Publicarnoapagargovernanadetipeloprofessorluisclaudiopublicar 120711234424 Phpapp02

Governana em Tecnologia da Informao
Volume nico Luis Claudio dos Santos Lcia Blondet Baruque
TI
Apoio:
Fundao Cecierj / Extenso

Rua Visconde de Niteri, 1364 Mangueira Rio de Janeiro, RJ CEP 20943-001 Tel.: (21) 2334-1569 Fax: (21) 2568-0725 Presidente Masako Oya Masuda Vice-presidente Mirian Crapez Coordenadora da rea de Governana: Gesto, Auditoria e Tecnologia da Informao Lcia Blondet Baruque
Material Didtico
ORGANIZAO
Departamento de Produo
EDITORA ILUSTRAO
Lcia Blondet Baruque

ELABORAO DE CONTEDO
Luis Claudio dos Santos Lcia Blondet Baruque

REVISO LINGUSTICA
Fbio Rapello Alencar

REVISO TIPOGRFICA
Alessandra Nogueira
CAPA
Equipe CEDERJ
COORDENAO DE PRODUO
Alessandra Nogueira
PRODUO GRFICA
Alexandre Rodrigues Alves
Vernica Paranhos
Ronaldo d'Aguiar Silva

PROGRAMAO VISUAL
Carlos Cordeiro
Copyright 2010, Fundao Cecierj / Consrcio Cederj Nenhuma parte deste material poder ser reproduzida, transmitida e gravada, por qualquer meio eletrnico, mecnico, por fotocpia e outros, sem a prvia autorizao, por escrito, da Fundao.
S237g
Santos, Luis Claudio dos. Governana em Tecnologia da Informao: v. 1 / Luis Claudio dos Santos, Lcia Blondet Baruque. Rio de Janeiro: Fundao CECIERJ, 2010. 336 p.; 19 x 26,5 cm. ISBN: 978-85-7648-662-6 1. Governana. 2. Tecnologia da Informao. I. Baruque, Lcia Blondet. II. Ttulo.
CDD: 004 2010/1

Referncias Bibliogrcas e catalogao na fonte, de acordo com as normas da ABNT e AACR2.
Governo do Estado do Rio de Janeiro
Governador Srgio Cabral Filho
Secretrio de Estado de Cincia e Tecnologia Alexandre Cardoso
Universidades Consorciadas
UENF - UNIVERSIDADE ESTADUAL DO NORTE FLUMINENSE DARCY RIBEIRO Reitor: Almy Junior Cordeiro de Carvalho UFRJ - UNIVERSIDADE FEDERAL DO RIO DE JANEIRO Reitor: Alosio Teixeira
UERJ - UNIVERSIDADE DO ESTADO DO RIO DE JANEIRO Reitor: Ricardo Vieiralves
UFRRJ - UNIVERSIDADE FEDERAL RURAL DO RIO DE JANEIRO Reitor: Ricardo Motta Miranda
UFF - UNIVERSIDADE FEDERAL FLUMINENSE Reitor: Roberto de Souza Salles
UNIRIO - UNIVERSIDADE FEDERAL DO ESTADO DO RIO DE JANEIRO Reitora: Malvina Tania Tuttman

SUMRIO
Aguinaldo Aragon Fernandes
Volume nico
Prefcio ........................................................................................................ 7 Introduo ............................................................................................... 11

Lcia Blondet Baruque / Luis Claudio dos Santos
Aula 1 Conceitos relacionados Governana .......................................... 21

Luis Claudio dos Santos / Lcia Blondet Baruque
Aula 2 Governana em TI .......................................................................... 51

Aula 3 ITIL: histrico, evoluo e conceitos............................................. 75

Aula 4 O suporte a servio de TI na ITIL v2. .......................................... 101

Aula 5 A entrega de servios de TI na ITIL v2. ...................................... 125

Aula 6 ITIL v3 evoluo focada no ciclo de vida do servio de TI

Parte 1.......................................................................................... 151
Aula 7 ITIL v3 evoluo focada no ciclo de vida do servio de TI

Parte 2.......................................................................................... 171
Aula 8 Introduo ao COBIT v4.1 Parte 1 ........................................... 193

Aula 9 Introduo ao COBIT v4.1 Parte 2. ......................................... 221

Aula 10 COBIT v4.1 Planejando, organizando, adquirindo e

implementando ......................................................................... 245
Aula 11 COBIT v4.1 Entregando, dando suporte, monitorando e

avaliando processos de TI.......................................................... 275
Aula 12 Outros modelos e normas de Governana................................. 299

Referncias ............................................................................................ 329
prefcio

