A ITIL v.1 era composta por 31 livros associados cobrindo todos os
aspectos da proviso de servios de TI.

A segunda verso da ITIL


A segunda verso da ITIL foi publicada em 2000 e acabou sendo
reconhecida no mundo inteiro e largamente adotada por empresas em
dezenas de pases. Foi esta a verso responsvel por consolidar a ITIL
no mundo, conseguindo o que a verso anterior no conseguiu.

Figura 3.3: Os livros da ITIL verso 2.

A verso dois ser estudada nesta e nas prximas duas aulas deste
curso. Dos livros indicados aqui, somente os livros Entrega de servios de
TI e Suporte a servios de TI sero estudados (o que praxe mesmo nos
cursos oficiais). Embora esta deduo encontre muitas crticas, muitos
dizem que os outros cinco livros da ITIL no so to estudados porque

80

Governana: ITIL : Gesto, Auditoria e Tecnologia da Informao

eles abordam assuntos que j esto bem escritos em outros documentos

AULA

(normas, padres etc.) j consolidados mundialmente. Esse foi, inclusive,


um dos maiores motivos impulsionadores da elaborao da terceira
verso da ITIL pelo ITSMF.

Gerenciamento da segurana
T
N

Planejamento para implementar o gerenciamento do servio

E
C

Gerenciamento de servio
G

C
I

A perspectiva da
negociao

Suporte de servio

Gerenciamento da
infraestrutura de TIC

Entrega de servio

N
O
L
O

Gerenciamento
da segurana

Gerenciamento de aplicaes

G
I
A

Figura 3.4: Arquitetura da ITIL verso 2.

A terceira verso da ITIL


Em 2007 foi lanada a verso trs da ITIL, composta por 26
processos agrupados em cinco volumes. Esses volumes privilegiam o
ciclo de vida dos servios e tentam fazer com que outros assuntos, alm
do suporte a servios e da entrega de servios, sejam tambm objeto de
estudo das melhores prticas para o gerenciamento de servios de TI
pela comunidade envolvida nas discusses do ITSMF.
Os cinco livros so:
Estratgia do servio (Service Strategy).
Projeto de servio (Service Design).
Transio do servio (Service Transition).
Operao do servio (Service Operation).
Melhoria contnua do servio (Continual Service Improvement).

CEC I E R J E X T E N S O E M G O V E R N A N A

81

Governana em Tecnologia da Informao

| ITIL: Histrico, evoluo e conceitos

Melhoria contnua do servio

Projeto de
servio
Estratgia
do servio

lho
r
do ia co
ser nt
vi nua
o

Me

nu
nt
co
ria vio
lho ser
do

T
do ran
se si
rv o
io

Me

o
ra
Ope rvio
e
de s

ITIL

Figura 3.5: Arquitetura da ITIL v3.

Vamos estudar esta verso mais adiante em nosso curso.

O ITSMF j distribuiu mais de quatrocentos mil certificaes ITIL


em todas as suas verses entre 1993 e 2008. No Brasil h cerca
de cinquenta mil profissionais certificados e, desde 2006, vem
havendo crescimento de 25% ao ano, em mdia, do nmero de
profissionais certificados.
Atualmente a prova de certificao no nvel de fundamentos pode
ser feita tanto para a verso trs (que estudaremos adiante) quanto
para a verso dois da ITIL. O custo da prova de certificao no nvel
de fundamentos de US$ 165,00 para ambas as verses da ITIL
e no h pr-requisitos. Para os nveis mais altos de certificao,
o ITSMF exige que o candidato realize treinamento oficial em um
centro homologado.

CONCEITOS RELACIONADOS ITIL v2


Processos
Voc j est familiarizado com o conceito de processo? Lembra-se
de como ele foi descrito em nossa primeira aula e de como o conceito de
melhoria contnua em uma organizao acontece atravs de processos?
Caso tenha dvidas, revise esse conceito, pois ele ser muito importante
para o bom entendimento das prximas aulas.

82

Governana: ITIL : Gesto, Auditoria e Tecnologia da Informao

Como j dissemos, o conceito de processo to importante atual-

AULA

mente que estudar a ITIL significa estudar processos. Nada mais, nada
menos... A ITIL v.2 possui sete livros; dois deles so muito mais utilizados
pelo mercado, pois tratam de questes mais prximas do nvel de maturidade atual da maioria das organizaes. So os livros: Suporte a servios
de TI e o de Entrega de servios de TI.
Observe que o contedo desses dois livros composto pela
descrio de dez processos, cinco em cada um deles, tratando de aspectos do gerenciamento de servios de TI. No livro de suporte temos os
seguintes processos:
Gerenciamento de incidentes de TI.
Gerenciamento de problemas de TI.
Gerenciamento de mudanas na infraestrutura de TI.
Gerenciamento de liberaes na infraestrutura de TI.
Gerenciamento de configurao na infraestrutura de TI.
No livro de entrega temos os seguintes processos:
Gerenciamento do nvel de servio.
Gerenciamento da capacidade.
Gerenciamento da disponibilidade.
Gerenciamento da continuidade.
Gerenciamento financeiro da TI.
Voc vai precisar aguardar um pouco para conhec-los, pois
estudaremos os processos do livro de suporte na Aula 4 e os processos
do livro de entrega na Aula 5.

Indicadores-chave de desempenho
Talvez voc j tenha ouvido falar da sigla KPI (Key Performance
Indicator), que em portugus significa indicador-chave de desempenho.
Todo processo visa melhoria contnua. Como dissemos, no h como
melhorar algo se no tivermos um meio de medir o que se quer melhorar.
Lembra-se das caractersticas que devem ser definidas para qualquer
processo?

CEC I E R J E X T E N S O E M G O V E R N A N A

83

Governana em Tecnologia da Informao

| ITIL: Histrico, evoluo e conceitos

Relembrando:

Metas e objetivos.

Papis e responsabilidades.

Indicadores-chave de desempenho.

Responsveis pelo processo.

Pois bem, os indicadores-chave de desempenho


so aquilo que se quer medir no processo a fim de saber
se as metas e objetivos esto ou no sendo atingidos.
Por exemplo, imagine que a sua empresa constri um proFigura 3.6: Indicadores de desempenho.

cesso, capacita os envolvidos no processo, define os papis


da cada um, inclusive o do responsvel pelo processo, e

implementa o processo em seu ambiente operacional. Imagine ainda que


esse processo visa diminuio do nmero de incidentes relacionados
a um equipamento de grande porte, muito caro, e cuja parada ocasiona
perdas de dez dlares por minuto na linha de produo. Uma vez que o
novo processo est em execuo, como o dono do processo ir saber se
o objetivo (diminuir o nmero de incidentes) est ou no sendo atingido?
Como ele ir elaborar os relatrios para a alta direo?
Ora, esta muito fcil, voc deve estar pensando! Basta medir
a quantidade de incidentes aps a implementao do novo processo e
comparar com a quantidade de incidentes anteriores. E, de fato, essa
a resposta! Esperamos que a ideia de indicador-chave de desempenho
tenha ficado clara!
Embora o conceito seja bastante simples, nem sempre encontramos
no dia a dia das empresas a preocupao com definir as metas do processo
e persegui-las atravs da medio de indicadores-chave de desempenho
(normalmente, nem existem indicadores formalmente definidos).
Ressaltamos que nem sempre simples definir indicadores-chave
de desempenho, principalmente para a rea de servios. Por exemplo,
em uma empresa que est criando uma metodologia para gerenciar projetos de TI baseada em processos do Guia PMBOK, o sucesso de cada
processo ser medido atravs de indicadores-chave de desempenho.

84

Governana: ITIL : Gesto, Auditoria e Tecnologia da Informao

3
AULA

A definio dos
indicadores-chave de desempenho uma das principais formas de
m
manter o pensamento da organizao voltad
do para a melhoria contnua dos processos e,
no contexto da ITIL, tarefa imprescindvel desde o incio da construo
dos processos.

Mas como ser medido o sucesso da metodologia? Ora, o sucesso


da metodologia est no sucesso de cada projeto. E o que o sucesso em
cada projeto? O sucesso do projeto atender aos requisitos do cliente.
Alto l! Nem sempre isso verdade. Lembra-se do conceito de eficcia?
Se o projeto em si no for um projeto alinhado estratgia da organizao e ao plano diretor de TI, o fato de termos atendido aos requisitos
do cliente no faz desse projeto um sucesso total!

O Guia PMBOK possui 42 processos que contm as boas prticas do mercado para o gerenciamento de projetos em qualquer
rea. Um desses processos denominado Elaborar o Termo de
Abertura do Projeto e um processo de iniciao do projeto.
nesse processo que acontece a escolha do projeto com base em
algum critrio de seleo e que a organizao decide se o projeto
ou no importante para atingir alguma meta estratgica, ou
seja, se a metodologia for bem construda, existir um processo
que impedir a execuo de projetos que no contribuam para a
estratgia da empresa.

Enfim, esta outra histria, mas, repetimos que nem sempre


ser simples encontrar os indicadores-chave de desempenho. Porm,
a empresa deve orientar seus esforos para defini-los, pois muitssimo
pior no t-los!
Seguem alguns exemplos simples de indicadores de desempenho:
Nmero de incidentes registrados por dia (ou semana, ms etc.).
Nmero de problemas registrados por dia (ou semana, ms etc.).
Tempo mdio para resoluo de incidentes (ou problemas).
Tempo mdio para diagnstico de causa-raiz de problemas.

CEC I E R J E X T E N S O E M G O V E R N A N A

85

Governana em Tecnologia da Informao

| ITIL: Histrico, evoluo e conceitos

Quantidade de itens de configurao registrados na BDGC


(Base de Dados de Gerenciamento da Configurao).
Quantidade de servios para os quais a empresa possui ANS
(Acordos de Nvel de Servio).
Voc sabe a diferena entre incidente e problema? Por ora, vamos
dizer apenas que existe, sim, uma diferena. Vamos tratar desse assunto
no prximo item. Os indicadores-chave de desempenho ficam mais
elaborados na medida em que a empresa amadurece o seu processo.
Ou seja, em um estgio avanado de amadurecimento, os indicadores
podero ser escritos na forma:
Nmero de incidentes registrados nos meses de fechamento de
trimestre que afetaram nossos clientes do servio Gold XYZ.
Quantidade de servios para os quais a empresa possui ANS
que dependem de ANOs (Acordos de Nvel Operacional) e de
CAs (Contratos de Apoio).
Percebeu a diferena? Com o tempo, a
tendncia orientada pela melhoria contnua
que o nvel de amadurecimento do processo
permita a definio de indicadores-chave de
desempenho com cada vez mais detalhamento, o que permitir empresa obter informaes de negcio muito mais valiosas.
Assim, frases como Aqui ns melhoramos a cada dia a nossa qualidade em tudo
o que fazemos so substitudas por frases
como Nossos ndices de incidentes em operaes de pouso e decolagem passaram de
48/1.000 para 16/1.000 no ltimo ano e nossa
meta agora reduzir esse ndice para 10/1.000 em no mximo trs meses."
A primeira frase fala, mas no diz nada. J a segunda deixa claro o
que significa qualidade e melhoria contnua, sem nem mesmo precisar
mencionar estes termos.
Por ltimo, lembramos que BDGC um conceito que ser visto
na Aula 4, no processo de gerenciamento da configurao, e que ANS,
ANO e CA sero estudados na Aula 5, no processo de gerenciamento
do nvel de servio.

86

Governana: ITIL : Gesto, Auditoria e Tecnologia da Informao

AULA

Incidente, problema e solicitao de servio


Voc sabe o que significam os termos incidente, problema e requisio de servio?
Tanto incidentes quanto problemas diminuem o nvel dos servios
prestados pelo provedor de TI ou o interrompem totalmente. Porm,
incidentes so eventos para os quais existem solues conhecidas, documentadas e que podem ser imediatamente aplicadas a fim de restabelecer a operao normal o mais rapidamente possvel (so as chamadas
solues de contorno).
J os problemas so aqueles eventos que afetam um servio ou o
interrompem totalmente, mas para os quais haver sempre a necessidade
de uma investigao em busca de uma causa-raiz. Ou seja, problema
o evento para o qual no conhecemos a causa e, obviamente, para o
qual no possumos uma soluo de contorno documentada e pronta
para ser aplicada.
Finalmente, uma requisio de servio uma solicitao do
usurio no relacionada a um incidente ou problema propriamente dito.
Por exemplo, uma solicitao de informao, esclarecimentos sobre
verses de softwares homologadas, pedidos de mudana de senha etc.

Atividade

Um usurio liga todas as segundas-feiras, no incio do expediente, a fim de solicitar 1


a restaurao do seu acesso Internet. O tcnico responsvel sempre executa a
mesma ao: conectar novamente cabos que foram desconectados durante a faxina
geral do fim de semana. O que o usurio em questo faz toda segunda-feira :
a. Solicitar um servio ao provedor de TI.
b. Relatar um incidente ao provedor de TI.
c. Relatar um problema ao provedor de TI.
_______________________________________________________________________________
_______________________________________________________________________________
________________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
______________________________________________________________________________

CEC I E R J E X T E N S O E M G O V E R N A N A

87

Governana em Tecnologia da Informao

| ITIL: Histrico, evoluo e conceitos

Resposta
Letra b. Do ponto de vista do usurio, ele relata sempre um incidente. papel
do provedor de TI fazer a classificao. Nesse caso, a questo conhecida e
a soluo tambm. O que falta uma atitude proativa do provedor no sentido
de atacar a causa-raiz do problema. Note que o problema no o fato de os
cabos estarem desconectados (isso o efeito relatado pelo usurio). O problema
o que faz com que tal incidente se repita recorrentemente. Veremos como lidar
com essa questo em detalhes na prxima aula.

Usurio versus cliente


Voc j se perguntou quem so os usurios e quem so os clientes
dos servios que voc presta na rea de TI de sua empresa? A definio de usurio e de cliente muito importante no contexto da ITIL.
Usurios so aqueles que utilizam o servio no dia a dia; clientes so
aqueles que pagam pelo servio. Um exemplo simples: no caso de uma
pet shop, quem o usurio e quem o cliente? O usurio, pelo que se
espera, um co ou um gato, mas cliente o dono do animal.
No nosso caso de TI, nem sempre cliente e usurio so a mesma
pessoa ou entidade em si. Alm disso, o usurio pode ser interno ou externo. Por exemplo, as fbricas de bens de consumo (automvel, geladeira,
fogo, mquina de lavar etc.) certamente possuem uma rea de TI. Voc
sabe quem o usurio e quem o cliente da TI nestes casos? E no caso
de uma empresa de software, quem o usurio e quem o cliente?
Bem, passemos ao prximo item. Nele esclareceremos tais
questes.

Provedor de servios

A definio formal diz que


o provedor de servios de TI a
funo organizacional composta por
pessoas, processos e tecnologias com o
objetivo de fornecer servios para
usurios internos ou externos da TI.

88

Governana: ITIL : Gesto, Auditoria e Tecnologia da Informao

Note que preciso fazer distino entre o provedor de TI que pres-

AULA

ta servios para outras empresas do provedor de TI que presta servios


para usurios internos. No primeiro caso, a atividade-fim da empresa
a prpria TI (outsourcing, fbricas de software etc.); no segundo caso,
a atividade-fim outra que no tem nada a ver com a TI (empresas
siderrgicas, bancos, aviao etc.).

Atividade

Na maior parte das situaes, relativamente fcil identificar o usurio dos servios 1
de TI. Porm, a identificao do cliente, aquele que paga pelo servio, no to
simples. Isso acontece principalmente nas situaes em que o ncleo de negcios
da empresa no a prestao de servios de TI. Por exemplo: em uma empresa que
fabrica tecidos, quem o cliente da rea de TI? Explique a sua resposta com base nos
conceitos da ITIL.
_____________________________________________________________________________
______________________________________________________________________________
______________________________________________________________________________
______________________________________________________________________________
______________________________________________________________________________
_____________________________________________________________________________

Resposta
O cliente aquele que paga pelo servio. Deve ficar claro que o pagamento nem
sempre acontece em dinheiro. Normalmente, no caso em que a TI presta servios
internamente, o cliente a pessoa dentro da organizao que tem o poder de
alocar mais (ou menos) verbas para a aquisio de recursos, contratao de pessoal, realizao de treinamentos etc. Em ltima instncia, ela quem paga pelo
servio. Em determinadas situaes, o chefe do departamento para o qual a TI est
prestando um servio (um diretor) tambm pode ser visto e tratado como o cliente,
uma vez que a sua percepo pode afetar diretamente a percepo daquele que
responsvel por distribuir os recursos em toda a organizao (um presidente).
No caso da empresa de tecidos, como em qualquer outro caso, a ideia a mesma.
Cliente aquele que paga pelo servio, de uma forma ou de outra.

CEC I E R J E X T E N S O E M G O V E R N A N A

89

Governana em Tecnologia da Informao

| ITIL: Histrico, evoluo e conceitos

Nesse ponto, voltamos s questes do item anterior. A resposta


simples. O provedor de TI pode prestar servios para usurios internos, ou externos, e para ambos. No caso da fbrica de software, como
a TI faz parte do prprio ncleo de negcios da empresa, os usurios
dos servios de TI so tipicamente externos, ou seja, aqueles que utilizam os programas e aplicativos desenvolvidos pelos programadores
da empresa. Porm, a estrutura dessa fbrica de software certamente
possuir pessoas encarregadas das vendas, do marketing, das finanas
etc. Essas pessoas tambm necessitaro de servios do provedor de TI
e sero tambm usurios (ainda que internos) do provedor.

Servio versus produto


Apenas para evitar confuso, cabe diferenciar estes dois conceitos.
Servio tudo aquilo que se oferece, presta ou fornece (uma consultoria,
um aconselhamento, uma capacitao etc.). Produto tudo aquilo que
se produz, fabrica ou manufatura (um software, um computador, uma
impressora etc.). Em muitos casos, uma contratao envolve servios
e produtos. Por exemplo, quando um rgo do governo adquire diversos equipamentos com servio de instalao, suporte e treinamento.
Encontramos algumas bibliografias que utilizam o termo produto de
maneira genrica ao se referir ao produto no sentido estrito e aos servios
conforme explicado neste pargrafo.

Atividade

Relacione a coluna da direita com a coluna da esquerda.


(
(
(
(
(
(
(
(
(

90

) Consultoria, capacitao e instalao.


) Nmero de incidentes por ms.
) Evento com soluo conhecida.
) Aquele que usa o servio.
) Evento sem causa-raiz definida.
) Aquele que paga pelo servio.
) Documentos, relatrios e servidores.
) Executa as funes da TI.
) Solicitao de alterao de senha.

Governana: ITIL : Gesto, Auditoria e Tecnologia da Informao

1. Cliente.
2. Usurio.
3. Provedor de TI.
4. Servio.
5. Produto.
6. Incidente.
7. Problema.
8. Solicitao de dervio.
9. Indicador de desempenho.

3
AULA

Resposta
( 4 ) Consultoria, capacitao e instalao um servio.
( 9 ) Nmero de incidentes por ms um indicador.
( 6 ) Evento com soluo conhecida um incidente.
( 2 ) Aquele que usa o servio o usurio.
( 7 ) Evento sem causa-raiz definida um problema.
( 1 ) Aquele que paga pelo servio o cliente.
( 5 ) Documentos, relatrios e servidores so produtos.
( 3 ) Executa as funes da TI o provedor de TI.
( 8 ) Solicitao de alterao de senha uma solicitao.

Note que a expresso provedor de servios de TI, cunhada pela


ITIL, deixa claro qual o seu foco. Ao instalar um computador pessoal ou um hardware de produo, voc estar prestando um servio.
Portanto, tenha sempre em mente quem o seu usurio e quem o
seu cliente.

A CENTRAL DE SERVIOS
Vamos agora conhecer o conceito de central de servios. A central
de servios uma funo da ITIL. Grave bem esse conceito e procure
entend-lo nos prximos pargrafos. A central de servios no um dos
processos da ITIL, mas sim uma funo desempenhada por uma ou
mais pessoas dentro do provedor de TI.
O maior objetivo da central implantar um ponto nico de contato
entre o usurio e o provedor de TI. Em alguns ambientes, a expresso
ponto nico de contato ou de acesso substituda pela sigla em ingls
SPOC (Single Point of Contact). O ponto nico de acesso pode ser um
nmero de telefone, um email de suporte, uma pgina para abertura de
chamado atravs da intranet da empresa etc.
No curto prazo, a adoo do SPOC costuma gerar reatividade
por parte dos usurios, mas, a mdio e longo prazos, na medida em
que os resultados concretos comeam a aparecer, a maior eficincia na
prestao de servios falar mais alto. Por isso, o projeto de melhoria
na prestao de servios de TI atravs das prticas da ITIL precisar
de apoio formal da alta direo, principalmente em sua fase inicial.
E, diga-se de passagem, a implantao da central de servios o primeiro
passo dentro de um projeto como esse.
CEC I E R J E X T E N S O E M G O V E R N A N A

91

Governana em Tecnologia da Informao

| ITIL: Histrico, evoluo e conceitos

Perceba que sem a central impossvel implantar os processos


essenciais do livro de suporte da ITIL, como o de gerenciamento de
incidentes. Esse processo o principal responsvel por organizar o
combate aos incndios do dia a dia da TI, liberando tempo para que as
equipes possam atuar em aes proativas.

Funes da central de servios


As funes da central iro variar muito, dependendo do porte da
organizao e do estgio de maturidade em que ela se encontre. Porm,
a ITIL lista algumas das principais atividades que tipicamente sero
desempenhadas pela central desde o incio de sua operao.
Alguns dos principais objetivos so:
Ser o ponto nico de acesso entre o usurio e o provedor de TI.
Registrar todos os incidentes e solicitaes de servio do usurio.
Restaurar o nvel de servio rapidamente e sempre que possvel.
Dar suporte implantao de outros processos da ITIL.
Registrar informaes e lies aprendidas.
Uma das confuses que se faz com relao
escalabilidade da ITIL est relacionada central de
servios. Normalmente as pessoas tendem a pensar
em central de servios como um call center ou algo
parecido. Da se originam pensamentos do tipo:
A minha TI composta por duas pessoas, eu e o meu
chefe. Como posso implementar um call center em uma
TI to pequena?
Figura 3.7: A central de servios.

H atuamente no mercado uma srie de empresas que fabricam software com funcionalidades inspiradas na biblioteca ITIL. Muitas empresas, ao iniciar o seu projeto de construo de processos com base nessa biblioteca, optam por adquirir uma dessas ferramentas.
Muitas delas so relativamente caras. Vale ressaltar que no obrigatria a aquisio
de qualquer tipo de software para melhorar o gerenciamento de servios de TI. Porm,
isso muito recomendado em ambientes de mdio e grande porte simplesmente para
automatizar certas tarefas. Lembre-se de que a soluo ser dada pelas pessoas e que as
tecnologias s iro potencializar as decises (sejam elas corretas ou no). Para ver uma lista
de fabricantes de ferramentas para gerenciamento de servio de TI homologados acesse:
http://www.pinkelephant.com/ResourceCenter/PinkVerify/PINKVERIFY-Toolsets.htm
O link foi acessado em 30 de dezembro de 2009.

92

Governana: ITIL : Gesto, Auditoria e Tecnologia da Informao

Como j dissemos, a funo da central de servios (ou funes...)

AULA

pode ser desempenhada de vrias formas, desde a padronizao de um email


corporativo para solicitao de servios at, de fato, a criao de um grupo
de pessoas responsvel por dar o primeiro atendimento s solicitaes do
usurio. O importante que exista uma forma nica de acesso aos servios
do provedor de TI e que essa forma permita o registro de todos os incidentes,
sua classificao, escalao etc. Por outro lado, a estrutura da central no
deve permitir a continuidade de vcios como acesso direto do usurio ao
tcnico, analista ou gerente, priorizao dos chamados de acordo apenas
com o nvel hierrquico ou preferncias pessoais etc.
Enfim, existem objetivos muito claros da central e so esses objetivos que devem ser perseguidos pela organizao. A forma de atingir
tais objetivos, como j dissemos, ir depender do porte da empresa e do
seu nvel de maturidade em gerenciamento de servios de TI, porm os
objetivos permanecem os mesmos.
Conhea alguns benefcios possibilitados pela central:
Aumento da acessibilidade do usurio ao suporte.
Produtividade das equipes de 2 e 3 nveis.
Reduo do impacto diminuindo o tempo de reparao.
Percepo de qualidade e satisfao dos clientes.
Fcil obteno de indicadores para gesto e suporte deciso.
Por fim, ressaltamos que a expresso nvel de maturidade
no possui, em nosso contexto, nenhum sentido pejorativo. Falaremos
mais sobre a determinao do nvel de maturidade de uma organizao
com relao s reas de processo da TI nas aulas sobre os controles do
COBIT.

TIPOS DE CENTRAL DE SERVIO


Vamos agora examinar os tipos de central de servio que encontramos nas empresas. Observe que, em algumas organizaes, a central de
servios recebe outras denominaes. Vale ressaltar que aconselhvel e
recomendado que a empresa utilize as boas prticas da ITIL adaptando
seus processos sua realidade. Essa adaptao pode passar inclusive pelo
uso de outras terminologias quando a empresa j est acostumada com
certos termos. Porm, por outro lado, um dos benefcios das boas prticas

CEC I E R J E X T E N S O E M G O V E R N A N A

93

Governana em Tecnologia da Informao

| ITIL: Histrico, evoluo e conceitos

justamente uniformizar conhecimento, e isso passa por desenvolver


aos poucos uma terminologia comum para facilitar a comunicao dos
profissionais da rea.
Resumindo, em certos casos, principalmente no que diz respeito
a criar a sua prpria terminologia, tal adaptao deve obedecer a algum
critrio lgico e formal na empresa. Isso para que a comunicao entre
organizaes que tenham adotado processos baseados na ITIL acontea
naturalmente e sem a necessidade de tradues, pois isso (duas empresas que adotaram processos baseados na ITIL no se comunicarem bem)
iria de encontro aos objetivos bsicos da biblioteca de boas prticas.
Veja abaixo alguns tipos de central mais comuns e as suas respectivas definies (a escolha depende de como a empresa decidiu implantar
esta funo):
Call center (ou centro de chamadas)
Normalmente atende a um grande volume de chamados por telefone sem, necessariamente, a preocupao de prestar o suporte
tcnico inicial. Em alguns ambientes o usurio pode ser direcionado para um centro de suporte via telefone; em outros o seu
chamado ser apenas registrado com uma previso de tempo para
a soluo.
Contact center (ou centro de contato)
Semelhante ao call center, mas, neste caso, o atendimento feito
atravs de vrios meios alm do telefone, entre eles o email,
alguma ferramenta web para abertura de chamados, chat em tempo
real etc.
Help desk (ou central de suporte)
O foco est em prestar o primeiro suporte e, sempre que possvel,
restabelecer o nvel de servio, integrando o processo de gerenciamento de incidentes, que iremos ver na prxima aula.
Service desk (ou central de servios)
Trata-se do nvel mximo. O foco prestar bom servio ao usurio
de TI. Perceba que isso um pouco mais que resolver o incidente. Por exemplo, a central se certifica de que resolver o incidente,
de fato, deixou o cliente satisfeito e que o servio, do ponto de
vista do usurio, est funcionando a contento.

94

Governana: ITIL : Gesto, Auditoria e Tecnologia da Informao

AULA

EQUIPE DA CENTRAL DE SERVIOS


O que podemos falar sobre as pessoas
que operam a central de servios? Outra questo importante com relao central o fato
de que, alm das habilidades tcnicas, essas
pessoas devem possuir habilidades interpessoais como educao, cortesia, capacidade de
ouvir, autocontrole, assertividade, objetividade,
entoao de voz, empatia etc. Isso porque,
em muitos casos, a imagem do provedor de
TI para o usurio final ser a imagem passada
pela central.

Figura 3.8: Equipe da central de servios.

Alm disso, conforme estudaremos na


prxima aula, a maior parte das questes reportadas pelos usurios se trata de incidentes cuja
soluo depende muito mais de identificar suas
caractersticas e aplicar uma soluo conhecida,
ou seja, em muitos casos a habilidade de lidar
com o usurio a fim de identificar rapidamente
o que realmente interessa (a despeito do humor
do usurio no momento da conversao) ser
mais importante do que a habilidade tcnica
para aplicar uma soluo j conhecida.
Obviamente, nada impede que ambos os conjuntos de habilidades
sejam desenvolvidos em todas as equipes, mas o foco deve ser o mais
adequado possvel situao. Quem est na linha de frente com
o usurio deve saber lidar muito bem com pessoas, pois muitos dos conflitos entre usurio de TI e provedor de TI surgem da incapacidade mtua
de comunicao.
Observe que as pessoas que lidam diretamente com o usurio
devem ter em mente que o bom atendimento pode ser to importante (ou
mais) que a prpria soluo do incidente em si. At mesmo por limitao
de recursos, o "bom atendimento" nem sempre significa a soluo imediata de todos os assuntos. Porm, receber a devida ateno por parte do

CEC I E R J E X T E N S O E M G O V E R N A N A

95

Governana em Tecnologia da Informao

| ITIL: Histrico, evoluo e conceitos

provedor de TI normalmente algo


citado em toda empresa como bom
atendimento. E devida ateno significa apenas que a solicitao no ser
esquecida e que ela ser solucionada
de acordo com o ANS para aquele
tipo de incidente.
Lembre-se de que, com o advento da ITIL, a preocupao principal
do profissional de TI deve ser com a
satisfao do usurio final.

CONCLUSO
A ITIL surgiu numa poca em que vrias boas prticas, normas e
padres estavam surgindo no mundo todo em diversos setores da indstria. Seu objetivo, desde o incio, era melhorar a qualidade na prestao
de servios de TI na Inglaterra. Hoje, aps mais de duas dcadas de
evoluo, o mundo inteiro utiliza a ITIL para melhorar seus servios
de TI. Alm do objetivo inicial, a ITIL hoje cumpre tambm o objetivo de
fazer com que o profissional de TI adote uma postura mais estratgica na
empresa, ou seja, que adote um pensamento mais voltado para o ciclo
de vida dos servios que ele ajuda a prestar.
No Brasil, a ITIL largamente adotada em vrias empresas.
Porm, alm de seus processos, existe uma filosofia por trs da sua adoo
que precisa estar muito clara para qualquer um que queria utiliz-la, quer
seja em um projeto na empresa, quer seja para adquirir conhecimentos ou
mesmo obter uma certificao profissional. Nesta aula vimos os conceitos
iniciais, inclusive a ideia da central de servios; nas prximas iremos
tratar especificamente de cada um dos processos mencionados.

96

Governana: ITIL : Gesto, Auditoria e Tecnologia da Informao

3
AULA

Atividade online
Pronto! J hora de fazermos algumas atividades online para consolidar os conhecimentos
com relao ITIL antes de partirmos para as aulas que iro tratar dos processos de suporte
e de entrega. V sala de aula virtual e resolva a atividade proposta pelo tutor. O objetivo da
atividade determinar como a central de servio poderia ser implementada na sua empresa.
Lembre-se de que isso ir depender de vrios fatores e decises, porm, para estar aderente s
boas prticas, as principais funes da central de servio devero ser garantidas.

RESUMO

A ITIL foi desenvolvida pelo governo britnico, e sua primeira verso foi
publicada no final da dcada de 1980.

A verso mais recente da ITIL a terceira, com 26 processos e cinco livros.


A segunda verso da ITIL ainda muito utilizada e estudada no mercado.
Ela possui sete livros, dos quais dois so mais estudados: os livros Suporte
a servios de TI e Entrega de servios de TI.

Os indicadores-chave de desempenho so importantes para a melhoria


contnua do processo e devem fazer parte de sua prpria definio.

O foco da ITIL a prestao de servios, a satisfao do usurio final e


a melhoria da autoestima dos profissionais que atuam na rea de TI com
base em resultados concretos.

A central de servios no um processo, e sim uma funo da ITIL.


O principal objetivo da central de servio servir de ponto nico de acesso
entre o usurio e o provedor de TI.

Outras funes da central de servios so: registrar todos os incidentes,


restabelecer o nvel de servio o mais rapidamente possvel e registrar
informaes e lies aprendidas para melhoria do processo.

H vrios tipos de central de servio e vrias denominaes, de acordo


com suas funes. Porm, os objetivos finais so sempre os mesmos e devem
ser sempre perseguidos.

As habilidades interpessoais dos profissionais que atuam na central de


servio so to importantes (ou mais) quanto as habilidades tcnicas.

CEC I E R J E X T E N S O E M G O V E R N A N A

97

Governana em Tecnologia da Informao

| ITIL: Histrico, evoluo e conceitos

Informao sobre a prxima aula


Na prxima aula iremos explicar os detalhes dos processos do livro de suporte
da ITIL v2. Costuma-se dizer que esses processos so operacionais e que, por
outro lado, os processos do livro de entrega so tticos. Na verdade, essa
no uma ideia formalmente correta e veremos o porqu disso tambm
em nosso prximo encontro.
Aproveite os conhecimentos adquiridos at aqui e at a prxima aula!

Atividades Finais
1) Foi visto ao longo da aula que a central de servio no necessariamente um local
fsico com pessoas dedicadas unicamente a tal funo. Como a central de servio seria
implementada na sua empresa?
2) Quais das atividades abaixo no se referem central de servio (escolha duas
opes):
a. Ser o ponto nico de acesso entre o usurio e o provedor de TI.
b. Registrar todos os incidentes e solicitaes de servio do usurio.
c. Investigar a causa das interrupes do servio.
d. Restaurar o nvel de servio rapidamente e sempre que possvel.
e. Impedir a comunicao entre o usurio e o provedor de TI.
f. Registrar informaes e lies aprendidas.
3) De acordo com a filosofia que vem sendo adotada desde a dcada de 1980, qual seria
a melhor definio para a ITIL, dentre as listadas a seguir?
a. Um padro internacional para o gerenciamento de servios de TI.
b. Uma metodologia para a proviso de servios de TI.
c. Um modelo que contm diretrizes para a TI em todas as reas.
d. Uma referncia baseada naquilo que mais aceito no mercado.
4) O que so indicadores de desempenho e qual a sua funo na ITIL?
5) Qual o papel do processo e do indicador de desempenho no processo de melhoria
contnua do gerenciamento de servios de TI?
6) (Analista de Segurana MEC FGV/2009) A ITIL demonstra as melhores prticas que podem
ser utilizadas na aplicao de seus conceitos. Ela permite o mximo de alinhamento entre as

98

Governana: ITIL : Gesto, Auditoria e Tecnologia da Informao

3
AULA

tecnologias da informao e as demais reas de negcio, de modo a garantir a gerao


de valor organizao. O Gerenciamento de Servios de TI baseia-se em:
a. relacionamentos.
b. processos.
c. objetivos.
d. eventos.
e. classes.
7) (Analista de Finanas e Controle da CGU ESAF/2008) Na ITIL, a Central de Servios
(Service Desk) a principal interface operacional entre a rea de TI e os usurios dos
seus servios. Assinale a opo que representa uma tarefa da Central de Servios.
a. Identificar tendncias de problemas.
b. Controlar erros conhecidos.
c. Revisar os principais problemas identificados.
d. Gerenciar o trabalho das diversas equipes de suporte tcnico.
e. Produzir informaes gerenciais, coletando medidas e calculando indicadores de
desempenho.

Respostas
1. Esta atividade importante, e a resposta a esta questo depender do contexto
do aluno e ser respondida na atividade on line indicada. A central de servio precisa cumprir certos objetivos e a ITIL diz quais seriam eles. Porm fica a critrio da
organizao a implementao da forma mais adequada s suas necessidades e
aos seus recursos disponveis. O SPOC, ou ponto nico de acesso entre provedor e
usurio, pode ser implementado via telefone, email ou ferramenta web. As equipes
de soluo podem ser divididas em mais de um nvel. A triagem e o acompanhamento dos chamados podem ser feitos por pessoas alocadas exclusivamente para
isso, ou podem ser uma tarefa feita pela prpria equipe de soluo (dependendo
de quantas pessoas h na equipe de TI e do nmero de chamados).
2. Alternativas c e e. A central de servio no investiga a causa das interrupes
do servio, pois isso funo dos responsveis pelo gerenciamento de problemas.
Alm disso, a central no impede a comunicao entre o usurio e o provedor de
TI. Ela apenas estabelece um processo eficaz para que a comunicao acontea de
forma efetiva.
3. Alternativa d. A ITIL no um padro nem uma metodologia. Por outro lado, a
ITIL no contm informaes para todas as reas da TI, pois ela menos abrangente
(com menos viso de negcio, p. ex.).
4. Os indicadores de desempenho so itens do processo que podem ser quantificados
(medidos) a fim de permitir alguma forma de comparao entre os resultados desejados pelo processo e os resultados que esto sendo obtidos. Um processo pode ser
construdo com o objetivo de diminuir o nmero de incidentes em uma determinada

CEC I E R J E X T E N S O E M G O V E R N A N A

99

Governana em Tecnologia da Informao

| ITIL: Histrico, evoluo e conceitos

rea X da empresa de 1.000 por ms para 800 por ms. Assim, um indicador
de desempenho do processo seria o nmero de incidentes na rea X por ms.
Um processo pode ter vrios indicadores de desempenho.
5. O processo permite empresa iniciar o ciclo de melhoria contnua. A cada
execuo do processo a empresa tem a oportunidade de melhor-lo, a fim de
execut-lo, da prxima vez, de maneira mais eficiente. Quando no h processo,
cada pessoa na organizao executa o seu prprio processo e, pior, a mesma
pessoa pode executar uma mesma atividade de forma diferente a cada vez.
Um processo, por pior que seja, torna-se a forma com que todos executam uma
mesma atividade. Assim, cada um pode dar a sua contribuio. O indicador de
desempenho formalizar, em cada processo, o que a empresa quer medir a fim
de tomar decises. A melhoria contnua acontece no momento em que analisamos
indicadores e tomamos decises.
6. Alternativa b. A ITIL fortemente baseada em processos. Seu contedo praticamente todo descrito na forma de processos.
7. Alternativa e. Identificar tendncias, controlar erros e revisar problemas funo
do gerenciamento de problemas. Gerenciar equipes de suporte funo dos gerentes,
coordenadores etc.; no da central.

100 Governana: ITIL : Gesto, Auditoria e Tecnologia da Informao

AULA

O suporte a servio de TI na ITIL v2

Meta da aula

objetivos

Explicar os processos de suporte a servios


de TI da ITIL v2.

Ao final desta aula, voc dever ser capaz de:


1

explicar o processo de gerenciamento de incidentes;

explicar o processo de gerenciamento de problemas;

explicar o processo de gerenciamento da configurao;

explicar o processo de gerenciamento de mudanas;

explicar o processo de gerenciamento de liberaes;

explicar o relacionamento entre os processos de suporte.

Pr-requisitos
So pr-requisitos para esta aula ter atingido os
objetivos das duas primeiras aulas do curso, que
tratam do planejamento estratgico e da governana em TI, e ter atingido os objetivos da Aula 3,
que apresentou o histrico da ITIL e os
principais conceitos relacionados a ela.

Governana em tecnologia da informao

| O suporte a servio de TI na ITIL V2

INTRODUO

Nesta aula vamos falar dos processos de suporte da


ITIL v2. Voc sabia que esses processos possuem
foco mais voltado para a manuteno dos servios
que esto em produo na empresa?

Ns iremos ver nesta aula os processos do livro de suporte a servios de TI, aos
quais muitas pessoas se referem como processos operacionais da ITIL.

Observe que mais adequado dizer que esses processos possuem


foco maior em atividades operacionais e no que eles so essencialmente
processos operacionais. A diferena pode lhe parecer sutil, mas imprescindvel termos em mente o fato de que um dos objetivos bsicos da
ITIL fazer com que o profissional de TI construa uma viso holstica
de sua funo na empresa. Isso significa dizer que, embora voc possa
atuar na maior parte do tempo em atividades consideradas operacionais,
precisa ter algum entendimento dos vrios nveis de tomada de deciso
na empresa (entre eles o ttico-estratgico), que se relacionam a tudo o
que voc faz. Isso ter viso sistmica!
Embora alguns afirmem que o cenrio competitivo das empresas
um campo de batalha, j faz muito tempo que os recursos humanos
das organizaes comearam a ser tratados como o ativo de maior
valor em uma empresa. Por falar nisso, voc conhece a definio de
ativo organizacional? Vamos definir esse conceito de acordo com a ITIL
mais adiante, ainda nesta aula.
No ambiente atual, a TI abre diversas possibilidades, inclusive a de
utilizar o potencial humano dos profissionais que atuam no nvel operacional para ajudar a criar tticas e estratgias. As novas verses de softwares
de fabricantes em vrios setores da indstria possuem apelo colaborativo
muito forte, e esse apelo tem sido claramente impulsionado pela revoluo
que tem sido causada pelos aplicativos e ferramentas colaborativas da web,
tais como o Twitter, o Facebook, o LinkedIN e vrios outros.

102 Governana: Gesto, Auditoria e Tecnologia da Informao

Enfim, vamos aos processos de suporte!

AULA

Observe que o tipo, a quantidade e a ordem das atividades de


cada processo a seguir podem variar, dependendo das adaptaes feitas
pela empresa. Alm disso, uma mesma atividade pode ser executada de
vrias maneiras para ser adaptada a ambientes de TI de pequeno, mdio
e grande porte. justamente com base nessas decises de adaptao que
reside o fato de que a ITIL pode ser muito til em ambientes de diferentes portes. O sucesso de um projeto de melhoria no gerenciamento
de servios de TI depende de as adaptaes terem sido feitas de forma
correta e vice-versa.

GERENCIAMENTO DE INCIDENTES
O principal objetivo deste processo solucionar incidentes e restabelecer o nvel de servio
o mais rapidamente possvel atravs da central
de servio. Esse processo lida com os incidentes
do dia a dia da TI, e ns j vimos que incidentes de TI so aqueles eventos que interrompem um servio (ou diminuem o seu nvel de
qualidade), mas que possuem soluo conhecida. Ou seja, em todos os casos, chamaremos
de incidentes de TI algum evento cuja soluo
de contorno seja conhecida e aplicvel. Sempre
existir uma soluo conhecida e imediatamente
aplicvel para um incidente!

Figura: 4.1: Gerenciamento de incidentes de TI.

Esse processo traz como benefcio imediato para a TI o fato de que os chamados incndios do dia a dia comeam a ser controlados por meio de processos e, dessa forma, passam
a ser tratados de forma cada vez mais eficiente (lembre-se do conceito
de melhoria contnua). Note que, de fato, a tendncia que o foco da
execuo desse processo seja mesmo mais operacional, porm so aes
operacionais voltadas para atingir objetivos definidos nos outros nveis
de deciso da empresa.

CEC I E R J E X T E N S O E M G O V E R N A N A

103

Governana em tecnologia da informao

| O suporte a servio de TI na ITIL V2

Descrio do processo
A principal entrada desse processo o registro de um chamado,
normalmente feito pelo usurio atravs de central de servio. A principal
sada o usurio satisfeito. As atividades desse processo so:
Deteco do incidente.
Registro do incidente.
Classificao do incidente.
Priorizao do incidente.
Escalonamento.
Restaurao.
Fechamento.

Indicadores de desempenho do processo


Nmero de incidentes por rea de negcio.
Nmero de incidentes por departamento.
Nmero de incidentes por tipo de servio.
Incidentes resolvidos por operador.
Incidentes resolvidos no primeiro nvel de atendimento.
Tempo mdio para resoluo de incidentes.

GERENCIAMENTO DE PROBLEMAS
O principal objetivo desse processo lidar
com os problemas que afetam a rea de TI. Voc
se lembra da diferena entre incidente e problema,
no? Chamamos de problema o evento que, assim
como o incidente, interrompe um servio (ou diminui o seu nvel de qualidade), mas para o qual no
temos uma soluo conhecida e aplicvel.
A implantao dos processos de gerenciamento de incidentes em conjunto com o gerenFigura 4.2: Gerenciamento de problemas de TI.

ciamento de problemas permite que a TI suporte


muito bem os servios que j esto em operao

na empresa e lide com as suas interrupes de forma mais profissional


e ordenada. Isto , organizao e profissionalismo no lugar da falta de
profissionalismo e desorganizao que vemos em muitas empresas!

104 Governana: Gesto, Auditoria e Tecnologia da Informao

O principal benefcio desse processo no deixar que os mistrios

AULA

que permanecem em alguns ambientes de TI existam por muito tempo


sem que sejam investigados adequadamente. Em muitos casos as empresas
investem muito esforo e dinheiro em conviver com as consequncias
de um problema, mas nunca o erradicam da sua infraestrutura, ou seja,
aprendem a conviver com o problema por falta de tempo para corrigir
algo que est errado.
Observe que o gerenciamento de problemas depende muito do
processo de gerenciamento de incidentes. fato que a interdependncia
entre todos os processos da ITIL muito forte, mas alguns processos esto mais intimamente ligados. O gerenciamento de incidentes,
por exemplo, organizando o atendimento a chamados de usurios,
permite que a equipe de mais alto nvel da organizao possua tempo
para se dedicar a questes mais proativas ou para investigar questes
mais complexas. Chamamos de equipes de mais alto nvel, por exemplo,
analistas seniores e outros especialistas.
Note que, de maneira geral, a regra que define a diferena entre
incidente e problema no o grau de criticidade relacionado ao tema.
Embora incidentes tendam a ser tratados na organizao de forma mais
simples que os problemas, tal tendncia no uma regra imutvel e,
portanto, no devemos usar essa ideia como base para a nossa definio
de incidente e problema.
Em resumo, perfeitamente possvel acontecer um incidente, ou
seja, algo com soluo conhecida e aplicvel, mas de graves consequncias
para a organizao, caso no sejam tomadas as devidas providncias.
Por outro lado, tambm possvel existir um problema ou seja, algo
que no possui causa-raiz conhecida e, obviamente, uma soluo a priori
que no trar necessariamente graves consequncias para a organizao
caso no seja sanado.
Descrio do processo
A principal entrada desse processo a identificao e o registro
de um problema na infraestrutura. A principal sada a erradicao do
erro na infraestrutura de TI. As atividades desse processo so:
Registro do problema.
Classificao do problema.

CEC I E R J E X T E N S O E M G O V E R N A N A

105

Governana em tecnologia da informao

| O suporte a servio de TI na ITIL V2

Priorizao do problema.
Escalonamento.
Diagnstico da causa-raiz.
Relatrio de registro na BDGC (Base de Dados de Gerenciamento da Configurao).
Requisio de mudana.
Erradicao do erro.
Indicadores de desempenho do processo
Nmero de problemas por rea de negcio.
Nmero de problemas por departamento.
Nmero de problemas por tipo de servio.
Nmero de requisies de mudana geradas.
Nmero de erros erradicados da infraestrutura.
Tempo mdio para resoluo de problemas.

Atividade 1
2
Considere um usurio que est sendo afetado pela interrupo de um servio 1
por causa de um erro existente na infraestrutura de TI da empresa. O usurio
entra em contato com a central de servio para reclamar. Liste e explique todas as etapas,
desde quando o usurio percebe a falta do servio at o diagnstico da causa-raiz pelo
provedor de TI. Faa isso obedecendo sequncia em que elas devem ser executadas
de acordo com os processos de gerenciamento de incidente e de problemas da ITIL.

Resposta
Em primeiro lugar, o usurio identifica a falta do servio e entra em contato com
a central de servio. A central registra o chamado abrindo um registro para um
novo incidente na BDGC. Ressalte-se que, do ponto de vista da central,
o usurio sempre abre um chamado para um incidente;

106 Governana: Gesto, Auditoria e Tecnologia da Informao

4
AULA

logo, o que registrado primeiro na base um incidente. O prximo passo seria


classificar o incidente e buscar na base uma soluo de contorno para priorizao e escalao. Como o enunciado deixa claro que se trata de um problema
(erro existente na infraestrutura), no haver soluo de contorno pronta para
ser aplicada. A central deve ento registrar, classificar, priorizar e escalonar um
problema mantendo aberto o registro do incidente, porque o tempo, do ponto
de vista do usurio, deve ser contado desde que ele fez o contato, e no desde
que o provedor identificou que se tratava de um problema e no de um incidente.
O prximo passo seria a investigao, pela equipe de especialistas, em busca
do diagnstico da causa-raiz do problema. Dessa forma, as atividades, desde
a identificao at o diagnstico da causa-raiz, seriam: identificao, registro
do incidente, classificao do incidente, registro do problema, classificao
do problema, priorizao do problema, escalonamento do problema e
diagnstico da causa-raiz do problema.

Erro na
infraestrutura

Incidente

Problema
Erro
conhecido
Requisio
de mudana
Resoluo e
fechamento
Figura 4.3: Sequncia de eventos na ITIL v2.

Gerenciamento da configurao
O gerenciamento da configurao o processo responsvel por
criar e manter a BDGC. O conceito da BDGC um dos conceitos mais
importantes da ITIL. Mas o que seria uma base de dados de gerenciamento da configurao, afinal? Ela tem a ver com o conceito de banco
de dados? Sim, tem muito a ver.
CEC I E R J E X T E N S O E M G O V E R N A N A

107

Governana em tecnologia da informao

| O suporte a servio de TI na ITIL V2

Voc pode chegar a uma empresa e pedir para ver a BDGC que d
suporte aos processos de gerenciamento de servios de TI. Na verdade,
a melhor solicitao nesse caso seria acessar a BDGC. A BDGC uma
SGBDs, ou sistemas
de gerenciamento de
banco de dados, so
sistemas automatizados para permitir
acesso rpido e
seguro a grandes
quantidades de
informaes em formatos de registros,
tabelas e campos.
Exemplos de SGBDs
proprietrios so o
Oracle, o SQLServer (da Microsoft).
Um exemplo bem
conhecido de SGBD
gratuito o MySQL,
utilizado principalmente em sistemas operacionais
baseados em Unix
e Linux. Muitos
fabricantes oferecem
softwares que do
suporte construo
e operacionalizao
de um BDGC de
acordo com os processos criados a partir das boas prticas
da ITIL e tambm
so compatveis com
vrios bancos de
dados.

coleo de dados armazenados em um SGBD (Sistema de Gerenciamento


de Banco de Dados).
muito importante que
voc tenha claro, desde j, que
uma ferramenta que d suporte
BDGC no uma ferramenta
de gerenciamento de ativos de
hardware. Ela muito mais do
que isso. Para falar a verdade, a
maioria desses softwares possui
um mdulo de gerenciamento de

Figura 4.4: Gerenciamento da configurao

ativos que apenas uma parte do


sistema. Em muitos casos, o mdulo de gerenciamento de ativos gratuito! As ferramentas para suporte BDGC normalmente so ferramentas
que suportam vrios dos processos da ITIL disponibilizando telas que
auxiliam os operadores da central de servios a: abrir um chamado de
incidente, acompanhar esse chamado, gerar um problema a partir de um
incidente, associar o problema ou incidente a um membro da equipe de
resoluo, associar o problema ou incidente a um ANS etc.
Voc percebeu que um dos principais benefcios desses softwares
o relacionamento entre as informaes que ele proporciona? Com um
bom software possvel responder a questes como:
De quais ativos de hardware dependem o servio para o qual o
usurio est abrindo um chamado?
Quais so os componentes desse ativo que possuem maior ndice
de chamados abertos por ms?
Quantas vezes esse usurio abriu chamados para o mesmo
servio e quem o usurio em questo?
Para obter as respostas, a BDGC precisa ter vrias informaes
armazenadas e em diferentes nveis. No mnimo, os dados completos do
usurio, dos servios e dos ativos de hardware, alm de todos os relacionamentos entre eles. Se voc imaginar que a quantidade de atributos
do usurio (nome, endereo, mensalidade etc.) para os servios e para

108 Governana: Gesto, Auditoria e Tecnologia da Informao

os ativos muito grande, voc ter uma ideia de como sistemas como

AULA

esses podem se tornar complexos (e caros).


Mas voc deve estar pensando: Eu preciso mesmo adquirir uma
ferramenta automatizada e cara para implementar processos compatveis
com a ITIL na minha empresa?" Em princpio, no! Mantenha o foco
nos objetivos do processo. A base das boas prticas, como j dissemos,
atingir objetivos de melhoria na prestao de servios de TI, independente de como eles sero atingidos, pois isso ir variar de organizao
para organizao. A necessidade de automatizao depender muito do
tamanho da empresa. Quanto maior a empresa, maior ser a necessidade de automatizao para implementar processos de forma eficiente.
Imagine fazer o registro de incidentes de TI em um ambiente com quatro
mil usurios de TI em uma planilha eletrnica! Se voc acha que pode
ser fcil, certamente porque ainda no passou por essa experincia na
prtica... Quanto ao custo de tais ferramentas, depende muito do conceito de caro ou barato, que bastante relativo. O que no relativo
o fato de que o investimento, seja ele alto ou baixo, dever se refletir em
retorno concreto para a empresa.
Vamos definir alguns novos conceitos da ITIL que aparecem em
nosso curso pela primeira vez aqui no processo de gerenciamento da
configurao.
Item de configurao IC
um componente da infraestrutura de TI cujas informaes so
armazenadas na BDGC. Exemplos de IC so as informaes sobre
os computadores e servidores da organizao, sobre softwares,
sobre procedimentos, sobre usurios, clientes e profissionais do
provedor de TI etc. Note que o IC no o hardware em si (pois
este est em uso em algum local da empresa), mas as informaes sobre ele (por exemplo, onde est o hardware e quem o
responsvel por ele).
Atributos do item de configurao
So os atributos que constituem a informao sobre um
item de configurao. Os atributos so definidos para toda
uma categoria de ICs. Por exemplo, posso ter para a categoria computador pessoal os atributos velocidade do processador, quantidade de memria, localizao na empresa,

CEC I E R J E X T E N S O E M G O V E R N A N A

109

Governana em tecnologia da informao

| O suporte a servio de TI na ITIL V2

responsvel, data de aquisio, perodo de garantia etc.


Os atributos sero os mesmos, mas o valor dos atributos far
um item de configurao diferente do outro. Os atributos devem
ser construdos para que cada item de configurao seja nico na
BDGC! Assim, se a empresa adquire dez micros iguais, no mnimo,
o responsvel pelo micro, sua localizao e utilizao faro com
que eles sejam nicos na empresa.
Ativo
um componente fsico, como um aparelho de fax, um computador, uma mesa, um modelo de documento (template), documentos
de descrio de processos etc. Note que no so apenas os computadores, servidores etc., que so considerados ativos de uma
organizao. Ativo tudo aquilo que seja mensurvel e que possua valor para a organizao. Alguns dizem que o conhecimento
organizacional, quando identificado, explicitado, compartilhado
e armazenado, um ativo organizacional.
Linha de base (baseline)
Em algumas situaes pode ser necessrio manter um histrico dos
registros da BDGC que sirva para determinar qual era o estado da
infraestrutura de TI em um determinado momento no passado.
A maneira mais simples de entender esse conceito pensar que a
linha de base um retrato da infraestrutura em um determinado
momento. E para que serve esse retrato? Ele pode servir, por
exemplo, para acompanhamento em trilhas de auditoria, para
realizar um retrocesso quando mudanas ou liberaes geraram
impactos negativos no esperados ou para anlise da evoluo de
desempenho da TI etc.
Descrio do processo
Este processo tem como entradas as informaes sobre os itens
de configurao que devem ser inseridas na BDGC. A principal sada
a prpria BDGC atualizada e efetiva na infraestrutura. As atividades
desse processo so:
Anlise e definio do escopo.
Anlise e definio do nvel de detalhamento.
Definio dos atributos dos itens de configurao.

110 Governana: Gesto, Auditoria e Tecnologia da Informao

Construo da BDGC.

AULA

Alimentao da BDGC.
Alterao da BDGC.
Acompanhamento e auditoria da BDGC.
Indicadores de desempenho do processo
Quantidade de itens de configurao na BDGC.
Quantidade de atributos por itens de configurao.
Nvel de detalhamento por tipo de item de configurao.
Alteraes na BDGC na ltima semana.
Itens de configurao por servio prestado.

Atividade

Um consultor, ao visitar a empresa pela primeira vez, pede para ver a BDGC da 3
empresa. Como deve ser interpretada essa pergunta e o que o consultor espera obter
de informao ao visualizar a BDGC? Quais so os riscos que o consultor est correndo
ao confiar na BDGC? Como a BDGC deve ser protegida? Explique sua resposta.

Resposta
Em princpio no h nada de errado com a pergunta. A BDGC pode ser visualizada
atravs de uma ferramenta de software que permita isso, pois ela uma base
de dados armazenada em um sistema de gerenciamento de banco de dados
que contm informaes sobre a infraestrutura de TI da empresa. Espera-se que,
em um ambiente de gerenciamento de servios de TI maduro, a BDGC reflita a
realidade da organizao da maneira mais fidedigna possvel. O maior risco
nesse caso o consultor confiar na BDGC e, na prtica, verificar

CEC I E R J E X T E N S O E M G O V E R N A N A

111

Governana em tecnologia da informao

| O suporte a servio de TI na ITIL V2

que ela no reproduz a realidade da organizao. A BDGC protegida atravs


dos processos de gerenciamento da configurao que impedem alteraes
ilegtimas na BDGC e que, ao mesmo tempo, se comunicam com os outros
processos para que as alteraes feitas na infraestrutura se reflitam o mais
rapidamente possvel na BDGC.

GERENCIAMENTO DE MUDANAS
O principal objetivo deste
processo aprovar mudanas para
que elas sejam feitas de melhor
forma possvel e sem gerar impactos
inesperados. As mudanas podem ser
categorizadas em menores, normal,
significativas e urgentes.
Um dos benefcios que se
obtm com esse processo o fato
Figura 4.5: Gerenciamento de mudanas.

de que a infraestrutura de TI ser


protegida. Qual o maior proble-

ma de uma BDGC? Ora, o maior problema ter informaes na base


de dados que no correspondam realidade da organizao? De que
vale investir na construo e operacionalizao de uma BDGC, adquirindo hardware e software, treinando equipes e investindo tempo,
se ela no reproduz com fidelidade a realidade da empresa? Eu penso,
e voc tambm deve pensar o mesmo, que teria sido melhor continuar
como antes... Pelo menos no se teria gastado tempo e dinheiro.
Pois isso! Juntamente com o processo de gerenciamento das liberaes, o gerenciamento de mudanas evita que estas sejam feitas de forma
desorganizada. Precisamos ressaltar que preciso que a empresa tenha
muito cuidado nesse processo para que o excesso de etapas no processo ou
o rigor na sua implementao no acabe sendo um tiro no p do gerente
de TI. Vamos seguir o processo de gerenciamento de mudanas toda vez
que um usurio ligar para solicitar alterao de senha? bvio que no.

112 Governana: Gesto, Auditoria e Tecnologia da Informao

Mas e se os mesmos usurios ligarem duas ou trs vezes por dia para

AULA

solicitar alterao de senha? A sim, talvez seja necessrio implementar


uma forma de o prprio usurio recuperar a sua senha atravs de um
aplicativo automatizado. Como tal mudana ser aprovada? Ela ser
aprovada atravs do gerenciamento de mudanas.
Descrio do processo
A principal entrada desse processo a solicitao de uma mudana na infraestrutura, quer seja ela legtima e necessria, quer no seja.
A principal sada a aprovao da mudana com as diretrizes para a
sua execuo. As atividades desse processo so:
Registro da requisio de mudana.
Classificao da mudana.
Priorizao da mudana.
Autorizao da mudana.
Elaborao do plano de desenvolvimento.
Elaborao do plano de retrocesso.
Relatrio de registro para a BDGC.
Avaliao e acompanhamento da mudana.

Indicadores de desempenho do processo


Nmero de requisies de mudanas autorizadas.
Nmero de requisies de mudanas urgentes.
Nmero de requisies de mudanas para erradicao de erro.
Nmero de requisies de mudanas para melhoria.
Nmero de incidentes relacionados a uma mudana.
Nmero de mudanas que necessitaram retroceder.

GERENCIAMENTO DE LIBERAES
O processo de gerenciamento de liberaes est diretamente relacionado com a garantia de que apenas softwares e hardwares testados e
aprovados estejam em uso. Assim, ele coordena liberaes na infraestrutura de TI, quer seja de atualizaes das verses existentes (upgrades),
quer seja de substituies completas de hardware e software por outros
novos. Apenas hardwares e softwares homologados devem estar em uso
na organizao.
CEC I E R J E X T E N S O E M G O V E R N A N A

113

Governana em tecnologia da informao

| O suporte a servio de TI na ITIL V2

Dentro do contexto desse processo surgem definies importantes:


Biblioteca de Software Definitivo.
Depsito de Hardware Definitivo.
A DSL (Definitive Software Library ou Biblioteca de Software Definitivo)
o local onde so armazenadas todas as
cpias fsicas de softwares autorizados.
Note que esse local pode ser um armrio
com mdias de instalao e licenas de
uso de softwares, uma pasta no servidor
com os arquivos executveis das instalaes etc. Lembre-se do importante
conceito de que a ITIL escalvel;
Figura 4.6: Gerenciamento de liberaes.

assim, dependendo das caractersticas da


sua organizao, voc pode atingir um

mesmo objetivo da forma que mais se adque sua realidade.


A DHS (Definitive Hardware Store ou Depsito de Hardware
Definitivo) cumpre um papel semelhante ao da DSL, mas para o hardware
em uso na organizao. Obviamente, nesse caso no possvel pensar
em um depsito de hardware que no seja um local fsico de fato para
guardar peas de reposio ou equipamentos completos para atender s
necessidades organizacionais. Porm, ainda nesse caso, vrias adaptaes
de escalabilidade so possveis. A empresa pode, por exemplo, cuidar ela
mesma de todas as substituies e reparos atravs de um setor especfico
ou, por outro lado, pode terceirizar essa tarefa em diferentes graus para
um ou mais fornecedores.
Outro conceito importante que est ligada a esse processo o
conceito de release, que uma palavra em ingls que significa, em nosso
contexto, entrega. Em portugus costumamos nos referir mesma ideia
usando a palavra verso. A seguir explicamos os trs tipos de entregas
(ou verses) definidos pela ITIL.
Delta
Verso parcial de itens de configurao (IC) que foram alterados
desde a ltima entrega ou que so novos. Tipicamente, no uma
verso muito confivel porque no foi testada com todos os componentes juntos.

114 Governana: Gesto, Auditoria e Tecnologia da Informao

Completa (full)

AULA

Esta verso possui todos os componentes finais e, por isso, mais


confivel, uma vez que todos os itens definitivos (do hardware ou
do software) foram testados juntos.
Pacote (package)
O pacote uma entrega individual de vrias unidades funcionais
diferentes (de hardware ou de software), algumas nas verses full,
outras na verso delta. Pacote o nome dado ao agrupamento
dessas unidades funcionais distintas e com diferentes verses (full
ou delta) reunidas em um todo nico que ser liberado na infraestrutura, ou seja, entregue para utilizao pela operao da TI.
Costuma-se dizer que o gerenciamento de liberaes o principal
responsvel pelo ROLL OUT da liberao na infraestrutura da organizao.

Descrio do processo
Esse processo tem como principal entrada uma mudana na
infraestrutura que foi autorizada pelo processo de gerenciamento de
mudanas. A principal sada ser a mudana liberada na infraestrutura.
As atividades desse processo so:
Solicitao de mudana aprovada.
Elaborao do plano de liberao.
Testes.
Comunicao e preparao.
Execuo do plano de liberao.
Relatrio de registro para a BDGC.

ROLL OUT
um termo muito
usado dentro da
ITIL. Ao ouvir tal
expresso, entenda
algo como executar
todas as atividades
relacionadas liberao a fim de tornla efetiva e operacional na organizao.
bastante til, s
vezes, sintetizar uma
frase inteira em uma
expresso pequena.
Por isso, comece a
se familiarizar com
certas expresses em
ingls que so muito
usadas pelo mercado
ao se referir aos processos da ITIL.

Indicadores de desempenho do processo


Nmero de inconsistncias encontradas na BDGC.
Nmero de inconsistncias encontradas na BSD ou DHD.
Nmero de liberaes implantadas bem-sucedidas.
Nmero de liberaes que necessitaram retroceder.

CEC I E R J E X T E N S O E M G O V E R N A N A

115

Governana em tecnologia da informao

| O suporte a servio de TI na ITIL V2

Atividade 3
Considere um usurio que est sendo afetado pela interrupo de um
4
5
servio por causa de um erro existente na infraestrutura de TI da empresa.
O usurio entra em contato com a central de servios para reclamar. Liste e explique
todas as etapas, desde quando o usurio percebe a falta do servio at o momento em
que o servio restabelecido pelo provedor de TI. Faa isso obedecendo sequncia
em que elas devem ser executadas de acordo com todos os processos de suporte a
servios de TI da ITIL.

Resposta
Vimos na atividade anterior que as atividades, desde a identificao at o diagnstico da causa-raiz, seriam: identificao, registro do incidente, classificao do
incidente, registro do problema, classificao do problema, priorizao do problema, escalonamento do problema e diagnstico da causa-raiz do problema. Aps o
diagnstico da causa-raiz, a prxima atividade no processo de gerenciamento de
problema seria enviar um relatrio de registro para a BDGC a fim de documentar
o erro mais rapidamente possvel e elaborar uma requisio de mudana para
a avaliao e aprovao (ou no) das mudanas necessrias na infraestrutura.
Depois, a mudana deve ser registrada, classificada, priorizada e autorizada pelo
processo de gerenciamento de mudanas. Caso a mudana seja aprovada,
seus planos de desenvolvimento e retrocesso devem ser elaborados e um
relatrio de registro para a BDGC deve ser enviado para que

116 Governana: Gesto, Auditoria e Tecnologia da Informao

4
AULA

sejam documentadas as providncias que esto sendo tomadas pelo provedor.


Ao mesmo tempo, uma vez que a mudana foi aprovada, o processo de
gerenciamento de liberao se inicia com a elaborao do plano de liberao,
testes, comunicao e preparao e execuo do plano de liberao (roll out).
Aps a execuo, deve ser elaborado um relatrio de registro para a BDGC
para documentar que a mudana foi executada. Agora, o registro de problema,
que permanece em aberto, deve ser fechado, pois o erro foi erradicado, assim
como o registro de incidente deve ser fechado. A atividade de fechamento do
incidente deve envolver a comunicao com o usurio, a fim de atestar que,
do ponto de vista dele, o servio foi restabelecido. Finalmente, aps a execuo
da mudana, ainda faz parte do processo de gerenciamento de mudana a
sua avaliao e acompanhamento, a fim de certificar que as mudanas de fato
surtiram o efeito inicialmente desejado. Assim, as etapas em sequncia seriam:
identificao, registro do incidente, classificao do incidente, registro do problema,
classificao do problema, priorizao do problema, escalonamento do problema,
diagnstico da causa-raiz do problema, relatrio de registro para a BDGC (do
problema), elaborar uma requisio de mudana, registro da mudana, classificao da mudana, priorizao da mudana, autorizao da mudana, elaborao
do plano de desenvolvimento, elaborao do plano de retrocesso, relatrio de
registro para a BDGC (da mudana), elaborao do plano de liberao, testes,
comunicao e preparao, execuo do plano de liberao (roll out), relatrio
de registro para a BDGC (da liberao), erradicao do erro, fechamento
do incidente, avaliao e acompanhamento.

INTEGRAO DOS PROCESSOS DE SUPORTE


Voc deve observar que os processos de suporte interagem entre
si de maneira bastante variada, de organizao para organizao.
Um usurio pode abrir um chamado relatando o que, do ponto
de vista dele, um incidente. O primeiro profissional a prestar atendimento para esse chamado pode chegar concluso de que no se trata
de um incidente, mas sim de um problema. Nesse caso, o que deve ser
feito? O incidente deve ser fechado e um problema aberto na BDGC?
Ora, claro que no! Perceba que, do ponto de vista do usurio, o ANS
est contando, ou seja, a percepo dele de que a sua questo, seja
ela incidente ou problema, no foi resolvida. Logo, o incidente nunca
fechado pelo simples fato de no haver uma soluo de contorno para
ele (e, portanto, por se tratar de um problema). O procedimento correto

CEC I E R J E X T E N S O E M G O V E R N A N A

117

Governana em tecnologia da informao

| O suporte a servio de TI na ITIL V2

manter o incidente aberto conforme o procedimento inicial e abrir,


tambm, um chamado para investigao do problema. Ou seja, nesse
exemplo, dois registros so criados na BDGC.
Outra situao seria a de a equipe de investigao do problema
encontrar a causa-raiz e saber como solucionar o problema. O que deve
ser feito? Fcil. Sabemos que tudo acontece por processos. O caminho
natural seria corrigir o erro de uma vez por todas. Pois bem, isso que
acontece tambm em um ambiente de boas prticas; todavia, acontece
seguindo um caminho baseado em processos para que a soluo de um
problema no acabe trazendo outro (Voc j viu isso acontecer...). Assim,
uma sequncia normal da ITIL seria:
Um incidente relatado pelo usurio (do ponto de vista dele).
A central de servios determina que no h uma soluo conhecida (trata-se de um problema, portanto).
Um novo registro para o problema gerado na BDGC.
Nessa altura, o problema seguir o fluxo normal do gerenciamento de problema e, em paralelo, o incidente seguir o fluxo
normal do gerenciamento de incidentes.
Aps diagnstico da causa-raiz, o processo de gerenciamento
de problemas ir gerar um relatrio de erro-conhecido para a
BDGC (a fim de que a informao seja divulgada na central de
servios).
Aps o relatrio de erro-conhecido, uma solicitao de mudana
deve ser realizada para o gerenciamento de mudanas.
O processo de gerenciamento de mudanas segue o seu fluxo
normal de aprovao (ou no) da mudana na infraestrutura.
Caso a aprovao acontea, o processo de gerenciamento de
liberaes ir executar a alterao na infraestrutura seguindo o
seu fluxo normal (realizar aquisies, instalaes, configuraes,
testes etc.).
Ufa! Isso lhe parece muito, no? Mas no . Esse fluxo exatamente o fluxo normal que acontece em toda organizao. A diferena que,
em muitos casos, uma nica pessoa toma todas as decises sem seguir
nenhum processo. E, conforme j vimos, esse o caminho mais rpido
para que o caos acabe se instaurando, na medida em que o nmero de
eventos comea a aumentar. E esse tambm o primeiro passo para o

118 Governana: Gesto, Auditoria e Tecnologia da Informao

surgimento dos problemas que afetam a TI em todo o mundo, como falta

AULA

de documentao, falta de amadurecimento organizacional, dificuldade


em compartilhar e explicitar o conhecimento tcito etc.

CONCLUSO
Vimos nesta aula como a ITIL lida com questes como incidentes
do dia a dia e problemas na rea de TI. A ideia mais importante dessa aula
a de que a filosofia da ITIL prega que a abordagem dessas questes
atravs de processos a melhor forma de combater a falta de qualidade
na prestao de servios de TI. Lembre-se do fato de que o mundo j
adotou a ideia de que o trabalho nas empresas acontece melhor, em todas
as reas, quando acontece atravs de processos.
Em princpio, pode parecer complicada a ideia de lidar com tudo
de maneira to sistemtica. Repetimos que, de fato, o que os processos
da ITIL fazem explicitar o que todos j fazemos normalmente. Todos
ns temos nossa forma de identificar incidentes e problemas e lidamos
de maneiras diferentes com tais questes. Todas as empresas procuram,
de uma forma ou de outra, construir procedimentos para autorizao
e execuo de mudanas. Porm, na falta de processos nicos e documentados, cada um segue sua prpria maneira de fazer as coisas, o que
normalmente gera retrabalho, ineficincia, ineficcia, desmotivao e
tantos outros prejuzos que j conhecemos.
Finalmente, voc deve observar que muito comum encontrar
empresas que construram seus processos por tentativa e erro. fcil
notar nesses casos que, aps vrios tropeos, o resultado final na organizao um processo muito parecido (s vezes idntico) com os processos
descritos na ITIL. E voc acha que isso acontece por acaso? Claro que
no. A ITIL um conjunto de boas prticas e, obviamente, ela contm
prticas consideradas boas e que so adotadas no mercado pela maioria
das empresas que deram certo. Por que reinventar a roda, ento?

CEC I E R J E X T E N S O E M G O V E R N A N A

119

Governana em tecnologia da informao

| O suporte a servio de TI na ITIL V2

INFORMAES SOBRE FRUM


Vamos trocar informaes sobre os processos de suporte a servios de TI
apresentados aqui? Acesse o frum da semana.
Ttulo: Suporte a servios de TI na prtica.
Objetivo: Identificar e avaliar empresas que utilizam processos de suporte
baseados na verso 2 da ITIL. Essas empresas tm se beneficiado das boas
prticas? Quais vantagens e benefcios elas alcanaram? Vamos tambm
identificar e avaliar empresas que no possuem nenhum processo formal
para suporte a servios de TI. Que tipo de problemas essas empresas esto
enfrentando? Elas esto tentando melhorar? Como?

Atividade online
C
Como
implementar os processos de suporte a servios em uma empresa? V sala 6
de aula virtual e resolva a atividade proposta pelo tutor. O objetivo da atividade
determinar como os processos de suporte a servios poderiam ser implementados na
sua empresa. Lembre-se de que, embora a implementao dependa de vrios fatores, as
principais funes de cada um dos cinco processos de suporte a servios de TI devero
ser garantidas.

RESUMO

Os processos de suporte a servios de TI so: gerenciamento de incidentes,


gerenciamento de problemas, gerenciamento da configurao, gerenciamento
de mudanas e gerenciamento de liberaes.
mais adequado dizer que os processos de suporte a servios de TI possuem
foco maior em atividades operacionais e no que eles so essencialmente
processos operacionais.
O gerenciamento de incidentes lida com eventos cuja causa-raiz conhecida
e para os quais existem solues de contorno conhecidas e aplicveis.
O gerenciamento de problemas lida com eventos cuja causa-raiz no conhecida e procura identificar a causa-raiz e erradicar o erro da infraestrutura.
A erradicao do erro na infraestrutura da TI atravs do gerenciamento de
problemas depende do gerenciamento de mudanas, pois implica alteraes
no estado operacional do ambiente produtivo da TI.

120 Governana: Gesto, Auditoria e Tecnologia da Informao

4
AULA

O gerenciamento da configurao cria a BDGC e protege a sua integridade.


Itens de Configurao (ICs), atributos e ativos so conceitos importantes do
processo de gerenciamento da configurao.
O gerenciamento de mudanas possui como objetivo principal a aprovao
de mudanas necessrias ou rejeio de mudanas desnecessrias.
O gerenciamento de liberaes executa a implementao da liberao na
infraestrutura, ou seja, o principal responsvel pela concretizao de alteraes na infraestrutura, quer seja de hardware ou de software.

Informao sobre a prxima aula


Na prxima aula, iremos explicar os detalhes dos processos do
livro de entrega da ITIL v2. Assim como no caso dos processos de
suporte, costuma-se dizer que os processos de entrega so mais
tticos (o que j sabemos que no uma definio rigorosamente
correta). Os processos de entrega lidam com questes como a
qualidade do servio prestado, a garantia da continuidade desses
servios e o gerenciamento financeiro da TI.
Aproveite os conhecimentos adquiridos at aqui e at a
prxima aula!

CEC I E R J E X T E N S O E M G O V E R N A N A

121

Governana em tecnologia da informao

| O suporte a servio de TI na ITIL V2

Atividades Finais
1) Qual o foco principal do processo de gerenciamento da configurao?
2) Qual o principal objetivo da BDGC?
3) Por que no podemos dizer que um software de gerenciamento de ativos suficiente
para dar suporte criao, alterao e manuteno de uma BDGC?
4) Qual a principal diferena entre a base de dados do gerenciamento da configurao
e o registro de informaes sobre ativos de TI?
a. A BDGC um sistema e ativos podem ser hardware e software.
b. Ambos os conceitos so usados indistintamente na ITIL.
c. A BDGC registra informaes alm daquelas sobre hardware.
d. A BDCG relaciona todos os atributos dos itens armazenados.
5) Os funcionrios de uma empresa esto habituados a trabalhar em casa um dia por
semana (home office). Recentemente, vrios funcionrios tm comunicado que uma
nova configurao de segurana adicional exigida para a conexo remota est causando
desempenho insatisfatrio durante a navegao. Uma soluo temporria foi identificada pelos prprios usurios. Quais processos, alm do processo de gerenciamento de
incidente, esto envolvidos na aplicao de uma soluo sistmica e definitiva para essa
questo?
a. Mudana, configurao, liberaes e problemas.
b. Configurao, problemas e liberaes.
c. Mudanas e liberaes.
d. Mudanas, liberaes e configurao.
e. Problemas e liberaes.
6. (Analista do MPE-SE FCC/2009) Auxilia a gesto do ambiente de TI por intermdio do
registro de todos os seus itens em um banco de dados o que permite controlar os componentes de infraestrutura envolvidos na realizao dos servios de TI. O processo ITIL
referente a esta definio o Gerenciamento de:
a. Incidentes.
b. Problemas.
c. Configurao.
d. Mudanas.
e. Verses.
7. (Analista Administrativo ANATEL CESPE/2009) Tendo como base o ITIL, julgue os itens
seguintes.
a. Incidente qualquer evento que faz parte da operao padro de um servio e que
pode causar sua interrupo ou a reduo da qualidade do servio. Incidentes que
no podem ser resolvidos imediatamente pelo service desk devem ser tratados por
especialistas.
b. A gerncia de configuraes trata o hardware, o software e a documentao como
itens de configurao; difere de gerenciamento de ativos, pois no considera o registro contbil de depreciao e no mantm informaes acerca dos relacionamentos
entre ativos.
122 Governana: Gesto, Auditoria e Tecnologia da Informao

4
AULA

c. O gerenciamento de mudanas responsvel por autorizar a mudana e avaliar


seus impactos, enquanto o gerenciamento de configuraes responsvel por
identificar as reas impactadas e manter os registros das mudanas.
d. Uma verso corresponde a um conjunto de mudanas autorizadas para um servio
de tecnologia da informao. Um release do tipo delta, ou total, inclui os itens de
configurao que mudaram ou so novos desde a ltima liberao de verso.
e. Um problema pode resultar em mltiplos incidentes, e requer uma anlise de
impacto, uma vez que pode levar degradao dos acordos de nveis de servio.
possvel que um problema no seja diagnosticado at que vrios incidentes
tenham ocorrido.
8. (Tcnico Judicirio TER-GO CESPE/2009) A respeito de gerenciamento de servios de
tecnologia da informao (TI) e da biblioteca ITIL , assinale a opo correta.
1. O gerenciamento da liberao muito prximo do gerenciamento da configurao,
que abrange planejamento, desenho, construo e verificao de hardware e software para criar um conjunto de componentes de verso para um ambiente real.
2. O gerenciamento de dano permite a identificao de processos crticos do negcio
e o dano potencial que pode ser causado organizao. Este controle realizado
com a tcnica de cenrios de simulao.
3. O controle de incidentes corresponde ao processo de identificar, registrar, classificar e
acompanhar incidentes at que os servios afetados voltem sua operao normal.
4. O CMDB (configuration management database) um banco de dados que contm
todos os detalhes relevantes acerca de cada uma das fases do gerenciamento de
configurao.

Respostas
1. O gerenciamento da configurao cumpre vrios papis. O mais importante est
relacionado BDGC. graas ao gerenciamento da configurao que a BDGC
criada, mantida e atualizada.
2. A BDGC uma base de dados que tem como objetivo armazenar diversas informaes teis para a empresa e informaes teis para a prpria efetivao de todos
os outros processos. Podemos dizer que todos os processos da ITIL dependem, em
maior ou menor grau, da BDGC. Assim, fica bvio concluir que a qualidade da BDGC
se reflete diretamente na qualidade de todos os outros processos. Na verdade, da
qualidade do processo de gerenciamento da configurao depende a qualidade de
todos os outros processos da ITIL .
3. O que o mercado chama de softwares de gerenciamento de ativos so, na maior
parte dos casos, softwares de gerenciamento de ativos de hardware apenas. A BDGC
se preocupa com todos os ativos, ou seja, no s ativos de hardware, mas tambm
ativos de software, processos etc. E principalmente a BDGC vai muito mais alm,
pois possui informaes sobre todos os relacionamentos entre os ativos.

CEC I E R J E X T E N S O E M G O V E R N A N A

123

4. Alternativa d. O grande benefcio da BDGC a possibilidade de estabelecer


cruzamento de informaes e relacion-las, gerando conhecimento para a organizao e para os outros processos. O registro de ativos por si s no permite tal
relacionamento.
5. Alternativa a. Todos os processos esto envolvidos. Deve-se identificar a
causa-raiz do problema (gerenciamento de problema). As mudanas necessrias
precisam ser analisadas e autorizadas (gerenciamento de mudanas). Uma vez
aprovadas, elas devem ser executadas sem prejuzo na infraestrutura (gerenciamento de liberaes). Por fim, durante a execuo de cada um dos processos, a
BDGC precisa refletir o estado atual da infraestrutura, ou seja, o que est sendo
feito com relao ao incidente/problema at a sua erradicao da infraestrutura
(gerenciamento da configurao).
6. Alternativa c. O enunciado se refere claramente ao gerenciamento da configurao.
7. Respostas:
a. Falso. Incidentes que no possuem soluo imediata devem ficar abertos e
originar um registro de problema para investigao.
b. Falso. A gerncia da configura trata de relacionamentos entre todos os ativos.
c. Verdadeiro.
d. Falso. O release do tipo Delta uma verso parcial ou incompleta.
e. Verdadeiro
8. Alternativa c. O gerenciamento da liberao no se relaciona com o gerenciamento
da configurao da forma descrita. No existe o processo gerenciamento de dano na
ITIL . A funo da BDGC ( ou CMDB em ingls) no tem nada a ver com fases do
gerenciamento da configurao.

AULA

A entrega de servios de TI
na ITIL v2

Meta da aula

objetivos

Explicar os processos de entrega de servios


de TI da ITIL v2.

Ao final desta aula, voc dever ser capaz de:


1

explicar o processo de gerenciamento de nvel de servio;

explicar o processo de gerenciamento da capacidade;

explicar o processo de gerenciamento da disponibilidade;

explicar o processo de gerenciamento da continuidade;

explicar o processo de gerenciamento financeiro;

explicar o relacionamento entre os processos de entrega.

Pr-requisitos
So pr-requisitos para esta aula ter atingido os objetivos das duas
primerias aulas do curso, que tratam do planejamento estratgico e
da Governana em TI, e ter atingido os objetivos da Aula 3, que apresentou o histrico da ITIL e os principais conceitos relacionados a
ela. Alm disso, recomendado que o aluno tenha atingido os objetivos da Aula 4, sobre suporte a servios de TI.

Governana em Tecnologia da Informao

| A entrega de servios de TI na ITIL v2

INTRODUO

Nesta aula vamos falar dos processos de entrega


da ITIL v2. Voc sabia que esses processos
possuem um foco mais voltado para a entrega dos
servios de acordo com as necessidades reais de
organizao?

Ns iremos ver nesta aula os processos do livro Entrega de servios de TI, aos
quais muitas pessoas se referem como processos tticos da ITIL.

PROCESSOS TTICOS
Fazemos aqui uma observao: seria mais adequado dizer que
esses processos possuem foco maior em atividades tticas, e no que
eles so processos tticos. O processo de gerenciamento da capacidade,
por exemplo, um processo que fornece informaes gerenciais para
a tomada de decises no nvel ttico, porm depende diretamente de
implementaes operacionais para ser efetivo. Enfim, como tudo em
TI hoje em dia, os processos no podem estar rigidamente restritos a
um ou outro nvel organizacional, pois todos lidam com informaes
de todos os nveis. Assim, repetimos nesta aula o que dissemos na aula
anterior sobre a ITIL. Embora, devido ao cargo que voc ocupe, possa
atuar na maior parte do tempo em atividades consideradas tticas, voc
precisa ter bom entendimento das questes operacionais e das questes
estratgicas relacionadas a tudo o que voc faz. Ou seja, voc precisa
ter viso sistmica das suas funes!
Enfim, vamos aos processos de entrega!
J vimos que cada processo, por definio, composto por entradas, sadas e atividades intermedirias. O que faz a ITIL ser muito til
para a TI o fato de ela descrever os processos completos para resolver
questes muito importantes em nosso dia a dia. muito importante que
voc mantenha em mente a ideia de que fazendo opes sobre como
desempenhar uma das atividades do processo descrito na ITIL que a
empresa ir adequ-lo ao seu perfil.
126 Governana: Gesto, Auditoria e Tecnologia da Informao

Por exemplo, no caso do processo do gerenciamento do nvel de

AULA

servio que veremos adiante, uma das atividades definir requisitos de


servio dos usurios. Toda empresa que queira implementar esse processo
obviamente precisar definir esses requisitos. A diferena que cada uma
poder fazer isso da forma que melhor lhe convier. Uma sugesto seria
entrevistar pessoalmente cada um dos usurios de TI e fazer questionamentos sobre cada um dos servios. Bem, isso se a empresa tiver apenas
meia dzia de usurios de TI... E se a empresa tiver cem usurios? Talvez
seja uma alternativa vivel enviar questionrios por e-mail para que sejam
respondidos e devolvidos tambm por e-mail. Mas e se a empresa tiver
mil usurios, quem iria consolidar as informaes de mil formulrios? O
que voc faria nessa situao? Bem, neste caso, nossa sugesto seria a TI
criar um formulrio online cujas informaes fossem automaticamente
consolidadas em uma base de dados.
Enfim, como voc j deve ter percebido, existem vrias formas
de desempenhar a atividade definir os requisitos de servio dos usurios
dentro do processo gerenciamento do nvel de servio. Isso a ITIL!
Ela nos diz qual o melhor processo para melhorar o gerenciamento de
servios de TI na organizao, mas cabe a ns adaptar o processo nossa
realidade. Por isso dizemos que ela um conjunto de boas prticas que
pode auxiliar muito a empresa, embora, tambm por definio, nada
nela seja mandatrio.
Bem, j que estamos falando tanto de gerenciamento do nvel de
servio, comearemos esta aula por esse processo.

GERENCIAMENTO DO NVEL DE SERVIO


O que nvel de servio? No contexto da ITIL, entenda essa
expresso como qualidade de servio. Voc se lembra dos acordos de
nvel de servio (em ingls, SLA Service Level
Agreement)? Tudo neste processo gira em torno
dos requisitos que o usurio possui para os servios prestados e as necessidades reais da empresa.
muito comum encontrar ambientes de TI em que
as exigncias do usurio com relao a um determinado servio esto muito alm daquelas que, de
fato, seriam as mais adequadas para a organizao.
Figura 5.1: Gerenciamento do nvel de servio.

CEC I E R J E X T E N S O E M G O V E R N A N A

127

Governana em Tecnologia da Informao

| A entrega de servios de TI na ITIL v2

O contrrio tambm acontece, mas com cada vez menos frequncia. Isso
porque, como vimos nas primeiras aulas, a sensao do usurio de que
precisa cada vez mais da TI (o que de certa forma um fato).
Mas como balancear tais exigncias? At que ponto a TI
deve se esforar para atender a todas as solicitaes de todos
os usurios para todos os servios? A resposta bem simples.
At o ponto em que o investimento realizado para atender a tais
demandas seja justificado pelo retorno obtido para o negcio.
Os benefcios obtidos com a implantao desse processo
esto relacionados ao balanceamento de toda a demanda com
o seu fornecimento atendendo aos requisitos de forma alinhada
ao negcio e de acordo com a capacidade da TI. Podemos listar
os objetivos desta forma:
Melhorar o relacionamento entre o cliente e o provedor.
Melhorar o entendimento dos requisitos do servio.
Balancear a demanda do cliente e o custo da proviso do servio.
Mensurar os nveis de servio prestados e buscar sua melhoria.
Assim como em outros processos, este processo tambm possui alguns
termos prprios.

Catlogo de servios (service catalog)


um catlogo que contm todos os servios que so prestados pela
rea de TI e, eventualmente, os servios que no so prestados. Fazem
parte do contedo do catlogo de servios os softwares para os quais a TI
presta suporte, assim como suas verses homologadas, os tipos de eventos
que so tratados pela TI, os tipos de eventos que so tratados pela TI, os
tipos de incidentes resolvidos pela TI, informaes sobre o escalonamento
de incidentes e problemas etc.

Requisitos de servios (service level requirements)


Definio dos requisitos do usurio para cada um dos servios prestados pela TI, de acordo com o catlogo de servio.

Acordos de nvel de servio (service level agreement)


um acordo entre o provedor de TI e o cliente. No um documento
tcnico nem um contrato. O ANS possui todas as informaes sobre como o

128 Governana: Gesto, Auditoria e Tecnologia da Informao

5
Provedor de TI

Cliente TI
ANS

Service Level
Management

ANS

Outros departamentos da empresa

AULA

Contexto Negcios

ANO
rea A

rea B

rea C

...

CA
Portflio
Servios

Provedor Externo

Figura 5.2: Acordos do gerenciamento de nvel de servio.

servio deve ser prestado, do ponto de vista do usurio, e o que para ele
visto como prioritrio, importante, secundrio ou pouco relevante.

Acordo de nvel operacional (operation level agreement)


um tipo de acordo semelhante ao ANS. A diferena que o
ANO estabelecido internamente entre diferentes reas do prprio
provedor de TI ou entre este e outras reas da organizao. Ele importante quando, para cumprir um ANS estabelecido com o usurio, a TI
necessita da interao entre seus diversos departamentos ou com outras
unidades organizacionais.

Contrato de apoio (underpinning contract)


Possui funo semelhante do ANS e do ANO, mas se trata de um
contrato realizado entre o provedor de TI e fornecedores terceirizados.
Esse tipo de contrato importante quando, para honrar o ANS, a TI
depende de parceiros externos organizao, caso em que deve existir
um contrato que reflita todos os requisitos dos ANSs que dependem de
servios do fornecedor ou parceiro em questo.

Descrio do processo
A principal entrada deste processo so os requisitos dos usurios
de TI. A principal sada o servio prestado atendendo aos requisitos.
As atividades deste processo so:

CEC I E R J E X T E N S O E M G O V E R N A N A

129

Governana em Tecnologia da Informao

| A entrega de servios de TI na ITIL v2

Definio do catlogo de servio.


Definio dos requisitos de servio.
Negociao dos acordos de nvel de servio.
Negociao dos acordos de nvel de operacional.
Celebrao dos contratos de apoio.
Monitorao dos nveis de servio.
Anlise dos requisitos de servio.
Anlise do catlogo de servio.

Indicadores de desempenho
Quantidade de servios prestados que no esto no catlogo.
Quantidade de servios que no possuem requisitos acordados.
Quantidade de servios que no atendem aos requisitos.

Atividade 1
Um usurio instala em sua mquina de trabalho um software que lhe foi indicado por 1
um amigo. Aps alguns dias de uso, o computador do usurio comea a apresentar
problemas toda vez que o novo software inicializado. Que processo, se implementado
na organizao, poderia ter impedido que o usurio instalasse o software sem comunicar
TI? Que processo, se implementado na organizao, poderia identificar a presena do
software desconhecido na configurao da empresa? Explique sua resposta.

Resposta
O processo de gerenciamento do nvel de servio implementa o catlogo de servio
que responsvel por informar aos usurios quais so os softwares homologados
para os quais a TI prestar servios. O processo de gerenciamento da liberao o
responsvel por garantir que somente softwares liberados correta e oficialmente na
empresa estejam presentes na configurao da infraestrutura de TI.

130 Governana: Gesto, Auditoria e Tecnologia da Informao

AULA

GERENCIAMENTO DA CAPACIDADE
O que acontece se a TI no tem capacidade para atender aos requisitos de servio
solicitados pelos usurios? Com certeza a resposta no muito boa. Neste processo, quando
falamos de capacidade, estamos nos referindo
no somente a questes de hardware e software, mas tambm a questes de competncias dos
profissionais, eficincia dos processos de TI e
tudo o mais que possa afetar o fornecimento
do servio por incapacidade operacional. Note
que, conforme a filosofia da ITIL, o foco aqui

Figura 5.3: Gerenciamento da capacidade.

tambm no somente mquinas e cdigos de


programas de computador. O foco do gerenciamento da capacidade sistmico!

Voc acha que a TI precisa saber qual a sua capacidade de


atender s demandas atuais e futuras dos usurios e clientes? Acha que
possvel controlar essa demanda de alguma forma a fim de fazer com
que ela acompanhe a capacidade de fornecimento? Sim, claro que . Por
isso, o gerenciamento da capacidade dividido em trs subprocessos que
possuem foco muito bem claro e definido:

Gerenciamento da capacidade do negcio


Trata-se do esforo por procurar se adequar de forma proativa
s demandas que surgiro devido a metas de negcio de curto, mdio e
longo prazo e que tenham impacto direto ou indireto na capacidade de a
TI sustentar a operao da empresa. Para a efetividade deste subprocesso,
a TI precisa se comunicar bem com todos os nveis estratgicos organizacionais (leia-se comunicar-se bem com as outras reas de negcio).

Gerenciamento da capacidade dos recursos


Esta parte do processo tem foco diretamente voltado para a
capacidade atual de todos os recursos (hardware, software, pessoas,
ativos etc.) para atender s demandas atuais. O provedor de TI precisa
estar ciente da sua capacidade operacional, a fim de avaliar se os incidentes e problemas relatados pelos usurios esto ou no relacionados

CEC I E R J E X T E N S O E M G O V E R N A N A

131

Governana em Tecnologia da Informao

| A entrega de servios de TI na ITIL v2

incapacidade operacional da TI. Por outro lado, as requisies dos


usurios, tanto no que diz respeito ao que deve ser feito quanto no que
diz respeito a como deve ser feito, devero estar adequadas capacidade
operacional da TI. O que deve ser feito e com que qualidade deve ser
feito so informaes definidas pelo processo de gerenciamento do nvel
de servio por meio do catlogo de servios e dos requisitos de servio,
respectivamente.

Gerenciamento da demanda
Este processo atua tentando controlar a demanda por servios dentro da organizao ou equilibrando os requisitos do nvel de
servio. Um dos caminhos mais comuns obedece lei da oferta e da
procura. Quando a demanda aumenta, o valor cobrado pelo servio
tende a aumentar at que a oferta acompanhe ou supere a demanda.
O contrrio tambm verdade. Assim, o provedor de TI pode cobrar
mais por servios cujos requisitos de qualidade estabelecidos pelo usurio sejam altos. Mas como fazer isso quando o provedor de TI possui
usurios e clientes internos, ou seja, a TI pertence a uma empresa cujo
ncleo de negcios no propriamente a prestao de servios de TI?
Veremos ainda nesta aula que o processo de gerenciamento financeiro
da TI oferece caminhos para tornar efetiva essa cobrana mesmo em
ambientes como esse.

Descrio do processo
A principal entrada deste processo so as demandas da organizao por servios. A principal sada o atendimento a tais demandas
de maneira sustentvel pelo negcio, ou seja, a um custo vivel para a
organizao. As atividades deste processo so:
Determinar as demandas de negcio atuais e futuras.
Determinar as demandas por recursos atuais.
Elaborar relatrios de avaliao da capacidade.
Elaborar relatrios de utilizao da capacidade.
Elaborar requisies de mudana.
Controlar e monitorar a demanda.

132 Governana: Gesto, Auditoria e Tecnologia da Informao

AULA

Indicadores de desempenho
Tipos e quantidade de recursos de hardware em uso.
Tipos e quantidade de recursos de software em uso.
Habilidades dos recursos humanos do provedor de TI.
Capacidades dos recursos humanos do provedor de TI.
Tipos e quantidades de demandas futuras.

Atividade 2
Ainda considerando o cenrio da questo anterior, imagine que, aps avaliao

do software, a empresa decida homolog-lo para uso na organizao. Alm disso,


imagine que os problemas causados se devam exclusivamente a requisitos de processamento e memria necessrios para a execuo do software. Quais processos da ITIL
sero abordados at o momento da liberao do software na infraestrutura e com quais
objetivos? Explique sua resposta.

Resposta
Inicialmente o gerenciamento de incidentes ser o processo responsvel por receber e
registrar os chamados do usurio. O gerenciamento de problemas ser o responsvel
por detectar a causa-raiz do comportamento estranho do software. Uma requisio
de mudana ser tratada pelo gerenciamento de mudana para avaliar e aprovar a
homologao do software. O gerenciamento de liberao ser o responsvel por fazer as
instalaes e por armazenar as cpias do software homologado no depsito de software
definitivo. O gerenciamento da capacidade ser o responsvel por avaliar as questes de
capacidade envolvidas. Ressalte-se que, neste caso, no se trata somente do conceito
bsico de capacidade, ou seja, se as mquinas possuem ou no capacidade

CEC I E R J E X T E N S O E M G O V E R N A N A

133

Governana em Tecnologia da Informao

| A entrega de servios de TI na ITIL v2

para executar o software (processamento, memria etc.). Neste caso, o processo de


gerenciamento da capacidade precisa decidir, por exemplo, quantas licenas do software so suficientes para atender demanda atual e s demandas futuras do negcio.
O gerenciamento do nvel de servio ser acessado a fim de determinar com o usurio
os requisitos para esse servio, para elaborar o ANS e para inserir o novo servio no
catlogo. O gerenciamento da configurao precisar garantir, a todo momento,
que a BDGC reflita as alteraes que esto acontecendo na infraestrutura.

GERENCIAMENTO DA DISPONIBILIDADE
Qual a diferena entre capacidade da TI e disponibilidade? Espero que voc no fique confuso com essa
pergunta, pois a diferena total. Embora ambos os
conceitos estejam relacionados, eles no so uma coisa
s. Tanto no so que a ITIL possui dois processos
distintos para tratar de cada uma dessas ideias dentro
Figura 5.4: Gerenciamento da
disponibilidade.

do ambiente de prestao de servios de TI.


Esse processo tambm possui alguns termos tpicos:

Disponibilidade (availability)
A disponibilidade de um servio afetada tanto pela quantidade
de falhas do servio quanto pelo tempo mdio necessrio para repar-lo.
Dois servios, A e B, podem sofrer uma nica interrupo no perodo de
uma hora. Porm, se um for reparado em cinco minutos e o outro em
vinte, certamente a sensao de disponibilidade do usurio com relao
ao primeiro servio ser maior. O clculo da disponibilidade feito por
meio da determinao do tempo mdio entre falhas (TMEF). Quanto
maior esse tempo, maior ser a disponibilidade do servio.

Confiabilidade (reliability)
A confiabilidade de um servio est ligada somente ao nmero
de falhas do servio. Observando o exemplo dos servios A e B do
item anterior, embora o servio A seja mais disponvel (possua TMEF
maior), ambos so igualmente confiveis (ou no confiveis...), pois
ambos possuem ndice de uma falha a cada hora no perodo analisado.

134 Governana: Gesto, Auditoria e Tecnologia da Informao

A confiabilidade est ligada ao ndice de tempo mdio entre incidentes

AULA

(TMEI). Quanto maior esse ndice, mais confivel o servio.

Sustentabilidade (resilience)
A sustentabilidade, s vezes chamada de resistncia ou resilincia.
Est ligada ao grau de manuteno do servio mesmo quando uma falha
acontece. A sustentabilidade medida com relao ao tempo necessrio
para restabelecer o servio aps alguma interrupo ou queda no nvel
acordado com o usurio. Em alguns casos, a sustentabilidade to
grande que, mesmo com a falha total de alguns recursos, o usurio no
nota a interrupo ou a queda no nvel de servio. Nesse caso, o tempo
de recuperao nulo. Isso possvel nos casos em que o provedor de
TI investe na redundncia na prestao de alguns servios prioritrios
para a organizao. A sustentabilidade medida por meio do ndice de
tempo mdio para reparar (TMPR). Quanto menor esse tempo, maior
ser a sustentabilidade.
TMPR

Reparo

Identificao

Incidente

Diagnstico

Recuperao total

Incidente

Recuperao parcial

TMEF

TMEI
Tempo
Figura 5.5: ndices de gerenciamento da disponibilidade.

Pontos de falha (points of failure)


Identifica, por meio de mapas, quais componentes esto influenciando a disponibilidade do servio.

CEC I E R J E X T E N S O E M G O V E R N A N A

135

Governana em Tecnologia da Informao

| A entrega de servios de TI na ITIL v2

Descrio do processo
A principal entrada deste processo a solicitao dos usurios
por aumento na disponibilidade, confiabilidade ou sustentabilidade dos
servios. A principal sada a prestao de servios que possuam ndices
de disponibilidade, confiabilidade e sustentabilidade compatveis com
as necessidades da empresa, nem mais, nem menos. As atividades deste
processo so:
Determinar as demandas de negcio atuais e futuras.
Determinar as demandas por disponibilidade atuais.
Determinar ndices de disponibilidade dos servios.
Realizar o mapeamento dos servios.
Determinar pontos nicos de falha.
Elaborar requisies de mudana.
Controlar e monitorar a disponibilidade.

Indicadores de desempenho
Tempo mdio entre falhas dos servios (TMEF).
Tempo mdio para reparar os servios (TMPR).
Tempo mdio entre incidentes do sistema (TMEI).
Servios que j esto mapeados na infraestrutura.

Atividade 3
Imagine que voc est no aeroporto usando um carto de internet mvel de 60 3
minutos. Exatamente dez minutos aps comear a usar o servio, a bateria do
seu notebook acaba e o todo processo de reinicializao e autenticao no provedor
leva cinco minutos. Voc continua usando o servio e, aps vinte minutos, o acesso
interrompido. Voc liga para a central do carto e informado de que o servio ser
restabelecido em minutos. Ao todo, a segunda interrupo leva dez minutos. Voc se
conecta novamente e usa a Internet at que os 60 minutos acabam. Quais so os ndices
TMEF, TMPR e TMEI para esse servio? possvel pensar em disponibilidade dos servios
de TI mesmo quando o usurio o responsvel pela interrupo? Explique.

136 Governana: Gesto, Auditoria e Tecnologia da Informao

5
AULA

Resposta
TMEF = [60 (10 + 5)] / 2 = 22,5;
TMPR = (10 + 5) / 2 = 7,5;
TMEI = TMEF + TMPR = 30.

Note que o tempo em que o servio ficou fora do ar por culpa do usurio tambm
entra nos clculos. Para ele, assim como para a empresa, no interessa a causa da
indisponibilidade, mas sim o fato de que um servio importante no estava disponvel.
Em muitos ambientes, as empresas investem em treinamentos dos usurios para
diminuir as causas de indisponibilidade. J em outros, infelizmente, os provedores
de TI no se preocupam tanto com a indisponibilidade quando a culpa no
deles. Vale lembrar que a disponibilidade de um servio depende de vrios itens da
configurao cuja falha pode influenciar negativamente o servio.

GERENCIAMENTO DA CONTINUIDADE
Este processo lida com o que pode afetar o
negcio como um todo. Ele procura responder a
questes como: Que eventos podem ocasionar o
fechamento da empresa antes que ela possa reagir?
At que ponto a operao da TI est sujeita a catstrofes naturais? Caso elas aconteam, em quanto
tempo os servios voltaro a ser oferecidos, ainda que
em nveis de qualidade menores? Em quanto tempo
a operao normal poder ser restabelecida?
Note que, pela primeira vez estamos falando

Figura 5.6: Gerenciamento da continuidade.

de algo que pode afetar, de uma vez s e de maneira


grave, vrios servios do provedor de TI ou todos
eles. Pois bem, vamos comear a tratar deste processo definindo alguns
conceitos importantes: Voc sabe a diferena entre plano de continuidade, plano de recuperao de desastres e plano de contingncia? , esta
realmente no uma pergunta simples de responder. muito comum
encontrarmos definies diferentes no mercado; e muito mais comum
ainda encontrarmos pessoas usando esses termos como se fossem a mesma
coisa. Por isso, vamos esclarecer desde j esse ponto.
CEC I E R J E X T E N S O E M G O V E R N A N A

137

Governana em Tecnologia da Informao

| A entrega de servios de TI na ITIL v2

Plano de contingncia
Chamamos de aes de contingncia os procedimentos que so
executados aps um evento de graves propores, a fim de manter os
servios em operao. Perceba que as aes de contingncia so reativas.
Ora, mas o plano de contingncia, assim como qualquer plano, deve
ser elaborado antecipadamente? bvio que sim. Porm, as aes de
contingncia sero executadas, de fato, aps o incidente (ou acidente).
Elas podero ser ensaiadas e treinadas (o que at recomendado), mas
sero executadas na sua totalidade e realidade apenas de forma reativa
por ocasio da confirmao do evento previsto. At porque muitas aes
de contingncia (como mudana da base de operao para um outro
prdio) so muito custosas para a organizao.

Plano de recuperao de desastres


O plano de recuperao de desastres tem como foco garantir que a
empresa conseguir retornar sua operao normal em um tempo aceitvel para o negcio. Toda ao de contingncia citada no item anterior
servir para restabelecer a operao o mais rpido possvel, porm nem
sempre isso ser feito nas condies exatamente iguais (ou semelhantes)
s condies anteriores ao desastre. O plano de recuperao de desastres
procura fazer com que a empresa volte a operar como operava no dia
D-1 (um dia antes do desastre). Assim, se a ao de contingncia foi
mudar a base de operao para outro prdio, a ao de recuperao ser
retornar ao prdio anterior ou, se isso no for possvel, reproduzir em
definitivo no novo prdio as condies existentes no prdio antigo. Esse
plano tambm envolve aes reativas, ou seja, aes que so efetivamente
executadas apes o evento.

Plano de continuidade
Este, sim, um plano que contm aes que visam a garantir a
continuidade da organizao e vrias aes que so tomadas, independentemente da ocorrncia dos eventos desfavorveis. O plano de continuidade define a necessidade de realizar acordos com parceiros (ou mesmo
concorrentes), a fim de que ambos tenham uma alternativa operacional
em caso de acidentes graves. Afinal, muitas aes de contingncia e de
recuperao de desastre s sero possveis se a organizao tiver realizado

138 Governana: Gesto, Auditoria e Tecnologia da Informao

algumas aes antecipadamente visando

AULA

garantia da continuidade da operao. Por


exemplo, a empresa no saber para que
prdio se mudar em caso de desastre caso
tal deciso no tenha sido tomada antes do
desastre. No mnimo ela ir demorar mais
a realizar tal mudana se todas as decises
precisarem ser tomadas aps o evento que
normalmente no o melhor momento para
tomar qualquer deciso.
A filosofia do gerenciamento da continuidade deve ser justamente esta: tomar
decises bem pensadas no momento em que
possvel decidir com calma sobre eventos graves para a organizao,
em vez de deixar para fazer isso no meio da tempestade ou no olho do
furaco (literalmente falando...).
Mas somente para cuidar das causas naturais que esse processo
existe? No. Por exemplo, a deciso de construir uma plataforma de
servidores totalmente redundante em um segundo data center uma
deciso que pode muito bem ser motivada pela preocupao com a
continuidade dos negcios. Mesmo porque dificilmente essa ser uma
solicitao do usurio, haja vista o fato de que, para ele, o que interessa
apenas a extremidade do servio onde ele pode acess-lo e utilizar suas
funcionalidades, nada mais.
A preocupao sistmica com a implementao de backups tambm uma preocupao com a continuidade. Enfim, parte do esforo
sistmico relacionado segurana da informao tambm tem como fator
motivador a continuidade dos negcios, evitando prejuzos tangveis e
intangveis.
O principal objetivo deste processo a construo de um plano de
continuidade de todas as questes relacionadas ao tema e que seja vivo
na organizao. Um plano vivo na organizao significa um plano que
conhecido por todos, revisado e alterado para refletir novas necessidades
estratgicas da organizao e o novo contexto de negcio pelo qual ela
passa. Recomenda-se que o plano de continuidade seja revisado sempre
que o plano estratgico e o plano diretor de TI forem revisados.

CEC I E R J E X T E N S O E M G O V E R N A N A

139

Governana em Tecnologia da Informao

| A entrega de servios de TI na ITIL v2

Descrio do processo
A principal entrada deste processo a necessidade de qualquer
empresa de se manter e permanecer no mercado. A principal sada
a existncia de um plano de continuidade efetivo. As atividades deste
processo so:
Determinar as demandas de negcio atuais e futuras.
Identificar riscos para a operao de TI.
Analisar os riscos para a operao de TI.
Elaborar o plano de continuidade.
Elaborar requisies de mudana.
Revisar e testar o plano de continuidade.

Indicadores de desempenho
Quantidade de itens cobertos no plano de continuidade.
Quantidade de revises feitas no plano de continuidade.

Atividade

O seu diretor de TI informa que todos iro se reunir para discutir os itens do plano 4
de continuidade das operaes de TI. Um gerente lembra que a empresa j possui
um plano de continuidade que pode ser muito til. Porm, um analista diz que o plano
ajudar pouco, pois no trata de questes de Tecnologia da Informao. Quem est
certo? Explique.

140 Governana: Gesto, Auditoria e Tecnologia da Informao

5
AULA

Resposta
bvio que um plano de continuidade j elaborado pela empresa ajudar a equipe de TI
a elaborar o seu plano de continuidade. O gerente est certo (por isso ele o gerente...).
Na verdade, a questo da continuidade, como ressaltamos, to sistmica que
dificilmente poder ser tratada apenas dentro do escopo da TI. O recomendado e
seguido por muitas empresa elaborar um nico plano de continuidade abordando
aspectos de todas as reas, inclusive da TI. Isso porque a soluo para questes
que envolvem causas de fora maior, tais como incndios, terremotos e furaces,
geralmente a mesma para vrias reas. Obviamente, existem questes essencialmente de TI, como cpias de segurana e sistemas redundantes, que
devero ser tratadas parte neste plano geral.

GERENCIAMENTO FINANCEIRO
Quanto voc custa por ms para a sua
organizao? E quanto voc traz de retorno?
Estenda essas perguntas para que elas contemplem todas as pessoas e recursos envolvidos na
prestao de servios de TI e voc ter como
resposta aquilo que o principal objetivo do
processo de gerenciamento financeiro da TI.
Este processo fornece meios para que a TI
possa informar e controlar os custos da entre-

Figura 5.7: Gerenciamento financeiro.

ga dos servios que sustentam as necessidades

de negcio dos clientes. Assim como outros, ele tambm dividido em


subprocessos para melhor organizao e implementao.

Oramentao
Este um subprocesso que determina quanto custam os servios.
Observe que no to simples determinar o custo de um servio, pois ele
normalmente depende de recursos diretos e indiretos que possuem custos
que podem ser fixos ou variveis, dependendo do uso. A rigor, deveria se
considerar o valor homem/hora, o tipo e a quantidade de equipamentos
utilizados, a depreciao dos materiais usados, servios de terceiros
etc. Lembre-se de que justamente no nvel de detalhamento para a
construo desses custos que a empresa estar adaptando o processo da
ITIL sua realidade. Em resumo, estamos dizendo que a atividade de

CEC I E R J E X T E N S O E M G O V E R N A N A

141

Governana em Tecnologia da Informao

| A entrega de servios de TI na ITIL v2

definio dos custos dos servios pode ser realizada de vrias maneiras
dependendo do nvel de preciso de que a empresa necessite.

Contabilidade
A contabilizao servir para definir a forma de agregao dos
custos dos servios. Ela pode ser feita por usurio, por cliente, por departamento, por rea etc. Depende de que tipo de resposta a empresa quer
obter. Qual o valor dos servios prestados pela TI para o departamento
X? Qual o valor dos servios prestados pela TI para os projetos da rea
de negcio Y?

Cobrana
Assim, uma vez que o provedor de TI sabe os custos dos servios
prestados e sabe contabiliz-lo de acordo com uma demanda especfica,
s restar realizar a cobrana. Nesse caso, a cobrana dos servios poder
ser real, nocional ou inexistente. A cobrana real envolve emisso de
fatura e nota fiscal, recebimento e gerao de impostos. Toda empresa
cujo provedor de TI presta servios para clientes externos realiza a
cobrana real. A cobrana nocional acontece em empresas em que o total
a ser pago debitado de uma conta fictcia existente para que as reas
ou departamentos possuam certo grau de independncia, funcionando
como empresas dentro da empresa. H exemplos na indstria em que a
cobrana nocional j acontece.
A realidade que poucas empresas realizam a cobrana nocional.
Empresas cujo ncleo de negcio a prestao de servios de TI ou fabricao de produtos de tecnologia certamente realizam a cobrana real,
pois sem isso elas no existiriam. Algumas poucas empresas realizam
a cobrana nocional. Voc conhece alguma empresa em que a cobrana nocional feita pela TI? Conhece alguma empresa em que existe a
cobrana nocional, mas no dentro da rea de TI?

142 Governana: Gesto, Auditoria e Tecnologia da Informao

AULA

Atividade 5
Numa empresa, em uma reunio semestral para tratar de questes de oramento, 5
um dos vice-presidentes defende que a TI precisa de mais investimentos; outro
diz que o investimento feito nos ltimos anos no tem significado nenhum resultado
palpvel. Qual processo ajudaria a responder essa questo? Explique o que deveria ser
feito antes da sua implementao.

Resposta
O gerenciamento financeiro tem como objetivo responder a questes de retorno
sobre o investimento atravs da oramentao (que define como mensurar os custos
de cada servio), contabilizao (que define como agregar e relacionar os custos na
empresa) e cobrana (que permite recuperar todos os custos por meio da cobrana
real ou nocional). Como na empresa os vice-presidentes discutem investimento
e retorno com base apenas na emoo (feeling), fica claro que ela no possui
processos definidos, documentados e maduros. Assim, antes que o gerenciamento
financeiro seja implementado, vrios processos de suporte e entrega precisam ser
criados e implementados na empresa. O gerenciamento financeiro depende de
informaes de todos os outros processos, e sem eles o gerenciamento
financeiro no ser efetivo.

Descrio do processo
A principal entrada deste processo a necessidade que a empresa
possui de determinar os custos operacionais da TI e a necessidade da
TI de recuperar esses custos por meio de alguma forma de cobrana.
As principais sadas so a determinao dos custos dos servios prestados pela TI, a sua contabilizao e a sua cobrana. As atividades deste
processo so:
Realizar a oramentao dos servios de TI.
Realizar a contabilizao dos servios de TI.
Realizar a cobrana dos servios de TI.

CEC I E R J E X T E N S O E M G O V E R N A N A

143

Governana em Tecnologia da Informao

| A entrega de servios de TI na ITIL v2

Indicadores de desempenho
Quantidade de servios para os quais o custo foi definido.
Quantidade de servios para os quais h contabilizao.
Quantidade de servios para os quais se realiza cobrana.

INTEGRAO DOS PROCESSOS DE ENTREGA


Se algum lhe perguntasse por onde comear um projeto de
implantao da ITIL, o que voc responderia? A primeira coisa que
voc deveria responder que no se implanta a ITIL. A ITIL um
conjunto de livros, cada um deles com informaes sobre como melhorar o gerenciamento de servios de TI atravs da criao, implantao
e melhoria de processos. Assim, o mximo que se pode dizer que o
projeto seria de criao de processos para o gerenciamento efetivo de
servios de TI com base nas boas prticas da ITIL. Ou ento, que o
projeto seria o de melhoria dos processos j existentes na organizao por
meio da utilizao de prticas recomendadas pela ITIL. Enfim, qualquer
coisa, menos implantar a ITIL. A gente implanta um servidor, um
procedimento etc.
Bem, mas por onde comear, afinal?
Normalmente as empresas tendem a comear pelos processos de
suporte a servios, pois eles iro garantir a sustentao do que j est
em operao na empresa. Com o tempo, o amadurecimento desses processos far com que a equipe de TI consiga colher benefcios advindos
da organizao por processos. Os incndios do dia a dia comeam a
diminuir devido ao maior compartilhamento de informaes e eficincia
na aplicao das solues. Os problemas comeam a ser menos comuns,
pois as falhas na infraestrutura so identificadas e erradicadas. A quantidade de retrabalho diminui, pois as mudanas acontecem somente
quando agregam valor real empresa e, nesses casos, sua concretizao
na infraestrutura acontece da forma adequada.
A partir deste ponto a empresa pode comear a se perguntar: O.K.
E agora, o que podemos fazer para melhorar ainda mais? Como ns j
vimos, existem muitos caminhos. Ela certamente vai precisar aumentar
a qualidade dos servios sempre. Porm ns sabemos que isso tem um
preo que deve ser comparado com o retorno que a empresa obtm.

144 Governana: Gesto, Auditoria e Tecnologia da Informao

Se voc perguntar a um usurio de TI tpico na sua empresa

AULA

quanto tempo ele pode ficar sem o servio XYZ, o que voc acha que ele
responder? Ser que ele dir algo como: Eu no posso ficar sem este
servio e ponto final? Perceba que isso significa TMPR igual a zero, o
que implica redundncia total em todos os servios! No s redundncia total, mas tambm a garantia de que a redundncia implementada
tambm no falhar em hiptese alguma. Sabemos que, pela "Lei de
Murphy", impossvel dar tal garantia.
Normalmente os projetos de implantao de processos de gerenciamento de servios de TI baseados na ITIL v2 abordaram em sua
primeira fase os processos de gerenciamento de incidente, problema,
configurao, mudana e liberao, mais o processo de gerenciamento
de nvel de servio. Algumas empresas pararam por a.
Outras seguiram adiante, implementando um processo para
gerenciamento da capacidade e da disponibilidade nas fases seguintes.
Algumas abordaram tambm o gerenciamento da continuidade nessa
segunda fase de construo e amadurecimento dos processos. Como o
gerenciamento da continuidade se ocupa de questes que dificilmente
podem ficar restritas ao ambiente de TI, normalmente a elaborao de um
plano de continuidade pela TI trocada pela elaborao de um plano de
continuidade para a organizao. Em alguns casos, o esforo por melhorar os processos de gerenciamento de servios de TI traz essa questo
tona pela primeira vez na empresa. Em outros casos, a empresa j possui
um plano de continuidade, que apenas adaptado para abordar tambm
as questes de TI ou revisado para que tais questes sejam abordadas de
maneira aderente s boas prticas que esto sendo implantadas.
Um ponto em comum na maioria dos casos o fato de que a maior
parte das organizaes no implantou o gerenciamento financeiro da
TI ou adequou alguma funcionalidade j existente nas reas financeiras
da organizao para mensurar os custos da TI. Nesses casos, alguns
benefcios se tornam muito mais difceis, como o controle da demanda
atravs da cobrana nocional, tal como vimos quando discutimos o
gerenciamento financeiro.

CEC I E R J E X T E N S O E M G O V E R N A N A

145

Governana em Tecnologia da Informao

| A entrega de servios de TI na ITIL v2

CONCLUSO
Esta foi a ltima aula sobre a verso 2 da ITIL. Nela ns lidamos
com questes como a qualidade dos servios prestados e o custo desses
servios. A ideia mais importante desta aula a de que a filosofia da
ITIL prega que todo servio tem um custo que deve ser determinado
pelo provedor e esse custo deve ser recuperado na forma de benefcios
para o usurio e para a empresa, ou seja, a relao custo-benefcio dos
servios muito importante.
Observe que, no fundo, todos os processos de entrega giram em
torno desta ideia. Eles so orientados a determinar quais so as necessidades da empresa, se as necessidades esto sendo atendidas e, principalmente, qual o custo de atender demanda atual e qual ser o retorno
obtido com isso. O clculo da demanda aparece na forma de requisitos
de qualidade, disponibilidade, capacidade e continuidade dos servios.
O gerenciamento financeiro explicita esses custos na forma de valores
monetrios e, dependendo do caso, cobra por esses servios.
Ficou claro? Caso ainda restem dvidas, no deixe de participar
do frum e de realizar as atividades online, pois ambos iro reforar
estas ideias.

INFORMAES SOBRE FRUM


Vamos trocar informaes sobre os processos de entrega de servios de TI
apresentados aqui? Acesse o frum da semana.
Ttulo: Entrega de servios de TI na prtica.
Objetivo: Identificar e avaliar empresas que utilizam processos de entrega
baseados na verso 2 da ITIL. Essas empresas tm se beneficiado das boas
prticas? Quais vantagens e benefcios elas alcanaram? Vamos tambm
identificar e avaliar empresas que no possuem nenhum processo formal
para entrega de servios de TI. Que problemas essas empresas esto enfrentando? Elas esto tentando melhorar? Como?

146 Governana: Gesto, Auditoria e Tecnologia da Informao

5
AULA

Atividade online
C
Como
implementar os processos de entrega de servios em uma empresa? V 6
sala de aula virtual e resolva a atividade proposta pelo tutor. O objetivo da atividade
determinar como os processos de entrega de servios poderiam ser implementados
na sua empresa. Lembre-se de que, embora a implementao dependa de vrios fatores, as principais funes de cada um dos cinco processos de entrega de servios de TI
devero ser garantidas.

RESUMO

Os processos de entrega de servios de TI so: gerenciamento de nvel de servio,


gerenciamento da capacidade, gerenciamento da disponibilidade, gerenciamento
da continuidade e gerenciamento financeiro da TI.
mais adequado dizer que os processos de entrega de servios de TI possuem um foco
maior em atividades tticas e no que eles so essencialmente processos tticos.
O gerenciamento de nvel de servio define quais so os servios prestados pela TI
atravs do catlogo de servios.
O gerenciamento de nvel de servio define quais so os requisitos para os servios
prestados pela TI por meio dos requisitos de servio.
O gerenciamento da capacidade determina a capacidade do provedor de TI para
oferecer os servios do catlogo de servios, de acordo com os requisitos de servio
estabelecidos pelos usurios.
O gerenciamento da disponibilidade determina ndices como TMEF, TMEI e TMPR
para os servios prestados pela TI.
O gerenciamento da continuidade se preocupa com questes que podem afetar de
uma vez s vrios servios da TI, fazendo com que a empresa possa ter que fechar
as portas por no conseguir reagir em tempo hbil.
O gerenciamento financeiro procura determinar os custos da operao da TI e
recuperar esses custos atravs da cobrana pelos servios. Essa cobrana pode ser
real ou nocional.

CEC I E R J E X T E N S O E M G O V E R N A N A

147

Governana em Tecnologia da Informao

| A entrega de servios de TI na ITIL v2

Informaes sobre a prxima aula


Na prxima aula vamos continuar falando da ITIL, porm,
iremos tratar da nova verso da biblioteca: a verso 3,
publicada em 2007! Especificamente nessa aula, alm de
apresentar os principais conceitos relacionados nova filosofia
de abordagem presente na ITIL v3, tambm estudaremos
os processos de estratgia de servios de TI e de desenho de
servios de TI.
Aproveite os conhecimentos adquiridos at aqui e at a
prxima aula!

Atividades Finais
1) Uma organizao deseja passar a utilizar funcionalidades de videoconferncia e
telepresena em sua rede local. Alguns analistas informam que, em decorrncia do
volume de dados, ser necessrio realizar um upgrade da largura de banda da rede.
Qual processo responsvel pela aprovao do aumento na largura de banda?
a. Gerenciamento de problema.
b. Gerenciamento de disponibilidade.
c. Gerenciamento de mudana.
d. Gerenciamento de capacidade.
2) Qual das opes NO elemento do gerenciamento da disponibilidade?
a. Tempo mdio entre falhas.
b. Confiabilidade.
c. Confidencialidade.
d. Sustentabilidade.
3) Qual das opes NO elemento do gerenciamento financeiro da TI?
a. Oramentao.
b. Contabilizao.
c. Cobrana.
d. Negociao.

148 Governana: Gesto, Auditoria e Tecnologia da Informao

5
AULA

4) Qual dos seguintes termos NO est associado sustentabilidade?


a. Maior redundncia de plataforma.
b. Menor nmero de falhas.
c. Maior robustez do hardware.
d. Menor tempo para recuperao.
5) (Analista do MPE-SE FCC/2009) Um dos objetivos do processo de Gerenciamento
de Continuidade dos Servios de TI estabelecidos no ITIL
a. prever a necessidade de recursos adicionais de TI com antecedncia.
b. identificar e remover erros do ambiente de TI.
c. estabelecer procedimentos de avaliao de impacto das mudanas.
d. planejar as medidas a serem tomadas em caso de contingncia.
e. restaurar a operao normal dos servios de forma gil.
6) possvel ter problemas de disponibilidade por falta de capacidade? Explique em que
o gerenciamento da disponibilidade diferente do gerenciamento da capacidade.
7) (Analista de Sistemas do CEHAP-PB CESPE/2009) Com relao ao modelo ITIL, assinale a opo correta.
a. Para gerenciar incidentes, necessrio que os problemas sejam registrados de
modo que seja possvel identificar suas causas e projetar tendncias.
b. O gerenciamento de nveis de servio envolve avaliar o impacto das mudanas,
apenas depois de implementadas, sobre a qualidade dos servios e os acordos de
nveis de servio (SLA ).
c. H uma inter-relao entre os processos de gerenciamento de problemas, incidentes
e mudana e as funes de um service desk.
d. O gerenciamento de mudanas envolve a aquisio de informaes sobre todos
os componentes de infraestrutura e o gerenciamento de nveis de servio necessita
identificar a associao entre componentes que auxiliam a entregar o servio para
manter acordos de nveis de servio bem fundamentados.
8) (Analista de Controle Interno SAD-PE FGV/2009) No ITIL, um processo responsvel
pela validao dos planos de contigncia e recuperao dos servios de TI aps a ocorrncia
de acidentes. Nessa atividade, esse processo no trata apenas de medidas reativas, mas
tambm de medidas proativas decorrentes de aes de mitigao dos riscos de ocorrncia
de um desastre em primeira instncia. O processo descrito acima denominado:
a. Gerenciamento de Falhas.
b. Gerenciamento de Incidentes.
c. Gerenciamento de Problemas.
d. Gerenciamento da Continuidade dos Servios de TI.
e. Gerenciamento da Disponibilidade dos Servios de TI.

CEC I E R J E X T E N S O E M G O V E R N A N A

149

Governana em Tecnologia da Informao

| A entrega de servios de TI na ITIL v2

Respostas
1. Alternativa c. Normalmente todos os processos interagem entre si em vrias
situaes, inclusive neste caso. Porm o processo responsvel pela aprovao da
mudana o gerenciamento de mudana.
2. Alternativa c. Confidencialidade um conceito do processo de gerenciamento
da segurana, que tratado em outro livro da ITIL v2.
3. Alternativa d. Negociao no um conceito do gerenciamento financeiro.
4. Alternativa b. Um servio sustentvel quando ele resistente (ou resiliente).
Esse conceito est relacionado ao fato de que um servio consegue continuar
operando mesmo que alguns de seus componentes falhem, ou, caso ele seja interrompido, suas caractersticas permitem que ele seja restabelecido rapidamente. O
menor nmero de falhas no quer dizer necessariamente que o servio seja mais
sustentvel (ele pode falhar muito, mas, dependendo da redundncia, o usurio
nem notar as falhas).
5. Alternativa d. Restaurar a operao normal de forma gil no um objetivo do
gerenciamento da continuidade. As outras alternativas se referem a outros processos.
6. Ambos os conceitos esto diretamente ligados, e a falta de capacidade pode
obviamente gerar indisponibilidade. Porm, os conceitos so diferentes e os processos
que lidam com ambos tambm o so. Ambos os processos lidam com demandas
do usurio por mais recursos (maior disponibilidade ou maior capacidade). Ambos
precisam avaliar o custo-benefcio para atender s demandas. Podemos ter o gerenciamento da capacidade identificando a necessidade real de aquisio de novos servidores (troca) e o gerenciamento da disponibilidade no recomendando a aquisio
de servidores a mais (redundncia). Afinal, pode estar claro para a empresa que os
servidores antigos no suportam mais os novos servios ( necessrio trocar); mas,
por outro lado, pode estar claro que a demanda por disponibilidade 24/7 (24 horas
por dia, sete dias por semana) no justificada pelas caractersticas do provedor de
TI (se falhar, o suporte tomar as medidas cabveis). Por exemplo, uma empresa de
varejo que atende ao pblico fisicamente (apenas) em suas lojas de departamentos
e s funciona de segunda a sexta em horrio comercial no precisa de disponibilidade
24/7 (mas precisa de alta disponibilidade durante o horrio comercial).
7. Alternativa c. As outras alternativas misturam conceitos de dois ou mais processos
sempre de maneira incorreta.
8. Alternativa d. Decorre diretamente da teoria sobre o processo de gerenciamento
da continuidade.

150 Governana: Gesto, Auditoria e Tecnologia da Informao

AULA

ITIL v3 evoluo focada no


ciclo de vida do servio de TI
parte 1

Meta da aula

objetivos

Explicar ITIL v3 e suas diferenas

com relao ITIL v2.

Ao final desta aula, voc dever ser capaz de:


1

reconhecer as diferenas entre a ITIL v3 e a ITIL v2;

explicar os processos do livro Estratgia de servios de TI (Service


strategy) na ITIL v3;

explicar os processos do livro Melhoria contnua de servios de TI


(Continual service improvement) na ITIL v3.

Pr-requisito
pr-requisito para esta aula ter atingido os objetivos
das cinco primeiras aulas do curso que tratam do Planejamento Estratgico, da Governana em TI, da evolu
o da ITIL e dos livros de entrega

e suporte da ITIL v2.

Governana em Tecnologia da Informao

| ITIL v3 evoluo focada no ciclo de vida do servio de TI parte 1

INTRODUO

Vrias vezes neste curso ns discutimos o conceito de


melhoria contnua. Voc sabia que o conceito central da

ITIL v3 a ideia da melhoria contnua dos servios? Bem,


vamos ver nesta aula como isso foi implementado nos livros
dessa nova verso.

Voc sabe qual a principal diferena entre a ITIL v2 e a ITIL v3? a abordagem baseada no servio prestado pelo provedor de TI e no seu ciclo de vida!
Nessa nova abordagem os processos foram agrupados de forma mais interdependente e de acordo com o ciclo de vida do servio. Na verso de 2000, os
processos podiam ser estudados de forma relativamente independente um do
outro, o que gerava alguns erros de interpretao dos objetivos principais do
gerenciamento de servios de TI. Vamos tratar dessas questes nesta aula.

Quando falamos que a ITIL v2 a verso mais antiga da


ITIL, no estamos necessariamente dizendo que ela est ultrapassada.
A verso 2 da ITIL continua firme e forte e, apesar da promessa de
que a verso 3 a substituiria at o final de 2008, ainda hoje (estamos
terminando o ano de 2009) possvel realizar a prova de certificao em
ambas as verses e vrios projetos comeam pela ITIL v2 ignorando
a ITIL v3. Porm, como veremos adiante, isso no necessariamente
um problema.

152 Governana: Gesto, Auditoria e Tecnologia da Informao

6
AULA

Figura 6.1: Ciclo de vida do servio versus livros da ITIL v3.

Recentemente a EXIN, uma das empresas homologadas pelo ITSMF res


ponsvel pelos exames da ITIL v2 em todo o mundo, anunciou que a
extino dos exames e de qualquer tipo de produto nesta verso, em
todos os idiomas, est marcada apenas para 30 de junho de 2011! Voc
pode obter mais informaes acessando o link: http://www.exin-exams.
com/content/news/ogc-announces-timeline-for-withdrawal-of-itil-v2.aspx.
Esse site foi acessado em 30 de dezembro de 2009.

Voc talvez pense que o fato de haver duas verses em uso de um


mesmo conjunto de boas prticas torna o seu estudo muito confuso.
Na realidade isso no acontece. Ns vamos ver nas prximas duas aulas
que praticamente todo o contedo da ITIL v2 aparece na ITIL v3, e
que esta nova verso, por sua vez, possui mais melhorias no que diz respeito filosofia de abordagem do que no que diz respeito ao contedo
propriamente dito. Obviamente, o contedo da verso 2 foi revisado,
o que era o mnimo que se esperava aps sete anos de evoluo da verso 2,
publicada em 2000, para a verso 3, publicada em 2007.

CEC I E R J E X T E N S O E M G O V E R N A N A

153

Governana em Tecnologia da Informao

| ITIL v3 evoluo focada no ciclo de vida do servio de TI parte 1

COMPARAES ENTRE A ITIL V2 E A ITIL V3


Antes de comearmos a discutir o contedo da ITIL v3
propriamente dita, vamos tratar rapidamente das principais semelhanas
e diferenas entre estas duas verses: a ITIL v2 e a ITIL v3.
Em primeiro lugar, uma diferena bvia o fato de que a ITIL
v2 possui sete livros e a ITIL v3 possui cinco livros. Voc deve estar
pensando: Grande diferena! Desde quando a quantidade de livros tem
a ver com a qualidade do seu contedo? Ora, sabemos que no tem
mesmo. Porm, nesse caso, tal fato que em princpio seria irrelevante,
nos remete a duas consideraes importantssimas:
O nmero de livros da verso 3 (cinco) foi definido estrategicamente para que cada um dos livros representasse um dos cinco
estgios do ciclo de vida do servio: (i) definio das estratgias
de servio; (ii) desenho e planejamento do servio; (iii) transio e liberao do servio; (iv) gerenciamento da operao do
servio; (v) melhoria contnua do servio.
Ao contrrio do que aconteceu com a ITIL v2, os livros da
ITIL v3 foram feitos para serem interdependentes. Embora
esse pensamento sempre tenha existido, a forma com que os
livros foram escritos na verso de 2000 no contribua para isso
e prticas indispensveis para os projetos na ITIL v2 foram
deixadas de lado (o que causou o insucesso de vrios deles).
Voc deve se lembrar que nas aulas em que estudamos a ITIL
v2 apenas dois de seus sete livros foram estudados. Estudar
apenas os livros Entrega de servios de TI e Suporte a servios
de TI, deixando de lado os outros livros da ITIL v2, se tornou
uma prtica de praxe adotada em todo o mundo.
Voc deve estar tentando relembrar quais eram os outros cinco
livros e de que eles tratavam exatamente. Pois bem, a prxima seo
discutir esses livros. Vamos no s relembrar quais eram os outros
cinco dos sete livros da ITIL v2, mas tambm explicar alguns conceitos
importantes que ainda no foram vistos e que serviro de base para voc
entender como a ITIL v3 foi desenvolvida.
Adiantando, alm dos livros com processos de entrega e processos
de suporte, os outros cinco livros da verso 2 eram: Gerenciamento da

154 Governana: Gesto, Auditoria e Tecnologia da Informao

infraestrutura de TI e comunicaes (Information and communication

AULA

technology infrastructure management), Gerenciamento da segurana


(Security management), Perspectiva do negcio (The business perspective), Gerenciamento de aplicaes (Application management ) e Planejamento para a implementao do gerenciamento de servios (Planning
to implement service management).

OS OUTROS CINCO LIVROS DA ITIL V2


Gererenciamento da infraestrutura de TIC (ICT infrastructure
management)
Como a ITIL nasceu na Europa (especificamente na Inglaterra),
ela tratava TI e telecomunicaes como duas coisas distintas o que,
no final da dcada de 1990, j no fazia mais tanto sentido. O livro
Gerenciamento da infraestrutura de TIC tratava de tudo o que tinha
a ver com o gerenciamento de servios relacionados s comunicaes,
ou seja, que no estivesse dentro do contexto da TI. Como j tivemos a
oportunidade de discutir, com a chamada convergncia digital, est cada
vez mais difcil se fazer tal distino. De qualquer modo, no precisamos
nos aprofundar tanto nessa discusso semntica. Vale ressaltar que hoje
existe um padro denominado eTOM que se enquadra melhor no contexto do gerenciamento de servios no setor de telefonia e comunicaes
mveis. Vamos falar um pouco desse padro em nossa ltima aula. Vale
lembrar ainda que a ITIL v3 no utiliza mais essa terminologia e no
possui mais esse livro.

eTOM
um acrnimo para
mapa avanado de
operaes de telecomunicaes (em
ingls, Enhanced
Telecom Operations
Map). Ele um
padro criado por
empresas do setor de
Telecomunicaes
(fabricantes e operadoras de telefonia)
que define processos
para a prestao de
servios nessa rea.
Podemos dizer que
o eTOM est para o
setor de Telecomunicaes assim como
a ITIL est para o
setor de Tecnologia
da Informao. Voc
pode obter maiores
informaes sobre
o eTOM em http://
www.tmforum.org.
Esse site foi acessado
em 30 de dezembro
de 2009.

O que a chamada convergncia digital? Embora no haja uma definio formal para tal
expresso, existem alguns consensos. Um deles relacionado ao fato de que a convergncia
digital define o fenmeno da convergncia de mdias e meios de acesso informao digital.
Convergncia de meios a partir do momento que cada vez mais simples estar conectado
a partir de qualquer lugar e a todo momento. Isso pode acontecer atravs dos acessos
tradicionais (discado, linha privada, via cabo etc.), atravs da rede celular 3G, via satlite,
via redes WiFi e WiMax ou mesmo via rede de energia eltrica, haja vista que o padro PLC
(Power Line Communication) foi recentemente homologado no Brasil. A convergncia de
mdias acontece quando a informao em si passa a ser gerada por todos (mquinas digitais, filmadoras etc.) e compartilhada por todos atravs das redes sociais (Twiter, Facebook,
You tube, etc.) e outras ferramentas colaborativas (blogs, Emule, Kazaa etc.).

CEC I E R J E X T E N S O E M G O V E R N A N A

155

Governana em Tecnologia da Informao

| ITIL v3 evoluo focada no ciclo de vida do servio de TI parte 1

Gerenciamento da segurana (Security management)


Segurana da informao? isso mesmo. A ITIL tambm falava
desse assunto desde a verso 2! Mas, quem um dia chegou a estudar
segurana da informao por esse livro? Quase ningum. Costuma-se
dizer que essa uma das reas em que a ITIL pouco contribuiu com algo
novo, uma vez que j existiam vrios padres, normas etc., escritos sobre
o assunto. Desse modo, qual foi a abordagem na ITIL v3 com relao ao
tema? Ora, agora o assunto Gerenciamento da segurana deixou de ser
estudado em um livro inteiro da ITIL para ser um processo dentro do
livro Desenho do servio. Pareceu ser bem mais adequado deixar claro
que obviamente a segurana faz parte do contexto Gerenciamento
de servio de TI, mas que a ITIL v3 no possui a pretenso de esgotar
o assunto em um livro inteiro (deixando isso para normas como a ISO
27000, por exemplo).

Perspectiva do Negcio (The business perspective)


Lembra-se do ttulo deste curso? Lembra-se de tudo o que falamos a respeito nas duas primeiras aulas? Pois bem. A ITIL sempre quis
tornar o pensamento da Governana em TI uma realidade em nossa
rea. Porm, pelos motivos que j discutimos, esse foi um dos livros que
mais rapidamente foram esquecidos. No era raro ouvir (e ainda no )
muitas pessoas dizerem: Ah, este livro da ITIL v2 mais indicado para
os diretores, presidentes e CIOs das empresas. Os livros importantes
mesmo so os livros Entrega de servios de TI e Suporte a servios de
TI. Enfim, nunca demais repetir aquilo que o nosso mantra nesse
curso: o profissional de TI precisa, cada vez mais, estar ciente de que
ele presta um servio e todo servio deve agregar valor ao negcio.
A despeito de sua funo na empresa (seja
ela mais operacional, ttica ou estratgica),
preciso que ele construa uma viso sistmica, ou seja, que entenda as diversas perspectivas sob as quais o servio concebido,
prestado e usado. Esse era o objetivo do
livro Perspectiva do negcio quando ele foi
escrito. Alm disso, este livro tambm tratava
de questes como parcerias e terceirizaes
Figura 6.2: Estratgias de negcio.
Fonte: http://img.efetividade.net/img/

156 Governana: Gesto, Auditoria e Tecnologia da Informao

(outsourcing, body shop etc.).

6
AULA

Voc sabe a diferena entre body shop e outsourcing? Outsourcing, como sabemos,
sinnimo de terceirizao. A prtica de body shop no recente e hoje o mercado utiliza uma expresso especfica para essa prtica. Trata-se da situao em que profissionais
so alocados no cliente e so gerenciados por ele em projetos ou operaes do dia a dia.
A rigor, contratado um nmero especfico de horas de um profissional com um determinado perfil, mas o escopo do trabalho em que ele estar envolvido no definido a
priori. Essa prtica facilita a contratao de mo de obra sem que o escopo do trabalho
seja conhecido antecipadamente (como nas contrataes a preo fixo) e tambm elimina
do contratante o compromisso de longo prazo e encargos sociais de uma contratao em
regime CLT. Vale ressaltar que, nesse caso, h uma relao contratual entre as duas empresas
e que o profissional alocado dever possuir um vnculo empregatcio com uma delas (a que
fornecedora de profissionais em regime body shop).

Gerenciamento da aplicao (Application management)


Note que este contedo estava muito prximo do contedo
de alguns livros que tratam de engenharia de software, especificao de
requisitos, gerenciamento de projetos de software, aquisio de aplicaes de software, implantao e integrao de sistemas. Novamente,
no foi nesse livro que tais informaes passaram a ser conhecidas pelo
mundo. Muita coisa j havia sido escrita sobre o tema de forma bem
mais aprofundada. De maneira semelhante ao que aconteceu com o livro
Gerenciamento da segurana, o livro Gerenciamento da aplicao foi
transformado em processos (mais de um, nesse caso) diludos no livro

Transio do servio da ITIL v3.

Planejamento para a implementao do gerenciamento de


servio (Planning to implement service management)
Questes como recursos necessrios, alinhamento dos servios de
TI com as metas de negcio, abordagem escolhida para a implementao
dos processos, eram tratadas nesse livro. Qual a melhor forma de se
conduzir o esforo para a criao ou melhoria de processos de TI com

base na ITIL ? Um bom caminho conduzir esse esforo na forma de


um projeto, ou seja, com datas (incio, meio, fim e principais marcos),
definio de escopo, linha de base para o oramento etc. Esse livro,
no fundo, pensava em tratar desse assunto, mas, para isso, j tnhamos

na poca o PMBOK (ainda na segunda verso) que evolui muito no

que diz respeito a essas questes. Hoje o Guia PMBOK est na sua

CEC I E R J E X T E N S O E M G O V E R N A N A

157

Governana em Tecnologia da Informao

| ITIL v3 evoluo focada no ciclo de vida do servio de TI parte 1

verso 4 (publicada em dezembro de 2008) e mais do que o suficiente


para lidar com tais questes. Enfim, foi mais um livro que acrescentou
pouco com relao a outros conjuntos de boas prticas que j tratavam
do mesmo tema.
Alm dos sete livros centrais, a ITIL v2 ainda possua livros
secundrios que tratavam de questes especficas sobre um determinado
setor ou sobre assuntos que, aps os lanamentos dos livros centrais,
precisaram ser melhor esclarecidos em uma nova publicao. Mas como?
A ITIL v2 no possua sete livros ento? No, ela possua sete livros
principais (core) e vrios outros secundrios ou auxiliares. Lembre-se
de que estamos falando de uma biblioteca de livros!
Um exemplo de livro complementar da ITIL v2 era o livro intitulado Gerenciamento de ativos de software (Software asset management).
Esse livro tratava da aquisio, distribuio e uso de software na organizao controlando verses, licenas e outras questes primordiais. Outro
exemplo o livro intitulado Implementao da ITIL em pequena escala
(ITIL small-scale implementation). Esse livro tratava da implementao da ITIL em empresas de pequeno porte e esclarece vrias dvidas
sobre a filosofia e objetivos mais importantes da ITIL v2. Por exemplo,
era comum ouvir em ambientes pequenos de TI a ideia de que a ITIL no
se adequava bem a contextos de pequeno porte, pois exigia implementaes que dependiam de softwares carssimos e de muito investimento em
pessoal. Na verdade, no bem por a e o que faltava nesses casos era
uma interpretao adequada da filosofia do gerenciamento de servios
de TI. Os objetivos a serem alcanados deviam ser sempre os mesmos
em todas as empresas. Porm, a forma de se atingir tais objetivos podia
(e devia) variar de organizao para organizao no s dependendo do
seu porte, mas tambm de vrios outros fatores.
Note que agora sim temos uma viso relativamente ampla do
que realmente era a verso 2 da ITIL publicada em 2000. Desse modo,
ns finalmente podemos iniciar a nossa discusso sobre os livros da ITIL
v3 publicados em 2007.

158 Governana: Gesto, Auditoria e Tecnologia da Informao

Caso uma empresa precise iniciar hoje um projeto de criao ou de melhoria de

AULA

Atividade

processos para a rea de TI, qual verso da ITIL deve ser escolhida? Justifique sua
resposta com base nas diferenas entre as verses vistas nessa aula.

Resposta
O fato que, neste momento, no existe uma resposta absoluta e vlida em
todos os casos. Embora a ITIL v3 v substituir a ITIL v2 em um futuro prximo,
as empresas nada perdem em iniciar o projeto pela verso 2. Isso porque o
contedo no mudou muito de uma verso para a outra. Porm, a forma de
apresentao dos processos na verso 3 faz com que a filosofia da ITIL fique
clara desde o incio da explicao dos processos. E a sim, no entender a filosofia central por trs da ITIL um erro grave e perigosssimo (independentemente
da verso escolhida). Quantos profissionais j tiveram contato com a verso 2?
E com a verso 3? Quantos ativos (livros, documentos, informaes, conhecimento
etc.) a empresa possui que podem auxili-la na escolha? Enfim , caso nada direcione
a empresa para uma verso, o aconselhvel obviamente manter todos os
esforos voltados para a verso mais recente, haja vista que ela uma verso atualizada e reflete as filosofias de outros modelos de boas prticas, normas e padres
de governana mais modernos.

O LIVRO ESTRATGIA DO SERVIO (SERVICE STRATEGY)


Este livro da ITIL v3 possui um forte apelo para o pensamento
estratgico. O livro est no centro do ciclo de vida dos servios para
deixar clara a ideia da necessidade de alinhamento estratgico que deve
orientar todo o investimento feito pelo provedor de TI no provimento
de servios aos usurios. Alguns tpicos-chave tratados nesse livro so
a definio do custo e do valor agregado do servio (earned value),
a necessidade de descrio de casos de negcio para cada servio (business
case) e a definio de ativos de servio (service assets).
CEC I E R J E X T E N S O E M G O V E R N A N A

159

Governana em Tecnologia da Informao

| ITIL v3 evoluo focada no ciclo de vida do servio de TI parte 1

Esse livro possui trs processos que discutiremos nesta


aula, a saber:
Gerenciamento Financeiro.
Gerenciamento do Portflio.
Gerenciamento da Demanda.
Observe que tanto esse livro quanto o livro
Melhoria contnua do servio deixam clara a ideia de
que a adoo de processos para o provimento de servios de TI sempre deve acontecer visando Governana
em TI. Isso significa que o pensamento da organizao
deve estar voltado tanto para a eficincia quanto
para a eficcia e, alm disso, que deve ser garantido o
alinhamento estratgico de todos os servios de TI com
Figura 6.3: Maximizao do retorno.
Fonte: http://www.penn-olson.com/wp-content/
uploads/2009/09/roi1.jpg

relao ao prprio negcio da empresa.


Ns poderamos, para efeito de melhor enten-

dimento desses dois livros (foco maior dessa aula), dizer que o livro Estratgia do servio voltado para a ideia do alinhamento estratgico e que o
livro Melhoria contnua do servio voltado para a ideia de eficincia e da
eficcia. Voc se lembra destes trs conceitos? Ns os estudamos nas duas
primeiras aulas.
Observe que um conceito novo que aparece nos processos de estratgia do servio o SLP, sigla em ingls para Pacote de Nvel de Servio
(Service Level Package). Os SLPs renem os requisitos estratgicos de um
servio. Esse pacote contm principalmente as necessidades de negcio
(metas e objetivos) que sero atendidas pelo servio descritas ainda em
um nvel macro, ou seja, menos detalhado. Os SLPs so gerados atravs
da execuo dos processos do livro Estratgia do Servio.

Gerenciamento Financeiro
Lembra-se do processo Gerenciamento Financeiro do livro Entrega
de Servios da ITIL v2? Pois bem, aqui est ele de novo. Esse processo
visa a gerenciar o ciclo financeiro de todo o portflio de servios de TI
de forma a garantir a sua sustentao econmica. Permanecem como
objetivos principais desse processo a oramentao dos servios levando em considerao o custo de todos os ativos envolvidos na prestao
do servio, a definio de uma estrutura de agregao dos custos a ser

160 Governana: Gesto, Auditoria e Tecnologia da Informao

adotadas na organizao.
Na verso 3 da ITIL o ROI (Return Over Investiment) recebe
uma ateno especial, pois ele precisa representar com a maior fidelidade
possvel a relao entre os custos envolvidos na prestao dos servios e
o valor que cada servio agrega ao negcio.

Gerenciamento do Portflio
Este um processo novo nesta verso. Pelo menos no era um
dos processos tradicionalmente estudados nos livros Entrega de servios de TI e Suporte a servios de TI. Ele procura responder a questes
como: quais so os servios que devem fazer parte da lista de servios
prestados pela TI no curto, mdio e longo prazo? Quais servios devem
ser otimizados? quais devem ser interrompidos?
Esse processo formaliza a definio, a anlise, a aprovao e a
oficializao de novos servios. Na prxima aula iremos explicar os
processos Gerenciamento do catlogo de servios e Gerenciamento do
nvel de servio. Nessa ocasio voc ir notar que esses dois processos
esto muito ligados ao Gerenciamento do portflio. Porm, guarde desde
j o conceito de que a perspectiva aqui mais estratgica e a perspectiva
l ser mais ttico-operacional.
Por conta disso, a ITIL v3 cita duas categorias de servio:

Servios de negcio
So aqueles definidos diretamente pelo negcio. Por exemplo,
a implantao de servios de vdeo conferncia para diminuir
custos com passagem area tendo em vista a restrio oramentria ocasionada por uma crise que afetou a demanda pelos
produtos da empresa.

Servios de TI
So aqueles definidos para atender a demandas dos usurios.
Por exemplo, o suporte aos usurios de uma sesso de vdeo
conferncia para o seu estabelecimento, manuteno e encerramento.

sigla de Retorno
Sobre Investimento
(em ingls, Return
Over Investment).
Embora tambm
existam vrias
definies, o fato
que no existe uma
formalizao aceita
em todas as reas
para o que seja ROI.
De qualquer modo,
a ideia bsica
obviamente simples.
Trata-se do retorno
que a empresa obtm
para o investimento
que ela faz em algo.
Muitos procuram
definir uma frmula
para computar os
custos e os retornos
com projetos ou operaes na empresa.
Alguns custos vm
na forma de aquisies de hardware e
software, depreciao de equipamentos
e instalaes, pagamento de pessoal e
servios terceiros,
encargos e impostos,
premiaes, prejuzo
imagem e marca
etc. Alguns retornos
aparecem na forma
de aumento nas
receitas, valorizao
da imagem, aquisio de conhecimentos, habilidades e
competncias (know
how) etc. Uma regra
geral que, em qualquer setor, o ROI
deve considerar custos tangveis e custos
intangveis.
A chamada maximizao do ROI
significa aumentar o
retorno obtido sem,
necessariamente,
aumentar o
investimento.

Note que a diferena bem sutil, mas, em alguns casos, pode


ser necessrio empresa o gerenciamento desses dois tipos de servio
de forma isolada. Na verdade, a partir dos servios definidos atravs
CEC I E R J E X T E N S O E M G O V E R N A N A

161

ROI

AULA

adotada para a sua contabilizao e as formas de cobrana a serem

Governana em Tecnologia da Informao

| ITIL v3 evoluo focada no ciclo de vida do servio de TI parte 1

do Gerenciamento do portflio que o Catlogo de servios ser gerado


dentro do processo de Gerenciamento do catlogo de servios.

Gerenciamento da demanda
Lembra-se de que, quando estudamos o Gerenciamento da capacidade, ns dividimos aquele processo em trs subprocessos? Um desses
subprocessos era o Gerenciamento da demanda, pois na ITIL v3 este
subprocesso se tornou um processo isolado.
A ideia aqui exatamente a mesma: gerenciar o ciclo de produo dos servios e o ciclo de demanda por servios a fim de garantir um
equilbrio entre ambos, o que extremamente necessrio para sustentar
o negcio.
A tcnica principal a mesma: combinar pacotes de servios customizados, cujas funcionalidades sejam adequadas a perfis diferenciados
de usurios ou a atividades especficas de negcio. Uma forma de regular
oferta e demanda, como vimos, a cobrana diferenciada quando a
demanda supera a oferta.
Por exemplo, cobrar mais para os diretores que necessitem de
suporte 24 horas por dia, sete dias por semana. A moral da histria que,
se algum diretor necessita desse tipo de servio, os resultados que ele deve
gerar por usar tais servios devem superar os custos da sua prestao
diferenciada. Trocando em midos, se o custo de manter um suporte
24 horas no justificado por mais negcios fechados pelo diretor em
questo, melhor no prestar tal suporte e solicitar ao diretor que trabalhe apenas em horrio comercial, j que as suas horas extras no tm
necessariamente gerado maior receita para a empresa.

O LIVRO MELHORIA CONTNUA DO SERVIO (CONTINUAL


SERVICE IMPROVEMENT)
Este livro contm a base filosfica da melhoria contnua que um
conceito sobre o qual todos os processos de todos os livros da ITIL se
sustentam (inclusive os prprios processos de melhoria contnua).
A melhoria contnua reside no fato de que, sob as mesmas condies, a TI procura oferecer um servio cada vez melhor (eficincia
operacional) e, sob condies diferentes, a TI procura adaptar a prestao do servio nova realidade, quer ela seja melhor, quer ela seja pior

162 Governana: Gesto, Auditoria e Tecnologia da Informao

(eficcia estratgica). Enfim, independentemente do

AULA

contexto, a TI precisa se esforar para fornecer o


suporte necessrio a todos os processos de negcio
da empresa a um custo que possa ser suportado
pelo negcio.
Para tanto, preciso definir o que precisa
ser medido na forma de indicadores, estabelecer
formato e periodicidade de relatrios, planejar as
operaes e projetos de TI de curto, mdio e longo
prazos, definir papis e responsabilidades, ou seja,

Figura 6.4: Relatrio corporativo.


Fonte: http://www.programaslivres.net/blog/wp-content/
uploads/2007/05/re

em resumo, a melhoria contnua precisa acontecer


na forma de processos, isto , com entradas, sadas e atividades bem
definidas.
Este livro possui dois processos que discutiremos nesta aula,
a saber:
Relatrio do servio.
Medio do servio.

Relatrio do servio
No se pode melhorar o que no se pode medir e, obviamente,
voc no mede algo de que voc no toma conhecimento. Os relatrios
cumprem o papel de levar ao conhecimento dos interessados informaes
relevantes sobre os servios prestados pela TI.
A empresa deve estabelecer padres de relatrios assim como a
sua periodicidade para cada servio.

Medio do servio
O gerenciamento parte do princpio de que a medio ser realizada. Os resultados das medies devem, na medida do possvel, refletir
quantitativamente os benefcios para a organizao. Somente assim as
decises sobre a manuteno ou no de um servio, ou mesmo a sua
melhoria, podero ser tomadas com o embasamento desejado.

CEC I E R J E X T E N S O E M G O V E R N A N A

163

Governana em Tecnologia da Informao

| ITIL v3 evoluo focada no ciclo de vida do servio de TI parte 1

Identificar

1. Definir o que voc


deveria medir.

Viso.
Estratgia.
Objetivos Tticos.
Objetivos Operacionais.

2. Definir o que voc


pode medir.

7. Implementar
aes corretivas.

Metas
3. Coleta de dados:
Quem? Como? Onde?
Integridade dos dados?

6. Apresentar e usar a informao, sumrio de avaliao


aes de planejamento.

5. Anlise dos dados:


Relaes? Tendncias?
De acordo com plano?
Alvos conhecidos?
Aes corretivas?

4. Processamento de dados:
Frequncia? Formato?
Sistema? Preciso?

Figura 6.5: Melhoria contnua em sete passos.

A Figura 6.5 acima apresenta um esquema simplificado baseado


no que foi proposto pela ITIL v3 para a execuo dos processos de
melhoria contnua em sete passos.
Terminamos ressaltando que a melhoria dos servios consomem
recursos que, como sabemos, normalmente so quantificados com relativa simplicidade (somando o dinheiro que saiu do bolso do cliente).
Na verdade, a quantificao dos custos do servio no to simples,
pois deveriam entrar no clculo os custos diretos e os custos indiretos
envolvidos. Por isso a ITIL define um processo s para isso (o de gerenciamento financeiro). Por outro lado, nem sempre os benefcios obtidos
so tangveis e facilmente quantificveis. Isso leva geralmente a uma
sensao de retorno abaixo do esperado, o que pode no condizer com
a realidade dos fatos. Sendo mais claro, embora o cliente sempre tenha
em mente um valor mirabolante para os custos dos servios prestados
pela TI (pois algo sentido em seu bolso), ele geralmente no possui um
valor muito claro e bem definido para o retorno obtido pela prestao
de cada servio.

164 Governana: Gesto, Auditoria e Tecnologia da Informao

Por outro lado absolutamente nenhuma empresa aceita existir

AULA

sem comunicar o fato de que ela d a devida importncia melhoria


contnua em tudo o que ela faz (embora isso nem sempre seja verdade...).
Voc deve notar que, antes de tudo, preciso haver um equilbrio fundamental entre os processos de estratgia do servio (portflio, financeiro
e demanda) e de melhoria contnua (relatrio e medio) para que haja
a manuteno da relao custo-benefcio desejada. o resultado dessa
combinao que chamamos de alinhamento estratgico.

Atividade

Explique como os processos do livro Estratgia de servios se integram no


ciclo de vida dos servios de TI.

Resposta
Dentro do ciclo de vida do servio duas etapas so estratgicas: a prpria estratgia
que escolhe o que importante de acordo com os objetivos e metas de negcio e
a melhoria contnua que garante a eficincia e a eficcia. Ou seja, os servios escolhidos pelos processos de estratgia do servio de TI so especificados, entregues e
gerenciados pelos outros processos da ITIL v3. Uma vez em operao, os processos
de melhoria contnua garantem a melhoria na forma com que os servios so prestados. Seus processos interagem com os processos de estratgia a fim de identificar
pontos de melhoria nos servios em operao (eficincia), novos servios que so
necessrios ou at mesmo servios que so desnecessrios (eficcia). Perceba que
a eficcia est intimamente ligada ao alinhamento estratgico.

CEC I E R J E X T E N S O E M G O V E R N A N A

165

Governana em Tecnologia da Informao

| ITIL v3 evoluo focada no ciclo de vida do servio de TI parte 1

CONCLUSO
Voc aprendeu nesta aula que a ITIL v3 evoluiu para tornar mais
clara a ideia de que todo profissional de TI precisa ter uma viso estratgica do servio que ele presta, do usurio para o qual o servio prestado
e do cliente que fornece os recursos para que o servio seja prestado.
A ITIL v3 fortalece esse vnculo apresentando os seus livros de forma
intimamente ligada ao ciclo de vida do servio que abrange, inclusive,
o conceito de melhoria contnua na sua prestao.
A ITIL v3 ir substituir totalmente a ITIL v2? Sim. Talvez esteja
demorando um pouco mais que o esperado em virtude da reatividade
natural com relao mudana. Esperamos que voc tenha percebido que
a reatividade , de certa forma, injustificada uma vez que o contedo da
ITIL v2 e da ITIL v3 se equivalem. Apenas a nova abordagem escolhida
se tornou mais fortemente ligada filosofia que a ITIL sempre teve.
Em outras palavras, a empresa que comeou pela ITIL v2 entendendo a sua filosofia central (foco na prestao do servio para o usurio
de acordo com as estratgicas organizacionais) no ter absolutamente
nenhuma dificuldade em se adaptar rapidamente ITIL v3. Por outro
lado, a empresa que estiver comeando um projeto de construo de
processos para o melhor gerenciamento de servios de TI, no ter mais
dificuldade escolhendo a nova verso de que teria se escolhesse a antiga.
A nica dificuldade real o fato de que existe menos informao disponvel sobre a ITIL v3 do que sobre a ITIL v2. Mas esse problema vai
diminuir gradativamente na medida em que a adoo da verso mais
recente da ITIL for acontecendo, no mesmo?

INFORMAES SOBRE O FRUM.


Vamos trocar informaes sobre os processos dos livros Estratgia do servio
e Melhoria contnua? Acesse o frum da semana.
Ttulo: Estratgia e melhoria contnua da TI na prtica.
Objetivo: At agora tanto o conceito de estratgia quanto o conceito de
melhoria contnua foram bastante discutidos. Desde as primeiras aulas
estamos girando em torno desses assuntos sob diferentes nuances. Agora
acabamos de ver que a evoluo da ITIL culminou na elaborao de um
livro para cada um desses conceitos. Voc consegue definir uma maneira
de se utilizar as ferramentas vistas nas primeiras aulas para a construo
dos processos vistos nessa aula? Acesse o nosso frum, pois iremos aprofundar essas ideias.

166 Governana: Gesto, Auditoria e Tecnologia da Informao

AULA

Atividade online
Existem ferramentas que ajudam a implementar os processos dos livros 2
3
Estratgia do servio e Melhoria contnua? V sala de aula virtual e resolva a atividade proposta pelo tutor. O objetivo da atividade exemplificar pelo menos
uma forma de, na prtica, implementar os processos desses livros na sua empresa.
Lembre-se de que tal implementao depende de vrios fatores e que o objetivo dessa
atividade que cada um encontre uma resposta mais adequada para a sua realidade na
sua organizao.

RESUMO

A ITIL v3, publicada em 2007, possui cinco livros que foram escritos para
se encaixarem perfeitamente no ciclo de vida dos servios de TI.
Os cinco livros da ITIL v3 so: Estratgia do servio; Desenho do servio;
Transio do servio; Operao do servio; e Melhoria contnua do
servio.
Segundo a ITIL v3, o ciclo de vida do servio de TI composto por:
(i) definio das estratgias de servio; (ii) desenho e planejamento
do servio; (iii) transio e liberao do servio; (iv) gerenciamento da
operao do servio; e (v) melhoria contnua do servio.
A ITIL v2, publicada em 2000, possua, alm dos livros Entrega de servios
e Suporte a servios, outros livros que nunca foram muito estudados.
Um dos objetivos principais da ITIL v3 foi fazer com que o estudo das boas
prticas de Gerenciamento de Servios de TI no deixasse de considerar
questes importantes do planejamento estratgico e por isso ela tornou
os livros e seus processos muito mais interdependentes do que eram na
ITIL v2.
O livro Estratgia do servio possui trs processos com forte apelo para
o pensamento estratgico e est no centro do ciclo de vida dos servios.
Esse livro est mais ligado ao conceito de alinhamento estratgico.
O livro Melhoria contnua do servio possui dois processos que visam
a oferecer um servio cada vez melhor (eficincia operacional) e
adaptar a sua prestao s variaes do ambiente de negcios (eficcia
estratgica).

CEC I E R J E X T E N S O E M G O V E R N A N A

167

Governana em Tecnologia da Informao

| ITIL v3 evoluo focada no ciclo de vida do servio de TI parte 1

Informaes sobre a prxima aula


Na prxima aula vamos continuar falando da ITIL v3,
porm, iremos tratar dos outros trs livros desta verso:
os livros Desenho do servio, Transio do servio e Operao
do servio! Nessa aula vamos explicar cada um dos 18 processos
divididos nesses livros. Veremos que alguns processos j
estudados na verso 2 foram divididos em mais de um processo
na verso 3 e outros foram apenas revisados e atualizados.
Porm, o que h de novo afinal? Bem, veremos na prxima aula
que h sim alguns detalhes que merecem maior ateno.
At l!

168 Governana: Gesto, Auditoria e Tecnologia da Informao

AULA

Atividades Finais
1. Um diretor de TI discute com sua equipe questes de melhoria na TI. Alguns dizem
que todos os processos devem ser melhorados, outros dizem que apenas aqueles considerados mais importantes devem receber investimentos. O diretor diz que a deciso
no deve ser tomada segundo critrios emocionais, mas sim com base no processo que
cuida justamente desse tipo de deciso. Qual o processo em questo?
a. Gerenciamento financeiro.
b. Gerenciamento do portflio.
c. Gerenciamento da demanda.
d. Perspectiva do negcio.
2. O livro ______________________est diretamente relacionado ao fato de que, sob as
mesmas condies, a TI ir procurar sempre oferecer um servio mais ___________, ou
seja, fazer a mesma coisa com menos recursos e mais ___________, ou seja, fazer o que
precisa ser feito para atingir as metas da empresa. Qual alternativa preenche corretamente as lacunas acima?
a. Melhoria contnua eficiente eficaz.
b. Melhoria contnua eficaz eficiente.
c. Estratgia do servio eficiente eficaz.
d. Estratgia do servio eficaz eficiente.
3. O livro _______________________ possui foco mais voltado para o __________________
e est no centro do ____________________ dos servios para deixar clara a ideia da necessidade de direcionar e justificar todo o investimento feito no provimento de servios de
TI. Qual alternativa preenche corretamente as lacunas acima?
a. Melhoria contnua alinhamento estratgico ciclo de vida.
b. Melhoria contnua ciclo de vida alinhamento estratgico.
c. Estratgia do servio alinhamento estratgico ciclo de vida.
d. Estratgia do servio ciclo de vida alinhamento estratgico.
4. Nesta aula foram discutidos os contedos dos livros da ITIL v2. Explique qual foi o
objetivo dessa discusso e o que ele tem a ver com o contedo da ITIL v3.
5. Quando se explicam as diferenas entre a ITIL v2 e a ITIL v3, uma diferena principal
sempre citada. Cite e explique essa diferena.
6. (Analista de Finanas e Controle da CGU ESAF/2008) A ITIL Information Technology
Infrastructure Library composta por um conjunto das melhores prticas para a definio
dos processos necessrios ao funcionamento de uma rea de TI. Os objetivos da ITIL so:
a. definir os processos a serem implementados na rea de TI.
b. fornecer um guia para o planejamento de processos padronizados, funes e atividades
para os integrantes da equipe de TI.
c. permitir o mximo alinhamento entre a rea de TI e as demais reas de negcio da
organizao.
d. tornar-se uma referncia para as organizaes que necessitam de informaes para a
melhoria do Gerenciamento de Servios de TI.
e. aumentar a qualidade e diminuir o custo alocado dos servios de TI.
CEC I E R J E X T E N S O E M G O V E R N A N A

169

Governana em Tecnologia da Informao

| ITIL v3 evoluo focada no ciclo de vida do servio de TI parte 1

7. Na ITIL v3 so preocupaes da etapa de estratgia de servio e da etapa de melhoria


contnua do servio, respectivamente:
a. Gerenciamento do portflio de TI e gerenciamento da demanda por servios de TI.
b. Medio e controle de processos e realizao de relatrios de desempenho.
c. Gerenciamento do portflio de TI e medio e controle de processos.
d. Medio e controle de processos e gerenciamento financeiro da TI.
e. Realizao de relatrios de desempenho e gerenciamento da demanda por servio.

Respostas
1. Alternativa b. o processo Gerenciamento do portflio o responsvel por
lidar com as questes relacionadas a quais projetos e processos operacionais
devem fazer parte do portflio da TI.
2. Alternativa a. O livro Melhoria contnua possui processos voltados para a
busca da eficincia e da eficcia a despeito das mudanas de mercado que possam
afetar a empresa. A questo tambm evoca a definio de eficincia e eficcia,
to discutida neste curso.
3. Alternativa c. O livro Estratgia do Servio lida com o alinhamento estratgico,
ou seja, tudo que se faz precisa trazer um retorno para a empresa. Esse livro est
no centro da verso 3 ITIL.
4. Os contedos dos livros da ITIL v2 foram discutidos para que as novidades
da ITIL v3 sejam mais bem interpretadas. Na verdade, muito do que citado
como novo na verso 3 no tem nada de novo, pois j eram assuntos abordados
na verso 2, porm naqueles livros no chegaram a ficar famosos. O principal
objetivo da discusso mostrar que, embora muitos assim digam, a ITIL v3 no
possui grandes modificaes no seu contedo central.
5. A diferena bsica est na abordagem, que agora privilegia todo o ciclo de
vida dos servios. Embora boa parte do contedo seja o mesmo, a forma com que
os processos da ITIL v3 so apresentados faz com que o seu estudo seja, obrigatoriamente, voltado para a prestao do servio. Isso traz benefcios bvios e um dos
principais o fato de que relativamente difcil estudar um dos livros deixando outros
de lado. Todo o contedo aparece intimamente relacionado na verso 3.
6. Alternativa b. Questo interessante. Nunca esquea que a ITIL ajuda muito
no alinhamento estratgico, mas este no o foco dela, mas, sim, o do COBIT. A
ITIL um guia para o planejamento de processos (veja bem: ela um guia para o
planejamento dos processos; no uma definio dos processos).
7. Alternativa c. Conforme visto nesta aula, os processos da etapa de estratgia do
servio so 03: gerenciamento do portflio, gerenciamento financeiro e gerenciamento
da demanda; os processos da etapa de melhoria contnua do servio so dois: medio
e controle dos processos e relatrio de desempenho dos processos.

170 Governana: Gesto, Auditoria e Tecnologia da Informao

AULA

ITIL v3 evoluo focada no


ciclo de vida do servio de TI
parte 2

Meta da aula

objetivos

Explicar ITIL v3 e suas diferenas


com relao ITIL v2.

Ao final desta aula, voc dever ser capaz de:


1

explicar os processos de livro Desenho de servios de TI (Service

Design) na ITIL v3;

explicar os processos do livro Transio de servios de TI (Service

transition) na ITIL v3;

explicar os processos do livro Operao de servios de TI (Service

operation) na ITIL v3;

Pr-requisito
pr-requisito para esta aula ter atingido os objetivos
das cinco primeiras aulas do curso, que tratam do Planejamento Estratgico, da Governana em TI, da evolu
o da ITIL e dos livros de entrega

e suporte da ITIL v2.

Governana em Tecnologia da Informao | ITIL V3 - Evoluo focada no ciclo de vida do servio de TI

INTRODUO

J sabemos que boa parte dos processos da ITIL v2 per

manecem na ITIL v3 com pouca ou nenhuma adaptao,

porm, estes processos esto agora agrupados de uma


forma totalmente diferente, sabe como? Vamos em frente
entender como isso acontece.

Na aula passada, vimos as questes relativas estratgia e melhoria contnua

dos servios na ITIL v3. Nesta aula, vamos estudar os processos reunidos nos

livros tidos como os mais ttico-operacionais da ITIL v3. Observe que vale

aqui a mesma ideia de dolivro entrega de servci da ITIL pode at possuir um


foco maior em um determinado nvel organizacional, porm, o seu contedo
escrito de forma que tudo se relacione de maneira sistmica.
Assim, vamos tratar nesta aula dos livros Desenho do servio, Transio do
servio e Operao do servio, uma vez que na aula passada foram abordados
os livros Estratgia do servio e Melhoria contnua do servio.

Os processos
em cada um destes livros
renem, respectivamente, a ideia de
especificar (desenho), planejar e entregar (transio)
e manter (operao) o servio. E como tudo isso deve
acontecer? Ora, a especificao, a entrega e a manuteno
do servio devem acontecer de forma eficiente e eficaz (foco
d
d
do livro Estratgia do servio) garantindo o seu alinhamento
estratgico (foco do livro Melhoria contnua)! Ou seja, tudo
exatamente de acordo com os processos dos outros dois
livros. Percebeu como os cinco livros se integram
no ciclo de vida do processo?

172 Governana: Gesto, Auditoria e Tecnologia da Informao

Explicado desta forma, o relacionamento entre os cinco livros da verso 3 da

AULA

ITIL parece bvio e simples, no mesmo? Mas essa mesmo a ideia central
e ideias centrais, por definio, precisam ser simples!
Porm, como o foco da ITIL descrever tudo na forma de processos genricos
que sirvam para qualquer tipo de provedor de servios de TI, o seu contedo s
vezes no totalmente bvio e nem sempre interpretado adequadamente.
Para que isso nunca acontea com voc, tenha sempre em mente que os cinco
livros interagem da forma como descrevemos anteriormente.

O LIVRO DESENHO DO SERVIO (SERVICE DESIGN)


O foco dos processos deste livro abordar todos os aspectos
relevantes para a especificao do servio, ou seja, a definio de como
ele deve ser. Descrever como um servio deve ser abrange definir os seus
requisitos de qualidade, os seus requisitos de capacidade e disponibilidade alm dos aspectos de continuidade e de segurana da informao.
nestes processos que as arquiteturas e padres so definidos de acordo com as metas estratgicas escolhidas para o servio
nos processos de estratgia do servio. Os processos de
desenho abordam todos os processos do livro de entrega
de servios da ITIL v2, com exceo do gerenciamento
financeiro, que na verso 3 passou a ser um processo de
estratgia do servio.
Alm disso, dependendo de todos estes fatores, a
anlise da necessidade de aquisio externa versus desenvolvimento interno (make or buy analisys) e do gerencia-

Figura 7.1: Especificao do servio.

mento da cadeia de fornecimento (supply chain management) se tornar


muito mais (ou muito menos) crtico. Este livro possui sete processos
que discutiremos nesta aula, a saber:
Gerenciamento do catlogo de servios.
Gerenciamento do nvel de servio.
Gerenciamento da capacidade.
Gerenciamento da disponibilidade.
Gerenciamento da continuidade.
Gerenciamento da segurana da informao.
Gerenciamento de fornecedores.

CEC I E R J E X T E N S O E M G O V E R N A N A

173

Governana em Tecnologia da Informao | ITIL V3 - Evoluo focada no ciclo de vida do servio de TI

Vale lembrar ainda que o livro Desenho do servio leva em considerao no somente os aspectos tecnolgicos, mas tambm aspectos
relacionados s pessoas e aos processos. Lembre-se de que um conceito
importante das boas prticas da ITIL o trip formado por pessoas,
processos e tecnologias.
Um conceito novo e importante que aparece nos processos de
especificao e desenho o SDP, sigla em ingls para pacote de desenho
de servio (service design package). Os SDPs renem todos os requisitos
operacionais de um servio de acordo com os requisitos estratgicos.
Este pacote contm principalmente o escopo do servio conforme os
requisitos de qualidade, capacidade e disponibilidade a serem atendidos. Os SDPs so gerados atravs da execuo dos processos do livro
Desenho do servio.

Gerenciamento do catlogo de servios


Este processo resultado da diviso do processo Gerenciamento
do nvel de servio do livro Entrega de servios da ITIL v2.
O catlogo de servios deve garantir ao usurio uma fonte confivel de informaes sobre os servios que so prestados pela TI e os servios que no so prestados. Este processo garante que estas informaes
sejam geradas, documentadas e compartilhadas com os usurios.

Gerenciamento do nvel de servio


Este processo o prprio processo Gerenciamento do nvel de
servio do livro Entrega de servio da ITIL v2 com um contedo menor,
uma vez que o processo Gerenciamento do catlogo de servio foi definido em outro processo conforme vimos acima.
Este processo deve lidar com o estabelecimento de todos os acordos entre o provedor de TI e as outras partes interessadas, tais como
os acordos de nvel de servio (ANS), estabelecidos com os usurios, os
acordos de nvel operacional (ANO), estabelecidos com fornecedores
internos (outros departamentos da organizao dos quais a TI depende
para prestar seus servios) e os contratos de apoio (CA), estabelecidos
com fornecedores externos (terceirizados o parceiros).

174 Governana: Gesto, Auditoria e Tecnologia da Informao

AULA

Gerenciamento da capacidade
Assim como na verso anterior, este processo visa a assegurar que
a capacidade da infraestrutura de TI suficiente para absorver todas
as demandas atuais e futuras a um custo que possa ser suportado pelo
negcio. De fato, o contedo deste processo em si permaneceu exatamente
o mesmo com relao ao seu contedo na verso 2 da ITIL .

Gerenciamento da disponibilidade
Assim como na verso anterior, este processo visa a assegurar
a disponibilidade, a confiabilidade e a sustentabilidade dos servios.
Assim como o gerenciamento da capacidade, o contedo deste processo
tambm permaneceu o mesmo com relao ao seu contedo na verso
2 da ITIL .

Gerenciamento da continuidade
Este processo visa a assegurar a continuidade do negcio tratando
de questes de continuidade, contingncia e recuperao de desastres.
Na ITIL v3 so feitas consideraes sobre o plano de derenciamento da
continuidade da organizao e o plano de gerenciamento da continuidade
dos servios de TI.
Embora sempre no seja novidade que ambos os planos esto
diretamente relacionados, pois as aes de continuidade (reativas ou
proativas) podem ser as mesmas independentemente do setor da empresa, a ITIL v3 resolveu formalizar isso tambm, ou seja, se a empresa
possui um plano de gerenciamento da continuidade, o trabalho deste
processo deve se limitar a analisar este plano e verificar quais questes
especficas da TI no foram abordadas. O conselho que elas sejam
inseridas neste plano maior da empresa e no que seja desenvolvido um
plano de gerenciamento da continuidade especfico para a rea de TI.
Isso deve ser feito, repetimos, por causa do carter universal da maioria
das aes deste tipo de plano.

Gerenciamento da segurana da informao


Bem, poderamos muito bem comear este pargrafo da mesma
forma dizendo que este processo no mudou desde a verso anterior, mas
devemos antes lembrar que muitas pessoas dizem que a ITIL v2 no

CEC I E R J E X T E N S O E M G O V E R N A N A

175

Governana em Tecnologia da Informao | ITIL V3 - Evoluo focada no ciclo de vida do servio de TI

tratava da questo da segurana. Na verdade, como j ressaltamos em


muitos casos, tratar ela tratava sim, porm, isso era feito em um livro
parte e no em apenas um processo do livro Entrega de servios ou do
livro Suporte a servios (que eram os nicos conhecidos).
Enfim, a ITIL v3 ressalta a questo da segurana da informao
neste processo descrevendo os princpios de confidencialidade, integridade e disponibilidade, a segurana de hardware e de software, a
documentao dos processos etc.
Convenhamos que no bem por conta da ITIL que conclumos
que a segurana da informao importante. Talvez a novidade aqui seja
o fato de que, segundo a ITIL , a segurana tambm deve ser abordada
na forma de processo. Na verdade, a esta altura do curso, creio que
isso (o fato de que quase tudo na ITIL acontece na forma de processo)
tambm no lhe seja nenhuma novidade.

ISO 20000
uma da norma ISO
publicada em 2005.
Ela foi originada
da BS 15000 que
uma norma britnica publicada em
2003. Na verdade,
a norma ISO foi
originada da norma
BS (British Standard)
que, por sua vez, se
originou da verso
2 da ITIL . Ou seja,
a ISO 20000 trata
do gerenciamento de
servios de TI, assim
como na ITIL ,
porm, na forma de
requisitos e no na
forma de boas prticas. Ela fortemente
baseada em processos e tem como
filosofia principal a
melhoria contnua
conforme o ciclo
PDCA.

Voc sabe quais so os princpios bsicos da segurana da informao?


A confidencialidade, a integridade e a disponibilidade so sempre
citados como princpios bsicos. Garantir a confidencialidade garantir
que somente usurios legtimos tero acesso informao. Garantir a
integridade garantir que a informao no ser alterada de forma
indevida. E, finalmente, garantir a disponibilidade garantir que a
informao estar acessvel nos momentos em que ela for necessria.
Alm disso, costuma-se listar outros dois princpios bsicos, que so a
autenticidade (o autor da informao mesmo quem diz ser) e o no
repdio (o sistema impede que o autor legtimo da informao negue
a sua autoria). Outros princpios da informao so citados, porm, so
menos comuns e mais especficos de algumas reas ou setores.

Gerenciamento de fornecedores
Do mesmo modo, engana-se quem diz que a ITIL no tratava
deste assunto. Tratava, mas no nos livros consagrados de entrega e
suporte. Tanto tratava que a ISO 20000 (que estudaremos resumidamente
em nossa ltima aula) possua este processo claramente citado como
fonte de alguns de seus requisitos (lembre-se de que a ISO 20000 era
uma norma e, portanto, possua requisitos). Ns veremos ainda neste
curso o que a ISO 20000 tem a ver com a ITIL .

176 Governana: Gesto, Auditoria e Tecnologia da Informao

Enfim, este processo trata do gerenciamento dos fornecedores

AULA

externos e dos contratos firmados com eles para a prestao dos servios de TI. Note que imprescindvel que o provedor de servios de TI
gerencie bem os seus fornecedores, caso contrrio, a falta de qualidade
deles poder ter reflexo direto no nvel de servio percebido pelo usurio. E, do ponto de vista do usurio, as causas da diminuio do nvel
de servio no importam muito. Para eles, o importante se os servios
que constam no catlogo de servios esto ou no esto disponveis e se
atendem ou no atendem os nveis combinados.

Atividade

Explique como os processos do livro Desenho do servio se integram no ciclo de


vida do servio de TI.

Resposta
Estes processos tm como funo principal fornecer as especificaes necessrias
para criar ou modificar servios de acordo com as metas e objetivos almejados pela
empresa. Assim, suas entradas so originadas, principalmente, nos processos do livro
Estratgia do servio. J as suas sadas so direcionadas, principalmente, para os
processos do livro Transio do servio, que tero como funo entregar os servios
conforme as especificados.

O livro Transio de servio (Service transition)


Os processos de transio esto relacionados entrega dos
servios necessrios ao negcio. Estes processos envolvem o planejamento mais detalhado do que foi especificado visando sua operacionalizao conforme sua definio pelos processos de desenho.

Figura 7.2: Transio do servio.


CEC I E R J E X T E N S O E M G O V E R N A N A

177

Governana em Tecnologia da Informao | ITIL V3 - Evoluo focada no ciclo de vida do servio de TI

Muitos dos processos visam a controlar e diminuir os riscos de fracasso


e rompimento do objetivo principal do gerenciamento de servios de TI,
que garantir que todos os servios estejam alinhados com as necessidades de negcio. Este livro possui seis processos que discutiremos
nesta aula:
Gerenciamento de mudanas.
Gerenciamento da configurao e de ativos.
Gerenciamento da liberao e implantao.
Validao e testes do servio.
Avaliao.
Gerenciamento do conhecimento.

Nos processos de transio


acontecem a elaborao dos planos de
entrega e a execuo destes planos. Lembre-se
d
de que o planejamento feito apenas para viabilizar e
entrega dos servios conforme as especificaes contidas
en
nos SDPs (que por sua vez devem atender aos SLPs).
Lembre-se tambm de que os SDPs so gerados pelos
processos de desenho e que os SLPs so gerados
pelos processos de estratgia.

Gerenciamento de mudanas
Voc se lembra deste processo? Pois . Ele exatamente o mesmo
e sua funo e contedo tambm. O gerenciamento de mudanas avalia
e aprova as mudanas necessrias para entregar os servios de forma a
atender aos requisitos de usurios e clientes.

Gerenciamento da configurao e de ativos


Bem, este processo apenas mudou de nome, mas continua tendo
como objetivo principal a manuteno dos itens de configurao (IC) na
base de dados de gerenciamento da configurao (BDGC).
As mudanas foram sutis. Primeiro o nome do processe deixa
claro, de uma vez por todas, que gerenciamento da configurao uma
coisa e gerenciamento de ativos outra (embora ambos sejam to parecidos que possam ser tratados em um mesmo processo...).

178 Governana: Gesto, Auditoria e Tecnologia da Informao

A outra mudana, tambm sutil, o fato de que a nossa famosa

AULA

BDGC (base de dados de gerenciamento da configurao) agora no


mais o foco exclusivo do processo. O Gerenciamento da configurao e
de ativos usa agora a expresso sistema de gerenciamento da configurao, ou seja, a palavra sistema nos remete ao software, ao hardware, aos
procedimentos e a tudo mais que componha o sistema em questo.
Observe que esta abordagem parece ser mais adequada, pois o
termo BDGC parecia chamar mais a ateno para o banco de dados em
si (o Oracle, o SQLServer, o MySQL etc.) do que para o sistema como
um todo. Normalmente as explicaes na bibliografia nem mesmo citavam, por exemplo, as ferramentas de integrao com esta base de dados
(softwares que, como j dissemos, podem custar centenas de milhares
de dlares). A mudana valeu, no mnimo, para tornar as terminologias
adotadas mais claras e congruentes.

Gerenciamento da liberao e implantao


Mais uma vez o mesmo processo, com uma mudana sutil no seu
nome. Mudana sutil com o objetivo de esclarecer algo que parece no ter
ficado claro para alguns na ITIL v2. A liberao trata da implantao
do servio na infraestrutura.
Neste processo a palavra liberao significa o tratamento de
mudanas autorizadas incluindo planejamento, desenho, construo,
configurao e testes. J a palavra implantao significa implantao
mesmo, ou seja, os passos para a efetivao da mudana continuam
sendo os mesmos: planejamento, especificao, construo, configurao,
testes e implantao. Exatamente o que significava quando o processo
se chamava somente Gerenciamento da liberao. Mas, no se sabe o
porqu, alguns nunca entenderam que liberao tambm fazia aluso
liberao de um produto de infraestrutura, tal como um novo servidor,
roteador ou switch instalado. Para alguns, o processo Gerenciamento
da liberao s se referia liberao de software...
Enfim, agora talvez fique claro que o processo Gerenciamento da
liberao e implantao trata da efetivao da mudana, seja ela qual
for. No final das contas, o processo o mesmo. Libera geral.

CEC I E R J E X T E N S O E M G O V E R N A N A

179

Governana em Tecnologia da Informao | ITIL V3 - Evoluo focada no ciclo de vida do servio de TI

Validao e testes do servio


Uma coisa so os testes feitos pelo processo Gerenciamento da liberao e implantao. Outra coisa so os testes do servio j implantado.
Este processo valida o servio implantado e realiza os testes necessrios.
Era de fato algo que ficava meio no ar na ITIL v2, mas que agora fica
formalmente definido neste processo.
Voc deve notar que qualquer organizao que entendesse a
BUSINESS
INTELIGENCE

ou inteligncia de
negcio, uma
expresso para
definir um conceito
que se tornou forte
e popular na dcada
de 1990. At hoje
a BI no ocupa nas
empresas o patamar
que deveria (ou
poderia) ocupar.
O conceito relativamente simples e
est ligado ideia da
construo de processos para coleta,
gerao, armazenamento, manuteno,
utilizao e descarte
da informao a
fim de gerar conhecimento til para o
negcio. BI envolve
o uso eficiente de
ferramentas automatizadas, a definio
de processos adequados para a organizao e a gerao de
valor agregado para
o negcio a partir do
conhecimento quer
seja na escolha de
melhores projetos,
quer seja na alterao de seus processos. Algumas caractersticas essenciais
dos sistemas de BI
modernos permitir
a busca rpida de
relaes de causa e
efeito e a extrao e
integrao de dados
oriundos de mltiplas fontes.

filosofia e os objetivos de cada processo da ITIL v2 no deixaria de


realizar os devidos testes aps a implantao do servio s porque no
havia na ITIL v2 um processo que formalmente dissesse que isso era
necessrio.
Muitas bibliografias inclusive se referiam a estes testes ps-liberao como testes que estavam subentendidos no processo Gerenciamento
da liberao da verso 2. Agora no preciso subentender, pois h um
processo formal que trata somente disso.

Avaliao
Voc se lembra das revises ps-implementao que eram
citadas tanto no processo Gerenciamento de problemas quanto no
processo Gerenciamento de mudanas do livro Suporte a servios da
ITIL v2? Agora o processo Avaliao se ocupa, formalmente, destas
questes.
A avaliao confirma a efetividade de uma mudana na infraestrutura a fim de assegurar que, aps a mudana, os objetivos almejados
tenham sido alcanados.

Gerenciamento do conhecimento
Aqui sim, podemos dizer que ITIL inovou em um processo...
Na verdade, a questo de que a BDGC era muito rica em informaes
e que poderia ser utilizada para alimentar ou mesmo suportar sistemas
de B U S I N E S S

INTELIGENCE

costumava ser citada por alguns profissionais

e implementada por algumas empresas.


Com a definio deste processo a ITIL v3 deixa claro que esta
questo to importante nos dias de hoje que ganhou o direito de fazer
parte do rol das boas prticas em gerenciamento de servios de TI.

180 Governana: Gesto, Auditoria e Tecnologia da Informao

O provedor de servios de TI (lembre-se de que a letra I em TI

AULA

representa informao) deve utilizar estrategicamente as informaes que


ele manipula, assim como os relacionamentos criados por meio do sistema
de gerenciamento da configurao. Isso significa garantir que as informaes sejam disponibilizadas em tempo, para as pessoas autorizadas e em um
formato que efetivamente permita a tomada de decises estratgicas.
No mnimo, este processo servir muito bem aos processos de
estratgia do servio. No mximo, os processos de tomada de deciso
da prpria empresa podero se beneficiar dele. Tudo depender de
quanto a TI estrategicamente importante para o negcio. Lembre-se
das duas primeiras aulas onde sugerimos formas de definir a importncia
estratgica da TI para um determinado tipo de empresa atravs do grid
estratgico, matriz de informao etc.

Atividade prtica 2
Explique como os processos do livro Transio do servio se integram no ciclo de
vida do servio de TI.

Resposta
Estes processos tm como funo principal planejar e executar as aes necessrias para
entregar servios de acordo com as suas especificaes. Assim, suas entradas so originadas,
principalmente, nos processos do livro Desenho do servio. J as suas sadas so direcionadas, principalmente, para os processos do livro Operao do servio, que tero como funo
manter a operao dos servios para atender as necessidades dos usurios.

O livro Operao do servio (Service operation)


Este livro contm as melhores prticas para atingir os requisitos
de servio previamente definidos. Por isso ele envolve todos os processos
necessrios para o gerenciamento de todos os eventos relacionados aos
usurios finais (que usam o servio prestado) e aos clientes (que fornecem
os recursos para que os servios sejam prestados).
CEC I E R J E X T E N S O E M G O V E R N A N A

181

Governana em Tecnologia da Informao | ITIL V3 - Evoluo focada no ciclo de vida do servio de TI

Este livro possui cinco processos que discutiremos nesta aula, a saber:
Gerenciamento de eventos.
Cumprimento de requisies.
Gerenciamento de acesso.
Gerenciamento de incidentes.
Gerenciamento de problemas.
Os processos deste livro esto relacionados aos servios que
Figura 7.3: Operao do servio.

de fato esto em uso na empresa, ou seja, eles esto relacionados ao


momento do ciclo de vida do servio em que ele (o servio) de fato est
(ou no) agregando valor ao negcio. preciso mensurar o valor agregado pelo servio, analisar as causas das possveis variaes e determinar
o custo-benefcio real da sua manuteno.
A ITIL v3 possui algumas funes. Quando estudamos a ITIL
v2 voc se lembra que vimos a definio da central de servios, que no
era um processo, mas sim uma funo. A verso 3, alm de possuir a
funo da central de servio, tambm possui outras trs funes listadas
abaixo. O contedo destas funes descrito pela ITIL v3 no livro
Operao do servio.

Funo da central de servios


Conforme descrito na ITIL v2.

Funo de gerenciamento tcnico


Funo relacionada ao gerenciamento do corpo tcnico para
que todas as funes tcnicas sejam desempenhadas efetivamente em cada um dos processos do livro Gerenciamento
de servios de TI.

Funo de gerenciamento operacional


Funo relacionada ao gerenciamento da operao, ou seja,
do corpo de profissionais responsvel por manter no ar as
operaes e servios da TI.

Funo de gerenciamento de aplicativo


Funo responsvel pelo gerenciamento de aplicativos em
todo o seu ciclo de vida. Lembre-se de que a ITIL v2 possua
um livro que abordava este assunto que, na verso, virou
uma funo.
182 Governana: Gesto, Auditoria e Tecnologia da Informao

7
AULA

Exceo

Evento

Aviso

Filtro

Informao
Figura 7.4: Eventos na ITIL v3.

Gerenciamento de eventos
O Gerenciamento de eventos tem como principal objetivo detectar eventos e analisar qual processo da operao o mais apropriado
para lidar com eles. Assim, este processo lida com qualquer questo que
implique mudana de estado na infraestrutura, tal como requisies,
alertas que necessitam de interveno humana, eventos tratados de
forma automatizada, incidentes, problemas e at mesmo mudanas na
infraestrutura.
Este processo divide os eventos em:

Excees
As excees so as requisies do usurio, os incidentes, os problemas e as mudanas na infraestrutura. Note que existe um processo
dentro do livro Operao do servio que lida com cada um destes
tipos de excees possveis. A saber, Cumprimento de requisies,
Gerenciamento de incidentes, Gerenciamento de problemas e
Gerenciamento de mudanas, respectivamente.

Advertncias
As advertncias so eventos que alteram o estado da infraestrutura, mas que no precisam ser tratados, a princpio, por
um processo especfico. Por exemplo, alertas que necessitam de
interveno humana e alertas que so tratados de forma automatizada. Um alerta pode dar origem a algum outro tipo de evento
dependendo de suas consequncias.
CEC I E R J E X T E N S O E M G O V E R N A N A

183

Governana em Tecnologia da Informao | ITIL V3 - Evoluo focada no ciclo de vida do servio de TI

Informaes
Informaes so eventos que necessitam apenas de seu registro
na base de dados para possibilitar uso futuro. Toda informao
poder ser usada pelo processo Gerenciamento do conhecimento
do livro Transio do servio.
Observe que, uma vez detectado tipo de evento, o gerenciamento
de eventos deve encaminhar o seu tratamento para o processo mais
adequado.

Cumprimento de requisies
Uma vez que o cliente ou usurio selecionou um servio no catlogo de servios, a solicitao deve ser tratada a fim de fornecer o servio
solicitado. Cada solicitao gerada a partir do catlogo de servio e
documentada em um registro atravs do sistema de gerenciamento da
configurao com todas as informaes relevantes.
Uma solicitao um tipo de evento que no se enquadra nas
outras categorias. Este processo lida, por exemplo, com questes como
a solicitao de uma nova senha quando a original foi esquecida pelo
usurio. Ou seja, algo que no deve ser tratado pelo provedor de TI
nem como um incidente nem como um problema. Por outro lado, no
deixa de ser um servio que deve fazer parte do catlogo de servios do
provedor de TI.
Assim como no caso de incidente e problemas, uma vez que a
requisio foi atendida, o registro deve ser fechado.

Gerenciamento de acesso
Podemos dizer que este processo tambm relativamente novo,
uma vez que ele no aparecia na verso anterior (pelo menos no de
maneira formal).
Quais usurios possuem acesso legtimo a um determinado servio?
Este acesso pode acontecer segundo diferentes graus de funcionalidades?
Enfim, caso a empresa possua tais restries, certamente ela precisar
regular o acesso ao servio de forma que somente usurios com direitos
legtimos podero ter o acesso liberado. Esse processo trabalha com
polticas de acesso e outros procedimentos do provedor de TI e possui
um relacionamento muito prximo ao processo de gerenciamento da
segurana do livro de desenho do servio.
184 Governana: Gesto, Auditoria e Tecnologia da Informao

AULA

Gerenciamento de incidentes
Esse processo permanece como era na verso 2. Ele visa a restaurar
a operao o mais rapidamente possvel atravs da aplicao de uma
soluo de contorno conhecida.

Gerenciamento de problemas
Esse processo tambm permanece como era na verso 2. Como
j sabemos, ele visa a investigar a causa-raiz de problemas e a erradicar
erros conhecidos da infraestrutura de TI.

Para acessar informaes sobre implementaes da ITIL v3, modelos de


relatrios e imagens extradas de sistemas de gerenciamento da configurao reais, acesse http://wiki.service-now.com/index.php?title=Main_Page.
O site foi acessado em 30 de dezembro de 2009. Contedo em ingls.

Estratgia
do servio

Lies de melhoria (estratgico)

Resultados
(SLPs)

Desenho
do servio

Lies de
melhoria

Resultados
(SDPs)

Transio
do servio

Resultados

Lies de
melhoria

Operao
do servio

Melhoria contnua do servio


Figura 7.5: Interao entre os livros da ITIL v3.

CEC I E R J E X T E N S O E M G O V E R N A N A

185

Governana em Tecnologia da Informao | ITIL V3 - Evoluo focada no ciclo de vida do servio de TI

Atividade

Explique como os processos do livro Operao do servio se integram no ciclo de


vida do servio de TI?

Resposta
Estes processos tm como funo principal a manuteno da operao dos servios
de acordo com as necessidades dos usurios. Assim, suas entradas so originadas,
principalmente, nos processos do livro Transio do servio. J as suas sadas so
direcionadas, principalmente, para os processos do livro Estratgia do servio, que
tero como funo garantir que a operao est agregando valor a um custo que
pode ser justificado e suportado pelo negcio.

CONCLUSO
OK. Terminamos com esta aula mais uma etapa do nosso curso.
Esperamos que voc tenha percebido que a ITIL v3 quis principalmente
confirmar a sua filosofia inicial sobre o pensamento mais voltado para
a prestao de servios de TI com foco nos requisitos dos usurio e nas
necessidades de negcio do cliente. Ela novamente chamou a ateno
para a necessidade de quebrar o paradigma que associa o trabalho na
TI com o gerenciamento de tecnologia pura e simplesmente. Trabalhar
com TI , cada vez mais, sinnimo de trabalhar com pessoas e processos
tendo, obviamente, a tecnologia como principal aliada!
Ressaltamos que, por maior que seja a resistncia, a substituio
completa da ITIL v2 pela ITIL v3 acontecer em breve. Mesmo assim,
conforme tudo o que foi discutido, aqueles mais reativos que teimarem em
comear pela ITIL v2 no cometero um erro que o impea de atingir os
principais objetivos da ITIL. Objetivos estes que no mudaram desde a
sua concepo ainda na dcada de 1980: atingir timos resultados atravs

186 Governana: Gesto, Auditoria e Tecnologia da Informao

de processos visando melhoria contnua, o aumento da satisfao do

AULA

cliente e do usurio de TI e o aumento da autoestima dos profissionais


que fornecem os servios de TI.

INFORMAES SOBRE O FRUM


Vamos trocar informaes sobre os processos do livro Estratgia do servio
e Melhoria contnua? Acesse o frum da semana.
Ttulo: Estratgia e melhoria contnua da TI na prtica.
Objetivo: At agora o conceito do ciclo PDCA foi muito discutido. Desde
as primeiras aulas estamos girando em torno deste assunto sob diferentes
nuances. Agora acabamos de ver que a evoluo da ITIL culminou na elaborao de livros que visam a representar o ciclo de vida do servio na rea
de TI. Voc consegue definir qual dos livros da ITIL v3 est mais associado
a qual etapa do ciclo PDCA? Esta diviso absoluta, ou seja, existem livros
que esto relacionados a mais de uma etapa e vice-versa? Acesse o nosso
frum, pois iremos aprofundar estas ideias.

Atividade online
Existem ferramentas que ajudam a implementar os processos de dese- 1
2
3
nho, transio e operao? V sala de aula virtual e resolva a atividade
proposta pelo tutor. O objetivo da atividade exemplificar pelo menos uma forma de,
na prtica, implementar os processos destes livros na sua empresa. Lembre-se de que
tal implementao depende de vrios fatores e que o objetivo desta atividade que cada
um encontre uma resposta mais adequada para a sua realidade na sua organizao.

CEC I E R J E X T E N S O E M G O V E R N A N A

187

Governana em Tecnologia da Informao | ITIL V3 - Evoluo focada no ciclo de vida do servio de TI

RESUMO

Segundo a ITIL v3, o ciclo de vida do servio de TI composto por: (i)


definio das estratgias de servio; (ii) desenho e planejamento do servio;
(iii) transio e liberao do servio; (iv) gerenciamento da operao do
servio; e (v) melhoria contnua do servio.
O livro Desenho do servio possui sete processos direcionados para a especificao e desenho dos servios de forma que os objetivos da organizao
sejam atendidos a um custo suportado pelo negcio.
No ciclo de vida do servio, os processos de desenho esto ligados definio
de requisitos para o servio.
O livro Transio do servio possui seis processos direcionados para a
liberao do servio na infraestrutura sem impactar a operao.
No ciclo de vida do servio, os processos de transio esto ligados ao planejamento e execuo dos planos para liberao do servio.
O livro Operao do servio possui cinco processos direcionados para o
suporte operao do servio e comunicao com usurio e cliente.
No ciclo de vida do servio, os processos de operao esto ligados ao
momento em que o servio est em produo e precisa agregar valor.
O livro Operao do servio tambm descreve as funes da central de
servio, do gerenciamento tcnico, do gerenciamento operacional e do
gerenciamento de aplicativo.

188 Governana: Gesto, Auditoria e Tecnologia da Informao

AULA

Informao sobre a prxima aula


Na prxima aula vamos iniciar uma nova etapa do nosso curso.
Esta nova etapa composta por quatro aulas onde trataremos
do COBIT. Caso voc ainda se lembre das primeiras aulas
saber responder seguinte pergunta: o que deve vir primeiro
em um projeto onde se quer aumentar o nvel de maturidade
no gerenciamento de servios de TI? A ITIL ou o COBIT? Caso
no se lembre, voc pode revisar as aulas passadas. Ou pode
esperar nossa prxima aula, pois nela responderemos a esta a
vrias outras questes importantes sobre o assunto.
At l!

Atividades Finais
1. O diretor de TI, juntamente com sua equipe de gerentes e coordenadores, determina
vrios servios que devero ser agregados ao portflio da organizao ao longo dos
prximos quatro trimestres. Ele encaminha vrios documentos denominados Termos
de Abertura. Os processos responsveis por interpretar e detalhar esses termos podem
ser encontrados em qual livro da ITIL v3?
a. Estratgia do servio.
b. Desenho do servio.
c. Transio do servio.
d. Operao do servio.
2. A TI se rene na sexta-feira para analisar SDPs prioritrios e deseja disponibilizar aqueles
urgentes j durante o final de semana. A mudana acaba sendo aprovada pelo comit
formado pelo gerente de TI, pelo coordenador da rea afetada e por sua equipe. Qual
processo da ITIL v3 passa a ser o mais importante nesse momento?
a. Gerenciamento de incidentes.
b. Gerenciamento da mudana.
c. Gerenciamento da liberao e implantao.
d. Gerenciamento da configurao e de ativos.

CEC I E R J E X T E N S O E M G O V E R N A N A

189

Governana em Tecnologia da Informao | ITIL V3 - Evoluo focada no ciclo de vida do servio de TI

3. Uma plataforma que sustenta servios crticos de uma empresa est preparada para
chavear entre dois sistemas redundantes, automaticamente, na falha de algum componente vital. Durante o final de semana, um problema acontece e a plataforma funciona
to bem que ningum percebe qualquer diferena no servio na segunda-feira. Que
processo responsvel por lidar com esta situao?
a. Gerenciamento da configurao de ativos.
b. Gerenciamento de capacidade.
c. Gerenciamento de problemas.
d. Gerenciamento de eventos.
4. A ITIL v2 possui o processo Gerenciamento da liberao no livro Suporte a servios.
A ITIL v3 possui o processo Gerenciamento da liberao e implantao no livro Transio
do servio. Explique as semelhanas e diferenas entre esses dois processos.
5. A ITIL v2 possui o processo Gerenciamento da configurao no livro Entrega de servios. A ITIL v3 possui o processo de Gerenciamento da configurao e de ativos no livro
Transio do servio. Explique as semelhanas e diferenas entre esses dois processos.
6. (Tcnico Superior PGE-RJ FCC/2009) O processo de Gerenciamento de Configurao
e de Ativos de Servio do ITIL definido no estgio do ciclo de vida:
a. Operao de servios.
b. Melhoria contnua de servios.
c. Estratgias de servios.
d. Projeto de servios.
e. Transio de servios.
7. (Analista Judicirio do TRT-15 FCC/2009) Segundo o ITIL, o controle dos riscos de fracasso
e rompimento do objetivo principal do Gerenciamento de Servios, que garantir que os
servios de TI estejam alinhados com as necessidades de negcio, realizado no estgio:
a. Service Strategy.
b. Service Design.
c. Service Operation.
d. Service Transition.
8. (Analista Judicirio do TRT-15 FCC/2009) As arquiteturas e os padres para gerenciamento
de servios, segundo o ITIL, so definidos no estgio:
a. Continual Service Improvement.
b. Service Operation.
c. Service Strategy.
d. Service Transition.
e. Service Design.
9. (Analista de Finanas e Controle da CGU ESAF/2008) Na ITIL, o processo de Gerenciamento
do Nvel de Servio a base para o gerenciamento dos servios que a rea de TI aprovisiona
para a organizao. Assinale a opo que contm um subprocesso que pertence ao Gerenciamento do Nvel de Servio.

190 Governana: Gesto, Auditoria e Tecnologia da Informao

7
AULA

a. Monitorao do desempenho.
b. Dimensionamento da aplicao.
c. Planejamento do crescimento dos servios.
d. Projeo dos recursos.
e. Garantia da existncia de um plano de recuperao do servio.

Respostas
1.Alternativa b. So os processos de desenho que detalham as decises tomadas
no nvel estratgico. Esses processos colhem especificaes de alto nvel do servio,
podendo inclusive se reportar aos processos de estratgia caso algo precise ser
esclarecido antes do planejamento e execuo das aes de entrega dos servios.
Termo de abertura um documento citado, explicado e utilizado em empresas
que adotam a filosofia PMI para gerenciamento de projetos.
2. Alternativa c. Como os SDPs foram criados, a questo indica que o servio
est na etapa de transio. Uma vez que a mudana foi aprovada, resta apenas
a liberao do servio na infraestrutura. Os processos que aparecem nas outras
alternativas sero importantes em outros momentos do ciclo de vida do servio.
3. Alternativa d. Esta situao no boa, pois o provedor de TI precisa identificar, na
segunda-feira, que o chaveamento ocorreu e restaurar as funcionalidades do sistema
que falhou. Esse tipo de situao requer funcionalidades de alertas automatizados
que indiquem alteraes na infraestrutura. Inicialmente, a resposta automtica. Em
um segundo momento, haver necessidade de interveno humana. Perceba que
esse tipo de situao no necessariamente um incidente ou um problema, pois o
usurio no afetado diretamente (pelo menos no no primeiro momento).
4. So mais semelhanas do que diferenas. O contedo em si do processo permanece
o mesmo, com ligeiras alteraes que no comprometem a ideia bsica. Uma das alteraes acontece no prprio nome do processo. Isso se deve ao fato de que, na verso
2, muitos diziam que este processo lidava com a liberao de software na infraestrutura.
Na verdade, este processo lida com a liberao de funcionalidades na infraestrutura,
independentemente de que tipo de servio seja e dos ativos relacionados.
5. Valem as mesmas observaes da questo anterior, ou seja, o contedo do processo em si permanece o mesmo com ligeiras alteraes que no comprometem
a idia bsica. Neste caso, muitos confundiam gerenciamento da configurao com
gerenciamento de ativos. A ITIL v3 quis deixar claro que ambos so preocupaes
deste processo, mas que tratam de coisas muito distintas.
6. Alternativa e. Conforme visto na teoria.
7. Alternativa d. nos processos de transio que os servios passam a fazer parte da
operao, de fato. neste momento que os riscos de as estratgias serem esquecidas
se manifestam. Por isso os processos de validao e testes e de avaliao do servio
foram definidos. Alm disso, o processo de gerenciamento de mudanas tambm
desempenha um papel importante neste contexto.

CEC I E R J E X T E N S O E M G O V E R N A N A

191

8. Alternativa e. durante o desenho (ou projeto) do servio que os padres


e arquiteturas para a implementao do servio sero definidos conformes as
diretrizes estratgicas estabelecidas.
9. Alternativa a. Lembre-se sempre de que a monitorao do desempenho
necessria para que o provedor determine se os nveis de servio esto ou no
esto sendo atendidos.

AULA

Introduo ao COBIT v4.1 Parte 1

Meta da aula

objetivos

Explicar os conceitos iniciais

sobre o COBIT .

Ao final desta aula, voc dever ser capaz de:


1

Identificar, listar e explicar os principais conceitos

sobre o COBIT tais como os critrios de informao,


as reas foco da Governana e os indicadores de
desempenho e de meta.

Listar e exemplificar os domnios do COBIT .

Pr-requisitos
So pr-requisitos para esta aula ter atingido os objetivos das primeiras aulas que tratam do Planejamento
Estratgico, da Governana em TI e das duas verses da
ITIL, a saber, a verso 2 e a verso 3.

Governana em Tecnologia da Informao

| Introduo ao COBIT v4.1 Parte 1

INTRODUO

Vimos que a ITIL possui uma srie de boas prticas


para a construo de processos de TI. Mas, a ITIL
ajuda a TI a conseguir o alinhamento estratgico?
Na verdade, ela no o modelo mais adequado
para esse fim. E qual seria o modelo mais adequado
ento? Vamos estudar o COBIT a partir desta aula
e ver como ele responde a essa questo!

A sigla COBIT significa, em ingls, objetivos de controle para a


informao e tecnologia (Control Objectives for Information and related
Technology). Ok, mas de que trata o seu contedo? Costumamos dizer
que o contedo do COBIT baseado em controles para a rea de TI
diretamente relacionados gesto do negcio. No arriscado dizer que
a Governana em TI implementada atravs do COBIT, ou seja, dentro
do mbito da TI so os seus objetivos de controle que guiaro quaisquer
outras iniciativas da TI, por exemplo, com relao utilizao ou no
da ITIL v3, do PMBOK v4, ou de qualquer outra norma, padro ou
conjunto de boas prticas voltados para a TI. Voc deve estar imaginando que o COBIT o assunto mais importante desse nosso curso de
Governana. Se tivssemos de dar uma resposta rpida, poderamos at
dizer que sim! Na verdade, cada assunto importante, dependendo do
momento que a empresa estiver passando. Essa ideia ficar mais clara
em nossa ltima aula, quando abordaremos o tema Governana em TI
envolvendo todos os assuntos vistos no curso.
Voc sabe quantos anos se passaram desde a publicao da primeira verso do COBIT? Uma dcada? Duas? A sua primeira verso foi
publicada pela ISACF (Information Systems Audit and Control Foundation) em 1994. A ISACF era uma ramificao da ISACA (Information
Systems Audit and Control Association) que a associao detentora dos
direitos sobre o COBIT. Hoje o ITGI (Information Technology Gover-

194 Governana: Gesto, Auditoria e Tecnologia da Informao

nance Institute), organizao criada pela prpria ISACA, desempenha

AULA

a funo de garantir a evoluo do COBIT.


A ISACA ainda mantm o acrnimo por questes de marketing
em seu site e em todo o seu material, porm ela no utiliza mais os
termos controle, auditoria e sistemas de informao quando a sigla
mencionada, isto , ISACA s uma logomarca que um dia significou
information systems audit and control association, mas hoje no mais.
Um dos motivos bvios para isso o fato de que uma associao para
auditoria e controle de sistemas de informao no o que a ISACA
representa hoje. Os perfis de seus membros (assim como as suas preocupaes) vo muito alm do controle e auditoria, embora essas duas
funes ainda estejam tambm presentes.
Atualmente o COBIT se encontra na verso 4.1, publicada em
2007. Sua evoluo atravs dos anos se deu da seguinte forma:
1996 - Verso 1
Foi publicada a primeira verso com foco mais voltado para
auditoria e controle de sistemas de informao com base em
padres tcnicos, profissionais e regulatrios internacionais.
1998 - Verso 2
Publicao da segunda verso, agora com uma filosofia de que
os objetivos de controle deviam ser baseados nos resultados
pretendidos pela TI, ou seja, primeiro se pensa onde a TI quer
chegar e, depois, em quais objetivos precisam ser estabelecidos
para que ela chegue l. Dessa forma o COBIT comeou a servir
de ponto de partida para que os executivos de TI gerenciassem
os seus processos a fim de atingir os resultados almejados.
2000: Verso 3
Publicao da terceira verso revisada para se adequar a vrios
outros modelos, normas, padres e conjuntos de boas prticas
que se tornavam famosos naquela poca (tais como a ITIL e
o PMBOK). Essa verso marcou a passagem do COBIT da
filosofia do controle para a filosofia da gesto e gerenciamento.
Era uma adequao viso da TI prestadora de servio que se
tornaria muito forte no novo sculo. Observe que naquele ano
foram publicadas novas verses da ITIL, do PMBOK, do
COBIT e de vrios outros modelos.

CEC I E R J E X T E N S O E M G O V E R N A N A

195

Governana em Tecnologia da Informao

| Introduo ao COBIT v4.1 Parte 1

Note ainda que a diferena de abordagem, embora sutil,


muito importante. A palavra controle traz consigo uma ideia
de reatividade muito mais ligada eficincia operacional. J
os termos gesto e gerenciamento esto mais ligados a aes
proativas necessrias eficcia estratgica. Caso j no tivssemos discutido tanto as diferenas entre essas duas expresses, a
diferena poderia mesmo lhe parecer pequena. Esperamos que
este no seja mais o seu pensamento.
2005: Verso 4
Em 2005 uma nova verso trouxe tona uma expresso que
agora toma conta de todas as discusses dos executivos de TI e
de suas equipes: a Governana em TI. A verso 4 do COBIT
possua 34 reas de processo e 214 objetivos gerais de controle
visando implementao de processos de TI que garantam o
alinhamento estratgico. Uma ideia muito clara nessa verso
era a de que o novo documento tinha um pblico alvo mais
heterogneo formado no s por tcnicos da rea de TI, mas
tambm por executivos e auditores, ou at mesmo por gestores
de outras reas interessados em interagir melhor com a TI.
Figura 8.1: Cubo da governana.

fato que essa era a ideia desde a verso 2, mas esse objetivo
foi inteiramente atingido atravs do novo formato da verso 4
de 2005. Talvez por conta disso, essa verso tenha tornado o
COBIT mais conhecido em todo o mundo.
2007: Verso 4.1
Em 2007 houve apenas um incremento do COBIT. A maior
mudana aconteceu nos objetivos de controle de cada rea de
processo, que foram revisados para orientar melhor a empresa
com relao eficcia estratgica da TI, ou seja, a criao de
processos efetivos que culminem no alcance de metas e objetivos de negcio. Um fato que chamou a ateno foi o de que o
COBIT v4.1 continuou tendo 34 reas de processo. Embora
os objetivos de controle tenham diminudo um pouco (de 214
na verso 4 para 210 na verso 4.1), a comunidade passou a
crer que o COBIT atingiu a sua maturidade. Isso porque o
seu contedo, no que diz respeito s macro reas de processo,
parece ter se estabilizado.

196 Governana: Gesto, Auditoria e Tecnologia da Informao

Embora uma informao meramente quantitativa no seja o

AULA

nico fator determinante para se chegar a alguma concluso, sempre


desanimador quando um modelo reconhecido mundialmente muda de
forma drstica de uma verso para outra (acrescentando ou retirando
contedos). Isso costuma acontecer com modelos pouco amadurecidos.
Para a nossa felicidade, esse no parece ser mais o caso do COBIT.

Voc sabia que a ISACA foi fundada antes de o homem ir lua? Em 1967 um pequeno
grupo de indivduos com profisses e interesses similares que atuavam em auditoria e testes
em sistemas computacionais se encontraram para discutir uma forma de criar um conjunto
centralizado de diretrizes de auditoria. Na poca esses sistemas j se tornavam cada vez mais
crticos e complexos. Em 1969, ano em que o homem pisou na lua principalmente por causa
dos avanos nos sistemas embarcados em aeronaves, o grupo foi fundado formalmente.
Hoje a ISACA possui mais de 86.000 membros com os perfis diferenciados de vrios setores
da economia e em mais de 160 pases. O site oficial da ISACA o http://www.isaca.org.
J o ITGI (IT Governance Institute) foi criado somente em 1998 em reconhecimento ao fato
de que a TI se tornava cada vez mais importante dentro das empresas e passava a ser vista
como uma rea crtica para o sucesso em atingir os objetivos de negcio. O site oficial do
ITGI o http://www.itgi.org. Esse site foi acessado em 30 de dezembro de 2009.

CONCEITOS ESSENCIAIS
Misso e princpios do COBIT
Agora pare e pense: qual seria a misso do COBIT? A sua misso, conforme descrio no documento do COBIT v4.1, pesquisar,
desenvolver, publicar e promover um modelo para a Governana em TI
confivel, atualizado e internacionalmente aceito que possa ser adotado
por empresas e utilizado no dia a dia por gerentes de negcio, profissionais de TI e auditores.
Mas afinal, partindo dessa misso, em que o COBIT pode auxiliar
voc no seu trabalho dirio? Bem, talvez ele no lhe ajude diretamente,
mas com certeza ele poder auxiliar muito a sua empresa a atingir o
alinhamento estratgico da TI, seja qual for o setor onde ela atua.

CEC I E R J E X T E N S O E M G O V E R N A N A

197

Governana em Tecnologia da Informao

COSO (C O M MITTEE OF

SPONSORING
O R G A N I Z AT I O N S
OF THE TREADW AY C O M M I S SION)
um comit criado em 1985 nos
EUA para prevenir
fraudes em demonstraes contbeis.
Trata-se de uma
organizao sem fins
lucrativos formada
por representantes
das principais associaes de classes
ligadas rea financeira. Dedica-se
melhoria nos relatrios financeiros,
sobretudo pelo cumprimento de controles internos e pela
aplicao da tica
profissional. Atualmente as recomendaes do COSO
so amplamente
praticadas em todo
o mundo, inclusive
no Brasil. Voc pode
obter mais informaes sobre o COSO
no site http://www.
coso.org/.

| Introduo ao COBIT v4.1 Parte 1

O contedo da ltima verso do COBIT v4.1 foi escrito para que


a sua misso fosse cumprida atravs das seguintes metas:
Fornecer uma forma concreta de a empresa implementar
o alinhamento entre os objetivos de negcio e os objetivos da TI.
Ajudar a alcanar a conformidade regulatria sendo
compatvel com os padres de controle e auditoria mais
comuns (como o COSO , por exemplo) utilizados por
rgos reguladores ou por auditores externos.
Ser compatvel com as boas prticas, normas e padres
de TI mais reconhecidos e utilizados no mundo.
Ser independente de quaisquer tecnologias.
Ser um modelo orientado a processos com uma estrutura que
permita fcil navegao e pesquisa pelo seu contedo.
Fornecer uma linguagem comum que utilize termos e
definies que sero entendidos tanto pelos profissionais
do provedor de TI na empresa quanto pelos gestores
do negcio.

que
responde a

Requisitos do
negcio

direciona os
investimentos em

Esse site foi acessado


em 30 de dezembro de
2009.

Informao
empresarial

COBIT

que so
usados para

Processos de TI

Figura 8.2: Ciclo bsico do COBIT.

198 Governana: Gesto, Auditoria e Tecnologia da Informao

Recursos
de TI

para entregar

8
AULA

Por ser
mais focado em objetivos de negcio, o contedo do
COBIT muito abrangente, mas pouco
detalhado no que diz respeito a como os
processos devem ser implementados. Perceba que vale aqui a seguinte ideia: O COBIT
contm muito sobre o que deve ser feito e
para
p
que deve ser feito e, por outro lado,
contm pouco sobre o como deve
ser feito.

Dessa forma a utilizao do COBIT auxiliar a empresa a ligar os


objetivos do negcio aos objetivos da TI. Ele cumprir o papel de servir
de elo entre o planejamento estratgico da empresa e o plano diretor de
TI. Ele ir ajudar a alinhar os objetivos e metas de negcio aos objetivos
dos processos operacionais da TI.
Como? Vejamos um exemplo. Imagine que uma empresa possua
em seu plano estratgico um objetivo do tipo: melhorar o alinhamento
estratgico da TI com o negcio. Voc acha isso abstrato? Pois bem, assim
so os objetivos estratgicos! Genricos o suficiente para darem uma direo, mas pouco detalhados o suficiente para no limitarem as opes de
quem precisa concretiz-los. Por outro lado, eles devem estar relacionados
misso da empresa e de acordo com os seus valores e princpios.
Um objetivo como esse pode ser desdobrado em vrias metas
para a rea de TI. Uma delas, por exemplo, seria garantir que a aquisio e manuteno de software acontecessem de forma alinhada com
os requisitos do negcio e que isso fosse feito em tempo hbil e a um
custo razovel para a empresa. Como isso se tornaria real? Ora, atravs
de um processo de desenvolvimento eficiente e eficaz. E qual o caminho
para criar processos de desenvolvimento eficientes e eficazes? Ora, por
exemplo, traduzindo os requisitos de negcio para as especificaes de
software; aderindo a padres de desenvolvimento para que haja um
controle integrado de mudanas; priorizando requisitos de software
com base na relevncia para o negcio; e separando as atividades de
desenvolvimento, testes e operao. E como a empresa saberia que esse
objetivo est sendo atingido? Ora, por exemplo, atravs do nmero de

CEC I E R J E X T E N S O E M G O V E R N A N A

199

Governana em Tecnologia da Informao

| Introduo ao COBIT v4.1 Parte 1

problemas operacionais causados por aplicaes que geraram paralisao nos servios; ou atravs do percentual de usurios satisfeitos com
as funcionalidades que foram entregues.
Voc pode se perguntar: Como afinal o COBIT ajudaria?
Em absolutamente tudo. Todas as respostas (e at mesmo as perguntas) no exemplo acima foram extradas do texto do COBIT.
O mapeamento com o COBIT imediato bastando para isso analisar
a meta estratgica e determinar qual preocupao com relao TI ela
expressa. Normalmente as metas estratgicas estaro relacionadas a
uma das reas foco da Governana (ou a mais de uma). As reas foco
da Governana, segundo o COBIT, so: alinhamento estratgico da TI;
entrega de valor pela TI; gerenciamento do risco da TI; gerenciamento
dos recursos de TI; e anlise de desempenho da TI. Estudaremos essas
reas em nossa prxima aula.
Nesse exemplo, para facilitar, a meta j mencionava o alinhamento
estratgico da TI. Porm, em qualquer outro caso, traduzir as aspiraes
do plano estratgico para as reas foco da Governana no ser difcil.
Bem, essa uma forma simples de se pensar em como o COBIT poderia ajudar na prtica. Durante essa aula ainda iremos analisar outros
exemplos.

Foco no negcio
De acordo com sua misso, voc sabe qual o principal objetivo
do COBIT? Seu principal objetivo ser orientado ao negcio! Mas o
que seria um modelo orientado ao negcio afinal? Um modelo orientado
ao negcio um modelo construdo no s para os profissionais responsveis pelo provimento dos servios de TI, mas principalmente para
os executivos responsveis pelo negcio. O COBIT oferece diretrizes
claras para que estes executivos possam tomar decises sobre a TI.
O ciclo bsico do COBIT exemplificado na Figura 8.2. Nela os
requisitos de negcio direcionam investimento em recursos de TI. Recursos de TI so utilizados por processo de TI. Processos de TI entregam
dados que devem atender aos critrios de informao. A informao
utilizada para gerar requisitos de negcio.
Nesse contexto, informaes teis podem ser previses sobre
aspectos econmicos que afetaro o mercado onde a empresa atua;
desejo ou necessidade de clientes e usurios por acompanhar inova-

200 Governana: Gesto, Auditoria e Tecnologia da Informao

es tecnolgicas; entrada de novos concorrentes disputando o mes-

AULA

mo mercado; discrepncias existentes entre o nvel de servio desejado


pelo usurio e o nvel de servio entregue; previses de demandas futuras
pelos servios e sobre a capacidade atual da empresa; informaes sobre
ameaas e vulnerabilidades que afetam a empresa e sobre os processos
de gerenciamento do risco; necessidade de atendimento a normas, leis
e regulamentos; ou simplesmente desejo de aumentar o retorno sobre o
investimento realizado.
Note que somente um conjunto de processos bem-estruturados de
TI fornecer servios que garantiro empresa a gerao das informaes vitais tomada de deciso e definio dos requisitos de negcio.
Voc j percebe que a informao representa um papel fundamental no
COBIT? Gerenciar bem a informao o corao do sistema de Governana em TI e vital para atingir o objetivo de alinhar os processos de
TI estratgia da empresa.
O COBIT fornece matrizes com metas genricas de negcio e
metas genricas de TI e mostra como elas podem ser mapeadas segundo
os critrios de informao. Estes exemplos, que so genricos, podem
ser usados para guiar a empresa na determinao de suas metas especficas. Alm disso, o COBIT fornece mtricas que permitem mensurar
resultados obtidos pelos processos de TI e compar-los com as metas
e objetivos que deveriam ser atingidos. Em outras palavras, a empresa
pode responder, com relao a cada processo, questo: fazendo isso
que conseguiremos chegar aonde queremos chegar?
Alm disso, o COBIT
herdou os princpios da Governana sobre os quais o COSO foi
construdo, a saber: responsabilidade (responsibility), prestao de
contas (accountability) e transparncia (transparency).

CEC I E R J E X T E N S O E M G O V E R N A N A

201

Governana em Tecnologia da Informao

| Introduo ao COBIT v4.1 Parte 1

Mas voc reconheceria uma meta se a visse? O que so metas de


TI e metas do negcio afinal? Vamos tratar melhor desse assunto nas
prximas aulas sobre o COBIT. Por hora, tenha em mente que hoje
toda empresa usa a TI, de uma forma ou de outra, para operacionalizar
iniciativas de negcio. A maneira com que a TI usada pela empresa deve
ser representada na forma de metas de TI. Definir o trabalho na forma
de metas permite um controle maior sobre o que feito pela TI. Para que
as metas de TI sejam adequadas, deve haver direcionamento estratgico
expresso na forma de requisitos de negcio (papel desempenhado pelo
cliente e pelo usurio) e um entendimento claro sobre o que precisa ser
entregue (papel desempenhado pelo provedor de TI). nesse ponto que
acontece o alinhamento estratgico.
Uma vez que as metas foram definidas, elas precisam ser monitoradas atravs de mtricas a fim de assegurar que as expectativas esto sendo
atendidas. Para que o cliente entenda as metas da TI, os objetivos e suas
mtricas devem ser expressos em termos de negcio que possam ser facilmente compreendidos. O COBIT possui algumas matrizes que fornecem
uma viso sobre como metas genricas de negcio se relacionam com metas
especficas de processos da TI e com os critrios de informao.

Atividade 1
Complete as lacunas:

1. Os princpios bsicos da Governana so a ____________________, a


____________________ e a ____________________.
2. O COBIT contm muito sobre ____________________ deve ser feito e
____________________ deve ser feito e, por outro lado, contm pouco sobre
____________________ deve ser feito.
3. ____________________ direcionam os investimentos em ____________________ que so
usados por ____________________ para entregar ____________________ que respondem
aos ____________________.

Respostas
1. Os princpios bsicos da Governana so a responsabilidade, a prestao de
contas e a transparncia.
2. O COBIT contm muito sobre o que deve ser e para que deve ser feito e, por
outro lado, contm pouco sobre como deve ser feito.

202 Governana: Gesto, Auditoria e Tecnologia da Informao

8
AULA

3. Requisitos de negcio direcionam os investimentos em recursos de TI que


so usados por processos de TI para entregar informaes empresariais que
respondem aos requisitos de negcio.

Os recursos de TI

ERP (E N T E R RESOURCE
PLANNING)

PRISE

A empresa precisar implementar um conjunto de processos para


atingir as metas de TI. Esses processos consumiro recursos humanos e
infraestrutura tecnolgica. Esses recursos constituem a arquitetura de
TI da empresa.
Para atingir as metas a empresa precisar investir a fim de que os
recursos (pessoas e tecnologias) tenham as capacidades adequadas para
acompanhar as capacidades do negcio, o que dever resultar nas sadas
esperadas. Por exemplo, se uma empresa deseja acelerar o fluxo dos processos de toda sua cadeia produtiva, a fim de entregar mais produtos em
menos tempo, ela poder precisar adquirir ferramentas de automatizao
e integrao de sistemas (aquisio de um ERP, por exemplo) e treinar
seus funcionrios sobre as funcionalidades dessa ferramenta.

Figura 8.3: Recursos humanos da TI.

uma sigla que


representa, em
portugus, sistemas
integrados de gesto
empresarial. Esses
sistemas se popularizaram na dcada de
1980 e tinham como
bandeira a integrao
de todos os sistemas
de informao da
organizao em um
s. Normalmente
esses sistemas possuem vrios mdulos
(financeiro, contbil,
de recursos humanos, de fbrica, de
vendas, de compras,
de marketing, de
relacionamento com
o cliente, etc). Alguns
exemplos de ERP
muito usados pelas
empresas brasileiras
so o SAP, o Microsiga, o Datasul. Na
dcada de 1990, algumas grandes empresas
tambm optaram por
entrar nesse segmento e hoje tambm
possuem sistemas
ERP consolidados no
mercado, tais como a
Oracle e a Microsoft.
Hoje existem solues
de ERP no mercado
para praticamente
todos os tipos e tamanhos de empresa.
Alm disso, em raras
excees, algumas
empresas optam por
desenvolver em casa o
seu prprio ERP.

CEC I E R J E X T E N S O E M G O V E R N A N A

203

Governana em Tecnologia da Informao

| Introduo ao COBIT v4.1 Parte 1

No COBIT os recursos de TI so descritos como


aplicaes, como informao, como infraestrutura tecnolgica ou como pessoas. Entende-se por aplicaes sistemas
automatizados que processam a informao. Informao o
resultado dos dados nas mais variadas formas aps serem
processados. A infraestrutura tecnolgica toda forma de
hardware, software, sistema operacional, sistemas de gerenciamento de banco de dados, equipamentos de redes e mdias
alm do prprio ambiente que suporta a infraestrutura. esta
Figura 8.4: Informao globalizada.

infraestrutura tecnolgica que permite o processamento pelas


aplicaes. As pessoas so necessrias para planejar, organi-

zar, adquirir, implementar, entregar, dar suporte, monitorar e avaliar as


aplicaes e a tecnologia utilizadas para oferecer os servios. Os recursos
humanos podem ser internos, terceirizados ou contratados sob demanda.
Assim, repetindo, os recursos da TI segundo o COBIT so:
Aplicaes.
Informao.
Infraestrutura.
Pessoas.

Critrios de informao
Uma das caractersticas mais curiosas do COBIT sua abordagem
baseada na informao e nos chamados critrios de informao. Voc
deve estar se perguntando o que seriam (ou quais seriam) esses critrios.
Bem, para satisfazer os objetivos de negcio, a informao precisa ser
adequada a certos critrios de controle, aos quais o COBIT se refere
como requisitos de negcio para a informao. Com base em filosofias
e em reas distintas como a qualidade, a segurana da informao e a
rea financeira, foram definidos sete critrios. So eles:

204 Governana: Gesto, Auditoria e Tecnologia da Informao

Eficcia

AULA

A eficcia lida com a relevncia e a pertinncia da informao,


ou seja, garante que a informao processada de fato aquela
que precisa ser processada para manter o negcio.
Eficincia
A eficincia diz respeito otimizao na utilizao de recursos
para processar a informao, ou seja, garante que a informao
seja processada em menos tempo, com menos pessoas etc.
Confidencialidade
Garantia de que a informao sensvel ser protegida contra
acessos no autorizados.
Integridade
Garantia de que a informao fornecida ser exata e completa.
Disponibilidade
Garantia de que a informao necessria estar disponvel no
momento em que ela for necessria.
Conformidade
Garante que a informao atenda aos objetivos da legislao
pertinente e aos arranjos contratuais. A conformidade trata de
fatores externos, tais como normas, regulamentos e leis do setor,
externos e internos, tais como contratos e outros arranjos estabelecidos com clientes, fornecedores e parceiros.
Confiabilidade
Garante que a informao necessria ser gerada de maneira
apropriada para que os responsveis pelo negcio possam desempenhar o seu papel e cumprir as suas responsabilidades.

CEC I E R J E X T E N S O E M G O V E R N A N A

205

Governana em Tecnologia da Informao

| Introduo ao COBIT v4.1 Parte 1

Atividade 2
1. Qual dos itens abaixo no um tipo de recurso de TI segundo o COBIT?
a. ( ) Aplicaes.
b. ( ) Informao.
c. ( ) Relatrios.
d. ( ) Pessoas.

2. So critrios de informao no COBIT?


a. ( ) Eficincia e autorizao.
b. ( ) Continuidade e disponibilidade.
c. ( ) Integridade e quantidade.
d. ( ) Disponibilidade e confiabilidade.
3. Complete as lacunas:
O atendimento conformidade regulatria pode ser uma exigncia externa, tal como
uma ____________________ ou um ____________________ do setor ou uma exigncia
interna, tal como um ____________________ estabelecido com um ____________________,
____________________ ou ____________________.

Respostas
1. Letra c. Os tipos de informao so as aplicaes, a informao, a infra-estrutura
tecnologia e as pessoas.
2. Letra d. So sete os critrios: eficincia e a eficcia; confidencialidade, integridade e disponibilidade; confiabilidade e conformidade regulatria.
3. O atendimento conformidade regulatria pode ser uma exigncia externa, tal
como uma lei ou um regulamento do setor ou uma exigncia interna, tal como um
contrato estabelecido com um terceiro, parceiro ou cliente.

reas de processos e indicadores


Uma dvida que voc pode estar guardando at agora : O que
vem a ser exatamente uma rea de processo? fato que a estrutura
do COBIT toda orientada a processos. Tudo nele foi escrito com
base nos processos, assim como definimos nas primeiras aulas.
Chamamos de reas de processo e no processos simplesmente, porque o COBIT no contm a descrio de nenhum
processo a exemplo do que acontece na ITIL. Em cada rea so
descritas informaes diversas, tais como a sua relevncia segundo
as reas foco da Governana em TI (que sero estudadas ainda
nesta aula), um resumo das metas de TI, das metas de processo e
Figura 8. 5: Indicadores de desempenho.
206 Governana: Gesto, Auditoria e Tecnologia da Informao

das atividades mais importantes, alm de um resumo das mtricas. Estu-

AULA

daremos em detalhes cada um destes itens em nossa prxima aula.


Note que as reas de processo possuem objetivos de controle bem
definidos no COBIT. So um total de 34 reas de processo e 210 objetivos de controle divididos entre essas reas. Cada um desses objetivos de
controle identificado por duas letras que se referem ao domnio (PO,
AI, DS e ME) e dois nmeros separados por um ponto. Por exemplo, o
objetivo de controle PO1.2 o objetivo nmero dois da rea nmero
um do domnio de planejamento e organizao. A propsito, trata-se do
objetivo gerenciamento de valor da TI (IT value management) da rea
definir um plano estratgico da TI (Define a strategic IT plan) do domnio PO (Plan and organise). Assim como o PO1.2, existem no COBIT
outros 210 objetivos de controle. Voc acha que muita informao?
De fato talvez seja, mas como ele foi construdo para servir de material
de consulta no dia a dia e tambm para ser amigvel, o COBIT cumpre
um papel importantssimo na Governana.
Falaremos mais sobre cada uma das reas de processo nas prximas
aulas. Por hora, precisamos ressaltar que, alm dos objetivos de controle
considerados especficos, o COBIT' tambm possui objetivos genricos,
ou seja, aqueles objetivos que devem ser atendidos por todos os 210 processos de todas as 34 reas de todos os quatro domnios (fique tranquilo,
pois ainda iremos estud-los nessa aula).
Os objetivos de controle genricos so identificados por PCn
(Process Control number). So seis os objetivos de controle genricos
de todos os processos, a saber:
PC1 Objetivos e metas de processo.
PC2 Propriedade do processo.
PC3 Repetitividade do processo.
PC4 Papis e responsabilidades.
PC5 Poltica, planos e procedimentos.
PC6 Melhoria de desempenho do processo.

CEC I E R J E X T E N S O E M G O V E R N A N A

207

Governana em Tecnologia da Informao

| Introduo ao COBIT v4.1 Parte 1

Perceba que isso algo muito parecido com o que j havamos


visto no caso da ITIL. Ora, parecido justamente porque esses modelos
de boas prticas, controles, normas etc. so sempre revisados para serem,
at certo ponto, compatveis uns com os outros. Ento, o que os objetivos
de controle genrico esto querendo dizer que todo processo precisa ter
metas e objetivos; precisa ter um responsvel por ele; precisa ter bem definidos os seus papis e as suas responsabilidades; precisa ser adequadamente
documentado e detalhado na forma de polticas, planos e procedimentos;
precisa possuir mtricas para que tenha seu desempenho medido e para
que possa melhorar continuamente; e precisa ser repetitvel.
Opa! O que significa repetitvel? Esse realmente um termo
novo no contexto das nossas aulas (mas no nem um pouco novo no
contexto de boas prticas). Essa terminologia j vem sendo adotada
principalmente na rea da qualidade. Um processo repetitvel quando
ele pode ser repetido (bvio) para produzir os mesmos resultados, ou
seja, quando um processo pode ser repetido 1.000 vezes e, sob as mesmas condies, produz o mesmo resultado 1.000 vezes. Outro termo
s vezes mencionado a reprodutividade. Diz respeito ao fato de que
o processo pode ser repetido por 1.000 pessoas diferentes e produzir o
mesmo resultado sempre. O COBIT utiliza o termo repetitividade para
ambos os casos.
O.K. E quanto melhoria contnua? Ora, j sabemos a essa altura
que o processo precisa ser medido e j vimos que as medies acontecem
de acordo com os indicadores de desempenho. O COBIT traz um novo
tipo de indicador, que o indicador de meta COBIT. Alm disso, ele
tambm descreve os fatores crticos de sucesso. Os principais indicadores
do COBIT so:
Indicadores-chave de meta
Os indicadores de meta medem o nvel de desempenho do
processo no que diz respeito ao alcance de uma meta de mais
alto nvel (metas de negcio referentes estratgia). Em ingls
os indicadores de meta so conhecidos como KGIs (Key Goal
Indicators).
Indicadores-chave de desempenho
Os indicadores de desempenho possuem o mesmo significado
que possuam na ITIL. Eles determinam mtricas para mensurar

208 Governana: Gesto, Auditoria e Tecnologia da Informao

at que ponto o processo est atingindo os objetivos ttico-

AULA

operacionais inicialmente definidos (metas de processo referentes operao). Em ingls, voc deve lembrar, os indicadores
de desempenho so conhecidos com KPIs (Key Performance
Indicators).

Fatores crticos de sucesso


Os fatores crticos de sucesso (Critical Success Factors) dizem
respeito a algo sem o qual os processos no podero ser nem eficientes
nem eficazes. Como a prpria expresso indica, so fatores crticos e,
para eles, no existe meio termo. Ou so cumpridos ou o fracasso ser
rpido e certo!
importante que voc entenda a diferena entre os indicadores
de meta e os indicadores de desempenho. Lembra-se da ideia de que um
processo pode ser muito eficiente sem ser eficaz e vice-versa? mais ou
menos por a...
Vamos analisar um exemplo concreto. Imagine um processo que
tenha como meta (de processo) a deteco, anlise e gerenciamento dos
acessos aos sistemas de TI. Por trs dessa meta podem existir metas de alto
nvel bem claras, como evitar ataques de hackers (meta de TI) e manter
a reputao da empresa perante aos seus clientes (meta de negcio).
Pois bem, imagine ainda que esse processo est indo muito bem
no que diz respeito deteco, anlise e gerenciamento dos acessos.
Nesse caso, podemos dizer que o processo est atingindo os seus objetivos? A resposta : depende... E esse o ponto! A empresa pode no
estar gozando de uma boa reputao perante os clientes por conta de
produtos de m qualidade que foram vendidos ou os hackers em questo
podem estar invadindo a empresa usando tcnicas de engenharia social,
por exemplo. Tudo isso a despeito do fato de que os acessos esto todos
sendo monitorados perfeitamente.
Entendeu agora porque os processos precisam de dois tipos de
indicadores? Os indicadores de desempenho esto ligados aos objetivos
operacionais que o processo visa a atingir (no caso acima, monitorar
todos os acessos). J os indicadores de meta esto ligados aos objetivos
estratgicos que, atravs do processo, a empresa visa a atingir (no caso
acima, preservar a imagem e impedir ataques de hackers). Os indicadores
ajudaro a empresa a se manter sempre na direo correta.

CEC I E R J E X T E N S O E M G O V E R N A N A

209

Governana em Tecnologia da Informao

| Introduo ao COBIT v4.1 Parte 1

Com relao aos fatores crticos, devemos ressaltar que eles so


definidos atravs do estudo dos objetivos da organizao e deles so
derivados. Quando bem definidos, eles se tornam um ponto de referncia para tudo o que h na organizao. Ou seja, qualquer coisa pode
acontecer, menos deixar de cumprir aquilo que um fator crtico de
sucesso. Algumas empresas definem seus fatores crticos com base na
sua misso, viso e valores.

Atividade 3
1. O que mede o indicador-chave de meta?
a. (
b. (
c. (
d. (

) Nveis de maturidade.
) Desempenho dos processos.
) Grau de controle.
) Alcance de objetivos.

2. O que mede o indicador-chave de desempenho?


a. (
b. (
c. (
d. (

) Nveis de maturidade.
) Desempenho dos processos.
) Grau de controle.
) Alcance de objetivos.

Respostas
1. Letra d. O indicador de meta est relacionado eficcia do processo, ou seja,
aos objetivos finais que precisam ser alcanados atravs do processo.
2. Letra b. O indicador de desempenho est relacionado eficincia do processo,
ou seja, ao desempenho obtido ao executar suas atividades.

DOMNIOS DO COBIT
A maior parte do contedo do COBIT v4.1 composta pela descrio de 210 objetivos de controle divididos em 34 reas de processo.
Essas 34 reas so, por sua vez, divididas em domnios que, de certa
forma, tambm obedecem mesma filosofia da melhoria contnua.
Note que a TI dever perseguir a melhoria contnua de cada um
dos 210 processos. Por outro lado, a melhoria de todos os processos dentro de um domnio (PO, AI, DS ou ME), tambm significar um esforo

210 Governana: Gesto, Auditoria e Tecnologia da Informao

maior de melhoria contnua. Observe que, nesse caso, a ideia da melhoria

AULA

contnua est presente de maneira recursiva e sistmica e que, no fundo,


temos mais uma vez presente a filosofia do famoso ciclo PDCA.

METAS E OBJETIVOS DE NEGCIO

INFORMAO

ME

Eficincia,
Efetividade,
Conformidade
regulatria e
Confiabilidade

Integridade,
Disponibilidade e Confidencialidade

PO
Planejar e organizar

Monitorar e avaliar

DS

AI
Adquirir e implementar

Entregar e dar suporte

Figura 8.6: Ciclo de processos segundo os domnios do COBIT.

Planejar e organizar (PO)


O domnio de planejamento e organizao (PO Plan and organise) cobre as estratgias e tticas da empresa e lida com questes sobre
como a TI pode contribuir melhor para atingir as metas de negcio.
A realizao da viso estratgica precisa ser planejada, comunicada e
gerenciada sob diferentes perspectivas. Segundo o COBIT, os processos
do domnio PO lidam diretamente com questes como:
A TI e a estratgia do negcio esto alinhadas?
A empresa est atingindo um timo uso de seus recursos?
Todos na empresa entendem as metas e objetivos da TI?
Os riscos para a TI so entendidos e gerenciados?
A qualidade dos sistemas de TI adequada s necessidades de negcio?

CEC I E R J E X T E N S O E M G O V E R N A N A

211

Governana em Tecnologia da Informao

| Introduo ao COBIT v4.1 Parte 1

Adquirir e implementar (AI)


Para realizar as estratgias de TI, as solues de TI precisam ser
identificadas, desenvolvidas (ou adquiridas) e colocadas em produo.
Alm disso, para atingir o mesmo objetivo, mudanas e manutenes
precisam ser realizadas de forma planejada. Segundo o COBIT, so
os processos do domnio de aquisio e implementao (AI Acquire
and implement), que lidam com estes itens. Estes processos respondem
a questes como:
Os novos projetos so selecionados de forma a entregar
produtos e servios que satisfaam s metas de negcio?
Os novos projetos so selecionados de forma a entregar
produtos e servios no tempo acordado e dentro do
oramento?
Os novos produtos e servios, quando em produo,
atendero s funcionalidades inicialmente previstas pelo
usurio?
As mudanas no ambiente produo sero feitas sem
impactos nos negcios em andamento?

Entregar e dar suporte (DS)


O domnio de entregar e dar suporte (DS Deliver and support) lida
com a real efetivao dos servios. Isso inclui a entrega, o gerenciamento
da segurana e da continuidade, o suporte ao usurio, o gerenciamento de
dados e outras facilidades operacionais. Segundo o COBIT, os processos
do domnio DS lidam diretamente com questes como:
Os servios de TI esto sendo entregues de acordo com
as prioridades do negcio?
Os custos da TI esto sendo otimizados?
A fora de trabalho capaz de usar os sistemas de TI de
forma segura e produtiva?
So garantidos os princpios de segurana da informao,
tais como a confidencialidade, a integridade e a disponibilidade?

212 Governana: Gesto, Auditoria e Tecnologia da Informao

AULA

Monitorar e avaliar (ME)


Todos os processos de TI precisam ser avaliados regularmente
segundo critrios de qualidade e conformidade regulatria. Os processos
do domnio de monitoramente e avaliao (ME Monitor and evaluate)
possuem atividades de gerenciamento do desempenho, monitoramento
do controle interno, conformidade regulatria e Governana em TI.
Segundo o COBIT, os processos desse domnio lidam diretamente com
questes como:
O desempenho da TI medido para detector problemas
antes que seja tarde demais?
O gerenciamento assegura que os controles internos so
eficientes e eficazes?
Os resultados da TI podem ser mapeados em metas de
negcio?
Existem controles adequados segurana da informao
com relao a confidencialidade, integridade e disponibilidade?

Atividade 4
Os domnios do COBIT so apresentados na forma de um ciclo que se assemelha
ao ciclo PDCA. Que paralelo pode ser feito entre os quatro domnios e o ciclo?

Resposta
Embora parea muito bvio, deve-se atentar para o fato de que relacionamento no
do tipo um-para-um simplesmente. O domnio PO possui processos cujas atividades tm mais a ver com o P (Plan) do PDCA. J os domnios AI e DS esto mais
relacionados ao D (Do) do ciclo PDCA. O ME tem a ver tanto com o C (Check),

CEC I E R J E X T E N S O E M G O V E R N A N A

213

Governana em Tecnologia da Informao

| Introduo ao COBIT v4.1 Parte 1

quanto com o A (Act). Vale ressaltar que o A (Act) acontece propriamente


no momento em que as informaes de negcio orientam a empresa a tomar
decises sobre quais metas de negcio so as mais adequadas. Ou seja, no
momento em que a informao orientar os requisitos de negcio que, por sua
vez, direcionaro investimentos em recursos de TI, que sero utilizados pelos
processos de TI. E o ciclo recomea.

CONCLUSO
No incio dessa aula dissemos que a evoluo do COBIT aconteceu ao longo dos anos de modo a deixar para trs o modelo baseado no controle e auditoria para passar a ser um modelo baseado em
Governana. Mas o controle no necessrio? Claro que . No s
necessrio como o COBIT estudado como um conjunto de controles
para a rea de TI. Mas qual o mistrio afinal? O COBIT ou no
um conjunto de controles?
A diferena sutil mais uma vez. Sutil, porm extremamente
importante. O fato que o COBIT, principalmente da verso 4 em diante, passou a ter controles definidos e orientados pelas metas e objetivos
de negcio. Percebeu agora a diferena? A TI continua sendo controlada
e auditada, porm, o controle parte de objetivos diretamente ligados s
metas da organizao. Essa a chave do alinhamento estratgico e a
principal ideia dessa aula.
Esperamos que voc tenha entendido que o COBIT um documento mais voltado para o negcio cujo contedo foi escrito para ser
interpretado por pessoas com perfis diferenciados, principalmente da
rea executiva, que tm como misso garantir o alinhamento das metas
da TI com as metas de negcio.

214 Governana: Gesto, Auditoria e Tecnologia da Informao

8
AULA

Vamos discutir os assuntos desta aula no frum desta semana?


Ttulo: COBIT versus Governana em TI: Quanto ele importante?
Objetivo: Se voc ainda tem dvidas sobre como concretizar a Governana de TI na sua empresa, saiba que voc no deve estar sozinho.
Esse tipo de sentimento muito comum e praticamente todas as
organizaes encontram dificuldades na hora de colocar em prtica a
teoria apresentada no COBIT. Os comentrios so sempre parecidos:
A teoria relativamente simples, mas a prtica nem tanto. Pois bem,
nesse frum vamos trocar ideias e discutir a prtica da Governana
nas empresas!

Atividade online
2
Como as empresas tm implementado a Governana em TI? V sala de aula vir- 1
tual e resolva a atividade proposta pelo tutor. O objetivo da atividade , atravs de
pesquisa e consulta bibliografia, estudar alguns casos reais de projetos de Governana.

RESUMO

O COBIT pode ser visto como um modelo com objetivos de controle para
a TI voltados para o alinhamento estratgico e Governana.
Os princpios da Governana herdados do COSO pelo COBIT so a
responsabilidade, a prestao de contas e a transparncia.
Os recursos da TI so classificados no COBIT como aplicaes, informao,
infraestrutura tecnolgica e pessoas.
Os critrios de informao so a eficincia, a eficcia, a confidencialidade,
a integridade, a disponibilidade, a confiabilidade e a conformidade
regulatria.
O COBIT possui um conjunto de 210 objetivos de controle divididos em
34 reas de processo.
As 34 reas de processo do COBIT so agrupadas em quatro domnios
que representam um ciclo semelhante ao ciclo PDCA.

CEC I E R J E X T E N S O E M G O V E R N A N A

215

Governana em Tecnologia da Informao

| Introduo ao COBIT v4.1 Parte 1

Requisitos de negcio direcionam investimento em recursos de TI.


Recursos de TI so utilizados por processo de TI. Processos de TI entregam
informao que atendem aos critrios de informao. A informao
utilizada para gerar requisitos de negcio.

Informaes sobre a prxima aula


Na prxima aula vamos nos aprofundar ainda mais nos estudos do COBIT.
Nesta aula vamos explicar o conceito de maturidade em reas de processo,
falar das reas foco da Governana em TI segundo o COBIT e discutir a sua
viso integrada, ou seja, como todos os conceitos que acabamos de estudar
aqui, e outros que estudaremos, se integram na prtica. Tambm falaremos
a respeito de outras publicaes complementares ao COBIT v4.1.
Ns nos veremos na prxima aula! At breve.

Atividades Finais
1. A melhor definio para o COBIT seria:
a. um conjunto de boas prticas para a TI que contm 34 objetivos de
controle divididos em 04 domnios.
b. um conjunto de controles para a TI que contm 210 objetivos de controle
divididos em 34 domnios.
c. um conjunto de boas prticas para a TI que contm 34 objetivos de controle
divididos em 04 reas de processo.
d. um conjunto de controles para a TI que contm 210 objetivos de controle
divididos em 34 reas de processo.

216 Governana: Gesto, Auditoria e Tecnologia da Informao

8
AULA

2. Como o COBIT pode ser usado em uma empresa em conjunto com outros
padres e boas prticas tais como a ITIL v.3 e a ISO 27000?
a. Para melhorar o entendimento desses padres.
b. Como um guia para a escolha ou no destes modelos.
c. Para validar a correo de cada modelo.
d.. Como uma segunda viso sobre os mesmos assuntos.
3. O COBIT v.4.1 promove um elo entre:
a. Expectativas dos gestores e responsabilidades da TI.
b. Expectativas de auditores e responsabilidade dos gestores.
c.. Expectativas do pessoal de TI e responsabilidades dos auditores.
d. Expectativas do pessoal de TI e responsabilidade dos gestores.
4. (Analista do MPE-SE FCC/2009) A correta correspondncia entre uma dimenso do
modelo COBIT (cubo) e um de seus elementos dimensionais, respectivamente,
a. Information Criteria e Fiduciary.
b. IT Process e Quality.
c. IT Process e People.
d. IT Resources e Fiduciary.
e. Information Criteria e Process.
5. Explique o que so os domnios, os objetivos de controle e as reas de processo
do COBIT v.4.1.

6. Analise a afirmao: Fatores crticos de sucesso so mais adequados para auxiliar


na implantao de controles gerenciais da TI durante mudanas organizacionais do
que os indicadores de meta.

CEC I E R J E X T E N S O E M G O V E R N A N A

217

Governana em Tecnologia da Informao

| Introduo ao COBIT v4.1 Parte 1

7. (Analista Judicirio do TRT-15 FCC/2009) NO um domnio de governana


no framework do COBIT:
a. monitorao.
b. requisitos e processos.
c. aquisio e implementao.
d. planejamento e organizao.
e. entrega e suporte.
8. (Analista rea 2 BACEN FCC/2006) Com relao ao framework de auditoria
de tecnologia da informao COBIT, a definio correta dos Key Performance
Indicators :
a. So aqueles que definem as medies que dizem gerncia se atingiram
ou no seu objetivo final acordado com as reas de negcio.
b. So aqueles que definem as questes ou aes mais importantes que a
gerncia deve controlar sob os pontos de vista estratgico, tcnico, organizacional ou procedural.
c. So aqueles que consistem no desenvolvimento de um mtodo de pontuao
em que a organizao pode proceder auto-avaliao.
d. So aqueles que definem medies que determinam quo bem os processos
de tecnologia da informao esto desempenhando seu papel em alcanar
os objetivos propostos.
e. So aqueles que definem as mudanas necessrias ao desempenho dos processos de negcio, aps serem constatadas falhas que levaram a problemas
nestes processos.
9. (Unio ESAF/2008) Com relao padronizao, medio e controle de processos,
correto afirmar que uma organizao deve
a. medir o conjunto de prticas, procedimentos e polticas organizacionais, garantindo que os objetivos do negcio sejam atingidos.
b. medir os processos com nvel de maturidade mais baixos para definir a estratgia da organizao.
c. implementar indicadores de desempenho visando medies que informam
alta administrao o quanto os processos esto sendo bem executados, no
sentido de viabilizar o atendimento dos objetivos de negcios.
d. medir a diagonal principal da matriz de responsabilidades, com o objetivo de
associar os papis s suas responsabilidades.
e. ignorar sua situao atual e identificar pontos onde possvel a implantao
de uma melhoria.

218 Governana: Gesto, Auditoria e Tecnologia da Informao

8
AULA

Repostas
1. Alternativa d. O COBIT contm 210 objetivos de controle divididos em 34
reas de processo. As 34 reas de processo so divididas em 04 domnios.
2. Alternativa b. O COBIT abrange todas as reas que os outros modelos abordam. Ele servir como um guia mais estratgico a ser utilizado pelos gestores do
negcio a fim de definir onde e por que a TI deve melhorar. Uma vez que essa
deciso tenha sido tomada, podero entrar em cena (ou no) outros padres,
normas e boas prticas.
3. Alternativa a. As expectativas dos gestores da empresa so o reflexo dos requisitos de negcio. O gerenciamento dos processos de TI responsabilidade da TI que
deve ser cumprida para que as expectativas da alta direo sejam atendidas.
4. Alternativa a. Examinar o cubo do COBIT e lembrar que os critrios de informao foram baseados em trs reas: qualidade (quality), financeira (fiduciary)
e segurana (security).
5. Os domnios so agrupamentos das reas de processo de acordo com as
similaridades de seus objetivos. Na verso 4.1 do COBIT, eles so quatro (PO, AI,
DS e ME) e normalmente so representados segundo um ciclo que se assemelha
muito ao ciclo PDCA. As reas de processo da TI so reas para as quais devem
existir processos bem definidos. So 34 reas divididas nos quatro domnios que
abordam (ou pretendem abordar) todos os aspectos da TI. Os objetivos de controle
representam as metas a serem alcanadas pelos processos de cada rea. Na verso
4.1 h 210 objetivos de controle divididos nas 34 reas de processo.
6. Afirmao falsa. Fatores crticos de sucesso so itens que devem ser atendidos para
que as mudanas citadas possam ocorrer (condio sine qua non). Os indicadores
de meta so mais adequados quando se quer mensurar resultados da execuo de
processo. E o que se quer no proposto (implantao de controles gerenciais).
7. Alternativa b. So 04 domnios do COBIT e requisitos e processos no um
deles.
8. Alternativa d. Decorre diretamente da definio de indicador-chave de desempenho.
9. Alternativa c. So os indicadores-chave os responsveis por tornar efetiva a
padronizao, medio e controle de processos.

CEC I E R J E X T E N S O E M G O V E R N A N A

219

AULA

Introduo ao COBIT v4.1 Parte 2

Meta da aula

objetivos

Explicar os conceitos iniciais

sobre o COBIT .

Ao final desta aula, voc dever ser capaz de:


1

identificar, listar e explicar os principais conceitos

sobre o COBIT tais como: gesto por objetivos,


metas e reas foco de governana;

listar os nveis de maturidade do COBIT e explicar


por que eles so importantes.

Pr-requisitos
So pr-requisitos para esta aula: ter atingido os objetivos das primeiras aulas que tratam do planejamento
estratgico, da Governana em TI e das duas verses
da ITIL, a saber, a verso 2 e a verso 3. Alm disso,
primordial ter entendido plenamente os conceitos des
critos na aula de introduo ao COBIT .

Governana em Tecnologia da Informao

| Introduo ao COBIT V4.1 Parte 2

INTRODUO

Na ltima aula ns comeamos a estudar o COBIT.


Foram explicados vrios conceitos, mas, antes de
entrarmos no estudo das reas de processo e dos objetivos de controle propriamente ditos, existem outros
conceitos importantes a serem estudados. Estudaremos
esses conceitos nessa aula.

A esta altura voc j conhece muita coisa sobre a filosofia do COBIT , sobre
a sua evoluo e sobre alguns de seus principais conceitos. Nesta aula vamos
explicar outros conceitos importantes relacionados integrao de tudo que

foi visto e aplicao do COBIT e de seus objetivos de controle na prtica.

VISO INTEGRADA DO COBIT


O modelo do

Processos

Atividades
Re

COBIT pode ser aplicado de vrias maneiras


diferentes dentro de uma
empresa. Porm, qualquer que seja a aborda-

Pessoas

Infraestrutura

Aplicaes

Processos de TI

Domnios

Informao

Requisitos de Negcio
de de ade ade ade
a
ia lid a lid id
id
cia nc ncia grid ibi rm abil

n fo fi
c ci e
e
Efi Efi nfid Int ispo on on
C
C
D
Co

gem escolhida, o mais


importante que todos
os envolvidos em um
projeto de implantao
de processos visando
Governana em TI

cu

Figura 9.1: Cubo do COBIT.


222 Governana: Gesto, Auditoria e Tecnologia da Informao

s
rso

de

TI

tenham entendimento
muito claro sobre os conceitos que estamos abordando.

Uma forma que o COBIT encontrou para permitir a melhor

AULA

visualizao de seus conceitos foi o agrupamento de vrias informaes


em uma figura no formato de cubo. Essa figura famosa como o cubo

da Governana do COBIT . Voc o conhece?


Voc deve se lembrar das quatro entidades principais do ciclo

bsico do COBIT : requisitos de negcio, recursos de TI, processos de


TI e a prpria informao. Perceba que esta ltima aparece tanto na face

superior do cubo, na forma dos sete critrios definidos pelo COBIT ,


quanto na face lateral, como um dos tipos de recursos de TI.

Observe os seguintes fatos: em primeiro lugar, no COBIT os


recursos de TI so agrupados em aplicaes, informao, infraestrutura e pessoas. Essa ideia representada pela face lateral da Figura 9.1.
Em segundo lugar, os processos de TI so agrupados em quatro domnios
(Planejar e organizar, Adquirir e implementar, Entregar e dar suporte,
Monitorar e avaliar) e so efetivados na prtica na forma de atividades
ordenadas. Essa ideia representada na face frontal do cubo. E, por ltimo,
os requisitos de negcio so definidos a partir das informaes que devem
atender aos critrios de eficcia, eficincia, confidencialidade, integridade,
disponibilidade, conformidade regulatria e confiabilidade. Isso representado na face superior do nosso cubo da Governana em TI.
Alm de tudo isso, observando as arestas, podemos novamente nos

lembrar dos princpios do ciclo bsico do COBIT , onde os requisitos


de negcio vo direcionar investimentos em recursos de TI; os recursos
de TI iro, por sua vez, ser utilizados pelos diversos processos de TI; os
processos de TI entregaro informaes que devero atender aos critrios de informao; e, finalmente, a informao ser utilizada para gerar
os requisitos de negcio. E o ciclo se repetir indefinidamente, sempre
visando melhoria contnua.
Mas onde est a ideia de integrao neste cubo? O mais importante que o cubo traz uma informao visual de vrios dos principais

conceitos do COBIT e uma maneira rpida de ter uma viso global

de sua filosofia. Depois, vale lembrar que o COBIT tambm herdou


do COSO essa caracterstica de representar vrias informaes em uma
mesma imagem. O COSO tambm tem o seu cubo da Governana,
embora, neste caso, o foco dele no seja a Tecnologia da Informao.

CEC I E R J E X T E N S O E M G O V E R N A N A

223

Governana em Tecnologia da Informao

| Introduo ao COBIT V4.1 Parte 2

Em 1992, o COSO publicou seu modelo de controles internos integrados (COSO Report: Internal Control An Integrated Framework).
Este modelo abordava 26 princpios do controle interno, entre eles,
Integridade e valores ticos; Importncia do corpo de diretores;
Tecnologia da Informao etc. O modelo do COSO tambm possua
um cubo onde os 26 princpios eram associados a cinco componentes: Monitoramento, Informao e Comunicao, Atividades de
controle, Avaliao de risco e Ambiente de controle (face frontal).
Alm disso, os objetivos do controle interno esto divididos em
Operacionais, Relatrio financeiro e Conformidade regulatria
(face superior), e os controles devem ser implementados em todas
as reas de negcio, Unidades organizacionais e Atividades da
empresa (face lateral). Voc pode obter mais informaes sobre
o COSO no site http://www.coso.org/. Esse site foi acessado em 1
de novembro de 2009.

OPE

ES

E
IA
IO CEIRO MIDADLATR
R
AT AN ONFOR REGU
REL FIN

ATIVIDADE 2

ATIVIDADES de CONTROLE

UNIDADE A

INFORMAO E COMUNICAO

ATIVIDADE 1

MONITORAMENTO
UNIDADE B

A expresso gerenciamento por


objetivos (MBO
Management by
Objectives) foi popularizada por Peter
Drucker na dcada
de 1960. A essncia
dessa expresso est
no fato de que o
controle e a auditoria devem se basear
nos objetivos finais
de cada ao, e no
em procedimentos
operacionais. Todos
os envolvidos nos
processos da empresa precisam estar
cientes de como cada
atividade contribui
para o alcance de
metas. Foi a partir
dessa filosofia que
surgiu a ideia de
que os objetivos
devem ser especficos, mensurveis,
possveis, relevantes
e com prazo bem
determinado. Esses
parmetros deram
origem ao acrnimo
SMART (Specific,
Measurable, Achievable, Relevant and
Time bound).

AVALIAO de RISCO
AMBIENTE de CONTROLE
Figura 9.2: Cubo do COSO.

Controle e gesto por objetivos


Uma outra ideia central no contexto da Governana (e necessria
para que voc entenda bem todos os conceitos) a do gerenciamento por
objetivos em ingls, MBO (Management by Objectives).

224 Governana: Gesto, Auditoria e Tecnologia da Informao

ticas e estruturas organizacionais desenvolvidas para dar uma garantia


razovel de que os objetivos de negcio sero atingidos e de que os eventos indesejveis sero prevenidos ou corrigidos. Desse modo, quando
dizemos que o COBIT um conjunto de objetivos de controle para a TI,
estamos dizendo que ele auxilia a empresa a controlar as atividades de TI
com foco em algo maior, que so as metas de negcio a serem alcanadas
por meio dos processos. Embora voc possa pensar que isso seja bvio,
esta tem sido a principal dificuldade da maioria das empresas no que
diz respeito efetivao do alinhamento estratgico da TI. Na verdade,
a ideia at simples, mas a execuo dela no to simples.
Voc j consegue perceber diferenas entre a ITIL e o COBIT?
Uma das vrias diferenas que podemos encontrar no COBIT controles
para processos que a ITIL nem mesmo cita ou, quando faz isso, no
faz com o mesmo nvel de profundidade e relevncia. Como exemplo
podemos citar processos como Definir um plano estratgico de TI (PO1),
Determinar a direo tecnolgica (PO2), Gerenciar os recursos humanos
de TI (PO7), Gerenciar projetos de TI (PO10), Gerenciar o ambiente
fsico (DS12), Assegurar a conformidade com requisitos externos (ME3)

PROJETOS

O conceito de projetos e operaes


muito forte no mbito das boas prticas
de gerenciamento de
projetos, sobretudo
no Guia PMBOK.
Costuma-se dizer
que tudo que acontece na empresa
acontece na forma
de projetos ou na
forma de operaes.
Projetos tm incio,
meio e fim bem definidos e geram um
produto ou servio
cujas caractersticas
so singulares. J
as operaes no
tm necessariamente um fim e geram
resultados que no
so necessariamente
exclusivos, ou seja,
existem para gerar
o mesmo resultado
continuamente.

e (ME4).
Note que so processos mais ligados direo da TI e ao seu alinhamento com o negcio. Esta uma outra diferena: a ITIL no tem
preocupaes relativas gesto executiva da TI e ao seu gerenciamento
estratgico, muito embora ela contribua bastante para isso.
Voc deve ter sempre em mente que, mesmo quando um processo aparece tanto no COBIT quanto na ITIL, isso acontece de forma
muito diferente. O contedo do COBIT voltado para o controle,
gerenciamento e medio de cada processo. Seu foco est na tomada
de deciso estratgica e alinhamento da TI com as metas de negcio. J
o contedo da ITIL mais voltado para a construo e execuo do
processo em si, isto , l encontramos informaes sobre quais so as
principais entradas do processo, quais so as suas principais atividades
e quais so as suas principais sadas. A ITIL, por exemplo, define claramente alguns indicadores de desempenho do processo, mas no trata
dos indicadores de meta do processo. No fique ansioso, pois voc ter
ainda nesta aula mais uma oportunidade de entender essas diferenas
no item em que abordaremos a aplicao do COBIT.

CEC I E R J E X T E N S O E M G O V E R N A N A

225

OPERAES e

AULA

Segundo o COBIT, controles so um conjunto de polticas, pr-

Governana em Tecnologia da Informao

Meta de Negcio

Manter a reputao
da empresa e
liderana no
mercado

Medida por meio de...

Nmero de
incidentes que se
tornaram pblicos

| Introduo ao COBIT V4.1 Parte 2

Meta de TI

Meta de Processo

Assegurar que
os servios de TI
podem resistir a
ataques

Medida por meio de...

Detectar e
solucionar acesso
no autorizado aos
recursos de TI

Meta de Atividade

Entender requisitos
de segurana,
vulnerabilidade e
ameaas

Medida por meio de...

Medida por meio de...

Nmero de
incidentes devido a
acesso no
autorizados

Frequncia de
reviso dos eventos
a serem
monitorados

Nmero de
incidentes de TI
com impacto no
negcio

Figura 9.3: Relao entre metas de negcio e metas de TI.

A relao entre metas de negcio, metas de TI, metas de processo


e metas de atividade simples. As metas de negcio so geradas conforme os requisitos de negcio, que por sua vez so motivados por fatores
internos ou externos organizao (presses de mercado, necessidade
de inovao tecnolgica, novos produtos substitutos, conformidade
regulatria etc). So as metas de negcio que do origem s metas de TI
(lembre-se de que a partir do plano estratgico da empresa que o PDTI
desenvolvido). A partir disso, a empresa constri e implementa processos
que daro origem s suas prprias metas. Os processos so compostos
por atividades, e estas, por sua vez, possuem metas de atividade.
Voc se lembra de quando perguntamos se voc reconheceria uma
meta se a visse? Pois bem, a Figura 9.2 contm um exemplo completo
de uma meta de negcio (estratgica) detalhada at o seu nvel de meta
de atividade (operacional), assim como as mtricas que iro determinar
o grau de alcance das metas.

226 Governana: Gesto, Auditoria e Tecnologia da Informao

9
AULA

Peter Druker nasceu na ustria em 1909. Atuou principalmente nas reas da economia e administrao, tendo se tornado
conhecido mundialmente como pai da gesto moderna.
Em seus livros, discutiu questes como a globalizao, a liderana e a motivao das pessoas nas empresas. Vrios deles,
escritos h muitos anos, permanecem atuais at hoje e ainda
so frequentemente citados como bibliografia de referncia.
Druker atuou por mais de sete dcadas, e suas ideias e filosofias
influenciaram enormemente a gesto moderna. Ele escreveu
dezenas de livros e publicou centenas (ou milhares) de artigos.
Dois de seus ltimos livros so The Daily Drucker: 366 Days of
Insight and Motivation for Getting the Right Things Done (2004)
e The Effective Executive in Action (2005).

Atividade

Figura: P. Druker

Um exemplo de rea de processo do COBIT Identificar solues automatizadas 1


(AI1 Identify automated solutions), cujo objetivo assegurar que a necessidade
por novas aplicaes seja analisada antes da sua aquisio, para que os requisitos de
negcio possam ser satisfeitos de forma eficiente e eficaz. Crie uma meta de TI para
essa rea de processo e diga como seus resultados seriam mensurados.

Resposta
A resposta pode variar. Do prprio texto do COBIT, extramos uma das metas que
ele cita para esta rea. Meta: definir como os requisitos funcionais para aplicaes
so transformados pela empresa em solues automatizadas efetivas e eficientes.
Mtrica: nmero de projetos onde os benefcios pretendidos no foram obtidos
devido a premissas incorretas sobre os requisitos.

CEC I E R J E X T E N S O E M G O V E R N A N A

227

Governana em Tecnologia da Informao

| Introduo ao COBIT V4.1 Parte 2

Objetivos de controle
Voc pode ler este texto e tentar ainda imaginar o que existe de
concreto no COBIT para auxiliar a controlar a TI. Voc pode perguntar
algo como: Como so esses controles, afinal? O COBIT possui uma
descrio de vrios objetivos de controle relacionados a cada uma das 34
rea de processo. Ao todo so 210, como dissemos na aula passada.
Vejamos um exemplo disso. Considere a rea de processo Definir
O termo BASELINE
muito utilizado
no mundo das boas
prticas. Sua traduo ao p da letra
seria linha de base.
Uma baseline um
retrato do estado
atual de um sistema,
de um processo ou
de qualquer coisa
cujas caractersticas
possam ser modeladas e parametrizadas. A baseline
contm as informaes necessrias
sobre o estado atual
para comparaes
futuras. Podemos
dizer, por exemplo,
que um cronograma
de planejamento
contm a baseline
de tempo do projeto. Durante a execuo do projeto,
essa baseline ser
comparada com a
realidade para que
possam ser tomadas
medidas preventivas ou corretivas.
Outro exemplo so
as informaes de
configurao de um
sistema. Podemos
extrair uma baseline dos valores de
cada parmetro de
configurao do
sistema antes de
uma mudana, para
que, em caso de
problema, o sistema
possa pelo menos
ser reconfigurado
conforme seu estado
anterior mudana.

um plano estratgico da TI (ou plano diretor de TI). Essa rea de processo


a primeira do domnio de planejamento e organizao (PO), e por isso
identificada por PO1 (vamos estudar todas as 34 reas de processo nas
prximas duas aulas sobre o COBIT).
Para essa rea de processo o COBIT descreve seis objetivos de controle. Ou seja, daqueles 210 objetivos de controle que mencionamos, seis
pertencem ao processo Definir um plano estratgico da TI. So eles:
PO1.1 - Gerenciamento de valor da TI
O objetivo do PO1.1 (IT value management) garantir que o
portflio da TI contm operaes e projetos que tenham motivao
concreta no negcio. Tudo que a TI faz (ou seja, o seu portflio)
deve possuir razo diretamente extrada do plano estratgico da
empresa e retorno esperado bem definido para o investimento.
PO1.2 - Alinhamento entre TI e negcio
O objetivo do PO1.2 (Business-IT alignment) estabelecer um
relacionamento bidirecional e um envolvimento recproco no
qual a empresa se preocupe com as estratgias da TI e vice-versa.
As necessidades imperativas da TI e as necessidades imperativas
da empresa precisam ser mediadas, de forma
que sempre se chegue a um consenso em que
o principal beneficiado seja o negcio.
PO1.3 - Avaliao da capacidade e desempenho
O objetivo do PO1.3 (Assessment of current capability and performance) avaliar
tanto a capacidade quanto o desempenho
da entrega de solues e servios pela TI, a fim
de estabelecer linhas de base (BASELINES) para
comparao com os requisitos futuros, ou seja,

228 Governana: Gesto, Auditoria e Tecnologia da Informao

o foco conhecer e documentar o que se tem hoje, a fim de que

AULA

no futuro seja possvel determinar se houve evoluo e, se houve,


em que grau ela aconteceu.
PO1.4 - IT Plano estratgico da TI
O objetivo do PO1.4 (IT strategic plan) criar o plano em si,
ou seja, aquele documento que define como as metas da TI contribuiro para alcanar os objetivos estratgicos da empresa, a
que custo e com qual nvel de risco. O plano estratgico da TI
deve cobrir previso de oramento, fontes de financiamento,
estratgia de fornecimento, estratgia de aquisio e questes
legais e regulatrias. O plano estratgico precisa ser suficientemente detalhado apenas para que seja possvel tomar decises
tticas. Precisa ser revisado periodicamente ou a cada mudana
no plano estratgico da organizao.
PO1.5 - Planos tticos da TI
O objetivo do PO1.5 (Tactical plans) criar um conjunto de planos tticos derivados do PDTI. Os planos tticos devem conter as
mesmas informaes do plano estratgico de TI, mas em um nvel
maior de detalhamento, j visando sua operacionalizao.
PO1.6 - Gerenciamento de portflio de TI
O objetivo do PO1.6 (Portfolio management) gerenciar ativamente o portflio da TI identificando, definindo, avaliando,
priorizando, selecionando, iniciando, gerenciando e controlando
PROGRAMAS, PROJETOS e OPERAES da TI. Isso inclui clarificar os obje-

tivos, assegurar que os programas, projetos e operaes levaro


aos objetivos almejados, determinar o esforo necessrio para
atingir os objetivos, definir responsabilidades para a prestao de
contas sobre o desempenho, gerenciar os riscos, alocar recursos
nos projetos e operaes selecionados etc.
Assim, o processo que a empresa construir para definir o plano
estratgico da TI dever possuir indicadores que permitam controlar os
seis objetivos de controle mencionados e mensurar se eles esto sendo
atendidos ou no. E como definir esses indicadores? Ora, o COBIT mais
uma vez ajuda nessa tarefa, pois ele descreve os principais indicadores

Um PROJETO tudo o
que tem incio, meio
e fim bem definidos
em que a empresa
investe esforo e
recursos para gerar
um resultado ou
produto exclusivo.
Um PROGRAMA um
conjunto de projetos inter-relacionados. Por exemplo,
um programa para
levar o homem
a Marte envolve
vrios projetos
inter-relacionados,
desde a construo
da plataforma de
lanamento at o
tipo de mistura
gasosa que ser
respirada pelos
marcionautas.
Um PORTFLIO um
conjunto de projetos, programas
e operaes no
necessariamente
inter-relacionados,
ou seja, o portflio
da TI, expresso
muito usada no
COBIT, envolve
no s as operaes
de TI (os processos), mas tambm
os projetos de TI e
tudo mais que for
da alada da TI na
empresa.

CEC I E R J E X T E N S O E M G O V E R N A N A

229

Governana em Tecnologia da Informao

| Introduo ao COBIT V4.1 Parte 2

de desempenho e indicadores de meta para os controles citados. No


magnfico? Nas prximas aulas estudaremos os principais controles e
indicadores de cada processo.
Observe que somente sobre a rea de processo PO1 (Definio do
plano estratgico da TI) exemplificada acima, o COBIT fornece uma
lista com seis objetivos de controle, assim como sua definio. Na verdade, veremos ainda nesta aula que o COBIT vai muito alm disso por
exemplo, auxiliando a empresa a determinar o nvel de maturidade que
atingiu na rea de processo e fornecendo os seus principais indicadores
e mtricas.

Voc pode obter uma cpia em formato .pdf de vrios documentos sobre
o COBIT, inclusive a sua verso 4.1, no endereo:
http://www.isaca.org/Template.cfm?Section=COBIT6&Template=/TaggedPage/TaggedPageDisplay.cfm&TPLID=55&ContentID=7981.
necessrio o cadastro no site e alguns contedos so pagos. Esse site foi
acessado em 30 de dezembro de 2009.

reas foco da Governana em TI


Um dos conceitos-chave do COBIT o conceito de reas foco
de Governana. Segundo esse modelo, como j dissemos, estas reas so
cinco. Os objetivos e metas estaro direta ou indiretamente relacionados
a uma dessas reas. O que so essas reas? Ora, vamos explic-las logo
a seguir.

Alinhamento estratgico
Assegura o elo entre o negcio e os planos de TI e alinha as
operaes de TI s operaes da empresa. H preocupao em
definir, manter e validar as proposies de valor sobre os servios
prestados pela TI e contrast-las com o retorno esperado pelo
negcio.

230 Governana: Gesto, Auditoria e Tecnologia da Informao

AULA

Entrega de valor
Executa as aes que concretizam o valor esperado pelos servios
ao longo do seu ciclo de vida e assegura que a TI entrega os benefcios prometidos, comprovando o valor esperado.

En
de tre
Va ga
lo
r

o
ent
ram nce
a
nito
Mo erfom
P
de

Domnios
Governana
de TI

Ger
enc
de iamen
Risc
t
os o

to
en o
am gic
h
in t
Al stra
E

Gerenciamento
de Recurso
Figura 9.6: reas foco da Governana.

Gerenciamento de riscos
Requer que os executivos tenham conscincia do nvel de risco
que esto dispostos a aceitar, que sejam transparentes sobre os
riscos significativos para o negcio e que tenham definio clara
de responsabilidades com relao ao gerenciamento de risco.

Medio de desempenho
Monitora a implementao da estratgia, o encerramento de projetos, o uso de recursos, o desempenho de processos e a entrega
de servios, a fim de determinar qual o desempenho que est
sendo atingido pelos processos de TI. O desempenho medido
com foco no alcance de metas.

CEC I E R J E X T E N S O E M G O V E R N A N A

231

Governana em Tecnologia da Informao

| Introduo ao COBIT V4.1 Parte 2

Gerenciamento de recursos
Assegura a otimizao e o gerenciamento adequado do investimento em recursos crticos de TI, ou seja, aplicaes, informaes,
infraestrutura e pessoas.

Atividade 2
Qual a relao entre reas foco da Governana, reas de processo e objetivos de
controle do COBIT?

Resposta
No COBIT, cada rea de processo (ou processo) possui objetivos de controle
bem determinados. Ao todo so 34 processos e 210 objetivos de controle.
Os processos (juntamente com todos os seus objetivos de controle) esto relacionados s reas de Governana porque, atingindo os objetivos de controle do
processo, a empresa estar contribuindo mais para algumas reas de Governana.
Obviamente, atingindo todos os 210 objetivos de controle, todas as cinco reas
sero beneficiadas. O COBIT indica com P (primary) quando um processo mais
importante para uma rea de Governana e com S (secondary) quando ele menos
importante. Esse mapeamento (P ou S) feito a partir de todos os 34 processos
para as cinco reas de Governana.

A MATRIZ RACI
J dissemos que o COBIT herdou do COSO os princpios da
Governana (responsabilidade, prestao de contas e transparncia).
Desse modo, uma preocupao importante em todas as reas de processo
a definio dos papis e de responsabilidades.
No COBIT isso feito de forma simples e efetiva. Essas definies so feitas nas matrizes denominadas matriz RACI. So 34 matrizes,
como no exemplo a seguir, em que so definidos os principais papis e
responsabilidades para cada processo.
232 Governana: Gesto, Auditoria e Tecnologia da Informao

O termo RACI um acrnimo em ingls para as palavras com

AULA

significados de: pessoa responsvel pela execuo (Responsible); pessoa


que tem o dever de prestar contas sobre os resultados (Accountable);
pessoa que deve ser consultada (Consulted) e pessoa que deve ser infor-

Valter Meireles
Testador

Arthur Gomes
Consultor

Ferreira Neto
Consultor

Hlio de Souza
Desenvolvedor

Atividade

Augusto Ribeiro
Gerente de Projeto

mada (Informed).

Descrio do sistema

Diagrama de caso de uso

Diagrama de atividades

Desenho das telas

Descritivo das telas

Diagrama de sequncia

Diagrama de classes

Definies das tabelas

Diagrama de relacionamento

...

...

...

...

...

Mdulo movimentao

...

...

...

...

...

Mdulo base

...

...

...

...

...

Requisitos de implantao

...

...

...

...

...

Testes

...

...

...

...

...

Homologao

...

...

...

...

...

Treinamento

...

...

...

...

...

Figura 9.7: Matriz RACI para um projeto de software.

Na Figura 9.7 temos um exemplo de uma matriz RACI para um


projeto de desenvolvimento de software. As matrizes desse tipo podem
ser utilizadas em vrias ocasies em que se quer melhorar a definio
de responsabilidade e a comunicao. Elas so muito usadas na rea de
gerenciamento de servios de TI e Governana para definir quem responsvel pelo qu. Vale ressaltar que a matriz RACI uma ferramenta
utilizada tambm em outras reas, como no gerenciamento de projetos,
pelo mesmo motivo, ou seja, determinar quem far o que no projeto.

CEC I E R J E X T E N S O E M G O V E R N A N A

233

Governana em Tecnologia da Informao

| Introduo ao COBIT V4.1 Parte 2

COMPONENTES DA REA DE PROCESSO


Bem, alm dos conceitos bsicos do COBIT, que so apresentados logo nos captulos introdutrios, algumas informaes so apresentadas para cada rea de processo. Antes de entrar no prximo item,
vamos apenas explicar como as reas de processo so apresentadas no
COBIT, tudo para garantir que voc absorva melhor os conceitos que
esto por vir.
Ento vejamos. A primeira informao apresentada para cada rea
de processo a prpria descrio sumarizada do processo que pertence
quela rea. Alm disso, feito o mapeamento do processo com relao aos critrios de informao, com relao aos recursos de TI e com
relao s reas de Governana. Em outras palavras, o COBIT diz se o
processo direta ou indiretamente importante para um ou mais critrios
da informao. Do mesmo modo, indica se o processo depende direta
ou indiretamente de um ou mais tipos de recursos de TI. E, finalmente,
indica se o processo direta ou indiretamente relevante para algumas
das reas de Governana, sempre utilizando P (primary) ou S (secondary)
em todos os casos. Voc se lembra dos sete critrios da informao, dos
quatro tipos de recursos crticos de TI e das cinco reas foco da Governana? Caso contrrio, revise esse assunto.
Alm disso, o COBIT ainda descreve os objetivos de controle
do processo da rea em estudo, tal qual exemplificamos acima para o
processo PO1 (Plano estratgico da TI) e seus objetivos de controle (do
PO1.1 ao PO1.6). Ou seja, todas as 34 reas de processo tm seus objetivos de controle explicados. Tambm so listadas as principais entradas,
as principais sadas, uma matriz RACI, as metas (de negcio, de TI, de
processo e de atividade) e as mtricas do processo.
E no final da descrio da rea de processo, o modelo de maturidade para o processo descrito. Note que, de todas essas informaes,
apenas a expresso modelo de maturidade deve ser uma informao nova
para voc. E esse exatamente o objetivo do prximo tpico.

234 Governana: Gesto, Auditoria e Tecnologia da Informao

AULA

APLICAO DO COBIT

NVEL 5
Otimizado

NVEL 4
Gerencivel e
Mensurvel
NVEL 3
Processos
Definidos
NVEL 2
Repetitivo
Intuitivo
NVEL 1
Inicial/
Por demanda
NVEL 0
Inexistente
Figura 9.8: Nveis de maturidade.

Apesar de j termos apresentado muitos conceitos, ainda resta um


ltimo a ser estudado antes de entrarmos na anlise das reas de processo,
o que acontecer em nossa prxima aula. Vamos a ele ento.

Nveis de maturidade
A TI da sua empresa madura? Voc conhece ou j ouviu falar do
conceito de nveis de maturidade? Os nveis de maturidade representam,
obviamente, a maturidade que a empresa atingiu em uma rea de processo. Assim, como o COBIT lida com 34 reas de processo, voc j deve
imaginar que haver 34 modelos de maturidade. E isso mesmo.
Na verdade, o modelo um s, baseado no CMM (Capability
Maturity Model) j conhecido dos profissionais da rea de desenvolvimento de software desde a dcada de 1980. Desse modelo o COBIT
aproveitou os nveis de maturidade, que so cinco (seis, se considerarmos
o nvel 0):

CEC I E R J E X T E N S O E M G O V E R N A N A

235

Governana em Tecnologia da Informao

| Introduo ao COBIT V4.1 Parte 2

Nvel 0 - Inexistente
Este nvel caracterizado pela ausncia completa do processo e
at mesmo da conscincia de que deveria haver um processo para
a rea. A empresa nem mesmo reconhece que existe algo com que
se preocupar.
Nvel 1 Inicial
Neste nvel j existe a conscincia da necessidade de construir e
implementar o processo. Porm, no h padronizao e documentao. Em vez disso, h iniciativas que tendem a ser aplicadas de
forma reativa e individual, caso a caso, conforme as necessidades
que apaream.
Nvel 2 Repetitivo
Neste estgio o processo foi suficientemente documentado para
que possa ser repetido, ou seja, pessoas diferentes executam o
mesmo processo e podem obter o mesmo resultado. Porm, ainda
h alto grau de confiana de que o conhecimento algo pessoal
que dificilmente pode ser explicitado. Portanto, h uma alta probabilidade de que aconteam erros, e por isso a empresa ainda
no se beneficia da previsibilidade do processo.
Nvel 3 Definido
Neste estgio os procedimentos esto documentados, padronizados e so comunicados por meio de treinamentos. Seguir o
processo mandatrio. A empresa j se beneficia de resultados
previsveis do processo (ou cujas variaes permanecem dentro
de limites esperados). Porm ainda podem ser notados desvios em
que o processo abandonado, principalmente em momentos de
crise ou de grande presso.
Nvel 4 Gerenciado e mensurvel
Aqui so tomadas medidas por meio de procedimentos formais.
Os processos esto sob constante melhoria e fornecem boas
prticas dentro da empresa. Automao e ferramentas ainda so
usadas de maneira limitada ou fragmentada.

236 Governana: Gesto, Auditoria e Tecnologia da Informao

Nvel 5 Otimizado

AULA

Aqui os processos atingiram o nirvana. Eles foram refinados


com base em resultados de anlise de desempenho e modelos de
maturidade padro de mercado. O portflio da TI gerenciado
em um ambiente onde o fluxo de trabalho acontece de forma
automtica. A TI eficaz e eficiente e fornece ferramentas para
que outros departamentos tambm o sejam.
Isso quer dizer que para cada processo definido e implantado
pela empresa dever ser dado um grau de maturidade, de acordo com o
atendimento ou no de alguns requisitos.

O CMM (Capability Maturity Model) foi criado pelo SEI (Software Engineering Institute) da
Universidade de Carnegie Mellon (http://www.cmu.edu) na dcada de 1980. Inicialmente seu
objetivo era definir um modelo de determinao de capacidades de processos e maturidade de
organizaes no desenvolvimento de software; por isso, ele se chamava CMM-SW. A primeira
verso do CMM-SW foi publicada em 1989, com o nome de Managing the Software Process
(Gerenciando o processo de software). Esse modelo tornou-se to popular que no ano 2000
foram lanadas novas verses do CMM, agora no mais voltadas para a rea de software, mas
para produtos, servios e aquisies. Essas verses se chamam CMM-I (CMM - Integration). Voc
pode obter mais informaes em http://www.sei.cmu.edu/cmmi. Acesso em 01 de novembro
de 2009.

Voc poderia se perguntar: " possvel a empresa ter nvel alto


de maturidade em uma rea de processo e nvel baixo em outra?" Sim,
claro que sim. Tambm pode pensar: "Ento possvel a empresa, por
exemplo, estar no nvel 5 (Otimizado) em 33 reas de processo e, em
apenas uma delas, estar no nvel 2..." No, claro que no. Obviamente
a empresa no amadurece de uma vez s todos os seus processos, por
isso so esperadas algumas diferenas de maturidade entre as reas.
Por outro lado, muito difcil elevar tanto os nveis de maturidade em
vrias reas deixando outras em um nvel muito baixo. Isso porque os
problemas de uma rea normalmente afetam as outras, impedindo seu
amadurecimento.
importante ressaltar que os nveis de maturidade do COBIT
so descritos com base em informaes de mercado, ou seja, quando

CEC I E R J E X T E N S O E M G O V E R N A N A

237

Governana em Tecnologia da Informao

| Introduo ao COBIT V4.1 Parte 2

uma empresa determina que o seu nvel de maturidade em um processo


1, 2, 3, 4 ou 5 ela ter certeza de que essa informao tem um peso
mundial. Isto , o COBIT um meio para a empresa determinar as
suas capacidades com relao aos processos de TI e se comparar com
outras empresas do mundo inteiro, pois um padro globalmente
aceito e reconhecido.

APLICAO DO COBIT
E como o COBIT aplicado na prtica? Voc saberia responder? simples. Pelo COBIT possvel saber em que nvel de maturidade a empresa se encontra em cada uma das reas de processo.
Imagine que uma consultoria tenha avaliado uma empresa e
determinado, com base no que est escrito no prprio texto do COBIT,
que seu nvel de maturidade na rea PO1 (Definir o plano estratgico
da TI) 2. Do mesmo modo, que seu nvel de maturidade na rea PO2
(Definir a arquitetura da informao) 3, e que o nvel de maturidade
na rea PO3 (Determinar a direo tecnolgica) 2. E assim por diante,
at os processos do domnio de monitoramento e avaliao (ME). Por
exemplo, ela disse que a empresa nvel 3 na rea ME3 (Assegurar a
conformidade com requisitos externos) e nvel 2 na rea ME4 (Fornecer a Governana de TI). Enfim, um grau de maturidade de 1 a 5
para cada uma das 34 reas de processo.
Como a empresa de consultoria chegou at essas informaes?
Voc acha que o COBIT tambm ajudou? Sim, claro que ajudou. Para
cada rea o COBIT descreve o cenrio corporativo que caracteriza
os nveis, desde o inexistente (tambm chamado de catico) at o
otimizado. Ele faz isso 34 vezes, descrevendo todos os seis nveis, no
de maneira genrica, como fizemos no item acima, mas de maneira
especfica para a rea em questo.
Bem, e depois, o que vem? Depois que a empresa sabe qual o
seu nvel de maturidade, ela precisar decidir aonde ela quer chegar, ou
seja, que nvel de maturidade ela almeja em cada rea. Perceba que, j
nesse momento, importantssimo que os requisitos de negcio estejam
claros, pois todo o investimento em recursos para aumentar o nvel de
maturidade dos processos precisar estar ligado a alguma necessidade
organizacional. De forma mais simples, a partir desse ponto que

238 Governana: Gesto, Auditoria e Tecnologia da Informao

comea o alinhamento estratgico da TI. A empresa pode simplesmente

AULA

aceitar os nveis de maturidade que ela determinou, mesmo que baixos,


se, por alguma razo, ela concluir que eles so suficientes para sustentar
o negcio hoje e no futuro prximo.
E se a empresa tomar a deciso de amadurecer? Uma vez que a
empresa tenha tomado essa deciso para uma ou mais reas, ela precisar
definir quais caminhos seguir. Nesse momento recomendada a utilizao
de outros modelos de boas prticas e at mesmo normas ou padres.
Juntamente com os controles do COBIT, a empresa pode encontrar
informaes adicionais necessrias nesses outros modelos. Lembre-se de
que o COBIT contm muitas informaes sobre o que fazer e sobre por
que fazer, mas no contm tantas informaes sobre o como fazer.
Assim, exemplificando, se o grau no domnio PO10 (Gerenciar
projetos de TI) foi 2 (Repetitivo) e a empresa deseja elevar esse grau
de maturidade para 3 (Definido), ela poder utilizar o Guia PMBOK
juntamente com o COBIT para melhorar o processo dessa rea.
Do mesmo modo, a empresa pode ter chegado mesma concluso
(de que precisa amadurecer) com relao ao gerenciamento de problemas
(DS10 do COBIT). Nesse caso, ela pode utilizar a ITIL em conjunto
com o COBIT, pois sabemos que ela possui uma descrio do processo de gerenciamento de problemas muito bem detalhado. O COBIT
necessrio porque a ITIL no indica as metas de negcio que esse
processo ajuda a alcanar nem quais seriam as mtricas ideais para o
controle dessas metas. Tambm no diz nada com relao ao que seria
um processo de gerenciamento de problemas com nvel de maturidade
inicial, repetitivo, definido, gerenciado ou otimizado.

Atividade

Uma empresa decidiu melhorar todos os seus processos de TI. Qual o primeiro passo
a ser tomado e como os nveis de maturidade das reas de processo do COBIT so
usados nesse momento?

CEC I E R J E X T E N S O E M G O V E R N A N A

239

Governana em Tecnologia da Informao

| Introduo ao COBIT V4.1 Parte 2

Resposta
Trata-se de um desejo de mudana (mudana para melhor, obviamente).
O planejamento de qualquer mudana sempre possui trs etapas (macro). Definir
onde se est, definir aonde se quer chegar e definir como se chegar ao destino
pretendido. Assim, a primeira etapa definir em que nvel esto os processos atuais
da empresa, pois somente com essa informao a empresa poder tomar decises
e seguir adiante. Os nveis de maturidade do COBIT auxiliam tanto na determinao
do nvel de maturidade atual quanto, em um momento posterior, na determinao
do que deve ser feito para atingir nveis de maturidade mais elevados (aonde se
quer chegar). A etapa "como chegar l" tambm pode se beneficiar do COBIT, mas
neste caso, dependendo do processo que se quer amadurecer, tambm indicada
a utilizao de outras formas do conhecimento, normas, padres etc.

CONCLUSO
Agora voc deve se lembrar de que na aula passada ns estudamos
definies importantes sobre o COBIT, como recursos de TI, critrios
da informao, indicadores de desempenho e de metas, domnios, reas
de processo e objetivos de controle. Nesta aula ns terminamos a fase
de apresentao de conceitos, com definies importantes como a das
reas de Governana, matriz RACI e os nveis de maturidade.
Voc deve conseguir explicar todos esses conceitos isoladamente
e, por outro lado, deve entender como eles se integram do ponto de vista
da aplicao do COBIT como guia para a implementao de processos
de TI visando Governana.

INFORMAES SOBRE O FRUM


Vamos discutir os assuntos desta aula no frum desta semana?
Ttulo: COBIT versus Governana em TI: Quo importante ele ?
Objetivo: Se voc ainda tem dvidas sobre como concretizar a Governana de TI na sua empresa, saiba que voc no deve estar sozinho.
Esse tipo de sentimento muito comum e praticamente todas as
organizaes encontram dificuldades na hora de colocar em prtica a
teoria apresentada no COBIT. Os comentrios so sempre parecidos:
a teoria relativamente simples, mas a prtica nem tanto. Pois bem,
neste frum vamos trocar ideias e discutir a prtica da Governana
nas empresas!

240 Governana: Gesto, Auditoria e Tecnologia da Informao

9
AULA

Atividade online
C
Como
as empresas tm implementado a Governana em TI? V sala de 1
2
aula virtual e resolva a atividade proposta pelo tutor. O objetivo da atividade
, por meio de pesquisa e consulta bibliografia, estudar alguns casos reais de projetos
de Governana.

RESUMO

O controle por objetivos do COBIT uma ideia que comeou a ser


desenvolvida em meados dos anos 1950 e 1960 por Peter Druker na sua
abordagem MBO (Management by Objectives).
O COBIT possui um conjunto de 210 objetivos de controle divididos em 34
reas de processo.
As 34 reas de processo do COBIT so agrupadas em quatro domnios, que
representam um ciclo semelhante ao ciclo PDCA.
As reas foco da Governana em TI so cinco: Alinhamento estratgico,
Entrega de valor, Gerenciamento de riscos, Medio de desempenho e
Gerenciamento de recursos.
Cada rea de processo contm uma matriz RACI que define pessoas
responsveis pela execuo (responsible), pessoas que tm o dever de prestar
contas sobre resultados (accountable), pessoas que devem ser consultadas
(consulted) e pessoas que devem ser informadas (informed).
O COBIT utiliza um esquema de nveis de maturidade baseado no modelo
CMM (Capability Maturity Model), conhecido por profissionais da rea de
desenvolvimento de software.
Os nveis de maturidade das reas de processo do COBIT so: inexistente
(nvel 0), inicial (nvel 1), repetitivo (nvel 2), definido (nvel 3), gerenciado
(nvel 4) e otimizado (nvel 5).

CEC I E R J E X T E N S O E M G O V E R N A N A

241

Governana em Tecnologia da Informao

| Introduo ao COBIT V4.1 Parte 2

Informaes sobre a prxima aula


Na prxima aula comearemos a estudar as reas de processo
com seus objetivos de controle. Especificamente nessa aula
iremos tratar do domnio de planejamento e organizao
(PO Plan and organise), em que estudaremos dez processos,
e do domnio de aquisio e implementao (AI Acquire and
implement), em que estudaremos sete processos.
Ns nos veremos na prxima aula! At breve.

Atividades Finais
1) O COBIT v4.1 ajuda a empresa no atendimento a requisitos regulatrios:
a) Fornecendo objetivos de controle impostos pelos rgos regulatrios.
b) Demonstrando controles adequados sobre as atividades de TI.
c) Definindo objetivos de controle que satisfaam a maior parte dos regulamentos
e leis de TI conhecidos.
d) Definindo prticas de controle precisas para atender maior parte dos regulamentos e leis de TI conhecidos.
2) Os modelos de maturidade do COBIT v4.1 fornecem uma maneira de identificar:
a) Mtricas e um mtodo para acompanhar metas.
b) Objetivos de melhoria e um mtodo para acompanhar o progresso.
c) Controles e um mtodo para acompanhar prticas de controle.
d) Critrios de informao e um mtodo para acompanhar controles.
3) Qual item contm uma ideia coerente com a misso do COBIT v4.1?
a) Fornecer servios de consultoria global em Governana em TI.
b) Produzir normas e padres mundiais para a TI.
c) Certificar empresas e profissionais na rea de Governana em TI.
d) Criar objetivos de controle internacionalmente reconhecidos.

242 Governana: Gesto, Auditoria e Tecnologia da Informao

9
AULA

4) Qual das seguintes frases melhor descreve a ideia de entrega de valor?


a) Entregar o servio com oramento abaixo do previsto.
b) Entregar mais do que foi acordado, com custo e risco baixos.
c) Usar sistemas terceirizados para reduzir custos.
d) Entregar o que foi acordado com custo aceitvel e risco gerenciado.
5) (Analista Judicirio do TRT-15 FCC/2009) As diretrizes gerenciais do COBIT para
indicar onde um processo se encontra e onde se deseja chegar estabelecem o uso da
ferramenta denominada
a) Modelo de maturidade.
b) Fatores crticos de sucesso.
c) Objetivos de controle detalhados.
d) Indicadores-chaves de desempenho.
e) Indicadores-chaves de metas.
6) Analise a afirmao: O alinhamento estratgico uma rea foco da Governana em
TI que visa a garantir que haver uma capacidade tima da TI para que ela atenda s
estratgias e tticas da empresa.

Respostas
1) Alternativa c. O COBIT compatvel com regulamentos e leis mundiais que afetam
a rea de TI em todo o mundo, tais como a Lei Sarbanes-Oxley, por exemplo. Ele define
objetivos de controle e no prticas de controle.
2) Alternativa b. A empresa pode definir onde ela est e aonde quer chegar com relao ao
processo (objetivo de melhoria) e, aps (ou durante) a execuo de aes de melhoria o modelo
pode ser usado para mensurar em que nvel a empresa se encontra (aonde j chegou).
3) Alternativa d. Decorre diretamente da prpria misso do COBIT.
4) Alternativa d. Entregar mais do que foi acordado no visto como uma boa prtica,
pois envolve recursos da empresa (que poderiam ser alocados em outros servios) sem o
devido retorno. O custo deve ser aceitvel e no necessariamente baixo. O risco precisa ser
gerenciado e no necessariamente baixo.
5) Alternativa a. O enunciado trs a definio de modelo de maturidade.
6) Afirmao falsa. A rea de Governana em questo o Gerenciamento de recursos.

CEC I E R J E X T E N S O E M G O V E R N A N A

243

10

AULA

COBIT v4.1 Planejando,


organizando, adquirindo e implementando

Meta da aula

objetivos

Explicar as reas de processo do domnio de


planejamento e organizao e do domnio
de aquisio e implementao do
COBIT v4.1 e os seus respectivos
objetivos de controle.

Ao final desta aula, voc dever ser capaz de:


1

reconhecer e explicar os objetivos de controle do

domnio Planejar e organizar do COBIT ;

reconhecer e explicar os objetivos de controle do

domnio Adquirir e implementar do COBIT .

Pr-requisitos
So pr-requisitos para esta aula ter atingido os objetivos das primeiras aulas que tratam do Planejamento
Estratgico e da Governana em TI. Alm disso, primordial ter entendido plenamente os conceitos descri
tos nas duas aula anteriores de introduo ao COBIT .

Governana em Tecnologia da Informao

| COBIT v4.1 Planejando, organizando, adquirindo e


implementando

INTRODUO

Dissemos nas ltimas aulas que o COBIT possui contedo


que pode ser acessado e utilizado no dia a dia pelos gestores de TI. Nessa aula vamos comear a estudar esse contedo, que est distribudo ao longo das reas de processo
e dos objetivos de controle. Bom estudo!

Voc sabe quantos so os processos de TI que devem ser abordados em uma


empresa para que todas as suas reas sejam cobertas? Veja bem... Estamos
falando de todas as reas da TI! Voc deve imaginar que tentar abordar, em
um nico documento, tudo que todas as empresas em todos os setores e em
todos os pases do mundo fazem com relao Tecnologia da Informao
um objetivo um tanto quanto megalomanaco. No bem por a...
Talvez o objetivo realmente fosse inatingvel se tivssemos a preocupao de
descrever exatamente como cada processo precisa ser implementado. Porm,
quando a ideia listar as caractersticas principais dos processos na forma de
objetivos de controle, j no estamos falando de algo to absurdo assim. Muito
pelo contrrio! E isso que o COBIT faz ao longo de seus quatro domnios de
processos. Dois desses domnios sero estudados nesta aula.
O objetivo desta e da prxima aula listar e explicar as reas de processo e seus
objetivos de controle. Ressaltamos que o COBIT foi escrito em um formato
cuja estrutura se repete em todas as reas de controle, para facilitar a consulta
e o entendimento das informaes. Nestas duas aulas iremos seguir o mesmo
princpio. Apesar da repetio do formato, o contedo obviamente diferente
em cada processo. Assim, voc precisa ter como meta sintetizar a ideia principal de cada rea de processo a partir das informaes apresentadas, ou seja,
responder pergunta: para que serve o processo dessa rea mesmo?
Nesta aula iremos estudar os domnios Planejar e organizar (PO) e Adquirir e
implementar (AI). Ao todo, eles renem 17 processos, sendo dez mais ligados
ao planejamento e definio de diretrizes dos servios (PO) e sete que visam

246 Governana: Gesto, Auditoria e Tecnologia da Informao

10

aquisio, construo ou desenvolvimento do servio seguidos da operacio-

AULA

nalizao no ambiente produtivo da empresa (AI).


Porm, precisamos antes relembrar a relao existente entre as metas de
negcio, metas de TI, metas de processo e de atividades, conforme vimos na
Aula 9. Caso voc tenha dvidas, revise esse assunto naquela aula. Voc deve
entender que o COBIT possui, para cada rea de processo, uma figura semelhante Figura 10.1. Nela voc poder encontrar, alm das metas de processo
e de seus indicadores, as metas e indicadores de TI e as metas e indicadores
das atividades.

Meta de TI

Assegurar que
os servios de TI
podem resistir a
ataques

medida por meio de ...

Nmero de
incidentes de TI
com impacto no
negcio

Meta de Processo

Meta de Atividade

Detectar e solucionar acesso no


autorizado aos
recursos de TI

Entender requisitos de segurana,


vulnerabilidade e
ameaas

medida por meio de ...

medida por meio de ...

Nmero de incidentes devidos a


acessos no
autorizados

Frequncia de
reviso dos eventos a serem
monitorados

Figura 10.1: Relao entre metas de TI, de processo e de atividades.

Nesta e na prxima aula ns daremos pelo menos um exemplo de meta de processo e um indicador para medir o alcance da meta mencionada. Porm tenha
sempre em mente que os exemplos de metas de processo no so os nicos
possveis e que, alm disso, ainda poderiam ser dados exemplos de metas de TI
e de metas de atividades, conforme o relacionamento indicado na (Figura 10.1).
Observe ainda que isso vale tambm para os respectivos indicadores.
O.K., agora sim vamos em frente!
CEC I E R J E X T E N S O E M G O V E R N A N A

247

Governana em Tecnologia da Informao

| COBIT v4.1 Planejando, organizando, adquirindo e


implementando

Segundo o COBIT,
controle o conjunto
de polticas, procedimentos, prticas e
estruturas organizacionais desenvolvidas para
dar garantia razovel
de que os objetivos de
negcio sero atingidos
e de que os eventos
indesejveis sero prevenidos ou detectados
e corrigidos. Um objetivo de controle define
o resultado desejado
ou o propsito a ser
atingido atravs do controle. O COBIT v4.1
descreve 210 objetivos
de controle na forma de
requisitos de alto nvel
a serem considerados
pelos gestores para que
haja controle efetivo
de cada processo de TI.
Eles aparecem sempre
na segunda seo de
cada rea de processo,
na forma de declaraes
de aes genricas sobre
as prticas mnimas
para assegurar que o
processo est sob controle. Assim, como j
dissemos, no COBIT
v4.1, PO, AI, DS e ME
indicam os domnios;
PO1, PO2, ..., AI1, ...,
ME3, ME4, indicam
os processos (ou reas
de processo); e PO1.1,
PO1.2, PO1.3, ...,
PO10.14, AI1.1, ...,
ME1.1, ..., ME4.7 indicam os objetivos de controle. Ressaltamos que
os objetivos de controle
so descritos genericamente e no na forma
de indicadores de meta
ou de desempenho em
uma seo especfica da
rea de processo (Control Objectives).
Os indicadores do processo aparecem logo
abaixo, na seo de
diretrizes para o gerenciamento (Management
Guidelines).

PLANEJAR E ORGANIZAR (PO PLAN AND ORGANISE)


Os processos do domnio de planejamento e organizao
(PO Plan and organise) cobrem as diretrizes, estratgias e tticas
da empresa, alm de lidar com questes sobre como a TI pode
contribuir melhor para atingir as metas de negcio. A realizao
da viso estratgica precisa ser planejada, comunicada e gerenciada
sob diferentes perspectivas.
Os processos desse domnio
lidam diretamente com questes
como determinao e comunicao
das estratgias e diretrizes da TI;
definio da arquitetura da informao e das direes tecnolgicas;
gerenciamento de recursos humanos;
gerenciamento de projetos de TI
e gerenciamento da qualidade em
geral, entre outros.

Figura 10.2: Planejamento de TI.

OPERAES
e PROJETOS. O conceito de
projetos e operaes muito forte no
mbito das boas prticas de gerenciamento de
projetos, sobretudo no Guia PMBOK. Costuma-se
dizer que tudo que acontece na empresa acontece na
forma de projetos ou na forma de operaes. Projetos
tm
t
incio, meio e fim bem definidos e geram um produto
ou
o servio cujas caractersticas so singulares. J as operaes no tm necessariamente um fim e geram resultados
que
q no so necessariamente exclusivos, ou seja, existem
para gerar o mesmo resultado continuamente.

Voc se lembra de quais so as cinco


reas foco da Governana? Relembrando: alinhamento estratgico, entrega

248 Governana: Gesto, Auditoria e Tecnologia da Informao

10
AULA

PO1 Definir um plano estratgico de TI (Define a strategic


IT plan)
Voc deve ter em mente que esse processo visa a responder a
perguntas como: o que a TI quer, no curto, mdio e longo prazo est de
acordo com o que a empresa quer? Quantos projetos do portflio da
TI esto diretamente relacionados a um objetivo estratgico da organizao?
Esse processo tem como objetivo principal a criao de um plano
diretor de TI que permita gerenciar os recursos de TI de acordo com as
prioridades da empresa. O PDTI deve deixar claro quais so as estratgias
da TI e como elas se refletem no seu portflio, alm de ser detalhado o
suficiente para orientar a construo de planos tticos. Esse processo deve
comunicar e documentar, por meio do plano, limitaes, capacidades,
ameaas, oportunidades, riscos identificados e necessidades da TI.
Os objetivos de controle desse processo so:
PO1.1 Gerenciamento de valor da TI.
PO1.2 Alinhamento entre a TI e o negcio.
PO1.3 Avaliao de capacidade e desempenho.
PO1.4 Planejamento estratgico da TI.
PO1.5 Planejamento ttico da TI.
PO1.6 Gerenciamento do portflio da TI.
Observe que, no nvel otimizado, esse processo garante a existncia
de um plano estratgico de TI vivo na organizao; o plano revisado
periodicamente de forma integrada ao plano estratgico da empresa;
todas as metas do PDTI foram obtidas a partir das metas de negcio; as
informaes sobre riscos estratgicos so continuamente revisadas etc.
"Um exemplo de meta desse processo : "Definir como os requisitos de negcio so mapeados em servios oferecidos pela TI". Um
indicador de desempenho dessa meta obtido atravs da medio do
percentual de servios fornecidos pela TI que podem ser diretamente
mapeados no plano estratgico da organizao".
Com relao s reas foco da Governana, esse processo essencial
para que haja alinhamento estratgico.

CEC I E R J E X T E N S O E M G O V E R N A N A

249

Governana em Tecnologia da Informao

| COBIT v4.1 Planejando, organizando, adquirindo e


implementando

DATA MINING, ou minerao de dados, uma


tcnica relacionada
seleo da informao,
haja vista que a quantidade de dados disponveis aumenta a cada
dia em uma proporo
absurda. As tcnicas
e ferramentas de data
mining visam a separar
dados teis de dados
inteis para a descoberta de informaes. J
o data warehouse, ou
armazm de dados, ,
de forma bem resumida,
um banco de dados customizado para aumentar
a capacidade de sumarizar grandes volumes
de dados. A principal
ferramenta utilizada
para trabalhar com data
warehouse o OLAP
(Online Analytical
Processing).
O OLAP foi desenvolvido para utilizar esquemas especiais de armazenamento de dados,
permitindo menor
tempo de processamento
na gerao de informao. O data mining e o
data warehouse so conceitos que fazem parte
da BI, que bem mais
abrangente. A BI (Business Intelligence) ou
inteligncia de negcio
est relacionada a coleta, seleo, organizao,
armazenamento, anlise, compartilhamento,
monitoramento, controle, descarte e tudo o
mais referente ao gerenciamento da informao
e do conhecimento, com
o objetivo de dar suporte gesto mais inteligente do negcio.

PO2 Definir a arquitetura da informao (Define the


information architecture)
Esse processo responde a questes como: existem sistemas
automatizados efetivos que do suporte a BI (Business Inteligence),
data mining ou data warehouse? Como os dados que circulam pela
organizao so armazenados, protegidos, compartilhados, analisados e descartados? Existem dados duplicados?
Esse processo visa a otimizar o uso
da informao atravs da definio de
um dicionrio corporativo com regras de
sintaxe e definio de um esquema para a
classificao da informao e de seus nveis
de segurana. Um dos objetivos finais desse
processo assegurar que as informaes
so geradas a partir da anlise de dados
confiveis.
Na prtica, esse processo ir lidar

Figura 10.3: Inteligncia


de negcio.

com questes como a construo e a manuteno de uma base de dados para BI (Business Intelligence),
MINING

DATA

e data warehouse. Os seus objetivos de controle so:


PO2.1 Definio do modelo de arquitetura da informao.
PO2.2 Criao do dicionrio de dados.
PO2.3 Definio do esquema para classificao dos dados.
PO2.4 Gerenciamento da integridade.
O mximo de desempenho desse processo atingido quando

o pessoal de TI possui as competncias e habilidades necessrias para


desenvolver e manter uma arquitetura da informao que reflita as
necessidades do negcio.
Um exemplo de meta para esse processo pode ser: garantir o
efetivo gerenciamento da informao na empresa. Essa meta pode ser
medida pela quantidade de dados e informaes na empresa para os
quais possvel determinar origem, responsvel, utilidade ou valor
para o negcio.
Com relao s reas foco da Governana, esse processo
prioritrio para o alinhamento estratgico e para o gerenciamento
de recursos.

250 Governana: Gesto, Auditoria e Tecnologia da Informao

10
AULA

PO3 Determinar direo tecnolgica (Determine technological direction)


Que fabricante escolher? Que tipo de hardware, software, plataforma, sistema operacional, marca ou fabricante adotar? Que novos
padres tecnolgicos e regulamentaes podem afetar o negcio?
Na prtica, esse processo ir lidar com esse tipo de questes.
A empresa precisa definir expectativas claras e realistas sobre o que
a tecnologia pode oferecer em termos de produtos e servios. Uma boa
prtica comunicar essas expectativas atravs de um plano que contenha
informaes sobre a arquitetura de sistemas, planejamento de aquisies,
padres em uso etc. Os principais objetivos de controle so:
PO3.1 Planejamento da direo tecnolgica.
PO3.2 Planejamento da infraestrutura tecnolgica.
PO3.3 Monitoramento das tendncias.
PO3.4 Acompanhamento de padres tecnolgicos.
PO3.5 Atuao do comit de arquitetura da TI.
Esse processo atinge o nvel mximo de maturidade quando: a
empresa consegue se adequar rapidamente s tecnologias emergentes;
a direo tecnolgica dada por padres da indstria mundialmente
aceitos e no por tecnologias proprietrias; o impacto de mudanas
tecnolgicas analisado com a participao dos responsveis pelo negcio; existe um processo formal de aprovao de mudanas de diretrizes
tecnolgicas; a empresa possui um plano de infraestrutura tecnolgica
que reflete as necessidades de negcio e que pode ser modificado para
refletir mudanas de cenrio etc.
Uma meta para esse processo : desenvolver e implementar um
plano de infraestrutura tecnolgica. O sucesso dessa meta pode ser medido pelo nmero de plataformas tecnolgicas em uso na organizao que
esto em acordo com o plano implementado.
Esse processo essencial para a Governana principalmente por
causa do gerenciamento de recursos.

CEC I E R J E X T E N S O E M G O V E R N A N A

251

Governana em Tecnologia da Informao

| COBIT v4.1 Planejando, organizando, adquirindo e


implementando

PO4 Definir processos de TI, sua organizao e seus relacionamentos (Define the IT processes, organisation and
relationships)
Existem funes, processos ou unidades organizacionais que no
esto sendo contempladas pelo PDTI e que deveriam estar? Existem atividades tpicas da rea de TI que no so contempladas na empresa?
Um provedor de TI definido: pelo seu pessoal (staff); por suas
habilidades e capacidades; por suas funes, papis e responsabilidades;
por definies de alada, autoridade, coordenao, superviso, gerncia
e direo; por seus procedimentos, processos, polticas e planos; por seus
sistemas de gerenciamento da qualidade e do risco etc. Esse processo
deve produzir essas definies e estabelecer critrios de relacionamento
na rea. Os objetivos de controle so:
PO4.1 Criar o modelo de processo de TI.
PO4.2 Atuao do comit de estratgia de TI.
PO4.3 Atuao do comit de controle de TI.
PO4.4 Alocao das funes de TI na organizao.
PO4.5 Definio da estrutura organizacional da TI.
PO4.6 Definio de papis e responsabilidades.
PO4.7 Responsabilidade pela garantia da qualidade.
PO4.8 Responsabilidade pela gesto do risco e segurana.
PO4.9 Propriedade dos dados e sistemas.
PO4.10 Superviso.
PO4.11 Segregao de tarefas.
PO4.12 Gerenciamento do pessoal de TI.
PO4.13 Gerenciamento de pessoas-chave.
PO4.14 Definio de polticas e procedimentos de contratao.
PO4.15 Gerenciamento dos relacionamentos.
O processo desta rea atinge o nvel mximo de amadurecimento
quando: a estrutura do provedor de TI flexvel; as boas prticas da
indstria so utilizadas em todos os aspectos; a tecnologia extensivamente utilizada para dar suporte quando a estrutura de TI complexa
e geograficamente distribuda etc.

252 Governana: Gesto, Auditoria e Tecnologia da Informao

10

Uma meta para esse processo : "Definir claramente os papis,

AULA

responsabilidades e donos dos processos de TI, assim como os relacionamentos com as partes interessadas". Uma das formas de medir
o alcance desta meta determinar o percentual de clientes, usurios e
patrocinadores satisfeitos com a efetividade e presteza com que a TI
atende s solicitaes de servio (do ingls responsiveness).
Esse processo prioritrio para o gerenciamento de riscos e para
o gerenciamento de recursos da Governana.

PO5 Gerenciar o investimento em TI (Manage the IT


investment)
Algumas questes importantes para voc considerar nesta rea
so: como mensurar o ROI da TI? Quanto a TI gera de retorno em termos de resultados de negcio? Como medir o custo unitrio por servio
prestado pela TI? Qual melhor forma de agregao de custos? Como
os investimentos em TI so balanceados no que diz respeito a custo,
benefcio e priorizao dentro do oramento?

Custo de
Hardware

Custo de
Software

Arquitetura de
dados

Outros
custos

TCO
Suporte e
manuteno

Tempo de
implantao

Treinamento de
usurios

Riscos de
tecnologia

Figura 10.4: Custo total de propriedade.

CEC I E R J E X T E N S O E M G O V E R N A N A

253

Governana em Tecnologia da Informao

| COBIT v4.1 Planejando, organizando, adquirindo e


implementando

Enfim, esse processo exige envolvimento dos responsveis pelo


negcio e dos responsveis pela TI e visa a fornecer transparncia e responsabilidade sobre o TCO (Total Cost of Ownership) de TI e a realizao
do ROI (Return of Investment) almejado. So objetivos de controle:
PO5.1 Criao de um modelo de gerenciamento financeiro.
PO5.2 Priorizao dentro do oramento de TI.
PO5.3 Oramentao do portflio de TI.
PO5.4 Gerenciamento de custos.
O5.5 Gerenciamento de benefcios.
Note que esse processo est totalmente amadurecido quando:
tcnicas formais de anlise de custo e benefcio, seleo de projetos e oramentao so utilizadas; o processo de gerenciamento de investimentos
continuamente melhorado com base em lies aprendidas em investimentos anteriores; as decises de investimento levam em considerao
as tendncias do mercado; a anlise de custo-benefcio feita levando
em considerao o ciclo de vida do produto ou servio etc.
"Uma meta muito bvia desse processo : Otimizar os custos de
TI e maximizar os seus benefcios". Uma forma de medir o alcance dessa
meta determinar o percentual de investimentos em projetos, operaes e
processos de TI que entregaram os resultados inicialmente definidos".
Com relao Governana, esse processo essencial para que haja
entrega de valor, ou seja, para que os resultados almejados de fato aconteam e para que isso ocorra dentro do custo inicialmente esperado.

O TCO (Total Cost of Ownership) ou custo total de propriedade uma estimativa que procura considerar os custos totais (diretos e indiretos) relacionados
propriedade de um ativo. O TCO envolve no somente as questes relacionadas aquisio, mas manuteno e at mesmo desativao ou o descarte
do ativo. Envolve tambm os custos de treinamento de usurios e operadores,
custos de falha ou paradas para manuteno, riscos de incidentes ou acidentes
(e possveis consequncias), custos de armazenamento fsico, teste, garantia de
qualidade, atualizao etc. um parmetro importante para que a empresa
decida sobre a aquisio de um ou outro ativo. Por exemplo, vale mais pena
utilizar um computador pessoal com sistema baseado em Linux ou com sistema
Windows na sua empresa? Fcil! As licenas de uso do Linux so gratuitas e
as do Windows so pagas. O.K., mas preciso considerar o TCO de ambos os
sistemas, isto , os custos de treinamento no uso do sistema, a integrao com
os sistemas servidores da empresa, o suporte do fabricante, as questes de segurana da informao etc. Muitas empresas, aps refletirem sobre esta situao,
ainda preferem utilizar sistemas operacionais proprietrios.

254 Governana: Gesto, Auditoria e Tecnologia da Informao

10
AULA

PO6 Comunicar objetivos e direo do gerenciamento (Communicate management aims and direction)
Voc deve entender que esse processo est diretamente ligado a
questes como: quantas pessoas na empresa conhecem e entendem as polticas adotadas pela TI? At que ponto o insucesso em atingir as metas de
TI tem prejudicado a empresa em atingir as suas prprias metas? Quantas
interrupes no negcio foram causadas por interrupes na TI?
Observe que todos na empresa devem estar cientes da misso, dos
objetivos dos servios, polticas e procedimentos da TI. Essa comunicao dar o suporte necessrio para que a TI atinja os seus objetivos,
assegurando que haver conscincia e entendimento dos riscos, objetivos
e diretrizes de negcio. Seus objetivos de controle so:
PO6.1 Poltica de TI e ambiente de controle.
PO6.2 Riscos de TI e modelo de controle.
PO6.3 Gerenciamento das polticas de TI.
PO6.4 Execuo de procedimentos, polticas e padres.
PO6.5 Comunicao dos objetivos e diretrizes de TI.
Esse processo atinge seu estgio mximo de otimizao quando:
o controle est alinhado com a estratgia de negcio; a viso da empresa
periodicamente revista, atualizada e reforada; a tecnologia utilizada
para otimizar a comunicao atravs de ferramentas automatizadas
etc.
"Uma meta a ser alcanada por esse processo : Desenvolver um
conjunto compreensvel de polticas de TI e comunic-lo efetivamente
na organizao". O alcance dessa meta pode ser medido atravs da
determinao do percentual de clientes, usurios, patrocinadores etc.,
que conhecem e entendem as polticas da TI".
Esse processo est diretamente relacionado ao alinhamento estratgico e ao gerenciamento do risco da Governana em TI.

PO7 Gerenciar recursos humanos de TI (Manage IT human


resources)
Provavelmente as questes abordadas neste processo so bvias
para voc! Por exemplo: h a necessidade de contratao de pessoal ou
de treinamento das equipes existentes? As perspectivas para os profissio-

CEC I E R J E X T E N S O E M G O V E R N A N A

255

Governana em Tecnologia da Informao

| COBIT v4.1 Planejando, organizando, adquirindo e


implementando

nais que trabalham na rea de TI da empresa so motivadoras? Quantas


pessoas na organizao esto satisfeitas com o conhecimento e com as
habilidades do pessoal de TI?
Esse processo visa adoo de prticas de recrutamento, treinamento, avaliao de desempenho, promoo e encerramento das
atividades dos profissionais do provedor de TI. Esse um processo
crtico, uma vez que as pessoas so um ativo importante em qualquer
organizao e a Governana em TI depende muito da capacidade e da
motivao das pessoas.
PO7.1 Recrutamento e reteno de pessoal.
PO7.2 Gerenciamento de competncias pessoais.
PO7.3 Alocao de pessoal.
PO7.4 Treinamento de pessoal.
PO7.5 Gerenciamento da dependncia de indivduos.
PO7.6 Autorizao de pessoal.
PO7.7 Avaliao de desempenho.
PO7.8 Mudana de cargo ou encerramento de atividades.
Perceba que esse processo considerado amadurecido quando:
existe um plano formal de gerenciamento de recursos humanos; o
gerenciamento de recursos humanos integrado ao planejamento tecnolgico, assegurando tima utilizao dos recursos humanos; existem
procedimentos compatveis com as normas mundiais da categoria para
compensao, reviso de desempenho, transferncia de conhecimento,
treinamento e aconselhamento etc.
A principal meta desse processo : desenvolver prticas profissionais
de gerenciamento de recursos humanos. O seu alcance pode ser medido
atravs do percentual de profissionais que possuem o perfil determinado
(competncias e habilidades) para cumprir as estratgias da TI.
Quanto Governana em TI, esse processo essencial tanto para
o alinhamento estratgico quanto para o gerenciamento de recursos.

256 Governana: Gesto, Auditoria e Tecnologia da Informao

10
AULA

PO8 Gerenciar qualidade (Manage quality)


Que questes voc acha que so importantes aqui? Ora, alguns exemplos so: como a
melhoria contnua pode ser implementada pela
TI? Que norma ou padro de qualidade pode
ser utilizado? O que os usurios entendem por
qualidade no servio prestado pela TI?
Um sistema de gerenciamento da qualidade deve ser desenvolvido e mantido para
garantia e controle da qualidade atravs de
procedimentos bem claros de definio e aten-

Figura 10.5: Qualidade e melhoria.

dimento de requisitos. A melhoria continua


ser obtida atravs do monitoramento contnuo, anlise de variaes,
comunicao de resultados e entendimento das expectativas, necessidades
e desejos das partes interessadas. Seus objetivos de controle so:
PO8.1 Sistema de gerenciamento da qualidade.
PO8.2 Prticas padro de qualidade em TI.
PO8.3 Padres de desenvolvimento e aquisies em TI.
PO8.4 Foco no cliente.
PO8.5 Melhoria contnua.
PO8.6 Reviso, monitoramento e medidas da qualidade.
O nvel mximo de desempenho desse processo obtido quando: o
sistema de gerenciamento da qualidade integrado a todas as atividades
de TI; o gerenciamento da qualidade obtido de forma flexvel e adaptvel a mudanas no ambiente de prestao dos servios; a avaliao do
nvel de satisfao um processo contnuo e gera anlise de causa-raiz
e aes corretivas ou preventivas de melhoria etc.
"Uma meta a ser atingida por esse processo : Determinar um
padro de qualidade e uma cultura de melhoria contnua nos processos
de TI". O alcance dessa meta pode ser medido, por exemplo, pelo percentual de projetos ou de processos revisados pelos responsveis pelo
gerenciamento da qualidade visando melhoria".
O gerenciamento da qualidade essencial para o alinhamento
estratgico da Governana em TI.

CEC I E R J E X T E N S O E M G O V E R N A N A

257

Governana em Tecnologia da Informao

| COBIT v4.1 Planejando, organizando, adquirindo e


implementando

PO9 Avaliar e gerenciar riscos da TI (Assess and manage


IT risks)
Pense em algumas perguntas que poderiam ser feitas aqui... Algumas questes bvias seriam: o que pode impedir que a TI atinja as suas
metas? Se a TI atingir as suas metas, o que pode impedir que, mesmo
assim, a empresa no atinja as metas de negcio? Como os objetivos
da TI so cobertos pelo gerenciamento do risco na empresa? Existem
respostas de contingncia?
Esse processo visa a documentar os riscos comuns que afetam a
TI e definir um nvel de risco aceitvel pelos donos do negcio, assim
como as aes de resposta ao risco. Os resultados desse processo devem
ser entendidos pelos interessados e, sempre que possvel, precisam ser
expressos em termos financeiros. Seus objetivos de controle so:
PO9.1 Gerenciamento de riscos em TI.
PO9.2 Definio do contexto do risco.
PO9.3 Identificao de eventos.
PO9.4 Avaliao do risco.
PO9.5 Respostas ao risco.
PO9.6 Manuteno e monitoramento do plano de ao.
O mximo de amadurecimento aqui acontece quando: a identificao, anlise e comunicao dos riscos feita de forma eficiente e eficaz
na empresa; o gerenciamento do risco uma atividade desempenhada
de forma interdepartamental, e no somente na TI; o gerenciamento do
risco integrado a todas as atividades de TI; o processo detecta decises
de investimento em TI que so tomadas sem levar em considerao os
riscos envolvidos; os riscos residuais e riscos secundrios so determinados e gerenciados etc.
"Uma meta a ser alcanada pelo PO9 : Estabelecer um plano de
ao para os riscos da TI". O seu alcance pode ser medido atravs do
nmero de incidentes causados por riscos no identificados previamente
pelo processo".
Quanto s reas foco da Governana, esse processo primariamente importante para o alinhamento estratgico e, obviamente,
essencial para o gerenciamento de risco.

258 Governana: Gesto, Auditoria e Tecnologia da Informao

10
AULA

PO10 Gerenciar projetos (Manage projects)


Algumas questes-chave que voc deve perguntar aqui so: quantos projetos foram iniciados sem passar por um processo de anlise e
seleo? Quantos projetos terminaram sem estourar o oramento ou o
prazo? Quantos projetos foram cancelados porque no conseguiram
atingir os seus objetivos?

NVEL 5
Otimizado

Esse processo visa definio de uma metodologia de gerenciamento de projetos de TI. Essa metodologia deve dar suporte ao gerente
desde a seleo e priorizao dos projetos at o seu encerramento,
passando pela elaborao de um plano de gerenciamento de projeto e
a sua correta aplicao no controle o monitoramento. So objetivos de
controle desta rea:
PO10.1 Gerenciamento de programas.
PO10.2 Gerenciamento de projetos.
PO10.3 Metodologia de gerenciamento de projeto.
PO10.4 Comunicao com as partes interessadas.
PO10.5 Definio do escopo.
PO10.6 Iniciao do projeto.
PO10.7 Planejamento integrado do projeto.
PO10.8 Gerenciamento de recursos do projeto.
PO10.9 Gerenciamento do risco do projeto.
PO10.10 Planejamento da qualidade do projeto.
PO10.11 Controle de mudanas no projeto.
PO10.12 Planejamento de mtodos de garantia do projeto.
PO10.13 Controle e monitoramento do desempenho.
PO10.14 Encerramento do projeto.
Esse processo atinge o nvel mximo de maturidade
quando: existe uma metodologia de gerenciamento de projetos
de TI envolvendo todo o seu ciclo de vida, que faz parte da
cultura da empresa; h iniciativas contnuas para identificar
e institucionalizar as melhores prticas de gerenciamento de
projetos; existe uma entidade organizacional responsvel por
projetos e programas de TI etc.

Figura 10.6: Escritrios de projetos.

CEC I E R J E X T E N S O E M G O V E R N A N A

259

Governana em Tecnologia da Informao

| COBIT v4.1 Planejando, organizando, adquirindo e


implementando

Uma meta desse processo : "Estabelecer mecanismos eficientes


e eficazes de controle de escopo, tempo e custo dos projetos". Essa
meta pode ser medida atravs do percentual de projetos que terminam
no prazo e dentro do oramento tendo cumprido todos os requisitos
inicialmente estabelecidos.
Esse processo mais um que primrio no que diz respeito a
alcanar o alinhamento estratgico, ou seja, sem atingir os seus objetivos
dificilmente a empresa conseguir alinhar a TI e o negcio.

O COBIT utiliza em seu texto a expresso escritrio de projetos, ou PMO (Project Management Office), dentro do PO10. O escritrio de projetos uma estrutura dentro da empresa cujas funes variam muito em cada
caso, dependendo do nvel de maturidade que a empresa possui com relao ao gerenciamento de projetos.
Um PMO pode exercer funes que vo do simples apoio aos gerentes de projeto, auxiliando-os em suas atividades, at o gerenciamento de todo o portflio da organizao, exercendo atividades estratgicas diretamente
ligadas direo do negcio. Os tipos de PMO tambm variam muito. Alguns possuem estrutura menor e so
compostos por duas ou trs pessoas; outros possuem estrutura maior, com dezenas de funcionrios. Alguns
nascem dentro de um departamento e tratam dos projetos de uma nica rea; outros lidam com projetos de
vrios departamentos. O PO10, quando cita o escritrio de projetos, est se referindo a um PMO de TI, que
exemplo muito comum no mercado atual em todo o mundo.

Atividade 1
Com relao s reas foco da Governana, quais processos so prioritrios ao
mesmo tempo para o alinhamento estratgico e para o gerenciamento de riscos?
Explique.
Alguma rea foco da Governana em TI no foi citada? Explique.

260 Governana: Gesto, Auditoria e Tecnologia da Informao

10
AULA

Resposta
Somente o PO6 e o PO9 esto relacionados como prioritrios para ambos
os casos. As concluses so diversas. O objetivo aqui iniciar um raciocnio
integrado sobre o COBIT. Uma concluso, por exemplo, notar que o PO6
(que trata da comunicao de objetivos, metas e diretrizes) primordial para o
alinhamento estratgico. Como sabemos, a realidade do mercado outra. Muitos
at possuem uma definio de misso, viso etc., mas poucos a comunicam
efetivamente pela organizao. O alinhamento entre a TI e o negcio, segundo
o COBIT, depende totalmente disso.
Com relao segunda questo, a medio de desempenho no foi citada.
Isso porque esse no o foco dos processos do domnio PO. Mesmo assim, vale
ressaltar que a medio de desempenho aparece, sim, vrias vezes como uma
rea de Governana em TI secundria para alguns dos processos do domnio de
planejamento e organizao (s listamos o mapeamento das reas da Governana
que so primrias para o processo). Os controles do COBIT so estrategicamente interligados, de forma que raro um processo possuir objetivos com reflexos
somente em uma rea. Na verdade, isso s acontece com um processo: o processo
DS13 (Gerenciar operaes), que veremos na prxima aula.

ADQUIRIR E IMPLEMENTAR (AI AQUIRE AND IMPLEMENT)


Os processos do domnio de aquisio e
implementao (AI Aquire and implement) lidam
com as atividades que visam realizao das estratgias de TI construdas atravs dos processos do
domnio PO, ou seja, as solues de TI precisam
ser identificadas; os recursos necessrios precisam ser adquiridos externamente ou construdos
internamente; os servios desejados precisam ser
colocados em produo etc.
Figura 10.7: Integrao entre processos.

CEC I E R J E X T E N S O E M G O V E R N A N A

261

Governana em Tecnologia da Informao

| COBIT v4.1 Planejando, organizando, adquirindo e


implementando

AI1 Identificar solues automatizadas (Identify automated


solutions)
Voc sabe como a empresa analisar a viabilidade de atender s
expectativas, aos desejos e at mesmo s necessidades dos usurios?
Como os requisitos de negcio sero considerados pelos usurios durante
a especificao das aplicaes e servios? Bem, esse processo deve lidar
com esse tipo de dvida.
A necessidade de novas aplicaes precisa ser analisada sob
diversos aspectos, tais como: desejos e expectativas dos interessados,
existncia de solues alternativas, reviso da tecnologia envolvida, anlise de custo-benefcio, anlise de viabilidade e deciso final de fazer
ou comprar. De uma forma ou de outra, tanto a aquisio externa
quanto a construo interna da soluo devem atender aos princpios
da eficincia operacional e, principalmente, da eficcia estratgica.
Os objetivos de controle aqui so:
AI1.1 Definio dos requisitos tcnicos e funcionais.
AI1.2 Relatrios de anlise de risco.
AI1.3 Estudo de viabilidade e definio de alternativas.
AI1.4 Deciso e aprovao de requisitos e de viabilidade.
Observe que o nvel mximo desse processo atingido quando:
a metodologia para aquisio ou implementao flexvel e atende a
projetos de todos os portes; as oportunidades de utilizao de tecnologias
estratgicas so identificadas e aproveitadas; a empresa a identifica e atua
em situaes em que aplicaes so aprovadas sem a devida anlise de
viabilidade e custo-benefcio etc.
Um exemplo de meta desse processo pode ser: "Identificar solues
que atendam aos requisitos dos usurios e tomar decises de fazer ou
comprar. Essa meta possui vrios indicadores, tais como o percentual
de interessados (usurios, clientes, patrocinadores etc.) satisfeitos com
os estudos de viabilidade realizados pela TI.
Com relao s reas foco da Governana, esse processo est
diretamente ligado entrega de valor e ao alinhamento estratgico.

262 Governana: Gesto, Auditoria e Tecnologia da Informao

10
AULA

AI2 Adquirir e manter softwares aplicativos (Acquire and


maintain application software)
Tenha em mente que esse processo garante que a empresa no
ficar sem resposta para questes como: o que garante que uma soluo
foi construda conforme as especificaes? Como as aplicaes sero
auditadas? Como garantir a qualidade no processo de desenvolvimento
de software? Como gerenciar solicitaes de usurios por novos servios?
Aqui o termo "aquisio" usado de forma abrangente, ou seja, referese tanto aquisio externa (comprar de terceiros), quanto aquisio
interna (desenvolver com meios prprios).
Aplicaes cujas viabilidades foram aprovadas precisam se concretizar. Esse processo deve cobrir o desenho das aplicaes e as atualizaes
visando implementao de novas funcionalidades. Os seus objetivos
de controle so:
AI2.1 Desenho de alto nvel.
AI2.2 Desenho detalhado.
AI2.3 Controle e auditoria de aplicaes.
AI2.4 Disponibilidade e segurana das aplicaes.
AI2.5 Configurao e implementao do software adquirido.
AI2.6 Atualizaes maiores de sistemas em produo.
AI2.7 Desenvolvimento de software aplicativo.
AI2.8 Garantia de qualidade de software.
AI2.9 Gerenciamento de requisitos de aplicaes.
AI2.10 Manuteno de software aplicativo.
Veja que o nvel mximo de desempenho almejado por esse processo atingido quando: toda a aquisio e a manuteno de software
acontecem de acordo com o processo; quando a metodologia de aquisio e manuteno possibilita desenvolvimento e entrega respondendo
rapidamente s necessidades do negcio etc.
"Uma meta desse processo : Adquirir e manter aplicaes que
atendam os requisitos de negcio a um custo vivel". O alcance dessa meta
pode ser medido atravs do percentual de projetos de desenvolvimento que
terminam no prazo e dentro do oramento e pela quantidade de esforo
necessrio para manter as aplicaes em uso na organizao".

CEC I E R J E X T E N S O E M G O V E R N A N A

263

Governana em Tecnologia da Informao

| COBIT v4.1 Planejando, organizando, adquirindo e


implementando

Com relao s reas foco da Governana em TI, esse processo


prioritrio para a entrega de valor e para o alinhamento estratgico.

AI3 Adquirir e manter infraestrutura tecnolgica (Acquire


and maintain technology infrastructure)
Quantos processos crticos de negcio so suportados por plataformas obsoletas? Existe um plano de atualizao da infraestrutura
tecnolgica? Quanto da infraestrutura tecnolgica est operando em
plataformas que no esto de acordo com as diretrizes tecnolgicas da
organizao?
As empresas tambm precisam possuir um processo para adquirir
e atualizar a sua infraestrutura tecnolgica. Isso requer procedimentos
alinhados com as estratgias e direes tecnolgicas, alm da existncia de
ambientes dedicados de teste e desenvolvimento. Esse processo garante que
a infraestrutura tenha capacidade para suportar as aplicaes de negcio.
AI3.1 Plano de aquisio de infraestrutura tecnolgica.
AI3.2 Proteo e disponibilidade da infraestrutura.
AI3.3 Manuteno da infraestrutura.
AI3.4 Viabilidade do ambiente de testes.
Esse processo atinge o mximo de maturidade quando a organizao conhece as novas plataformas, tecnologias e ferramentas de
mercado; o TCO reduzido atravs da racionalizao e padronizao
dos componentes da infraestrutura; o processo auxilia na identificao
de meios para otimizar o desempenho atravs da terceirizao etc.
Uma meta desse processo : "Fornecer plataforma apropriada para
suportar as aplicaes de negcio." O seu alcance pode ser medido pelo
nmero de componentes da infraestrutura que no esto de acordo com
a arquitetura e com os padres tecnolgicos definidos pela empresa.
Esse processo crtico para o gerenciamento de recursos dentro
das reas de Governana em TI.

AI4 Habilitar operao e uso (Enable operation and use)


Como as informaes sobre as aplicaes sero compartilhadas
entre os profissionais da rea de TI? Como os usurios sero treinados

264 Governana: Gesto, Auditoria e Tecnologia da Informao

10

para utilizar adequadamente a infraestrutura e os sistemas? Qual o

AULA

percentual de aplicaes para as quais h treinamento inclusive para a


equipe de suporte?
Esse processo lida principalmente com conhecimento e informao
sobre os sistemas. Ele requer a elaborao de documentao para as
equipes, manuais para usurios e treinamento a fim de assegurar o uso
adequado da infraestrutura. Os objetivos de controle so:
AI4.1 Planejamento das solues operacionais.
AI4.2 Transferncia de conhecimento para a empresa.
AI4.3 Transferncia de conhecimento para os usurios finais.
AI4.4 Transferncia de conhecimento para o provedor de TI.
Note que o nvel otimizado desse processo atingido quando: a documentao constantemente atualizada; quando ela mantida
eletronicamente, possibilitando rpido acesso e
enriquecimento atravs de contribuies; as atualizao refletem as mudanas organizacionais
ou operacionais; os programas de treinamento
e capacitao so integrados s necessidades da
empresa e s necessidades da TI etc.
Um exemplo de meta do AI4 pode ser:
"Transferir e compartilhar o conhecimento
necessrio para o uso correto dos sistemas e

Figura 10.8: Adquirir e implementar.

aplicaes". Ela pode ser mensurada, por exem-

plo, por meio do nmero de incidentes causados pela falta de documentao sobre os procedimentos ou pela falta de treinamento da equipe.
Esse processo um dos que so diretamente responsveis pela
entrega de valor da Governana em TI.

AI5 Comprar recursos de TI (Procure IT resources)


Os recursos de TI incluem pessoas, hardware, software e servios;
todos precisam ser comprados de alguma maneira. Pois bem. Que
maneira seria essa? Quais so os melhores fornecedores de determinado
equipamento ou servio? Como mensurar a qualidade de um fornecedor?
Como e onde posso contratar mo de obra terceirizada?

CEC I E R J E X T E N S O E M G O V E R N A N A

265

Governana em Tecnologia da Informao

| COBIT v4.1 Planejando, organizando, adquirindo e


implementando

necessrio que existam procedimentos de aquisio, de seleo


de fornecedores, de construo de arranjos contratuais, e da compra
em si. O objetivo que a organizao disponha de todos os recursos
de que precisa quando eles forem necessrios. Os objetivos de controle
desse processo so:
AI5.1 Controle de aquisies.
AI5.2 Gerenciamento de contratos.
AI5.3 Seleo de fornecedores.
AI5.4 Aquisio de recursos de TI.
Note que o nvel timo atingido quando: a empresa refora a
necessidade de seguir as polticas e os procedimentos de aquisio da
TI; so tomadas medidas sobre os contratos e sobre o gerenciamento de
aquisies que so relevantes para decises futuras de aquisio; existe
bom relacionamento com parceiros e fornecedores e a qualidade desse
relacionamento medida periodicamente e de forma estratgica; a TI
comunica a importncia estratgica de haver processos adequados de
aquisio e gerenciamento de contratos etc.
Uma meta importante desse processo : "Reduzir o risco nas
aquisies da TI." Ela pode ser medida atravs do percentual de aquisies realizado de acordo com as polticas e procedimentos formais de
aquisio da organizao.
A principal contribuio desse processo para a Governana em
TI com relao ao gerenciamento de recursos.

AI6 Gerenciar mudanas (Manage changes)


Como priorizar as mudanas necessrias no ambiente operacional?
Como lidar com as solicitaes de alteraes emergenciais na infraestrutura ou em sistemas de produo? Como minimizar o risco do impacto
de mudanas mal realizadas?
Enfim, todas as mudanas (mesmo as emergenciais) dentro do
ambiente de produo precisam ser gerenciadas de acordo com procedimentos formais. Mesmo mudanas em procedimentos, processos,
parmetros de configurao de servios ou sistemas devem ser registrados
e autorizados antes de sua implementao. Isso assegura a mitigao de
riscos inerentes a mudanas que possam causar impacto na estabilidade
do ambiente de produo. Seguem os objetivos de controle:

266 Governana: Gesto, Auditoria e Tecnologia da Informao

10

AI6.1 Definio de padres e procedimentos de mudanas.

AULA

AI6.2 Avaliao de impacto, priorizao e autorizao.


AI6.3 Mudanas emergenciais.
AI6.4 Relatrio e acompanhamento de mudanas.
AI6.5 Encerramento e documentao de mudanas.
O nvel otimizado desse processo obtido quando: as trilhas
de auditoria permitem detectar erros causados por mudanas mal
executadas; o retrabalho devido a mudanas mnimo; as operaes
de retrocesso, quando necessrias, acontecem com o mnimo impacto;
o gerenciamento de mudanas na TI integrado ao gerenciamento de
mudanas de negcio para assegurar aumento de produtividade e criao
de oportunidade para a organizao etc.
Uma das metas do AI6 : "Avaliar o impacto das mudanas na
infraestrutura e nas aplicaes de TI." O seu alcance pode ser medido
atravs da quantidade de mudanas que resultaram em retrocesso e pela
reduo do esforo necessrio para implementar as mudanas.
Esse processo essencial para a entrega de valor na Governana
em TI.

AI7 Instalar e acreditar solues e mudanas (Install and


accredit solutions and changes)
Qual a melhor forma de colocar uma nova soluo em produo,
afinal? Bem, para no fugir regra, bvio esta altura que, em primeiro lugar, vem a construo dos processos que atendam aos objetivos de
controle de todas as reas citadas. Depois ficar fcil...
Esse processo ir lidar especificamente com a operacionalizao
do servio (aps a sua identificao, anlise de viabilidade, construo
ou aquisio etc.). Tal operacionalizao requer testes em um ambiente
dedicado e com dados relevantes, definio de instrues de migrao,
planejamento de entrega, incio da produo, alm de revises psimplantao. Isso assegura que os sistemas operacionais esto alinhados
com as expectativas. Ento, estes so os objetivos de controle descritos
no COBIT para esta rea:
AI7.1 Treinamento.
AI7.2 Planejamento de testes.
AI7.3 Planejamento de implementao.

CEC I E R J E X T E N S O E M G O V E R N A N A

267

Governana em Tecnologia da Informao

| COBIT v4.1 Planejando, organizando, adquirindo e


implementando

AI7.4 Ambiente de testes.


AI7.5 Converso de dados e sistemas.
AI7.6 Testes de mudanas.
AI7.7 Testes de aceitao final.
AI7.8 Incio da produo.
AI7.9 Reviso ps-implantao.
Observe que esse processo atingir o nvel otimizado (nvel mximo
de maturidade segundo o COBIT )
quando: no existem incidentes ou
acidentes aps a operacionalizao de
sistemas; as revises ps-implementao
so padronizadas e as mudanas necessrias so mnimas; a empresa utiliza
as lies aprendidas para assegurar a

Figura 10.9: Gerenciar mudanas.

melhoria contnua do processo; testes


de carga (novos sistemas) e testes de regresso (sistemas modificados)
so aplicados consistentemente etc.
Uma meta desse processo : "Verificar e confirmar que aplicaes
e sistemas esto plenamente de acordo com os propsitos da organizao". Um dos indicadores de desempenho dessa meta a quantidade de
retrabalho causado por testes inadequados de aceitao das solues.
Esse processo primrio para a entrega de valor da Governana
em TI.

Atividade

Qual a diferena entre os processos do domnio AI (Adquirir e implementar) e os


processos do domnio PO (Planejar e organizar)?

268 Governana: Gesto, Auditoria e Tecnologia da Informao

10
AULA

Resposta
Os processos do domnio AI possuem foco mais voltado para a operacionalizao dos servios. Isso notado quando observamos que os sete processos
deste domnio refletem preocupaes de analisar a viabilidade, adquirir e manter
softwares aplicativos e infraestrutura, documentar e compartilhar informaes
de uso e manuteno, efetivar a compra dos recursos necessrios, gerenciar as
mudanas, testar o servio e torn-lo operacional, ou seja, de forma muito simplificada, podemos dizer que se trata das etapas do ciclo que vo da solicitao pelo
usurio ou cliente at a sua operacionalizao. E para que servem os processos
do domnio PO? Ora, tudo que acontece em outros processos acontece segundo
as sadas dos processos de planejamento e organizao, ou seja, segundo as
diretrizes, metas, planos e metodologias gerados quando aqueles processos so
conduzidos pela empresa.

CONCLUSO
Os processos vistos nesta aula se encaixam nos dois primeiros
domnios citados do COBIT. Voc se lembra de como o relacionamento entre o ciclo PDCA e os domnios PO e AI? O domnio PO
possui processos cujas atividades tm mais a ver com o P (Plan) do
PDCA. O domnio AI, por sua vez, est mais relacionado ao D (Do)
do ciclo PDCA. importante que, a partir disso, voc entenda que o
amadurecimento dos processos de aquisio e implementao depende
do amadurecimento dos processos de planejamento e organizao.
Alm disso, outro fato importante que o alinhamento estratgico, que apenas uma das cinco reas foco da Governana, depende de
vrios processos. Por outro lado, um processo pode ser importante para
mais de uma rea foco da Governana em TI.
Tudo isso, de certa forma, responde questo sobre por que
difcil evoluir uma rea deixando outra em segundo plano. Embora
tenhamos dito que os processos do COBIT foram construdos de forma
integrada, na verdade, na prtica, os processos esto de fato integrados.
O COBIT apenas reflete a realidade daquelas empresas onde as coisas
funcionam direito.
CEC I E R J E X T E N S O E M G O V E R N A N A

269

Governana em Tecnologia da Informao

| COBIT v4.1 Planejando, organizando, adquirindo e


implementando

Finalmente, ressaltamos que, alm de ter atingido as metas definidas pela empresa para cada objetivo de controle, comum ao nvel
mximo de maturidade de todos os processos: seguir efetivamente a
filosofia da melhoria contnua; gerar documentao e registros necessrios
dentro da prpria metodologia do processo; e, obviamente, garantir que
as metas de TI so obtidas de acordo com as metas de negcio.

INFORMAES SOBRE O FRUM


Vamos discutir os assuntos desta aula no frum desta semana?
Ttulo: O COBIT como um "guarda-chuva" para a Governana em TI.
Objetivo: muito comum encontrarmos no mercado empresas que iniciaram seus
projetos de melhoria no gerenciamento de servios de TI pela ITIL, pela ISO 27000
etc. Algumas delas nem tiveram conhecimento do que o COBIT e para que ele
serve. Voc deve se lembrar de que o COBIT deve ser um guarda-chuva para a
Governana em TI e, por isso, deve ser abordado antes de qualquer outro modelo
ou norma. Voc concorda com isso? Por qu?

Atividade online
O COBIT no possui uma descrio detalhada sobre como implementar o 1
2
processo (entradas, atividades, procedimentos, regras, sadas etc.). Pelo menos
no esta a sua principal preocupao, haja vista que ele um documento estratgico e,
portanto, menos detalhado. Nesta aula vimos os processos dos domnios PO e AI. O objetivo
desta atividade pesquisar como os processos da ITIL v3 so mapeados no COBIT, ou
seja, que processo da ITIL v3 tem a ver com qual rea do COBIT (e vice-versa).

RESUMO

Os dez processos do domnio Planejar e organizar (PO) cobrem questes


como: determinao e comunicao das estratgias e diretrizes da TI;
definio da arquitetura da informao e das direes tecnolgicas;
gerenciamento de recursos humanos; gerenciamento de projetos de TI;
gerenciamento da qualidade geral etc.

270 Governana: Gesto, Auditoria e Tecnologia da Informao

10
AULA

Os sete processos do domnio Adquirir e implementar (AI) lidam diretamente


com questes como: identificao das solues de TI; aquisio externa
ou construo interna dos recursos necessrios; colocao dos servios
desejados em produo etc.
O COBIT mapeia os 34 processos de cada rea de processo com relao s
cinco reas foco da Governana. Alguns processos so mais importantes
para o alinhamento estratgico, outros so mais importantes para o
gerenciamento de riscos, j outros para o gerenciamento de recursos e
assim por diante.
Todo processo possui objetivos de controle a serem perseguidos com
o intuito de promover o seu amadurecimento. O nvel mximo de
amadurecimento de cada processo acontece quando todos os objetivos
de controle so atingidos e quando o processo flexvel para se adaptar
s mudanas no cenrio do negcio.
O fato de um processo atingir o nvel mximo de amadurecimento segundo
o COBIT (que o nvel otimizado) no significa que o processo no
possa mais melhorar. Pelo contrrio, a principal caracterstica desse nvel
a busca incessante pela melhoria contnua utilizando as boas prticas
consagradas do mercado.

Informaes sobre a prxima aula


Na prxima aula estudaremos os dois ltimos domnios do
COBIT: o domnio de entrega e suporte (DS Deliver and
support), em que estudaremos 13 processos, e o domnio de
monitoramento e avaliao (ME Monitor and evaluate), em
que estudaremos quatro processos.
No fique parado! Utilize o que voc aprendeu e at a prxima
aula!

CEC I E R J E X T E N S O E M G O V E R N A N A

271

Governana em Tecnologia da Informao

| COBIT v4.1 Planejando, organizando, adquirindo e


implementando

Atividades Finais
1) O relacionamento entre o PO3 (Determinar direo tecnolgica) e o AI3 (Adquirir e
manter infraestrutura tecnolgica) est no fato de que:
a. Os objetivos de controle do AI3 seguem as definies do PO3.
b. Os objetivos de controle do PO3 seguem as definies do AI3.
c. Ambos abordam o acompanhamento de tendncias tecnolgicas.
d. Ambos abordam questes sobre manuteno da infraestrutura.
2) Com relao ao PO5 (Gerenciar o investimento em TI) e ao AI5 (Comprar recursos
de TI) INCORRETO afirmar que:
a. O AI5 lida com o gerenciamento de contratos de fornecedores.
b. O PO5 lida com questes de oramento, custo e benefcio.
c. O processo PO5 responsvel por planejar as aquisies.
d. O processo AI5 responsvel por efetivar as aquisies.
3) Com relao ao PO10 (Gerenciar projetos) e ao AI6 (Gerenciar mudanas) podemos
afirmar que:
a. O AI6 lida somente com mudanas em sistemas aplicativos.
b. O AI6 no aborda mudanas no ambiente operacional.
c. O PO10 no aborda projetos de desenvolvimento de software.
d. O PO10 diz respeito criao de metodologia.
4) Um coordenador de TI afirma que, para atender s metas definidas pelos indicadores
da rea de processo Gerenciamento da qualidade (PO8) do COBIT, necessrio e suficiente implementar o processo Gerenciamento do nvel de servio do livro Desenho do
servio da ITIL v3. Julgue e explique esta afirmao.
5) (Analista do MPE-SE FCC/2009) Uma das reas de processo do domnio PO ( Planejamento e Organizao ), no modelo COBIT,
a. Ensure Systems Security.
b. Obtain Independent Assurance.
c. Assist and Advise Customers.
d. Assess Risks.
e. Manage Changes.
6) Costumamos dizer que o COBIT mais abrangente que outros modelos e conjuntos
de boas prticas. Com relao ITIL, cite um exemplo de rea (do domnio PO ou AI) que
descreve um processo no contemplado pela ITIL.
7) (Analista Judicirio do STJ CESPE/2008) Quanto ao modelo COBIT, julgue os seguintes itens.
a. No domnio adquirir e implementar (acquire and implement), h o processo adquirir
e manter infraestrutura de tecnologia (acquire and maintain technology infrastructure),
que tem como objetivos: desenvolver e executar um plano de garantia de qualidade de
software; desenvolver e manter uma estratgia e um plano para a manuteno dos softwares
aplicativos.

272 Governana: Gesto, Auditoria e Tecnologia da Informao

10
AULA

b. Considere que, no que diz respeito ao processo avaliar e gerenciar riscos de TI (assess
and manage IT risks), uma organizao apresente as seguintes caractersticas: existe
uma abordagem para avaliar riscos; para cada projeto, implementar a avaliao de riscos
depende de deciso do gerente do projeto; a gerncia de riscos aplicada apenas aos
principais projetos ou em resposta a problemas. Nessa situao, o nvel de maturidade
da referida organizao, em relao a tal processo, gerenciado e mensurvel (managed
and measurable).

Resposta
1) Alternativa a. As aquisies resultantes dos processos do domnio AI seguem o
planejamento resultante dos processos do domnio PO. Somente o PO3 acompanha
tendncias de tecnologias e padres e somente o AI3 lida com questes de manuteno
da infraestrutura.
2) Alternativa c. errado afirmar que o PO5 planeja as aquisies. Na verdade, ele aprova oramentos, analisa a relao custo-benefcio de aquisies e prioriza investimentos.
Porm, as compras necessrias (quando aprovadas dentro do oramento), so conduzidas
pelo AI5. Conduzir as compras significa planejar (definir quando ser comprado, quem
ser o fornecedor etc.), executar (fechar a compra, receber o equipamento ou servio
etc.), controlar (acionar a garantia etc.) e encerrar (entregar para a implementao e
operacionalizao).
3) Alternativa d. A empresa precisa ter metodologia para gerenciar projetos. O processo
PO10 possui objetivos de controle direcionados para esse fim, ou seja, a criao de uma
metodologia de gerenciamento de projetos de TI na organizao.
4) A afirmao est errada. O objetivo do PO8 definir indicadores para a adoo (ou
no) de sistemas, filosofias e mtodos da qualidade dentro do mbito da TI, tais como
a ISO 9000 e Seis Sigma etc. O processo Gerenciamento do nvel de servio da ITIL lida
com o estabelecimento de acordos entre as partes envolvidas para a determinao e
atendimento de requisitos, desejos e expectativas com relao aos servios. Obviamente,
como tudo no COBIT, uma coisa acaba ajudando a outra.
5) Alternativa a. Ressalte-se que os nomes das reas esto em ingls (prtica comum) e
que o correto seria Assess and manage IT risks.
6) A resposta pode variar. Um exemplo marcante o do PO7, que lida com o gerenciamento
de recursos humanos no que diz respeito contratao, reteno, motivao, treinamento
e avaliao de pessoas. A ITIL no d muita ateno a essa questo, embora o assunto
seja citado superficialmente nos textos que abordam a central de servios.
7.a) Falso. O processo mencionado lida com questes da infraestrutura. o processo Adquirir
e manter softwares aplicativos (Acquire and maintain application software), do mesmo
domnio, que lida com as questes citadas.
7.b) Falso. No nvel gerenciado e mensurado (nvel quatro) no existe cabimento em avaliar
riscos dependendo da deciso do gerente (de forma subjetiva) e muito menos em aplicar o
processo apenas aos principais projetos (falta de escalabilidade do processo) ou em resposta
a problemas (reativo ao invs de proativo).

CEC I E R J E X T E N S O E M G O V E R N A N A

273

11

AULA

COBIT v4.1 Entregando,


dando suporte, monitorando e
avaliando processos de TI

Meta da aula

objetivos

Explicar as reas de processo do domnio


de entrega e suporte e do domnio de monitoramento e controle do COBIT v4.1 e os
seus respectivos objetivos de controle.

Ao final desta aula, voc dever ser capaz de:


1

reconhecer e explicar os objetivos de controle do

domnio Entregar e dar suporte do COBIT v4.1;

reconhecer e explicar os objetivos de controle do

domnio Monitorar e avaliar do COBIT v4.1.

Pr-requisitos
pr-requisito para esta aula ter atingido os objetivos
das primeiras aulas que tratam do Planejamento Estratgico e da Governana em TI, alm disso, primordial
ter entendido plenamente os conceitos descritos nas

duas aula anteriores de introduo ao COBIT .

Governana em Tecnologia da Informao

| COBIT v4.1 Entregando, dando suporte, monitorando e


avaliando processos de TI

INTRODUO

Se voc tivesse que escolher um modelo, padro ou conjunto de boas prticas para a Governana em TI qual
seria ele? No nenhum absurdo dizer que, na atualida
de, o COBIT o principal documento que trata dessa
rea. Nessa aula vamos finalizar o estudo desse importante modelo de controles para Governana em TI.
Bom estudo!

Chegamos nossa ltima aula sobre o COBIT ! Na aula anterior, estudamos dois
domnios cujos processos esto mais voltados para o planejamento e para a construo dos servios de TI. Nesta aula iremos estudar 13 processos mais ligados aos
servios que sustentam a operao e a produo diria da TI e quatro processos
que visam avaliao do desempenho de todos os outros processos.
Voc deve perceber que o conjunto de reas de processo que estudaremos nessa

aula o mais diretamente coberto pelos processos da ITIL . Porm, lembre-se


sempre de que, embora ambos tratem do mesmo assunto em diversas situaes,

a ITIL e o COBIT possuem focos bem diferentes, como j ressaltamos em


outras aulas. Por isso, o teor do texto revela informaes que so diferentes no

que diz respeito sua importncia (mais estratgica, no caso do COBIT ; mais

operacional, no caso da ITIL ) e servem empresa em momentos diferentes


da criao do processo (mais no momento de definio de objetivos e metas,

no caso do COBIT ; mais no momento de colocar o processo em produo,

no caso da ITIL ).
Alm disso, voc deve se lembrar tambm do o fato de que ser mais voltado
para a estratgia ou para a operao no quer dizer estar restrito a estes nveis.

O COBIT no evita lidar com questes relacionadas execuo do processo


em si, at porque o domnio de entrega e suporte que estudaremos nesta
aula diretamente voltado para processos j em operao. Como j dissemos

vrias vezes, o correto utilizar o COBIT primeiro para auxiliar na definio


do desenho do processo e de seus objetivos em outro modelo para auxiliar na

sua operacionalizao. No domnio DS, o contedo da ITIL quase totalmente

mapeado pelo COBIT .


276 Governana: Gesto, Auditoria e Tecnologia da Informao

11

Enfim, voc j deve ter percebido que um dos domnios ainda no estudados

AULA

o domnio Entregar e dar suporte (DS). O outro domnio que estudaremos


aqui o Monitorar e avaliar (ME). Pois bem, vamos em frente.

ENTREGAR E DAR SUPORTE (DS DELIVER AND SUPPORT)


Este domnio trata de processos que visam sustentao do dia
a dia da empresa atravs da manuteno dos processos
existentes.
Os processos do domnio de entrega e suporte
(DS Deliver and support) cobrem o gerenciamento da
segurana e da continuidade das operaes; o suporte ao
usurio atravs da central de servio; o gerenciamento de
incidentes e de problemas; o gerenciamento de servios
Figura 11.1: Suporte de TI.

terceirizados etc.

DS1 Definir e gerenciar nveis de servio (Define and manage service levels)

Voc se lembra dos processos da ITIL ? Pois o objetivo dessa


rea orientar a empresa no sentido de construir um processo como o

Gerenciamento do nvel de servio da ITIL . Qual o nvel de servio


esperado pelo cliente e pelo usurio para um determinado servio? Existem acordos formalizados com os usurios, com outros departamentos
e com terceiros? Os acordos esto sendo cumpridos? Usurios e clientes
esto satisfeitos? Os objetivos de controle desse processo so:
DS1.1 Modelo de gerenciamento do nvel de servio.
DS1.2 Definio de servios.
DS1.3 Acordo de nvel de servio.
DS1.4 Acordos de nvel operacional.
DS1.5 Monitoramento e relatrio do nvel de servio alcanado.
DS1.6 Reviso dos contratos e acordos de nvel de servio.
Este processo atinge o mximo nvel de maturidade quando: os
acordos de nvel de servio so continuamente revisados; a satisfao do
cliente, usurio etc. continuamente medida e analisada; os requisitos
de nvel de servio atendem aos objetivos e metas da empresa e no a
outros critrios subjetivos etc.

CEC I E R J E X T E N S O E M G O V E R N A N A

277

Governana em Tecnologia da Informao

| COBIT v4.1 Entregando, dando suporte, monitorando e


avaliando processos de TI

Uma das metas importantes desse processo : "Estabelecer um


entendimento comum sobre os requisitos de qualidade para os servios
prestados pela TI." Um indicador para medir o alcance dessa meta a
quantidade de servios entregues que atendem aos nveis previamente
acordados.
Alinhamento estratgico, entrega de valor, medio de desempenho e gerenciamento de recursos so reas foco da Governana para as
quais esse processo primordial.

DS2 Gerenciar servios de terceiros (Manage third-party


services)
Voc deve saber que cada vez mais comum no mercado o processo de terceirizao, principalmente na rea de TI. Portanto, devem
existir procedimentos formais para lidar com fornecedores terceirizados
de produtos ou de servios ou parceiros de negcio. Esses processos
iro lidar com questes como: o que se espera do fornecedor? At que
ponto a m qualidade na prestao de servios por terceiros pode afetar
o negcio? Como diminuir o risco relacionado aos nossos parceiros de
negcio? Os seus objetivos de controle so:
DS2.1 Identificao do relacionamento com fornecedores.
DS2.2 Gerenciamento do relacionamento com fornecedores.
DS2.3 Gerenciamento do risco de fornecedores.
DS2.4 Monitoramento do desempenho de fornecedores.
Pode-se dizer que este processo atingiu o nvel otimizado, segundo o modelo de maturidade, quando: os contratos estabelecidos com
terceiros so revisados periodicamente; o relacionamento com terceiros
e parceiros alvo de auditorias da qualidade e eles tm a oportunidade
de melhorar seus servios atravs do retorno obtido com as auditorias;
parceiros e empresas terceirizadas so recompensados ou premiados pelo
atendimento a requisitos de qualidade previamente estabelecidos etc.
Uma das metas desse processo : "Assegurar que os servios entregues por terceiros esto de acordo com padres internos e externos." Uma
das formas de medir essa meta atravs da determinao da quantidade
de fornecedores e parceiros para os quais existem acordos claramente
definidos e atravs da quantidade de fornecedores e parceiros que atendem a esses acordos.

278 Governana: Gesto, Auditoria e Tecnologia da Informao

11

Com relao Governana, esse processo essencial para que

AULA

haja entrega de valor e gerenciamento de riscos.

DS3 Gerenciar desempenho e capacidade (Manage performance and capacity)

Mais uma vez, o COBIT menciona um processo que totalmente

coberto pela ITIL . Em ambos os casos, claro, o objetivo o mesmo, isto


, garantir que a TI tenha recursos suficientes para dar suporte a servios
essenciais para o negcio tanto hoje quanto no futuro. Os principais
objetivos de controle so:
DS3.1 Planejamento de desempenho e capacidade.
DS3.2 Capacidade e desempenho atual.
DS3.3 Capacidade e desempenho futuro.
DS3.4 Disponibilidade de recursos de TI.
DS3.5 Monitoramento e relatrio.
Este processo considerado maduro quando: as necessidades de
desempenho e capacidade so plenamente compatveis com as previses
de demanda de negcio; a capacidade operacional da TI revisada regularmente para assegurar a sua otimizao a um custo aceitvel para a
empresa; so realizadas anlises de tendncia a fim de prever problemas
causados por aumento do volume de negcios etc.
Um indicador importante desse processo : "Minimizar perodos de
paralisao dos servios (downtime) e otimizar a utilizao de recursos."
Essa meta pode ser medida atravs do nmero de horas de inatividade
por usurio devido ao planejamento inadequado dos recursos.
A rea foco de Governana mais diretamente afetada por esse
processo o gerenciamento de recursos.

DS4 Assegurar continuidade do servio (Ensure


continuous service)
Trata-se do processo gerenciamento da continuidade

que estudamos tanto na ITIL v2 quanto na ITIL v3. Note


que, quando falamos de continuidade do negcio, estamos
nos referindo a uma paralisao notvel de vrias unidades
de negcio (ou de toda a empresa) pela falta de um ou mais
servios essenciais prestados pela TI.
Figura 11.2: Continuidade.

CEC I E R J E X T E N S O E M G O V E R N A N A

279

Governana em Tecnologia da Informao

| COBIT v4.1 Entregando, dando suporte, monitorando e


avaliando processos de TI

Assim, muitos costumam citar que esse processo lida com questes como terremotos, tsunamis, incndios etc. Claro que so apenas
exemplos. O que a empresa deve se perguntar : que evento pode afetar
a continuidade do negcio? Ser que um concorrente pode subornar
um estagirio para que ele apague informaes de todos os servidores
no nosso data center? Bem, dependendo do pas em que a empresa opera
(e do data center onde ela instalou os servidores), essa hiptese bem
mais provvel que a do tsunami etc. E pode, sim, levar paralisao da
empresa! Os objetivos de controle so:
DS4.1 Modelo de continuidade da TI.
DS4.2 Planos de continuidade da TI.
DS4.3 Recursos crticos de TI.
DS4.4 Manuteno do plano de continuidade da TI.
DS4.5 Teste do plano de continuidade da TI.
DS4.6 Treinamento do plano de continuidade da TI.
DS4.7 Distribuio do plano de continuidade da TI.
DS4.8 Recuperao dos servios de TI.
DS4.9 Local externo de armazenamento de backup.
DS4.10 Reviso ps-recuperao.
Este processo atinge o nvel cinco (otimizado) quando: o plano de
continuidade da TI est perfeitamente integrado ao plano de continuidade
do negcio; so realizados testes sistmicos do plano e os resultados desses
testes so utilizados para atualizar o plano; a TI pode garantir que no
haver paralisao completa dos servios devido a um ponto nico de
falha na ocorrncia de incidentes graves ou de fora maior etc.
Uma meta muito bvia deste processo : "Elaborar, aprovar,
comunicar e testar um plano de continuidade de negcios." O alcance
dessa meta pode ser medido atravs da quantidade de processos crticos
de negcio dependentes da TI que so cobertos pelo plano.
As reas da Governana em TI mais importantes para esse processo
so a entrega de valor e o gerenciamento de risco.

DS5 Garantir a segurana de sistemas (Ensure systems


security)
Bem, claro que a expresso segurana da informao no
nem um pouco nova para voc (pelo menos no deveria ser...). Voc se

280 Governana: Gesto, Auditoria e Tecnologia da Informao

11

lembra dos princpios da segurana da informao (confidencialidade,

AULA

integridade, disponibilidade etc.)? Pois bem, a empresa deve possuir um


processo que garanta esses princpios atravs de aes concretas. So
objetivos de controle:
DS5.1 Gerenciamento da segurana de TI.
DS5.2 Plano de segurana de TI.
DS5.3 Gerenciamento de identidade.
DS5.4 Gerenciamento de contas de usurios.
DS5.5 Monitoramento, vigilncia e teste da segurana.
DS5.6 Definio de incidente de segurana.
DS5.7 Proteo da tecnologia de segurana.
DS5.8 Gerenciamento de chaves de criptografia.
DS5.9 Preveno, deteco e correo de software malicioso.
DS5.10 Segurana de rede.
DS5.11 Compartilhamento de dados sensveis.
Este processo atende a todos os objetivos de controle, ou seja,
est maduro quando: a empresa entende que a responsabilidade pela
segurana da informao no s da TI; incidentes de segurana so
prontamente detectados, registrados e respondidos de acordo com procedimentos padronizados; avaliaes peridicas so realizadas a fim
de assegurar a efetividade dos planos tticos de segurana e da prpria
poltica de segurana; os processos e tecnologias relacionados segurana
da informao so implementados sistemicamente, isto , atravs de toda
a organizao e em todas as suas unidades de negcio etc.
Algumas metas desse processo so: "Permitir acesso aos dados
sigilosos apenas para pessoas autorizadas e diminuir as vulnerabilidades
dos sistemas." Essas metas podem ser medidas atravs de indicadores
como o nmero de acessos indevidos (ou tentativas) ou pela quantidade
de reas de negcio que seguem rigorosamente os procedimentos de
segurana da informao.
Este , obviamente, um processo primrio para a garantia do
gerenciamento do risco dentro da Governana em TI.

CEC I E R J E X T E N S O E M G O V E R N A N A

281

Governana em Tecnologia da Informao

| COBIT v4.1 Entregando, dando suporte, monitorando e


avaliando processos de TI

DS6 Identificar e alocar custos (Identify and allocate


costs)
Mais um processo para lidar com as questes financeiras da
TI. Porm, observe que esse processo est ligado realizao do custo
propriamente dito. Como uma empresa pode saber onde os recursos de
TI esto sendo gastos de fato? Isso implica a existncia de um processo
para capturar, alocar e relatar os custos para os usurios dos servios.
Um mecanismo justo de alocao de custos permitir empresa tomar
mais decises baseadas em fatos com relao ao uso dos servios de TI.
Seus objetivos de controle so:
DS6.1 Definio de servios.
DS6.2 Prestao de contas de TI.
DS6.3 Modelagem e cobrana de custos.
DS6.4 Manuteno do modelo de custos.
Este processo estar maduro
quando os custos dos servios prestados
pela TI so identificados, capturados,
somados e comunicados a diretores,
gerentes, chefes de unidades de negcio,
clientes e usurios; os custos dos acordos
de nvel de servio, dos requisitos capa-

Figura 11.3: Alocar custos.

cidade e continuidade so identificados


e comunicados; a otimizao do ROI um processo contnuo; quando
a empresa sabe qual o TCO da TI etc.
Uma das metas desse processo : "Definir mecanismos claros de
quantificao dos custos dos servios de TI e identific-los adequadamente." Uma forma de medir se a empresa est caminhando para atingir
essa meta determinar o percentual de variaes entre os oramentos
previstos e os custos de fato realizados.
O gerenciamento de recursos a rea foco da Governana mais
importante para esse processo (e vice-versa).

DS7 Educar e treinar usurios (Educate and train users)


Embora esta seja uma preocupao em muitas empresas, somente

aquelas com bons processos conseguem efetiv-la. O COBIT recomenda

282 Governana: Gesto, Auditoria e Tecnologia da Informao

11

que haja processos para a educao de usurios com relao ao uso dos

AULA

sistemas de TI. Um programa efetivo de treinamento potencializa os


resultados oriundos do uso da tecnologia e, por outro lado, minimiza os
riscos relacionados ao uso incorreto de ferramentas e tcnicas. Seguem
os objetivos de controle do processo:
DS7.1 Identificao das necessidades de educao e treinamento.
DS7.2 Realizao de educao e treinamento.
DS7.3 Avaliao do treinamento recebido.
Podemos dizer que este processo atingiu seu nvel mximo de
maturidade quando: os treinamentos resultam em melhoria comprovada
no desempenho individual; existem programas de desenvolvimento de
carreira na organizao que esto atrelados a programas de treinamento e
capacitao; as tcnicas de treinamento so continuamente aperfeioadas
atravs de modelos e padres de boas prticas etc.
Algumas metas desse processo so:
"Estabelecer mtodos de treinamento,
capacitao e transferncia de conhecimento
e aumentar a conscincia sobre os riscos e
sobre as responsabilidades que envolvem o
uso dos sistemas e aplicativos na empresa."
Uma forma de medir essa meta determinar
o nmero de chamadas de usurios e clientes

Figura 11.4: Educar.

que poderiam ser evitadas com treinamento.


Outro indicador a quantidade de profissionais (em todos os nveis) que
receberam treinamento na organizao.
Esse processo um daqueles que so primrios para a entrega de
valor dentro das reas foco da Governana em TI.

DS8 Gerenciar a central de servios e incidentes (Manage


service desk and incidents)
Provavelmente voc deve estar pensando: Bem, esta rea a que

mais lembra a ITIL . Se pensou, pensou com razo! A ideia da central


de servios e do processo de gerenciamento de incidentes est toda aqui.
Vale ressaltar que, quando estudamos esses assuntos, a central de servio

no era um processo da ITIL . Porm, o COBIT menciona a expresso


gerenciar a central de servios... como algo que faz parte do processo
de gerenciamento de incidentes.
CEC I E R J E X T E N S O E M G O V E R N A N A

283

Governana em Tecnologia da Informao

| COBIT v4.1 Entregando, dando suporte, monitorando e


avaliando processos de TI

Bem, apenas um detalhe acerca de pontos de vista. Nada que possa


atrapalhar o nosso entendimento nesta altura do curso, no mesmo?
Seus objetivos de controle so:
DS8.1 Central de servio.
DS8.2 Registro de solicitaes do usurio.
DS8.3 Escalonamento de incidentes.
DS8.4 Encerramento de incidentes.
DS8.5 Anlise e relatrio de tendncias.
Este processo considerado amadurecido quando: as mtricas
com relao ao nmero de incidentes por rea de negcio, tipo de
sistemas, perfil de usurio etc. so continuamente colhidas, divulgadas
e analisadas; os incidentes de TI (aqueles para os quais h soluo de
contorno) so rapidamente resolvidos mesmo em momentos de crise;
existem ferramentas automatizadas para dar suporte ao trabalho executado pela central de servio; os usurios entendem o papel da central
de servio e o aprovam etc.
Uma meta importante desse processo, conforme j vimos na

prpria ITIL , : "Registrar, documentar, analisar, escalar e solucionar


incidentes de acordo com os acordos estabelecidos." Ela pode ser medida,
por exemplo, atravs do sucesso da central de servios em resolver incidentes no primeiro contato, ou seja, no atendimento de primeiro nvel.
Esse processo tambm essencial para a entrega de valor dentro
da Governana em TI.

DS9 Gerenciar a configurao (Manage the configuration)


Ora, este processo tal e qual era o Gerenciamento da confi

gurao da ITIL (mas que passou a ser chamado de Gerenciamento


da configurao e de ativos na verso 3). Ele inclui a coleta inicial de
informaes sobre a configurao de ativos, o estabelecimento de linhas
de base (baselines), a verificao e auditagem de informaes de configurao e a atualizao da base de dados de gerenciamento da configurao
(BDGC) conforme as necessidades.
Pode no parecer, mas principalmente atravs do gerenciamento
da configurao que muitas empresas de ponta tm aumentado a disponibilidade de seus sistemas, minimizando incidentes na produo (ou
resolvendo-os rapidamente). Seus objetivos de controle so:

284 Governana: Gesto, Auditoria e Tecnologia da Informao

11

DS9.1 Linhas de base de configurao.

AULA

DS9.2 Identificao e manuteno dos itens de configurao.


DS9.3 Reviso da integridade da configurao.
A empresa atinge o nvel mximo de maturidade com relao a este
processo, quando: os ativos de TI podem ser gerenciados pelo processo,
ou seja, todas as informaes relevantes sobre ativos esto registradas,
assim como os relacionamentos existentes entre os ativos; ocorrem
auditorias de linhas de base (baselines) da configurao e os resultados
das auditorias orientam reparos, decises sobre servios, acionamento
de garantia e atualizaes de hardware ou de software etc.
Uma meta deste processo : "Estabelecer e gerenciar um repositrio de equipamentos e peas sobressalentes necessrios manuteno
da operao." Uma forma de medir o sucesso dessa meta determinar
a quantidade de itens da infraestrutura que podem ser repostos em
um tempo aceitvel para o negcio atravs do processo. Outra meta :
"Revisar o estado da infraestrutura de TI e comparar com os registros de
itens da configurao na base de dados de gerenciamento." Uma forma
de medir o sucesso dessa meta determinar a quantidade de desvios
encontrados na infraestrutura em produo com relao aos registros
contidos na base de dados de gerenciamento.
A entrega de valor e o gerenciamento de recursos so as reas mais
importantes para esse processo dentro das reas foco da Governana
em TI.

DS10 Gerenciar problemas (Manage problems)


Voc se lembra de qual a diferena entre problema e incidente?
Isso foi visto nos primrdios do nosso curso, digo, em nossas primeiras
aulas. Logo depois foi dito que, como se trata de coisas diferentes,

essencial ter processos diferentes para lidar com ambos. O COBIT ,


sabiamente, tambm segue esse princpio. So objetivos de controle
desta rea:
DS10.1 Identificao e classificao de problemas.
DS10.2 Resoluo e rastreamento de problemas.
DS10.3 Encerramento de problemas.
DS10.4 Integrao do gerenciamento da configurao, de incidentes e de problemas.
O nvel otimizado atingido quando: o gerenciamento de probleCEC I E R J E X T E N S O E M G O V E R N A N A

285

Governana em Tecnologia da Informao

| COBIT v4.1 Entregando, dando suporte, monitorando e


avaliando processos de TI

mas acontece de forma proativa; a identificao, investigao e resoluo


de problemas acontecem de forma automatizada e integrada ao gerenciamento da configurao; as metas com relao a esse processo so revistas
continuamente para atender s necessidades de negcio etc.
Na prtica, a principal meta desse processo : "Investigar a causaraiz de problemas oriundos da prestao de servios de TI." Algumas
formas de medir se a empresa est caminhando em direo a essa meta
medir o percentual de problemas recorrentes, medir o nmero de problemas por unidades de negcio, rea ou perfis de usurio etc. e procurar
melhorar o seu desempenho.
A entrega de valor a rea foco da Governana mais dependente dele.

DS11 Gerenciar dados (Manage data)

Bem, aqui podemos dizer que o COBIT traz algo novo com

relao ITIL . O.K., sem problemas. Afinal, no e nunca foi objetivo

do COBIT ser completamente mapeado pela ITIL ou por qualquer


outro modelo, norma, padro ou conjunto de boas prticas. Na verdade,
a ideia aqui muito simples. Com que tipo de dados a empresa lida?
Em que tipo de mdia eles so armazenados? Existem procedimentos
seguros de backup, recuperao e descarte?

Enfim, na verdade, alguns processos da ITIL

acabam, sim, tendo reflexo nos objetivos aqui


descritos. At mesmo a questo da segurana
da informao tem a ver com os objetivos de
controle desse processo.
E por que no eliminar esse processo, j
que ele coberto por outras reas? Ora, porque
informao tudo hoje em dia e informao
gerada a partir de dados. Sem dados, no h

informao. Logo, o COBIT recomenda que


exista um processo formal com objetivos claros
Figura 11.5: Dados.

para lidar com os dados da organizao, apenas


para no correr o risco de que a empresa no se esquea disso. Nesse
processo, os objetivos de controle so:

286 Governana: Gesto, Auditoria e Tecnologia da Informao

11

DS11.1 Requisitos de negcio para o gerenciamento de dados.

AULA

DS11.2 Acordos para armazenamento e reteno de dados.


DS11.3 Sistema de gerenciamento de mdia.
DS11.4 Descarte.
DS11.5 Backup e restaurao.
DS11.6 Requisitos de segurana para o gerenciamento de dados.
Este processo considerado timo na organizao quando: a
necessidade de gerenciamento de dados entendida dentro da organizao e todas as aes so efetivamente tomadas por todos; a responsabilidade pela gerao, manuseio, utilizao, proteo, compartilhamento
e descarte dos dados prvia e claramente definida na empresa; ferramentas automatizadas so utilizadas para dar suporte ao gerenciamento
dos dados etc.
A principal meta desse processo : "Manter a completeza, segurana, exatido, validade e acessibilidade dos dados." Essa meta de
processo pode ser medida atravs de indicadores como o percentual de
sucesso obtido em eventos que necessitam de restaurao de dados, pela
quantidade de incidentes causados pela inexistncia de redundncia de
dados e pela quantidade de incidentes causados pela perda ou acesso
indevido a dados.
As reas foco da Governana primrias para o processo so a entrega de valor, o gerenciamento de riscos e o gerenciamento de recursos.

DS12 Gerenciar o ambiente fsico (Manage the physical


environment)
Em muitos ambientes, quando ouvimos a expresso segurana da
informao, subentendemos que se est falando de segurana de dados,
segurana fsica etc. Assim, poderamos dizer que este processo tambm
possui algum grau de sobreposio. Na verdade, voc ver a seguir que
o seu foco outro e no foi tratado ainda nos processos do COBIT

que ns j vimos.
Os seus objetivos de controle so:
DS12.1 Seleo de local.
DS12.2 Medidas de segurana fsica.
DS12.3 Acesso fsico.

CEC I E R J E X T E N S O E M G O V E R N A N A

287

Governana em Tecnologia da Informao

| COBIT v4.1 Entregando, dando suporte, monitorando e


avaliando processos de TI

DS12.4 Proteo contra fatores ambientais.


DS12.5 Gerenciamento de facilidades fsicas.
Este processo est maduro quando, a quantidade de interrupo
do servio por questes de acesso fsico indevido reduzida a zero; a
avaliao e a reviso das questes de gerenciamento do ambiente fsico
acontecem regularmente; quando existem padres na empresa para a
seleo (ou construo) de local de armazenamento e instalao dos
ativos; quando existem procedimentos para monitorao, proteo e
permisso de acesso aos ambientes; quando h mecanismos de proteo
contra incndio, inundaes e alagamentos; quando h mecanismos de
controle da umidade, temperatura mxima (ou mnima) etc.
A principal meta desse processo, obviamente, : "Oferecer e
gerenciar ambiente fsico apropriado para a prestao de servios de TI."
Essa meta medida pelo nmero de incidentes causados por explorao
das vulnerabilidades no ambiente fsico de prestao dos servios ou por
acessos fsicos indevidos a equipamentos e outros ativos da TI.
Para a Governana, esse processo essencial para o gerenciamento
de riscos.

DS13 Gerenciar operaes (Manage operations)


Voc deve se lembrar de que, em aulas anteriores, explicamos que
tudo que acontece na empresa acontece ou na forma de operaes ou na

forma de projetos. Logo, assim como existe uma rea no COBIT que
trata do gerenciamento de projetos, existe tambm uma rea que define
os objetivos de controle para o processo de gerenciamento de operaes.
Os seus objetivos de controle so:
DS13.1 Instrues e procedimentos operacionais.
DS13.2 Agendamento de trabalho.
DS13.3 Monitoramento da infraestrutura de TI.
DS13.4 Documentos sensveis e dispositivos de sada.
DS13.5 Manuteno preventiva de hardware.
O nvel cinco desse processo atingido quando: a empresa possui
um suporte operacional efetivo, eficiente e suficientemente flexvel a
ponto de garantir o nvel de servio acordado mesmo em momentos de
crise; os procedimentos operacionais so documentados e divulgados e

288 Governana: Gesto, Auditoria e Tecnologia da Informao

11

a base de dados de conhecimento continuamente

AULA

revisada; processos operacionais automatizados


so suficientemente robustos a ponto de oferecer
um ambiente estvel etc.
Uma meta desse processo : "Definir procedimentos operacionais alinhados aos requisitos de
negcio conforme o plano estratgico e atendendo
aos nveis de servio acordados sem, entretanto,
ultrapassar o limite da relao custo-benefcio que

Figura 11.6: Operaes.

pode ser suportado pela organizao." Essa meta


pode ser medida atravs da determinao da quantidade de horas de
interrupo causadas por incidentes devido a falhas nos procedimentos
operacionais ou do percentual de trabalho agendado que no cumpriu
o cronograma estabelecido.
O gerenciamento de recursos a principal rea foco de Governana afetada por esse processo.

Atividade

Na ltima aula discutimos as diferenas entre os processos das reas PO5 e AI5.
Nesta aula vimos mais um processo que lida com as questes financeiras da TI: o

DS6. Qual a diferena entre este processo e aqueles dois j estudados?

Resposta
O PO5 trata de questes de planejamento do investimento em TI. O AI5 responsvel por efetivar as compras de acordo com as decises de investimento.
O DS6, visto nesta aula, est relacionado aos custos diretos e indiretos da prestao de servios e sua cobrana (real ou nocional). So, portanto, trs enfoques
completamente diferentes.

CEC I E R J E X T E N S O E M G O V E R N A N A

289

Governana em Tecnologia da Informao

| COBIT v4.1 Entregando, dando suporte, monitorando e


avaliando processos de TI

MONITORAR E AVALIAR (ME MONITOR AND EVALUATE)


Uma das caractersticas mais importantes de toda abordagem por
processo a sua relao com a melhoria contnua, ou seja, na medida em
que o processo se repete a empresa tem a oportunidade de melhor-lo.

O COBIT essencial nesse contexto, pois define os indicadores que iro


guiar a melhoria em cada processo. Porm, isso no ser possvel se os
prprios mtodos de controle e avaliao de resultados dos processos
forem falhos.
Assim, para garantir a efetividade da aplicao dos

controles do COBIT , ele prprio define, no domnio de


monitoramento e avaliao (ME Monitor and evaluate),
processos para: avaliao de desempenho dos processos;
monitoramento do controle interno dos processos; avaliao da efetividade dos processos em fornecer a Governana
em TI; garantia da conformidade regulatria dos processos
etc.
Note que a ideia mesmo recursiva. Trata-se de processos para controle e monitoramento de processos, inclusive
dos prprios processos de controle e monitoramento. Vale
Figura 11.7: Monitoramento.

lembrar ainda que nesses processos que ficam claros os


princpios da Governana (responsabilidade, prestao de

contas e transparncia) que, como dissemos uma vez, foram herdados


dos controles existentes no COSO.
Tudo certo? Bem, se no, siga adiante e voc logo entender tudo...

ME1 Monitorar e avaliar o desempenho de TI (Monitor and


evaluate IT performance)
Este processo visa medio da efetividade dos resultados obtidos
pelos outros processos. O seu foco responder a questes como: existem
mecanismos sistemticos para relatar desempenho dos processos de TI?
Os processos contribuem da melhor forma possvel para atingir as metas
de negcio? Seguindo essa linha, os objetivos de controle so:
ME1.1 Abordagem do monitoramento.
ME1.2 Definio e coleta de dados de monitoramento.
ME1.3 Metodologia de monitoramento.

290 Governana: Gesto, Auditoria e Tecnologia da Informao

11

ME1.4 Avaliao de desempenho.

AULA

ME1.5 Relatrios para diretores e executivos do negcio.


ME1.6 Aes corretivas.
O maior indcio de que este processo est maduro o grau de
satisfao dos executivos de negcio com os relatrios de desempenho
apresentado; outro fator importante a existncia de prticas de melhoria contnua baseados em boas prticas de mercado para otimizar os
mecanismos de medio de desempenho; so realizadas comparaes
formais dos resultados da empresa com os resultados dos principais
competidores; metas de negcio so utilizadas para medir o desempenho
dos processos da TI etc.
Uma meta importante desse processo : "Definir um conjunto de
objetivos mensurveis e de processos-chave para a TI"; outra meta :
"Identificar e implementar aes de melhoria nos processos de TI." Essas
metas podem ser medidas atravs de indicadores como a quantidade de
processos crticos que so formalmente monitorados e pelo nmero de
objetivos de desempenho que so atingidos.
Esse processo , obviamente, essencial para a rea medio de
desempenho da Governana em TI.

ME2 Monitorar e avaliar o controle interno (Monitor and


evaluate internal control)
Uma pergunta importante a ser feita no momento : at que
ponto os mecanismos de avaliao da empresa so adequados, ou seja,
o controle interno efetivo ou disfara os problemas? Assim, o processo
desta rea inclui monitoramento de todas as excees ao controle, a
anlise dos sistemas de autoavaliao e o monitoramento de terceiros
(no contemplado no processo AI1). Veja os objetivos de controle desse
processo:
ME2.1 Monitoramento do modelo interno de controle.
ME2.2 Reviso de supervisores.
ME2.3 Excees ao controle.
ME2.4 Controle de autoavaliao.
ME2.5 Garantia do controle interno.
ME2.6 Controle interno de terceiros.
ME2.7 Aes corretivas.

CEC I E R J E X T E N S O E M G O V E R N A N A

291

Governana em Tecnologia da Informao

| COBIT v4.1 Entregando, dando suporte, monitorando e


avaliando processos de TI

Este processo visto como um processo que atingiu sua maturidade plena quando h um processo de melhoria contnua dos mecanismos
de controle interno e autoavaliao baseado em lies aprendidas e boas
prticas da indstria; a empresa utiliza tcnicas e ferramentas integradas
que permitem a avaliao dos controles mais crticos da TI etc.
Uma meta desse processo : "Identificar aes de melhoria no
processo de controle (interno) dos processos de TI." Um indicador
importante o nmero de iniciativas de melhoria no controle tomadas
pela empresa. Outro indicador a frequncia de incidentes relacionados
ao controle (relatrios no compatveis com a realidade, demonstrao
de resultados em desacordo com a realidade etc.).
O gerenciamento de riscos e a entrega de valor so as principais
reas foco de Governana.

ME3 Assegurar conformidade com requisitos externos


(Ensure compliance with external requirements)
Esta rea segue os princpios da responsabilidade, transparncia
e prestao de contas que foram herdados do COSO, ou seja, o processo visa a assegurar que h conformidade com leis, normas, padres,
regulamentos e contratos vigentes que afetam as operaes da empresa.
Os objetivos de controle desse processo so:
ME3.1 Identificao de requisitos legais, regulamentares ou
contratuais.
ME3.2 Otimizao da resposta a requisitos externos.
ME3.3 Avaliao da conformidade com requisitos externos.
ME3.4 Garantia de conformidade.
ME3.5 Relatrio integrado.
O processo ME3 atinge o nvel de maturidade mximo quando: a
empresa atende a todas as questes mandatrias que afetam os servios
que ela presta a um custo razovel para o negcio; existe um fluxo de
documentos na empresa que permite a identificao e o compartilhamento das informaes regulatrias aplicveis; a empresa toma partido
e participa de discusses externas sobre normas, padres e regulamentos
em suas reas de negcio; todos na empresa entendem os riscos da no
conformidade etc.

292 Governana: Gesto, Auditoria e Tecnologia da Informao

11

A meta mais importante deste processo : "Identificar todas as

AULA

leis, regulamentos, normas, padres e contratos aplicveis s operaes


e aos projetos da TI e garantir a sua conformidade." O melhor indicador
para essa meta o nmero de incidentes causados por no conformidade
regulatria.
O alinhamento estratgico e o gerenciamento de riscos so as reas
foco da Governana em TI principais para esse processo.

ME4 Fornecer Governana de TI (Provide IT Governance)


O processo de controle aqui se preocupa com o fato de que a
empresa possui um modelo de Governana em TI e que ele est sendo
usado de forma efetiva para atingir os resultados atravs das cinco reas
foco de Governana: alinhamento estratgico, entrega de valor, gerenciamento de riscos, medio de desempenho e gerenciamento de recursos.

Seguem os objetivos de controle descritos no COBIT para essa rea:


ME4.1 Estabelecimento de um modelo de Governana.
ME4.2 Alinhamento estratgico.
ME4.3 Entrega de valor.
ME4.4 Gerenciamento de recursos.
ME4.5 Gerenciamento de risco.
ME4.6 Medio de desempenho.
ME4.7 Garantia independente.
Este processo atinge o nvel de mximo
de maturidade quando a empresa entende o
que Governana em TI e consegue assegurar a
existncia de processos que garantam a Governana em TI de forma integrada s necessidades
da empresa. Note que isso no significa que a
empresa tenha atingido o nvel cinco de maturidade em todos os seus processos, mas, sim,
que o nvel de maturidade obtido o necessrio

Figura 11.8: Tudo se encaixa na Governana

para sustent-la de forma estvel.


Algumas metas desse processo so: integrar a Governana em TI
com os objetivos da empresa; responder s preocupaes e aos questionamentos da alta direo quanto a estratgias, riscos e desempenho
da TI; fornecer uma garantia de atendimento dos planos, polticas e
procedimentos da TI dentro da empresa.
CEC I E R J E X T E N S O E M G O V E R N A N A

293

Governana em Tecnologia da Informao

| COBIT v4.1 Entregando, dando suporte, monitorando e


avaliando processos de TI

Alguns dos indicadores desse processo so: frequncia com que


relatrios de desempenho da TI so encaminhados pela alta direo para
usurios, clientes e acionistas; frequncia com que os relatrios sobre a
maturidade dos processos da TI so encaminhados por ela (a TI) para
a alta direo etc.
Obviamente esse processo representa o "guarda-chuva" da Governana em TI, ou seja, o mais abrangente no que diz respeito s reas
foco afetadas, que, nesse caso, so todas as cinco.

Atividade 2
Quais so as diferenas entre os quatro processos de monitoramento e controle do

domnio ME do COBIT ?

Resposta

O COBIT possui um processo que visa medio do desempenho dos outros


processos em si, ou seja, ele cumpriria o papel de controle conforme estamos
acostumados. Alm disso, existe um processo para avaliar o controle, ou seja,
garantir que as medies obtidas so realsticas, e tomar aes de melhoria ou
de correo necessrias. Um terceiro processo lida com controle e monitoramento
especificamente das questes de conformidade regulatria, atendimento a padres
e normas mandatrios, leis e contratos. O quarto processo visa a garantir que o

objetivo geral do COBIT , que garantir que h Governana em TI na empresa.


Este ltimo processo possui objetivos de controle relacionados s cinco reas foco
da Governana em TI: alinhamento estratgico, entrega de valor, gerenciamento
de riscos, gerenciamento de recursos e medio de desempenho.

294 Governana: Gesto, Auditoria e Tecnologia da Informao

AULA

11

CONCLUSO
Os processos vistos nesta aula se encaixam nos dois ltimos

domnios do COBIT . Os processos de entrega e suporte so os que

possuem maior mapeamento com os processos da ITIL . Apesar disso,

importante que voc entenda que o uso da ITIL para a implementao

do processo aps qualquer avaliao feita com o COBIT no algo

mandatrio. apenas um dos caminhos. Embora usar a ITIL seja, sim,


o caminho mais comum (e mais seguro...), outras formas de implementar

o processo a partir do COBIT podem ser adotadas na organizao.


O mais importante, quando o foco a Governana em TI, usar

o COBIT , pois ele o nico modelo de objetivos de controle que tem


esse foco, ou, pelo menos, o nico que conseguiu obter visibilidade

e aceitao mundiais. Por isso dizemos que os processos do COBIT


interagem entre si para formar o "guarda-chuva" da Governana.

INFORMAES SOBRE FRUM


Vamos discutir os assuntos desta aula no frum desta semana?
Ttulo: O COBIT e outros modelos, normas e padres.

Objetivo: Acabamos de terminar nesta aula o estudo do COBIT .


Na prxima aula iremos estudar, de forma breve, outros modelos
que tambm so utilizados dentro das empresas para melhorar a
prestao de servios de TI e com foco na Governana de TI. Porm,
como so muitos modelos, ns iniciaremos desde j uma discusso
sobre o que o mercado tem utilizado, alm do COBITe da ITIL, para
a elevao do grau de maturidade nas diversas reas de processo da
TI. O objetivo permitir que cada um possa trazer exemplos vividos
sobre a adoo de normas, padres e boas prticas da indstria que
deram certo (ou no) na sua prpria empresa.

Atividade online
A
Assim
como fizemos na aula passada, vamos agora fazer o mapeamento
2
1
dos processos dos domnios DS e ME para os processos da ITIL v3 (ou viceversa). Aps o trmino da atividade, voc observar que haver uma correspondncia
muito maior com o domnio DS. Por que voc acha que isso acontece?

CEC I E R J E X T E N S O E M G O V E R N A N A

295

Governana em Tecnologia da Informao

| COBIT v4.1 Entregando, dando suporte, monitorando e


avaliando processos de TI

RESUMO

Os 13 processos da rea de processos Entregar e dar suporte (DS) cobrem


questes como o gerenciamento da segurana e da continuidade
das operaes; o suporte ao usurio atravs da central de servio; o
gerenciamento de incidentes e de problemas; o gerenciamento de
servios terceirizados etc.
Os quatro processos da rea de processos Monitorar e avaliar (ME) lidam
diretamente com questes como a avaliao regular do desempenho
dos processos; o monitoramento das atividades de controle interno;
a avaliao da efetividade dos processos em fornecer a Governana
em TI; a garantia da conformidade regulatria etc.
Os 13 processos do domnio de entrega e suporte (DS) possuem

correspondncia muito grande com os livros da ITIL . Isso porque esse

domnio mais focado em questes operacionais, e vimos que a ITIL

mais voltada para a operao da TI, embora isso no signifique que


ela se limite somente a essa rea.
Os quatro processos do domnio monitoramento e avaliao (ME)
possuem objetivos que visam a controlar e monitorar processos, ou
seja, trazem uma ideia recursiva de controle, inclusive pelo fato de
que so aplicados a si mesmos.
Os quatro processos do domnio monitoramento e avaliao (ME)
remetem aos princpios da Governana (responsabilidade, prestao
de contas e transparncia) herdados do COSO.

Informao sobre a prxima aula


Na prxima aula vamos estudar outros exemplos de conjuntos
de boas prticas e normas que, alm da ITIL e do COBIT, tm
sido muito importantes no contexto da Governana em TI e
tm sido muito utilizados em vrias empresas. Como exemplo,
citamos a ISO 27000, o eSCM-SP e o eSCM-CL.
At a prxima aula!

296 Governana: Gesto, Auditoria e Tecnologia da Informao

AULA

11

Atividades Finais
1) Os processos de qual domnio do COBIT so os que possuem maior abrangncia quando mapeados pela ITIL?
a) Planejar e organizar.
b) Adquirir e implementar.
c) Entregar e dar suporte.
d) Monitorar e controlar.
2) Ao utilizar uma aplicao terceirizada, os dados de uma transao so corrompidos e o usurio no consegue mais, a partir da interface da aplicao,
obter informaes sobre o estado do procedimento que ele tentou realizar.
Qual processo responsvel por receber a reclamao do usurio sobre tal
situao?
a) Gerenciamento de terceiros.
b) Gerenciamento da central de servio e de incidentes.
c) Gerenciamento de problemas.
d) Gerenciamento de dados.
3) A rea de processo que trata do armazenamento de mdias crticas de backup
em local externo e seguro a de:
a) Gerenciamento da continuidade do servio.
b) Gerenciamento da segurana de sistemas.
c) Gerenciamento do ambiente fsico.
d) Gerenciamento de dados.
4) Julgue a afirmao: Ao contrrio do que acontece na ITIL, questes de disponibilidade dos servios de TI no so abordadas pelo COBIT
5) (Analista do MPE-SE FCC/2009) Uma das reas de processo do domnio DS
(Entrega e Suporte), no modelo COBIT,
a) Definir a Arquitetura da Informao.
b) Monitorar o Processo.
c) Comunicar a Direo e as Metas Gerenciais.
d) Desenvolver e Manter Procedimentos.
e) Identificar e Alocar Custos.
6) Julgue a seguinte afirmao: O processo Fornecer a governana de TI (ME4) tem
como objetivo a concretizao de fato das aes visando implementao do que
chamamos de Governana em TI.
7) (Analista de Controle Interno SAD-PE FGV/2009) Governana de TI um conjunto
de prticas, padres e relacionamentos estruturados, assumidos por executivos,
gestores, tcnicos e usurios de TI de uma organizao, com a finalidade de
garantir controles efetivos, ampliar os processos de segurana, minimizar os riscos,
ampliar o desempenho, otimizar a aplicao de recursos, reduzir os custos, suportar
as melhores decises e consequentemente alinhar TI aos negcios.

CEC I E R J E X T E N S O E M G O V E R N A N A

297

Governana em Tecnologia da Informao

| COBIT v4.1 Entregando, dando suporte, monitorando e


avaliando processos de TI

No que diz respeito aos objetivos de controle no framework Cobit 4.1, o processo
Gerenciar Service Desk e Incidentes inclui o seguinte procedimento:
a) a criao e operao de um sistema de captura, alocao e reporte dos custos
da TI para os usurios de servios.
b) a definio e execuo de uma estratgia para um treinamento efetivo, medio
de resultados e anlise de incidentes.
c) a implementao da funo da central de servios com registro, escalao,
tendncias, anlise de causas raiz e resoluo de incidentes.
d) a avaliao dos servios instalados que minimizam a probabilidade e o impacto
de interrupes de servio sobre funes e processos de negcio.
e) a monitorao e o reporte em tempo para os stakeholders sobre o cumprimento
dos nveis de servios, que habilitam o alinhamento entre os servios da TI o
os requisitos sobre o negcio.

RESPOSTAS
1) Alternativa c. Conforme discutido nesta aula.
2) Alternativa b. O processo de gerenciamento de incidentes, ou gerenciamento
central de servio e de incidentes, sempre o que recebe as solicitaes e as
requisies dos usurios.
3) Alternativa a. Ter procedimentos documentados para armazenamento de dados
em mdias de backup tarefa do Gerenciamento de dados. Porm, decidir que
dados so crticos a ponto de serem armazenados em locais externos tarefa do
Gerenciamento da continuidade. Muitas reas do COBIT possuem objetivos que se
confundem e, por isso, necessrio entender claramente o foco de cada uma.
4) A afirmao falsa. Na verdade, os processos de gerenciamento da capacidade
e de gerenciamento da disponibilidade da ITIL so tratados em uma nica rea
do COBIT, a saber, Gerenciar desempenho e capacidade (DS3). O DS3 possui um
objetivo de controle relacionado disponibilidade.
5) Alternativa E. Conforme visto na teoria.
6) A afirmao falsa. O ME4 um processo de monitoramento e controle, e no um
processo que visa execuo, ou seja, no capaz de produzir resultados concretos
por si s. Desse modo, embora ele no seja nem mais nem menos importante, no
haveria sentido algum implementar o ME4 (ou qualquer outro processo do domnio
ME) sem implementar outros processos do COBIT. E, obviamente, as aes concretas
visando Governana em TI so tomadas atravs de todos os outros processos.
7)Alternativa c. Observe que o enunciado traz uma boa definio de Governana
em TI. A resposta bvia, pois somente a alternativa c traz algo relacionado ao
processo Gerenciar Service Desk e Incidentes.

298 Governana: Gesto, Auditoria e Tecnologia da Informao

12

AULA

Outros modelos e normas


de Governana

Meta da aula

objetivos

Apresentar os conceitos bsicos sobre a


ISO 20000, a ISO 27000, a ISO 385000,
o eSCM-SP e o eSCM-CL e exemplificar
como tudo pode se encaixar dentro de
um projeto de Governana emTI.

Ao final desta aula, voc dever ser capaz de:


1

reconhecer e explicar o que e para que servem a


ISO 20000, a ISO 27000, a ISO 38500, o eSCM-SP e
o eSCM-CL;

reconhecer e explicar como os diversos modelos


de boas prticas, normas e padres podem ser
aplicados em um projeto.

Pr-requisito
pr-requisito para esta aula ter completado os
objetivos de todas as aulas anteriores.

Governana em Tecnologia da Informao

| Outros modelos e normas de Governana

INTRODUO

O que Governana, afinal? A esta altura acreditamos


que voc j consegue responder a esta questo. Nesta
aula iremos estudar algumas outras normas e boas prticas que tm auxiliado muitas empresas a melhorar os
seus processos em diversas reas da TI. Ao final da
aula, vamos discutir um pouco as questes de projeto.
tima aula!

Voc deve lembrar que, logo no incio deste curso, dissemos que Governana
era um conceito bem amplo e que no se resumia somente ao COBIT e
ITIL. Algumas vezes ns comentamos esse fato e dissemos que vrios outros
modelos, conjuntos de boas prticas e mesmo normas de TI podem auxiliar
a empresa a melhorar suas reas de processo a fim de amadurecer rumo
plenitude da Governana em TI.
Nesta aula iremos estudar alguns dos exemplos que mais tm sido utilizados no
mercado. Porm, tenha em mente que ns no nos aprofundaremos da mesma
forma que fizemos com relao ITIL v2, ITIL v3 ou ao COBIT v4.1.
Isso porque a maioria destes modelos tambm possui dezenas de processos
ou controles e seria invivel abord-los todos em um mesmo curso (ainda mais
em uma nica aula). Porm acreditamos que, com tudo que foi visto at agora,
mais o que veremos nesta aula (mesmo que resumidamente), voc ter uma
viso completa sobre como participar ou at mesmo gerenciar um projeto de
Governana em TI.

A ISO 20000 (GERNCIA DE SERVIOS DE TI)


A famlia ISO 20000 um conjunto de normas mundiais baseadas
nas normas britnicas da famlia BS 15000 (British Standards). A ISO
20001 conhecida como a norma de requisitos de gerenciamento de
servios de TI da ISO.
300 Governana: Gesto, Auditoria e Tecnologia da Informao

12

Essa norma possui exatamente o mesmo objetivo que a ITIL, ou seja, melhorar

AULA

o gerenciamento de servios de TI com base em processos bem definidos na


organizao. No toa que seu nome em ingls information technology
service management.

Processos de entrega
Gerenciamento
da capacidade

Gerenciamento do nvel
do servio

Gerenciamento da segurana da informao

Gerenciamento
da disponibilidade
e da continuidade

Fornecer relatrio do servio

Oramento e prestao
de contas

Processos de controle
Gerenciamento de configurao

Processos de
liberao
Gerenciamento
de liberao

Gerenciamento de mudana

Processos de
resoluo

Processos de
relacionamento
Gerenciamento do
relacionamento com o
negcio

Gerenciamento de incidente
Gerenciamento de problemas

Gerenciamento de
fornecedores

Figura 12.1: Processo da ISO 20000.Baseado na norma ISO 20000:2005.

E de onde surgiu a ISO 20000? Ora, surgiu como surgem todas as


normas ISO: a partir de um consenso mundial em torno de um determinado assunto. No caso da ISO 20000, ela um consenso em torno das
boas prticas da ITIL v2, que foram modificadas e adaptadas para se
tornar requisitos de uma norma mundial. Segue abaixo um pouco sobre
o histrico desta norma.
Em 2000, a ITIL foi revisada, dando origem ITIL v2, que
acabou ganhando notoriedade mundial. O bero da ITIL, como sabemos, foi o Reino Unido. Por isso, no demorou muito at que aquele
pas transformasse a ITIL v2 em uma norma nacional. Assim, em 2003,
o Reino Unido publicou a BS 15000, que era a ITIL v2 na forma de
requisitos, ou seja, certas empresas na Inglaterra precisavam aderir a
essa norma e atender a todos os requisitos. J sabemos que isso significa
desenvolver, implantar e gerenciar vrios processos de TI.
A partir da estava aberto o caminho para que a comunidade
mundial, devido adoo das prticas da ITIL v2 como padro de fato
em vrios pases, criasse uma norma que seguisse a linha da BS 15000.
Isso aconteceu em 15 de dezembro de 2005, quando a ISO 20000 foi
publicada. Podemos dizer que a ISO 20000 a prpria BS 15000 com
algumas adaptaes para o contexto mundial.
CEC I E R J E X T E N S O E M G O V E R N A N A

301

Governana em Tecnologia da Informao

| Outros modelos e normas de Governana

E qual a diferena entre uma empresa que utiliza as boas prticas


da ITIL e uma empresa que possui a certificao ISO 20000? Bem, se
voc se lembra da diferena entre norma e boa prtica, voc sabe bem
qual a resposta... Se no se lembra, voc precisa revisar esse assunto
imediatamente!

No endereo http://www.isoiec20000certification.com/ voc poder obter


informaes sobre a ISO 20000 e sobre o nmero de organizaes certificadas no mundo. L voc poder ver que o total de empresas certificadas
no mundo de 399, sendo que apenas 4 empresas esto no Brasil. Japo
e China so os pases com maior nmero de certificados (68 e 54, respectivamente). O Reino Unido, onde a norma nasceu, possui 39 empresas
certificadas ISO 20000. Pgina acessada em 30 de dezembro de 2009.

Uma das grandes diferenas (ou inovaes) da ISO 20000 com


relao ITIL v2 foi o fato de que a norma inclui processos como o de
gerenciamento de fornecedores e o de gerenciamento do relacionamento, algo para o que a ITIL v2 no dava a devida ateno. Na verdade,
muitas das ideias que surgiram nas discusses desta norma direcionaram
as modificaes que viriam a ser realizadas mais tarde na ITIL v3.
importante que voc saiba que as empresas no tm notado
grandes retornos com relao certificao ISO 20000. Passados quatro
anos desde a publicao da norma, h menos de 400 empresas certificadas
no mundo todo. Muito pouco, quando comparado penetrao que a
ISO 27000, por exemplo, alcanou no mesmo perodo.

A ISO 27000 (SEGURANA DA INFORMAO)


Por falar nisso, o que podemos dizer da famlia de normas ISO 27000?
Assim como o embrio da ISO 20000 foi concebido na Inglaterra na forma
de boas prticas, a ISO 27000 tambm nasceu na Inglaterra. Porm, j nasceu
na forma de uma norma britnica denominada BS 7799.
Cdigo de prticas

BS 7799-1
1995

ISO 17799
2000

ISO 17799
2005

ISO 27002
2005

BS 7799-2
2002

ISO 27001
2005

ISO 27001
2005

Especificao dos requisitos

BS 7799-2
1998

Figura 12.2: Evoluo da ISO 27001.


302 Governana: Gesto, Auditoria e Tecnologia da Informao

12

As normas BS 7799 foram publicadas em meados da dcada de

AULA

1990. Os ingleses usavam a filosofia de publicar vrias normas dentro de


uma mesma famlia para tratar de um tema. Assim, a BS 7799-1 lidava com
o cdigo de prticas, a BS 7799-2 continha a especificao de requisitos e
assim por diante. A Figura 12.2 esquematiza como se deu a evoluo das
vrias normas, tanto de especificao de requisitos quanto do cdigo de
prticas, at chegar famlia ISO 27000, que utilizada atualmente.
Observe que, em alguns anos, os profissionais da rea tinham que
conviver com requisitos de uma norma e cdigo de prticas de outra.
Isso porque o avano na normatizao no aconteceu concomitantemente. Por exemplo: em 2000 a ISO lanou a ISO 17799 contendo o
cdigo de prticas do SGSI (Sistema de Gerenciamento de Segurana da
Informao), mas sugeria que o mundo continuasse usando a BS 7799
como especificao de requisitos do SGSI. Em 2005, por sua vez, ela
lanou uma norma contendo as especificaes do SGSI, a ISO 27001,
mas apenas revisou os cdigos de prticas da ISO 17799. Porm, ainda
no mesmo ano, a 27002 substituiu a ISO 17799 e finalmente tivemos
uma famlia de normas mundiais para a segurana da informao:
a famlia ISO 27000!
A confuso em torno do assunto to grande que, at hoje,
possvel encontrar editais de licitao, editais de concurso pblico ou
requisies de proposta que ainda mencionam a ISO 17799 ou que
mencionam tanto a ISO 17799 quanto a ISO 27002. Neste ltimo caso,
o erro maior, pois a 27000 substitui a 17799 (embora, na prtica, o
seu contedo seja o mesmo...).

Domnios e objetivos de controle da ISO 27001


Mas voc deve estar se perguntando para que serve a ISO 27000
e qual o seu contedo. Bem, vamos falar da norma 27001, que contm
os requisitos de auditoria. essa norma que concentra as informaes
mais importantes desta famlia e ela que o auditor lder tem em mos
(no mnimo...) durante a auditoria de certificao da empresa.
somente no anexo A da norma ISO 27001 que encontramos
o contedo mais diretamente voltado para os profissionais da rea de
segurana que devem efetivar aes para a melhoria dos processos.
Todo esse contedo apresentado na forma de objetivos de controle

CEC I E R J E X T E N S O E M G O V E R N A N A

303

Governana em Tecnologia da Informao

| Outros modelos e normas de Governana

e de controles do SGSI (Sistema de Gerenciamento da Segurana da


Informao). Os objetivos so divididos em 11 reas (alguns chamam
as reas de domnios da norma):
A.5 Poltica de segurana.
A.6 Segurana da informao organizacional.
A.7 Gerenciamento de ativos.
A.8 Segurana de recursos humanos.
A.9 Segurana fsica e do ambiente.
A.10 Gerenciamento das operaes e comunicaes.
A.11 Controle de acesso.
A.12 Aquisio, desenvolvimento e manuteno de sistemas de
informao.
A.13 Gerenciamento de incidentes de segurana da informao.
A.14 Gesto da continuidade do negcio.
A.15 Conformidade.
Cada rea (ou domnio) dividida em subreas (ou subdomnios).
Dentro de cada subrea encontramos os objetivos de controle e os controles propriamente ditos. Como dissemos no incio da aula, no vamos
nos aprofundar na norma e vamos ficar por aqui...
Brincadeira! Vamos dar pelo menos um exemplo para que fique
claro...
Vejamos por exemplo o domnio A.7 (Gesto de ativos).
Na norma, ele se divide em A.7.1 (Responsabilidade pelos ativos) e A.7.2
(Classificao da informao) da seguinte forma:

A.7.1 Responsabilidade pelos ativos


O objetivo de controle geral alcanar e manter a proteo
adequada dos ativos da organizao.
O A.7.1 possui trs objetivos de controle especficos:
Inventrio dos ativos (A.7.1.1), cujo controle visa a assegurar que todo
ativo identificado e um inventrio de ativos importantes estruturado e mantido; Proprietrio dos ativos (A.7.1.2), cujo controle visa a
garantir que todas as informaes e ativos associados aos recursos
de processamento da informao possuem um proprietrio designado
por uma parte definida da organizao; e Uso aceitvel dos ativos
(A.7.1.3), cujo controle visa a assegurar que existem regras identifica-

304 Governana: Gesto, Auditoria e Tecnologia da Informao

12

das, documentadas e implementadas para que seja permitido o uso de

AULA

informaes e ativos associados ao processamento da informao.

A.7.2 Classificao da informao


O objetivo geral assegurar que a informao receba um nvel
adequado de proteo.
O A.7.2 possui dois objetivos de controle especficos:
Recomendaes para classificao (A.7.2.1), cujo objetivo assegurar que a informao seja classificada em termos do seu valor,
requisitos legais e sensibilidade para a organizao; e Rtulos
e tratamento da informao (A.7.2.2), cujo objetivo garantir
que haja um conjunto apropriado de procedimentos para rotular
e tratar a informao de acordo com o esquema de classificao
adotado pela organizao.
Note que a norma contm vrios objetivos de controle gerais, e
cada um deles subdividido em objetivos de controles especficos. Cada
objetivo, por sua vez, possui uma descrio do controle associado.
Agora sim, vamos parar por aqui, pois existem outros 37 objetivos de controle gerais (so 39 ao todo) e mais 133 objetivos de controle
especficos (ao todo so 139!). Voc h de convir que assunto suficiente
para outro curso... Observe que o formato da norma ISO 27001 se assemelha ao formato do COBIT (reas de processo, objetivos de controle,
controles etc.). Na verdade, esta apresentao facilita estudar e consultar
a norma no dia a dia.
Alm disso, vale lembrar que a norma ISO 27002, que contm o
cdigo de prticas, possui um detalhamento maior dos 139 objetivos de
controle e pode ser muito til na implementao dos controles e estudo
sobre o assunto.

Se, por um lado, o nmero de empresas certificadas ISO 20000 no passa de 400, o
nmero de empresas certificadas ISO 27000 de quase 6.000. S o Japo, que tambm
lder em empresas certificadas nessa norma, possui 3.321 organizaes certificadas.
A ndia, segunda colocada, possui 482 empresas. O Brasil o 21 pas em nmero de
certificaes, com 23 empresas certificadas, perdendo na Amrica Latina apenas para
o Mxico (com 27) e ficando frente de pases como Frana, Canad e Portugal, com
12, 5 e 3 certificaes, respectivamente. Voc pode obter estes e outros nmeros sobre
a ISO 27001 no endereo http://www.iso27001certificates.com/. Pgina acessada em 30
de dezembro de 2009.

CEC I E R J E X T E N S O E M G O V E R N A N A

305

Governana em Tecnologia da Informao

| Outros modelos e normas de Governana

As normas ISO possuem direitos de cpia, uso e distribuio. Elas devem ser compradas a
partir do endereo http://www.iso.org/iso/iso_catalogue.htm ou outro local autorizado. Por
exemplo, somente a ISO 20000-1, que possui a especificao de requisitos para o gerenciamento
de servios de TI em 24 pginas, custa aproximadamente US$ 86. J a ISO 27000-2, que contm
o cdigo de prticas para implementao do SGSI em 44 pginas, custa aproximadamente US$
130. Pgina acessada em 30 de dezembro de 2009.

Atividade 1
Como a ISO 20000 e a ISO 27000 se encaixam no contexto da Governana em TI?

Resposta
Primeiro deve-se observar que ambas so normas. A empresa precisa decidir
se ela quer partir para a obteno da certificao que um processo muito
desgastante (e cujo retorno nem sempre acontece) ou se ela quer apenas
conhecer o contedo da norma e aplic-lo sem compromisso. No caso da ISO
20000, a aplicao sem compromisso pode ser feita utilizando a ITIL v3, pois,
como vimos, exatamente para isso que as boas prticas servem. Na verdade,
o nico compromisso com a melhoria dos processos de TI. Com relao ISO
27000, no existe um conjunto de prticas para a segurana da informao e, por
isso, muito comum as empresas buscarem amadurecimento nos processos de
segurana da informao por meio de consultorias especializadas na ISO 27000.
Porm, isso pode ser feito sem que a empresa opte pela certificao formal, o que
implicaria um compromisso (e investimento) maior de atender a todos os requisitos,
o que nem sempre um atrativo para as empresas. Por fim, ambas podem auxiliar
no contexto da Governana melhorando processos em reas especficas da TI.

306 Governana: Gesto, Auditoria e Tecnologia da Informao

12
AULA

Voc sabe a diferena entre a ISO 20001, a ISO 20002 e a famlia ISO 20000? A ISO, quando
padroniza um tema, geralmente o faz atravs de vrias normas reunidas em uma famlia.
Assim, a famlia ISO 20000 possui vrias normas. A ISO 20001 contm os requisitos propriamente
ditos; a ISO 20002 contm os cdigos de prticas (aes que devem ser conduzidas para atender
aos requisitos). Vale ressaltar que a famlia ISO 20000 possui uma norma bsica, chamada ISO
20000, que contm um vocabulrio de termos sobre o gerenciamento de servios de TI (definio de incidente, de problema, de ativo etc.). No confunda a norma ISO 20000 com a famlia
ISO 20000! O mesmo acontece com a famlia ISO 27000 e vrias outras famlias de normas ISO.
Ou seja, existe a ISO 27000 (vocabulrio de termos usados nas normas da famlia), a ISO 27001
(especificao de requisitos de segurana da informao), a ISO 27002 (cdigo de prticas) etc.
Normalmente as trs primeiras normas da famlia so o vocabulrio de termos, as especificaes
de requisitos e o cdigo de prticas. Porm, a famlia pode ter mais de dez normas, tratando
de questes especficas sobre o tema padronizado.

Um profissional pode ser certificado ISO 20000, ISO 27000 etc.? Bem, a rigor, no. A empresa
pode ser certificada, mas o profissional no. Porm, existem diversas certificaes de auditores ISO. Assim, existe, por exemplo, a figura do auditor lder em uma norma (auditor lder ISO
20000, auditor lder ISO 27000 etc.). Os auditores lderes, entre outras coisas, so responsveis
por conduzir auditorias de certificao (ou re-certificao) que conferem a uma empresa o
ttulo de empresa certificada. Para se tornar um auditor lder o profissional precisa realizar
treinamentos em uma das entidades credenciadas pela ISO e passar em uma ou mais provas.
Normalmente o processo leva de 30 dias a 90 dias e tem um custo relativamente alto, alm
de exigir alguns pr-requisitos do candidato a auditor. Algumas empresas que possuem tais
treinamentos e esto autorizadas a formar auditores lderes das normas ISO so a BSI Brasil
(http://www.bsibrasil.com.br/), o Bureau Veritas Brasil (http://www.bureauveritas.com.br/) e a
Fundao Vanzolini (http://www.vanzolini.org.br/).

O eSCM
O eSCM (eSourcing Capability Maturity Model) um conjunto
de boas prticas de terceirizao e fornecimento de servios desenvolvido pelo SEI (Software Engineering Institute) da Universidade de
Carnegie Mellon. O SEI tambm foi responsvel por criar e desenvolver
o CMM-I, que mencionamos em aulas anteriores. Por isso, ele herda
os conceitos de maturidade e capacidade largamente utilizados no
mundo da Governana (inclusive pelo COBIT, como vimos).

Figura 12.3: A fora da terceirizao.

CEC I E R J E X T E N S O E M G O V E R N A N A

307

Governana em Tecnologia da Informao

| Outros modelos e normas de Governana

E qual o objetivo desse outro conjunto de boas prticas? Perceba


que a ITIL j possua um processo que lidava com a questo da terceirizao de servios. Bem, devido grande demanda por terceirizao
(ou, de acordo com outros termos, outsourcing, body shop etc.), o SEI
desenvolveu um conjunto completo de prticas voltadas somente para
a terceirizao de servios.
A primeira verso foi desenvolvida para as empresas que forneciam
servios ou produtos. Esse conjunto de prticas foi denominado eSCM-SP
(eSCM for Service Provider). Logo depois o SEI publicou um conjunto
de prticas voltadas para o contratante do servio. Essa nova publicao
foi denominada eSCM-CL (eSCM for Client Organizations).
Assim como a ITIL possui o ITSMF para desenvolver as melhores
prticas, cuidar das publicaes, homologar centros de treinamento,
acreditar certificaes, o SEI criou o ITSQC (Information Technology
Services Qualification Center) para cuidar dessas questes com relao
ao eSCM. O Brasil representado no ITSQC pelo Instituto Luiz Coimbra
de Ps-Graduao e Pesquisa de Engenharia (COPPE) da UFRJ.

O eSCM-SP (eSCM FOR SERVICE PROVIDER)


A primeira verso do eSCM-SP foi publicada em 2001. Atualmente est na verso 2.1 publicada em 2006. E qual seria o objetivo do
eSCM-SP?
Basicamente:
Fornecer ao provedor de servios orientao para melhorar a sua capacidade ao longo
do ciclo de fornecimento (sourcing);
Prover aos clientes meios objetivos para
avaliar a capacidade de um fornecedor.
Figura 12.4: Governana consequncia
de vrios eventos.

O eSCM-SP tambm define um ciclo de


vida do servio, porm, ele dividido em 4 etapas

e no 5: operao (ongoing), iniciao (initiation), entrega (delivery) e


concluso (completion). Note que existe uma diferena com relao ao
ciclo de vida do servio da ITIL. Ora, mas e da!? So modelos desenvolvidos por entidades distintas, no mesmo? Voc s precisa entender
as semelhanas e diferenas entre ambos e saber quando aplic-los. No

308 Governana: Gesto, Auditoria e Tecnologia da Informao

12

caso, as semelhanas so maiores que as diferenas.

AULA

A fase denominada produo (ongoing) acontece enquanto o


servio est em produo, ou seja, durante a vida do servio. nesta
etapa que o valor esperado agregado (ou no) operao da empresa.
As fases de iniciao (initiation), entrega (delivery) e concluso (completion) acontecem tanto para um novo servio que est sendo entregue
quanto para servios em operao cujas caractersticas esto sendo
modificadas.

Nveis de capacidade e processos do eSCM-SP


O eSCM for Service Provider tambm possui um modelo de
maturidade baseado em cinco nveis de capacidade dos processos.
Os nveis de so:
Nvel 1: Provendo servios.
Nvel 2: Atendendo requisitos consistentemente.
Nvel 3: Gerenciando o desempenho organizacional.
Nvel 4: Fornecendo valor proativamente.
Nvel 5: Sustentando a excelncia.
Atingir um determinado nvel de maturidade exige que alguns
processos especficos possuam determinado nvel de capacidade. Se no
ficou claro, fique tranquilo. Ainda vamos explicar isso melhor.
O eSCM-SP v2.1 possui dez reas (indicadas logo abaixo) e dentro
destas reas existem ao todo 84 objetivos que podem ser alcanados
atravs de boas prticas. A empresa no precisa implementar todas as
prticas de uma vez, mas existe um nmero pr-definido para cada nvel
de maturidade. No s um nmero, mas a indicao de quais so, exatamente, as prticas que devem ser adotadas para que a empresa atinja
o nvel de maturidade desejado.
Enfim, vamos deixar um pouco mais claro. As dez reas de processo so:
Gerenciamento do conhecimento (produo).
Gerenciamento de recursos humanos (produo).
Gerenciar desempenho (produo).
Gerenciar relacionamento (produo).
Gerenciar tecnologia (produo).

CEC I E R J E X T E N S O E M G O V E R N A N A

309

Governana em Tecnologia da Informao

| Outros modelos e normas de Governana

Gerenciar ameaas (produo).


Gerenciar contratos (iniciao).
Desenho do servio & desenvolvimento (iniciao).
Transferncia do servio (iniciao ou concluso).
Entrega de servio (entrega).
Voc deve ter observado que cada rea est relacionada a uma
ou mais etapas do ciclo de vida do fornecimento (iniciao, entrega,
concluso e produo). Alm disso, cada objetivo estar relacionado
a um nvel de maturidade (1, 2, 3, 4 ou 5). Veja os exemplos das reas
Gerenciar tecnologia e Gerenciar contratos. Estas reas possuem seis e
onze objetivos, respectivamente. Observe que as prticas de gerenciamento da tecnologia so mais ligadas produo no ciclo de vida do
fornecimento. Por outro lado, as prticas de gerenciamento de contratos
so mais ligadas iniciao.
Gerenciar tecnologia (produo)
Adquirir tecnologia - nvel 2.
Adquirir licenas de uso - nvel 2.
Controlar a tecnologia - nvel 2.
Integrar a tecnolgica - nvel 2.
Otimizar o uso da tecnologia - nvel 3.
Introduzir proativamente a tecnologia - nvel 4.
Gerenciar contratos (iniciao)
Negociar - nvel 3.
Precificar - nvel 2.
Confirmar a viabilidade - nvel 2.
Obter informaes de mercado - nvel 3.
Elaborar um plano de negociaes - nvel 2.
Coletar requisitos - nvel 2.
Rever requisitos - nvel 2.
Responder aos requisitos - nvel 2.
Definir papis contratuais - nvel 2.
Elaborar contratos - nvel 2.
Aditivar contratos - nvel 2.'

310 Governana: Gesto, Auditoria e Tecnologia da Informao

12

Observe que para uma empresa atingir o nvel de maturidade 2 entre

AULA

os 84 objetivos, todos aqueles relacionados ao nvel 2 (so 48 dos 84) precisam ser implementados no mnimo com nvel de capacidade 2. Caso
a empresa decida atingir o nvel de maturidade 3, todos os 48 processos
necessrios ao nvel de maturidade 2 precisam amadurecer e atingir o
nvel de capacidade 3. Alm disso, os processos necessrios ao nvel 3
(neste caso seriam mais 26) precisariam ser implementados com nvel
de capacidade 3. Assim, no final, a empresa teria ao todo 74 processos
implementados (48 mais 26) com nvel de capacidade 3, o que valeria a
ela o nvel de maturidade 3 em terceirizao de servios.
Voc percebeu que o nvel de maturidade atingido pela empresa
e o nvel de capacidade atingido pelo processo? Segundo o eSCM-SP, o
fornecedor de servios amadurece na medida em que os seus processos
adquirem mais capacidade.

O eSCM-CL (eSCM FOR CLIENT ORGANIZATIONS)


A primeira verso do eSCM-CL foi publicado em 2003. Atualmente ele est na verso 1.1, publicada em 2006 juntamente com o
eSCM-SP. Seus objetivos so basicamente os mesmos do conjunto de
boas prticas para o fornecedor, mas assumindo o ponto de vista da
empresa contratante:
Ajudar as organizaes clientes a estabelecer, gerenciar e sustentar melhoria contnua nas suas relaes de contratao;
Ajudar as organizaes clientes a criar competncias e avaliar
capacidades na gesto das atividades de contratao.
O eSCM-CL possui as mesmas fases de produo (ongoing),
iniciao (initiation), entrega (delivery) e concluso (completion). Alm
disso, introduz mais uma fase de anlise (analysis). Portanto, o eSCM for
Client Organizations possui um ciclo de vida do fornecimento baseado
em cinco fases.

Nveis de capacidade e processos do eSCM-CL


O eSCM for Client Organizations tambm possui um modelo
de maturidade baseado em cinco nveis de capacidade dos processos.
So eles:

CEC I E R J E X T E N S O E M G O V E R N A N A

311

Governana em Tecnologia da Informao

| Outros modelos e normas de Governana

Nvel 1: Desempenhando a contratao.


Nvel 2: Gerenciando a contratao consistentemente.
Nvel 3: Gerenciando o desempenho da contratao.
Nvel 4: Melhorando o valor proativamente.
Nvel 5: Sustentando a excelncia.
O eSCM-CL v1.1 possui 17 reas (indicadas logo abaixo). Dentro
dessas reas existem ao todo 95 objetivos que podem ser alcanados
atravs de boas prticas. As reas so:
Gerenciamento da estratgia de fornecimento (produo).
Gerenciamento da governana (produo).
Gerenciamento do relacionamento (produo).
Gerenciamento de valor (produo).
Gerenciamento de mudana organizacional (produo).
Gerenciamento de pessoas (produo).
Gerenciamento do conhecimento (produo).
Gerenciamento da tecnologia (produo).
Gerenciamento de ameaas (produo).
Gerenciamento de oportunidades (anlise).
Abordagem de fornecimento (anlise).
Planejamento do fornecimento (iniciao).
Avaliao do fornecedor de servio (iniciao).
Acordos de fornecimento (iniciao).
Transferncia do servio (iniciao).
Gerenciamento de servios fornecidos (entrega).
Concluso do fornecimento (concluso).
Por simplicidade, como dissemos, no vamos exemplificar as
prticas e objetivos do eSCM-CL.
Ressaltamos que, tanto com relao ao eSCM-SP quanto com
relao ao eSCM-CL, fizemos vrias referncias s boas prticas
e usamos tambm a expresso ter uma prtica implementada.
No contexto do eSCM do SEI, boa prtica significa tudo que j dissemos
sobre o assunto e, alm disso, encerra em si a ideia dos objetivos que a
empresa precisa atingir em uma determinada rea. O objetivo ser atingido quando processos que garantam a efetivao das prticas sugeridas
forem implementados na organizao. No final das contas, uma ideia
semelhante dos objetivos de controle do COBIT, com a diferena que o

312 Governana: Gesto, Auditoria e Tecnologia da Informao

12

COBIT diz quais so os objetivos a serem atingidos e o eSCM foca mais

AULA

as prticas a serem adotadas. Assim, o eSCM possui reas de processo


com boas prticas e o COBIT possui reas de processo com objetivos
de controle. Obviamente, desnecessrio dizer a esta altura que, com
relao ao contedo em si, o COBIT (objetivos de controle para a TI)
e o eSCM (boas prticas para terceirizao) so muito diferentes.
Precisamos ainda garantir que tenha ficado clara para voc a diferena sutil que h entre os nveis de maturidade da empresa e os nveis
de capacidade do processo. Lembre-se de que a empresa amadurece na
medida em que seus processos adquirem maior capacidade.

Atividade 2
Como o COBIT e o eSCM se encaixam dentro do contexto da Governana em TI?

Resposta
Ainda vale a mesma regra. Primeiro usamos o COBIT para definir o nvel de maturidade das 34 reas de processo da TI. De acordo com as diretrizes estratgicas da
empresa, algumas reas merecero maior destaque. As reas de processo AI2 (Adquirir
e manter softwares aplicativos), AI3 (Adquirir e manter infraestrutura tecnolgica) e DS2
(Gerenciar servios de terceiros), por exemplo, tm muito a se beneficiar do contedo do
eSCM, pois so reas diretamente ligadas terceirizao. A avaliao inicial por meio
do COBIT pode determinar que os objetivos destas reas no esto sendo atingidos
e a empresa pode, em seguida, utilizar o eSCM para construir novos processos (ou
alterar os existentes), a fim de melhorar os ndices obtidos pelos indicadores de meta e
de desempenho do COBIT.

CEC I E R J E X T E N S O E M G O V E R N A N A

313

Governana em Tecnologia da Informao

| Outros modelos e normas de Governana

A ISO 38500 (Governana em TI)


Voc sabia que existe uma norma ISO para a Governana em TI? Isso mesmo! A ISO 38500 (Standard for
Corporate Governance of Information Technology) uma
norma publicada em 2008. E voc sabe qual foi a sua origem? Neste caso, a origem no foi uma norma inglesa, mas
sim a norma australiana AS 8015 (Australian Standard).
Segundo a ISO, a norma 38500 pode ser aplicada
em organizaes de todos os tipos e tamanhos. O padro
fornece um modelo para efetivar a Governana em TI
Figura 12.5: Todos pela Governana.

auxiliando os responsveis pelo negcio a entender e

cumprir obrigaes legais, regulatrias e ticas com relao ao uso da


Tecnologia da Informao.
O modelo sugerido possui definies, princpios e um modelo
baseado em seis princpios para a boa Governana da TI:
Responsabilidade.
Conformidade.
Estratgia.
Aquisio.
Desempenho.
Comportamento humano.
O propsito do padro promover o uso eficaz, eficiente e aceitvel da TI em toda a organizao:
Assegurando aos responsveis pelo negcio que, se o padro
for seguido, eles podem confiar na Governana em TI da
empresa.
Guiando diretores atravs dos controles que devem existir sobre
o uso da TI por toda a empresa.
Fornecendo as bases para a avaliao da Governana em TI.
Esta norma no possui a descrio de processos e boas prticas
como na ITIL ou objetivos de controle como no COBIT. Porm ela
possui em seu texto vrias definies e conceitos gerais sobre Governana
que podem servir para eliminar discusses que s vezes ficam no campo
da subjetividade e da abstrao em torno do assunto. Desse modo, a

314 Governana: Gesto, Auditoria e Tecnologia da Informao

12

ISO 38500 cumpre papel importante, pois responde, de uma vez por

AULA

todas, pergunta: O que Governana em TI e quais os requisitos


para atingi-la?

A ISO 38500:2008 relativamente nova e no uma famlia de normas. Trata-se de apenas


um documento (uma norma). No existem empresas certificadas ISO 38500 e, por hora, no
este o seu objetivo. A norma ISO 38500 pode ser obtida no endereo http://www.iso.org/iso/
iso_catalogue.htm ou outro local autorizado, a um custo de aproximadamente US$ 86.

Por ltimo ressaltamos que vrios autores e estudiosos tm se preocupado em listar os princpios que regem a Governana Empresarial.

PROJETO DE GOVERNANA
Neste curso tivemos a preocupao de abordar as publicaes
mais conhecidas do mundo da Governana em TI (a ITIL e o COBIT)
e, atravs de outros exemplos menos conhecidos, deixar claro para voc
como esse campo vasto. Existem, literalmente, dezenas (ou centenas)
de outras normas, padres ou boas prticas que poderiam fazer parte
deste curso. Obviamente, no haveria espao nem tempo para abordar
tudo com os detalhes necessrios.
Voc pode estar pensando que existem tantas boas prticas e
normas que, no final das contas, resolvemos um problema e criamos
outro. O que devemos adotar na empresa, afinal, e como fazer isso? Uma
norma mundial como a ISO 38500, por exemplo, a ltima palavra
sobre o assunto?
Com relao segunda pergunta, embora a ISO tenha um alcance
mundial, nem todos os pases so representados nas discusses e nem
todos do a mesma importncia a uma norma ou a adotam com a mesma
rapidez. E, alm disso, nem mesmo normas discutidas ao longo de anos
por profissionais do mundo inteiro so infalveis. Embora elas sejam
uma compilao de tudo que j foi falado e escrito sobre um assunto,
elas no so a ltima palavra.

CEC I E R J E X T E N S O E M G O V E R N A N A

315

Governana em Tecnologia da Informao

| Outros modelos e normas de Governana

Por isso
imprescindvel que voc
entenda a filosofia fundamental por
trs da Governana em TI e que aplique seus
conceitos e princpios. Em outras palavras, entenda
primeiro o que Governana e depois pense em aplicar
COBIT, ITIL, ISO 27000, eSCM etc. O padro ou conjunto de
boas prticas servir apenas como fonte de conhecimento para
acelerar seu trabalho. Para ser bem-sucedido, independentemente
do caminho escolhido (isto , da norma ou boa prtica), voc precisa saber para onde a empresa est indo e por que ela est indo.
A partir disso, o resto ficar mais fcil. Governana em TI a
preocupao com a melhoria contnua sob todas as formas de
relacionamento entre a TI e o negcio, envolvendo os nveis
estratgico, ttico e operacional, no curto, mdio e
longo prazos de todos os seus projetos, operaes
e processos, obedecendo a princpios tcnicos, ticos, morais e legais.

O processo de criao de uma norma envolve discusso em congressos, seminrios e workshops


ao longo de vrios anos. Hoje, 162 pases, como Afeganisto, Cuba, Etipia, Honduras, Coria,
Chile, Japo, Mauritnia, Sua, Ucrnia e Alemanha so representados junto ISO. Os Estados Unidos, por exemplo, so representados atravs da ANSI (American National Standards
Institute). O Brasil representado pela ABNT (Associao Brasileira de Normas Tcnicas). Estes
rgos enviam profissionais para os eventos da ISO que visam a discutir normas que viro a
se tornar padres mundiais. Outra funo das entidades que representam os pases na ISO
fazer adaptaes nacionais s normas. Isso necessrio quando as normas afetam a indstria,
o meio ambiente, as relaes trabalhistas etc., pois essas reas possuem especificidades que
variam de pas para pas. No endereo http://www.iso.org/iso/about/iso_members.htm h uma
lista de todos os pases membros. Pgina acessada em 30 de dezembro de 2009.

Com relao questo sobre o que devemos adotar na empresa e


como fazer isso, vamos dar um exemplo resumido sobre quais seriam os passos de um projeto nessa rea, conforme tem sido praticado no mercado.

Diviso do projeto em fases


Uma regra de ouro em qualquer projeto a sua diviso em fases,
etapas ou atividades menores para melhor gerenciamento. Normalmente
os projetos de Governana, por envolver grandes mudanas na empresa,
acabam se tornando complexos, e muito fcil perder o controle sobre
a sua execuo e no alcanar os objetivos pretendidos.

316 Governana: Gesto, Auditoria e Tecnologia da Informao

12
AULA

Um caminho comum dividir o projeto em duas fases, no mnimo:


Fase de pr-projeto (ou projeto bsico)
Nesta fase so definidos os objetivos do projeto de acordo com
as metas de negcio; o nvel de maturidade da organizao em
prestar servios de TI determinado; a empresa decide quais
reas devem ser melhoradas, em que ordem isso deve acontecer e at que ponto melhorar; a empresa tambm escolhe,
nesse momento, quais padres, normas e boas
prticas relevantes sero utilizados.
Normalmente o principal produto da fase de
pr-projeto um esboo do plano de projeto
embasado na anlise do ambiente atual da
organizao. Em alguns casos, a fase de prprojeto envolve tambm a capacitao atravs
da realizao de treinamentos, palestras etc.
para garantir envolvimento e comprometimento de todos os interessados, direta ou
indiretamente, no projeto.
Fase de projeto
Na fase de projeto, as mudanas reais iro acontecer.
Ou seja, na fase anterior foi decidido aonde se quer chegar
e que caminho percorrer para chegar aonde se deseja. Nesta
fase, percorrido o caminho em si. Assim, o sucesso desta fase
depende muito das escolhas feitas na fase anterior.
O resultado final obtido nesta fase a mudana organizacional,
seja na forma de novos processos implantados, seja na forma
de mudanas e melhorias em processos j em andamento na
empresa. na fase de projeto que os recursos so consumidos
em maior quantidade, por isso imprescindvel uma anlise
do tipo go-no go (seguir ou no seguir...) entre o final da fase
de pr-projeto e o incio da fase de projeto. Isso impede que a
empresa inicie um projeto complexo da maneira errada e note
o erro apenas quando for tarde demais para voltar atrs sem
assumir prejuzos altos.

CEC I E R J E X T E N S O E M G O V E R N A N A

317

Governana em Tecnologia da Informao

| Outros modelos e normas de Governana

Voc deve observar que ambas as fases


do projeto de Governana possuem obviamente

Inicia

ar
Planej

Execu

tar

Fechar

incio, meio e fim. O que chamamos de meio


da fase normalmente composto por pelo
menos uma etapa de planejamento e uma de
execuo.
Assim, cada fase obedecer, no mnimo,
a um ciclo de vida de projeto genrico, com as
etapas de iniciao, planejamento, execuo e

Figura 12.6: Ciclo genrico de projeto.

fechamento.

A fase de pr-projeto
Para tornar o gerenciamento do projeto mais simples (ou menos
complexo) e para aumentar suas chances de sucesso, um bom pr-projeto
essencial.

Iniciar
O incio da fase de pr-projeto envolve as escolhas e decises
da organizao e a busca por resposta para questes como:
a empresa sabe o que Governana em TI e o que se pode
esperar dela? Por que a empresa precisa de Governana em
TI? Existem boas prticas (ITIL, eSCM etc.) ou normas (ISO
27000, ISO 38500 etc.) que a empresa precisar adotar por
causa de algum fator estratgico interno ou externo? De que
quantidade de recursos a empresa dispe para o projeto e como
ela espera recuperar esse investimento?

Planejar
O planejamento envolve a definio de como a execuo do
projeto acontecer. Um dos maiores objetivos do pr-projeto
o mapeamento da organizao, e o planejamento deve programar como isso ser feito. Sero realizadas entrevistas formais,
individuais e presenciais? Quem ser entrevistado e quantas
entrevistas sero feitas? A empresa contar com a participao de consultoria externa ou o projeto contar apenas com
recursos humanos de dentro da empresa? Haver necessidade

318 Governana: Gesto, Auditoria e Tecnologia da Informao

12

de treinamento dos envolvidos no projeto? Nesse momento

AULA

o COBIT, a ISO 38500 e o prprio COSO podem ajudar


a tomar tais decises e, na etapa seguinte, podero ajudar a
executar as entrevistas, a capacitao etc.

Executar
Observe que o resultado concreto a ser entregue ao final desta
fase a documentao do que dever ser feito na prxima.
Assim, a sua execuo envolve principalmente a elaborao de
um plano de projeto para a prxima fase, com as estimativas
de custo e durao para atender ao escopo pretendido. Esse
resultado servir como base para as decises que a organizao
precisar tomar sobre o projeto. Em alguns casos, geralmente
quando a empresa tem como certa a realizao do projeto
em si, a etapa de execuo envolver tambm a realizao da
capacitao das equipes (atravs de treinamentos formais) e
a conscientizao das pessoas dentro da organizao (atravs
de palestras, reunies ou treinamentos).
As avaliaes sobre o cenrio atual da organizao tambm
acontecem nesse momento (por meio de entrevistas com
pessoas-chave etc.). Tambm necessrio conhecer os projetos
e operaes de TI em andamento na empresa e documentar os
processos da TI. Dependendo de vrios fatores, desde o porte
da empresa at a forma com que o pr-projeto conduzido,
esse trabalho pode levar at seis meses. Como o caminho
mais comum atualmente adotar o COBIT para a definio
de objetivos de controle, esta etapa normalmente envolve a
determinao do grau de maturidade das 34 reas de processo
de TI, conforme estudamos nas aulas anteriores.

Encerrar
A etapa de encerramento da fase de pr-projeto envolve
principalmente a anlise dos resultados obtidos e a deciso
de comear ou no (go-no go) a fase seguinte (o projeto em
si). Note que, dependendo do cenrio atual da organizao,
os custos do projeto podem inviabilizar o escopo ideal e a

CEC I E R J E X T E N S O E M G O V E R N A N A

319

Governana em Tecnologia da Informao

| Outros modelos e normas de Governana

empresa pode optar por amadurecer os processos de apenas


algumas de suas reas. Embora seja bvio pensar que o certo
seria melhorar todas as reas e todos os processos, o conceito
de eficcia estratgica (fazer o que deve ser feito) nos remete
novamente seguinte realidade: nem sempre possvel fazer o
ideal, e a deciso sobre o que fazer e o que no fazer pode ser
a diferena entre fechar as portas ou permanecer no mercado.
Assim, em alguns casos, a resposta para a questo colocada
pelo go - no go : no go!

A fase de projeto
Todas as etapas do projeto acontecero de acordo com o que foi
definido na fase de pr-projeto. Lembre-se de que o sucesso do projeto,
portanto, depende muito de um bom pr-projeto.

Iniciar
A iniciao do projeto, neste caso, envolve a anlise do esboo
do plano de projeto elaborado na fase anterior e a verificao
do cenrio atual. H mudanas de cenrio que justifiquem
alterar o plano? H reas que se tornaram mais relevantes?
Existem outras prticas de TI que passaram a merecer mais
ateno no cenrio mundial? Novas verses do COBIT, da
ITIL etc. foram publicadas? Desde capacitao e treinamento,
houve alterao no quadro de pessoal? No cenrio de TI
necessrio considerar essas questes, pois, como sabemos, ele
bastante dinmico.

Planejar
Na fase de pr-projeto foi elaborado um esboo de plano. Esse
esboo deve ser revisado e mais bem detalhado, a fim de gerar
um plano de projeto que contemple tudo que importante
para a boa execuo do projeto em si. A equipe, o cliente, o
usurio e demais interessados devem conhecer e concordar
com o escopo do que ser feito; um cronograma deve conter
as datas de incio e fim das atividades do projeto; um oramento e uma previso de desembolso devem ser produzidos

320 Governana: Gesto, Auditoria e Tecnologia da Informao

12

para que se tenha controle efetivo sobre as finanas do projeto;

AULA

os requisitos de qualidade e critrios de aceitao devem ser


explicitados; os principais riscos devem ser identificados e
analisados; as necessidades de aquisio externa (se for o caso)
devem ser documentadas etc.

Executar
A execuo desta fase envolve a construo ou melhoria
dos processos. Nesta etapa todo o conhecimento sobre boas
prticas e normas de TI til. Se a empresa quer melhorar
o gerenciamento de incidente, de problemas, quer criar uma
central de servios etc., a ITIL uma das opes mais indicadas. Se a empresa v como crtico o seu nvel de maturidade
em segurana da informao, as normas da famlia ISO 27000
contm informaes riqussimas. Caso a empresa queira adotar
uma filosofia de terceirizao ou mesmo melhorar o controle
sobre servios terceirizados (muito importante para rgos do
governo), as prticas do eSCM-SP e eSCM-CL podem ser muito
teis. Se a empresa decide que o gerenciamento de projetos de
TI precisa melhorar, conhecer o PMBOK ou o PRINCE2 (ou
ambos), certamente ser o melhor caminho para construir
uma boa metodologia de gerenciamento de projetos. Enfim,
nesta fase a mudana acontecer e ela poder acontecer de
vrias formas. Quanto maior for o conhecimento sobre o que
o mercado possui para auxiliar a TI, maior ser a probabilidade de sucesso.

Encerrar
O encerramento pode significar vrias coisas. Um projeto pode
ser encerrado porque a empresa chega concluso de que ele
no atingir os objetivos estabelecidos inicialmente (a pior
forma de encerramento). Ou, por outro lado, porque os objetivos foram todos atingidos. Assim, para ter uma ideia clara
de quando o projeto termina, imprescindvel dizer aonde ele
que chegar... Ou seja, quais so os objetivos.

CEC I E R J E X T E N S O E M G O V E R N A N A

321

Governana em Tecnologia da Informao

| Outros modelos e normas de Governana

Portanto, antes de iniciar o projeto, tenha certeza de que os


documentos de iniciao contm frases como: Este projeto
visa a implementar processos nas reas X, Y e Z, garantindo pelo menos que os objetivos de controle segundo o COBIT
sejam atendidos at o nvel 3. Ou ainda: Este projeto visa a
Sabemos que h
casos em que um
projeto entrega o
produto ou resultado conforme os
requisitos estabelecidos pelas partes
interessadas, mas
durante a utilizao
do produto ele no
traz o retorno esperado. Nesse caso
podemos dizer que o
projeto foi malsucedido? Para responder
a essa pergunta
necessrio entender
o conceito de sucesso operacional do
projeto e SUCESSO DO
PROJETO. Dizemos que
sucesso operacional
entregar o produto
final do projeto atendendo aos objetivos
de escopo, tempo e
custo e aos requisitos
de qualidade preestabelecidos. Porm,
o sucesso do projeto
em si depende do
ciclo de vida do produto, ou seja, de sua
utilizao pela organizao contratante.
No exemplo acima,
houve sucesso operacional, mas no
sucesso do projeto
em si. Note que o
conceito de sucesso de projeto est
diretamente ligado
eficcia estratgica, e
o conceito de sucesso operacional est
diretamente ligado
eficincia operacional.

melhorar os processos das reas A, B e C de forma que o


nvel de maturidade atual, que N1, N2, e N3, atinja os
nveis L1, L2, e L3, respectivamente, conforme os controles
estabelecidos pelo COBIT.
A, sim, ficar claro quando o projeto deve terminar.

O controle das fases do projeto


Em ambas as fases, o controle do projeto deve estar ativo em todos
os momentos e em todas as etapas. Os responsveis pelo projeto devem
responder, a todo instante, a questes como: o projeto est alinhado
estrategicamente com os objetivos da organizao? Os documentos
de iniciao do projeto consideram os critrios de seleo do projeto e
as metas organizacionais que ele ir ajudar a alcanar? Houve tempo
adequado para planejar o projeto abordando todas as reas necessrias?
A execuo do projeto est se desviando do plano inicialmente elaborado?
As mudanas necessrias esto sendo analisadas de maneira adequada
para que no se perca o controle sobre o que est sendo feito? Os responsveis pela aceitao dos resultados finais de cada fase foram ouvidos
durante a iniciao da fase? Os riscos que podem afetar os objetivos
foram determinados? Novos riscos surgiram durante a execuo?
Enfim, controlar e monitorar um projeto envolve todo o esforo
dos gerentes e da prpria equipe de projeto em garantir que o trabalho
de planejamento no ter sido em vo e que as aes corretivas e preventivas necessrias sero tomadas em tempo hbil.
No caso especfico da Governana em TI, vrias questes de controle so importantes. O projeto envolve criao e implantao de novos
processos de TI? Quais os resultados esperados dos processos, uma vez
que eles estejam em produo? Neste caso, note que o SUCESSO DO PROJETO
depende dos resultados iniciais do processo criado (ou modificado), uma
vez que ele esteja em produo. Por isso, em alguns casos, o controle

322 Governana: Gesto, Auditoria e Tecnologia da Informao

12

do projeto visando melhoria contnua e captura de lies aprendidas

AULA

pode inclusive extrapolar os limites do projeto e permanecer ativo aps


o seu encerramento.

Atividade 3
Nesta seo descrevemos, de forma resumida, os passos a serem seguidos na conduo de
um projeto de Governana em TI. Em que os conceitos apresentados foram baseados?

Resposta
Os conceitos foram baseados nas boas prticas de gerenciamento de projetos do
PMBOK e do PRINCE2. Embora estejamos lidando com a Governana em TI, existe
muito em comum com relao arte de gerenciar projetos, independentemente da
rea, que pode ser aplicado em qualquer contexto. Foi isso que fizemos aqui dentro
do contexto de um projeto de Governana em TI. Observe que, em alguns casos, o
PMBOK (ou o PRINCE2) poder ser usado de maneira recursiva e ajudar duas vezes
a empresa. Por um lado, as boas prticas de gerenciamento de projetos serviro para
conduzir todo o esforo em implementar processos adequados para as reas da TI,
conforme discutido nesta seo. Por outro lado, se uma das reas de processo a ser
melhorada a prpria rea de gerenciamento de projetos de TI (PO10 do COBIT),
as boas prticas de projeto acabam sendo utilizadas novamente para construir a
metodologia dentro da organizao.

CONCLUSO
Lembre-se sempre de que as boas prticas, normas e padres de
TI no fazem o trabalho por si ss! Voc deve se esforar por se manter
CEC I E R J E X T E N S O E M G O V E R N A N A

323

Governana em Tecnologia da Informao

| Outros modelos e normas de Governana

atualizado e conhecer o que escrito sobre o assunto e, principalmente, o


que se torna consenso no mercado mundial. Porm, no caia na armadilha
de achar que tudo importante! Quando tudo importante, na verdade,
nada o .
Governana em TI saber o que melhor para a empresa e definir
quando, como e onde fazer as mudanas. Boas prticas de TI devem ser
conhecidas, para que voc no precise reinventar a roda. Normas devem
ser seguidas para que sua empresa no se coloque em uma posio de inferioridade perante os concorrentes. Padres devem ser adotados para que a
sua organizao possa competir em mercados diferenciados.
O novo cenrio internacional tambm obriga a TI a pensar em
obrigaes legais, regulatrias e ticas, alm da eterna busca por eficincia
operacional e eficcia estratgica. A Governana em TI se ocupa da melhoria
contnua sob todas as formas de relacionamento entre o portflio da TI e o
negcio, em todos os nveis, no curto, mdio e longo prazos. Nesse cenrio,
em que tudo parece ser importante, o essencial garantir a existncia de uma
boa Governana em TI que decida, entre o tudo e o nada, o que de fato ser
feito em prol da organizao sem assumir riscos desnecessrios e a um custo
que possa ser absorvido pelo negcio.

INFORMAES SOBRE FRUM


Vamos discutir os assuntos desta aula no frum desta semana?
Ttulo: O projeto de Governana em TI.
Objetivo: Acabamos de estudar, de forma resumida, um projeto de Governana em TI. Hoje em dia,
quando usamos a palavra projeto, no mais possvel dissoci-la das prticas do Guia PMBOK e do
PRINCE2, embora este ltimo ainda seja pouco conhecido e utilizado no Brasil. Vamos discutir neste
frum um pouco mais a questo do projeto de Governana. Voc j participou de um projeto de governana? Os objetivos de escopo, tempo e custo foram claramente definidos no incio do projeto? Alm
da ITIL e do COBIT, o que mais fez parte do escopo do projeto? O projeto foi bem-sucedido? As boas
prticas de gerenciamento de projetos foram utilizadas? Enfim, vamos discutir estas e outras questes
no frum desta semana.

Atividade online
V
Vamos
elaborar um esboo de plano de projeto que poderia ser o resultado 1
2
da fase de pr-projeto de um projeto de Governana em TI na sua organizao. Nesta atividade vamos poder compartilhar modelos de plano e outros artefatos
voltados para projetos de Governana em TI.

324 Governana: Gesto, Auditoria e Tecnologia da Informao

AULA

12

RESUMO

A ISO 20000 uma famlia de normas publicadas em 2005 derivadas das


normas britnicas BS 15000 (que so de 2003). Ambas so diretamente
baseadas na ITIL v2 (publicada em 2000). Ou seja, so as boas prticas da
ITIL que evoluram e foram transformadas em requisitos de um padro.
A ISO 27000 uma famlia de normas publicadas em 2005 com objetivos
de controle reunidos em 11 reas relacionadas segurana da informao.
So 33 objetivos gerais de controle que renem 139 objetivos especficos.
O eSCM-SP e o eSCM-CL so conjuntos de boas prticas para a terceirizao
escritos pelo SEI, mesmo instituto que desenvolveu o CMM-SW e, mais tarde
o CMM-I, que deu origem aos modelos de maturidade to utilizados pela
Governana.
O eSCM-SP um conjunto de boas prticas de terceirizao para a
organizao fornecedora (service provider). Sua primeira verso foi escrita
em 2001. A verso atual, a 2.1, de 2006.
O eSCM-CL um conjunto de boas prticas de terceirizao para a
organizao contratante (client organization). Sua primeira verso foi escrita
em 2003. A verso atual, a 1.1, de 2006.
A ISO 38500 uma norma recentemente publicada (em 2008) sobre a
Governana em TI com definies, princpios e diretrizes sobre o tema
que pretendem se tornar padro mundial sobre o tema os setores da
indstria.
Um projeto de Governana em TI um projeto como outro qualquer.
O mais importante entender o que Governana e conduzir o trabalho
utilizando boas prticas de gerenciamento de projetos.
As normas, padres e boas prticas relacionadas Tecnologia da
Informao s iro ajudar a organizao se ela souber onde, como, quando
e por que aplic-los.

CEC I E R J E X T E N S O E M G O V E R N A N A

325

Governana em Tecnologia da Informao

| Outros modelos e normas de Governana

Informao sobre a prxima aula


Chegamos ao final do nosso curso. Esperamos que voc
tenha aproveitado o seu contedo e que tenha entendido os
conceitos.
Esperamos ver voc em outros nossos prximos cursos!

Atividades Finais
1) As normas ISO 27000, ISO 27001 e ISO 27002 possuem, respectivamente:
a. Vocabulrio, cdigo de prticas e especificao de requisitos.
b. Vocabulrio, especificao de requisitos e cdigo de prticas.
c. Especificao de requisitos, cdigo de prticas, e vocabulrio.
d. Cdigo de prticas, especificao de requisitos e vocabulrio.
2) Na ISO 27001, poltica de segurana, segurana da informao organizacional, gerenciamento de ativos e segurana de recursos humanos so:
a. Objetivos de controle genricos.
b. Objetivos de controle especficos.
c. reas da segurana da informao.
d. Controles da segurana da informao.
3) A norma ISO 38500 inaugura uma nova srie de princpios que devem reger a Governana em TI. Qual das alternativas abaixo contm somente princpios indicados na norma:
a. Desempenho, conformidade e comportamento humano.
b. Imparcialidade, estratgia e aquisio.
c. Confiabilidade, estratgia e aquisio.
d. Responsabilidade, estratgia e integridade.
4) Qual a diferena entre sucesso do projeto e sucesso operacional do projeto? D um
exemplo.

326 Governana: Gesto, Auditoria e Tecnologia da Informao

12
AULA

5) (Analista Tcnico de TI SUSEP ESAF/2006) A prtica Conformidade com requisitos


legais da ISO/IEC 17799 est relacionada, no COBIT, com os processos
a. Gerencia a comunicao das direes de TI; Assegura o alinhamento de TI
com os requisitos externos; Gerencia Dados; Monitora processos e Prov
Auditorias independentes.
b. Identifica as solues de automao e Prov Auditorias independentes.
c. Identifica as solues de automao; Monitora processos e Gerencia Mudanas.
d. Adquire e mantm os softwares; Assegura segurana dos servios; Monitora
processos e Gerencia Mudanas.
e. Adquire e mantm os softwares; Assegura segurana dos servios e Prov
Auditorias independentes.
6) (Analista Tcnico de TI SUSEP ESAF/2006) O relacionamento entre o COBIT e a ISO/
IEC 17799 permite que se faa um mapeamento entre as estratgias de negcios do
COBIT e a aplicao das prticas da ISO/ IEC 17799. Com relao a esse relacionamento,
correto afirmar que o processo
a. DS1 define e mantm os acordos de nveis de servio do COBIT est relacionado
prtica Segurana de arquivos do sistema da ISO/IEC 17799:2000.
b. DS5 assegura segurana dos dados do COBIT est relacionado prtica Gerenciamento da Rede da ISO/IEC 17799:2000.
c. DS11 gerencia os dados do COBIT est relacionado prtica Requisitos do
negcio para controle de acesso da ISO/IEC 17799:2000.
d. AI5 instala e certifica software do COBIT est relacionado prtica Treinamento
dos usurios da ISO/IEC 17799:2000.
e. AI3 adquire e mantm a infraestrutura Tecnolgica do COBIT est relacionado
prtica Responsabilidades do usurio da ISO/IEC 17799:2000.
7) As prticas descritas no eSCM utilizam modelos de capacidade e de maturidade semelhantes ao modelo de maturidade do COBIT. Como o nvel de maturidade obtido, por exemplo,
pelo DS2 do COBIT pode ser mapeado em um nvel de capacidade do eSCM-SP?

Respostas
1) Alternativa b. importante lembrar que ISO 20000 pode se referir a uma norma
(vocabulrio) ou a um conjunto de normas. preciso especificar.
2) Alternativa c. No anexo A a ISO 27001 se refere ao A.5 (poltica), A.6 (segurana
organizacional), A.7 (ativos) e A.8 (recursos humanos) como reas da segurana da
informao.
3) Alternativa a. Uma das dificuldades na aplicao de uma norma costuma ser
a sua interpretao. importante conhecer os princpios que regem a norma, pois
quando a interpretao estiver difcil ou duvidosa os princpios clarificaro os conceitos.
Seis princpios so descritos na ISO 38500: responsabilidade, estratgia, aquisio,
desempenho, conformidade e comportamento humano.

CEC I E R J E X T E N S O E M G O V E R N A N A

327

Governana em Tecnologia da Informao

| Outros modelos e normas de Governana

4) Sucesso operacional entregar um produto na data acordada, atendendo aos


requisitos do cliente e sem estourar o oramento previsto. O sucesso do projeto
depende da utilizao do produto e dos resultados que sero alcanados atravs
dele durante a sua vida til.
5) Alternativa a. Para responder a esta questo necessrio conhecer bem a
ISO 17799 (ou ISO 27001). Observe que as outras alternativas trazem itens como
identificao de solues automatizadas e aquisio de software que no tm
tanto a ver com a conformidade. A alternativa correta traz processos do domnio
monitorar e avaliar (ME), e outros processos importantes que so citados na ISO
27001 (antiga ISO 17799). Observe ainda que a questo - de 2006 - menciona
a ISO 17799 em vez da ISO 27000 (que j havia sido publicada desde 2005).
6) Alternativa d. Esta questo tambm exige conhecimento mais profundo da
norma que define o SGSI segundo a ISO. Observe que freqente a necessidade de se fazer o mapeamento entre o COBIT e a ISO 17799 conforme vimos
ao longo do curso. Caso tenha se interessado, voc pode obter uma cpia das
normas ISO 27001 (requisitos) e ISO 27002 (cdigo de prticas) e estudar o seu
relacionamento com os controles do COBIT. uma tima forma de aprender mais
sobre a boa Governana.
7) O nvel de maturidade do COBIT definido para um processo de acordo com o
modelo de maturidade. O eSCM-SP possui 84 boas prticas para terceirizao e
possvel pensar em um processo para cada boa prtica. Neste caso, cada processo
pode receber um nvel de capacidade. Uma abordagem ver o DS2 do COBIT como
um processo e as 84 prticas do eSCM-SP como subprocessos. Lendo o modelo
de maturidade do COBIT para o DS2 fica fcil identificar quais boas prticas so
essenciais para cada nvel e, portanto, quais dos 84 processos devem ser priorizados
dependendo do nvel que a empresa queira atingir. Perceba que o nvel de maturidade
do processo pode ser obtido desta forma (segundo o COBIT), ou pode ser obtido
do prprio eSCM-SP, que diz exatamente quais prticas tm a ver com quais nveis
de maturidade. Esta segunda abordagem til quando a empresa est pensando
somente nas questes da terceirizao e que usar somente o eSCM-SP de maneira
isolada (embora esta no seja a abordagem ideal, pois vai de encontro ideia da
Governana em TI).

328 Governana: Gesto, Auditoria e Tecnologia da Informao

Referncias

Governana em TI

CEDERJ

329

Aula 1

FERNANDES, A. A., ABREU, V. F. Implantando a governana de TI. 2. ed. Brasil:


Brasport, 2008.
IEEE. Institute of Electrical and Electronic Engineers. Disponvel em: <http://www.ieee.
org/portal/site>. Acesso em: 01 nov. 2009.
ISO. International Organization for Standardization. Disponvel em: <http://www.iso.
org/iso/home.htm>. Acesso em: 01 nov. 2009.
LAURINDO, F. J. B. Gesto da tecnologia da informao. So Paulo: Atlas, 2008.
MAGALHES, I. L., PINHEIRO, W. B. Gerenciamento de servios de TI na prtica.
So Paulo: Novatec, 2007.
REZENDE, D. A. Planejamento de sistemas de informao e informtica. 3. ed. So
Paulo: Atlas, 2008.
WEILL, P.; ROSS, W. J. Governana de TI. 2. ed. So Paulo: Makron Books, 2006.
Aula 2

FERNANDES, A. A., ABREU, V. F. Implantando a governana de TI. 2. ed. Porto


Alegre: Brasport, 2008.
ITGI - IT Governance Institute. Disponvel em: <http://www.itgi.org>. Acesso em: 01
nov. 2009.
LAURINDO, F. J. B. Gesto da tecnologia da informao. So Paulo: Atlas, 2008.
MAGALHES, I. L., PINHEIRO, W. B. Gerenciamento de Servios de TI na Prtica.
So Paulo: Novatec, 2007.
REZENDE, D. A. Planejamento de sistemas de informao e informtica. 3. ed. So
Paulo: Atlas, 2008.
WEILL, P.; ROSS, W. J. Governana de TI. 2. ed. So Paulo: Makron Books, 2006.
Aula 3

FERNANDES, A. A.; ABREU, V. F. Implantando a governana de TI. 2. ed. Porto


Alegre: Brasport, 2008.
ITSMF. IT Service Management Forum. Disponvel em: <http://www.itsmf.com.br>.
Acesso em: 01 nov. 2009.

330

CEDERJ

LAURINDO, F. J. B. Gesto da tecnologia da informao. So Paulo: Atlas, 2008.


MAGALHES, I. L.; PINHEIRO, W. B. Gerenciamento de servios de TI na prtica.
So Paulo: Novatec, 2007.
REZENDE, D. A. Planejamento de sistemas de informao e informtica. 3. ed. So
Paulo: Atlas, 2008.
WEILL, P.; ROSS, W. J. Governana de TI. 2. ed. So Paulo: Makron Books, 2006.

Aula 4

FERNANDES, A. A.; ABREU, V. F. Implantando a governana de TI. 2. ed. Porto


Alegre: Brasport, 2008.
LAURINDO, F. J. B. Gesto da tecnologia da informao. So Paulo: Atlas, 2008.
MAGALHES, I. L.; PINHEIRO, W. B. Gerenciamento de servios de TI na prtica.
So Paulo: Novatec, 2007.
REZENDE, D. A. Planejamento de sistemas de informao e informtica. 3. ed. So
Paulo: Atlas, 2008.
WEILL, P.; ROSS, W. J. Governana de TI. 2. ed. So Paulo: Makron Books, 2006.

Aula 5

FERNANDES, A. A., ABREU, V. F. Implantando a governana de TI. 2. ed. Brasil:


Brasport, 2008.
LAURINDO, F. J. B. Gesto da tecnologia da informao. So Paulo: Atlas, 2008.
MAGALHES, I. L., PINHEIRO, W. B. Gerenciamento de servios de TI na prtica.
So Paulo: Novatec, 2007.
REZENDE, D. A. Planejamento de sistemas de informao e informtica. 3. ed. So
Paulo: Atlas, 2008.
WEILL, P.; ROSS, W. J. Governana de TI. 2. ed. So Paulo: Makron Books, 2006.

CEDERJ

331

Aula 6

FERNANDES, A.A.; ABREU, V.F. Implantando a governana de TI. 2. ed. Brasil:


Brasport, 2008.
LAURINDO, F.J.B. Gesto da tecnologia da informao. So Paulo: Atlas, 2008.
MAGALHES, I.L., PINHEIRO, W.B. Gerenciamento de servios de TI na prtica.
So Paulo: Novatec, 2007.
REZENDE, D. A. Planejamento de sistemas de informao e informtica. 3. ed. So
Paulo: Atlas, 2008.
WEILL, P.; ROSS, W.J. Governana de TI. 2. ed. So Paulo: Makron Books, 2006.

Aula 7

FERNANDES, A.A.; ABREU, V.F. Implantando a governana de TI. 2. ed. Brasil:


Brasport, 2008.
LAURINDO, F.J.B. Gesto da tecnologia da informao. So Paulo: Atlas, 2008.
MAGALHES, I.L., PINHEIRO, W.B. Gerenciamento de servios de TI na prtica.
So Paulo: Novatec, 2007.
REZENDE, D. A. Planejamento de sistemas de informao e informtica. 3. ed. So
Paulo: Atlas, 2008.
WEILL, P.; ROSS, W.J. Governana de TI. 2. ed. So Paulo: Makron Books, 2006.

Aula 8

COSO - Committee of Sponsoring Organizations. Disponvel em: <http://www.coso.


org/>. Acesso em: 01 nov. 2009.
FERNANDES, A. A.; ABREU, V. F. Implantando a governana de TI. 2. ed. Rio de
Janeiro: Brasport, 2008.
INFORMATION Systems Audit and Control Association. ISACA: serviing it governance
profissionais. Disponvel em: <http://www.isaca.org/>. Acesso em: 01 nov. 2009.
IT - Governance Institute. Disponvel em: <http://www.itgi.org/>. Acesso em: 01 nov.
2009.

332

CEDERJ

IT GOVERNANCE INSTITUTE. Control Objectives for Information and related


Technology. COBIT guides. 4.1. Illinois, USA, 2007.
LAURINDO, F. J. B. Gesto da tecnologia da informao. So Paulo: Atlas, 2008.
MAGALHES, I. L.; PINHEIRO, W. B. Gerenciamento de servios de TI na prtica.
So Paulo: Novatec, 2007.
PROJECT MANAGEMENT INSTITUTE (PMI). Project management of Knowledment. PMBOK guides. 4. ed. [S.l.], 2008.
PROJECT MANAGEMENT INSTITUTE (PMI). IT Infrastructure Library, Office of
Government Commerce. ITIL guides. 2. ed. [S.l.], 200O.
PROJECT MANAGEMENT INSTITUTE (PMI). IT Infrastructure Library, Office of
Government Commerce. ITIL guides. 2. ed. [S.l.], 2007.
REZENDE, D. A. Planejamento de sistemas de informao e informtica. 3. ed. So
Paulo: Atlas, 2008.
WEILL, P.; ROSS, W. J. Governana de TI. 2. ed. So Paulo: Makron Books, 2006.

Aula 9

COBIT v.4.1 Control Objectives for Information and related Technology. Illinois:
IT Governance Institute, 2007.
COMMITTEE of Sponsoring Organizations. Disponvel em: <http://www.coso.org/>.
Acesso em: 01 nov. 2009.
FERNANDES, A. A.; ABREU, V. F. Implantando a governana de TI. 2. ed. Porto
Alegre: Brasport, 2008.
ISACA. Information Systems Audit and Control Association. Disponvel em: http://
www.isaca.org/. Acesso em 01 de novembro de 2009.
ITGI IT Governance Institute. Disponvel em: <http://www.itgi.org/>. Acesso em:
01 nov. 2009.
LAURINDO, F. J. B. Gesto da tecnologia da informao. So Paulo: Atlas, 2008.
MAGALHES, I. L.; PINHEIRO, W. B. Gerenciamento de servios de TI na prtica.
So Paulo: Novatec, 2007.

CEDERJ

333

PROJECT MANAGEMENT INSTITUTE (PMI). IT Infrastructure Library, Office of


Government Commerce. ITIL guides. 2. ed. [S.l.], 2000.
PROJECT MANAGEMENT INSTITUTE (PMI). IT Infrastructure Library, Office of
Government Commerce. ITIL guides. 2. ed. [S.l.], 2007.
PROJECT MANAGEMENT INSTITUTE (PMI). Project management of Knowledment. PMBOK guides. 4. ed. [S.l.], 2008.
REZENDE, D. A. Planejamento de sistemas de informao e informtica. 3. ed. So
Paulo: Atlas, 2008.
WEILL, P.; ROSS, W. J. Governana de TI. 2. ed. So Paulo: Makron Books, 2006.

Aula 10

COBIT 4.1. Control objectives for information and related technology. Illinois: IT
Governance Institute, 2007.
COSO.- Committee of sponsoring organizations. Disponvel em: <http://www.coso.
org/>. Acesso em: 01 nov. 2009.
FERNANDES, A. A., ABREU, V. F. Implantando a governana de TI. 2. ed. Porto
Alegre: Brasport, 2008.
ISACA. Information systems audit and control association. Disponvel em: <http://
www.isaca.org/>. Acesso em: 01 nov. 2009.
ITGI. IT Governance Institute. Disponvel em: <http://www.itgi.org/>. Acesso em: 01
nov. 2009.
LAURINDO, F. J. B. Gesto da tecnologia da informao. So Paulo: Atlas, 2008.
MAGALHES, I. L., PINHEIRO, W. B. Gerenciamento de servios de TI na prtica.
So Paulo: Novatec, 2007.
REZENDE, D. A. Planejamento de sistemas de informao e informtica. 3. ed. So
Paulo: Atlas, 2008.
WEILL, P.; ROSS, W. J. Governana de TI. 2. ed. So Paulo: Makron Books, 2006.

334

CEDERJ

Aula 11

COBIT 4.1. Control objectives for information and related technology. Illinois: IT
Governance Institute, 2007.
COSO.- Committee of sponsoring organizations. Disponvel em: <http://www.coso.
org/>. Acesso em: 01 nov. 2009.
FERNANDES, A. A., ABREU, V. F. Implantando a governana de TI. 2. ed. Porto
Alegre: Brasport, 2008.
ISACA. Information systems audit and control association. Disponvel em: <http://
www.isaca.org/>. Acesso em: 01 nov. 2009.
ITGI. IT Governance Institute. Disponvel em: <http://www.itgi.org/>. Acesso em: 01
nov. 2009.
LAURINDO, F. J. B. Gesto da tecnologia da informao. So Paulo: Atlas, 2008.
MAGALHES, I. L., PINHEIRO, W. B. Gerenciamento de servios de TI na prtica.
So Paulo: Novatec, 2007.
REZENDE, D. A. Planejamento de sistemas de informao e informtica. 3. ed. So
Paulo: Atlas, 2008.
WEILL, P.; ROSS, W. J. Governana de TI. 2. ed. So Paulo: Makron Books, 2006.

Aula 12

FERNANDES, A. A., ABREU, V. F. Implantando a Governana de TI. 2. ed. Porto


Alegre: Brasport, 2008.
LAURINDO, F. J. B. Gesto da Tecnologia da Informao. So Paulo: Atlas, 2008.
MAGALHES, I. L., PINHEIRO, W. B. Gerenciamento de servios de TI na prtica.
So Paulo: Novatec, 2007.
REZENDE, D. A. Planejamento de sistemas de informao e informtica. 3. ed. So
Paulo: Atlas, 2008.
WEILL, P.; ROSS, W. J. Governana de TI. 2. ed. So Paulo: Makron Books, 2006.
COBIT v.4.1 Control Objectives for Information and related Technology, IT Governance Institute, Illinois (USA), 2007.

CEDERJ

335

ISACA - Information Systems Audit and Control Association. Disponvel em: http://
www.isaca.org/. Acesso em 01 de novembro de 2009.
ITGI - IT Governance Institute. Disponvel em: http://www.itgi.org/. Acesso em 01 de
novembro de 2009.
COSO - Committee of Sponsoring Organizations. Disponvel em: http://www.coso.
org/. Acessado em 30 de dezembro de 2009.
ISO International Organization for Standardization. Disponvel em: http://www.iso.
org/. Acessado em 30 de dezembro de 2009.
PMBOK - Project Management Base of Knowledgement, PMI, USA, 2008. Disponvel
em http://www.pmi.org/. Acessado em 30 de dezembro de 2009.

336

CEDERJ