Atualmente no existe uma gesto empresarial, governamental e do Terceiro Setor ecientes e ecazes sem os recursos de Tecnologia da Informao (TI). A Tecnologia da Informao vem permeando todos os processos gerenciais e operacionais das organizaes, fazendo com que se produza mais com menos, com menores custos. Possibilita tambm tomadas de decises baseadas em informaes mais acuradas; isto melhora, portanto, o rendimento das empresas em atendimento ao seu mercado e pblico-alvo e, por conseguinte, sua prosperidade e perenidade, gerando riquezas, de forma direta ou indireta, para toda a sociedade. Outro aspecto da TI, importante mencionar, que as redes de computadores e os mundos virtuais vm aproximando, instantaneamente, a comunicao entre organizaes e seus clientes e fornecedores. Se pegarmos um exemplo de uma cadeia produtiva industrial ou de servios, as mesmas j podem ser interligadas em tempo real possibilitando a realidade da cadeia de valor estendida ou a organizao em rede, transpondo agora barreiras nacionais. Entretanto, ao mesmo tempo em que a TI fornece meios relativamente baratos para que a organizao alcance seus objetivos e se insira neste mundo em rede, talvez um dos principais elementos de risco operacional para as organizaes. Quanto maior a dependncia da organizao com relao TI, maior o risco para os negcios.
| Conceitos relacionados Governana em TI
bvio que a TI deve estar agregando valor para o negcio. A TI alinhada ao negcio representa, por um lado, maior potencial para explorar cada vez mais as oportunidades que surgirem; por outro, maior competncia para evitar riscos que podem gerar perdas nanceiras para a organizao e seus clientes (como nos casos de fraudes digitais em organizaes bancrias e de carto de crdito, por exemplo). Dessa forma, agora em 2010, no se concebe mais miopia na gesto da TI. O fazejamento sem um alinhamento ao negcio e sem agregar valor o principal elemento de descrdito de vrias reas de TI nas organizaes, que no atendem a contento os requisitos do negcio e as expem a riscos enormes. Alm de exigir uma nova postura e uma srie de novas habilidades gerenciais dos gestores da TI nas organizaes, visando a facilitar o entendimento mtuo entre TI e negcio, tambm preciso novas formas de gesto, cujas melhores prticas de mercado podem propiciar um excelente arcabouo para a gesto ecaz e eciente da TI. A minha experincia prossional, atuando em variados tipos de organizaes, sejam pblicas e privadas, ao longo desses ltimos anos tem me demonstrado que existe um grande hiato de formao gerencial entre os executivos de TI, os quais, em sua grande maioria, tiveram uma formao tcnica. Neste contexto, da necessidade de melhorarmos a gesto da TI nas organizaes, temos a emergente disciplina de Governana de TI que, uma vez implantada nas organizaes, propicia reduo de riscos da TI para o negcio, maior alinhamento da TI ao negcio, atendimento a requisitos regulatrios de compliance internos e externos, agregao de valor ao negcio, dentre outros objetivos. Portanto, tenho que comemorar e dar minhas congratulaes professora Lcia Baruque e ao professor Luis Claudio pela brilhante iniciativa de estruturar e disponibilizar um curso a distncia sobre o tema Governana em Tecnologia da Informao, possibilitando a milhares de jovens e executivos de TI resolver este hiato de conhecimento rumo a uma gesto prossional da TI nas organizaes. Este curso, com certeza, estar atendendo a um clamor do negcio nas organizaes.
Governana: Gesto, Auditoria e Tecnologia da Informao e Comunicao
Pela leitura do livro que acompanha o curso, o leitor adentrar em temas que so cruciais para a gesto da TI, como a questo do alinhamento da TI ao negcio, os conceitos de Governana de TI, o estudo sobre os principais modelos de melhores prticas como o CobiT e o ITIL, e outros modelos igualmente importantes. O leitor tambm se deparar com uma leitura muito didtica, fcil de ser compreendida, com conceitos, exemplos e exerccios muito bem elaborados visando ao aprendizado efetivo da matria. Este livro serve tanto para o aprendiz em gesto de TI quanto para os executivos de TI que ainda carecem de conhecimento sobre esse tema crucial para o seu desempenho junto sua organizao. Lembro, porm, que todo o conhecimento que seja adquirido deve se tornar algo prtico no dia a dia das organizaes e, falando em Governana de TI, vimos que cada organizao requer o seu modelo prprio particular e que tenha aderncia na sua cultura e losoa de gesto. Portanto a segunda parte da obteno do conhecimento colocar em prtica o que se aprendeu e observar as lies aprendidas para implementar o que seja mais adequado dentro das premissas da organizao (sua maturidade, restries oramentrias, estilos de gesto etc.). Finalizando, tenho certeza de que o curso e o livro sero um marco tanto no ensino a distncia como na literatura nacional sobre o tema. Santana de Parnaba, 7 de fevereiro de 2010. Prof. Dr. Aguinaldo Aragon Fernandes, CGEIT
CEC I E R J E X T E N S O E M G O V E R N A N A
Aguinaldo Aragon Fernandes

bacharel em Administrao de Empresas pela Universidade Federal do Rio Grande do Sul (1976), mestre em Cincias em Administrao pela Coppead, Universidade Federal do Rio de Janeiro (1983) e doutor em Engenharia de Produo pela Escola Politcnica de Engenharia da USP (2000), auditor lder de Sistemas da Qualidade ISO 9001 e especialista em Gesto da Qualidade Total pela FGV. Prossional e pesquisador da rea de tecnologia da informao com atuao no mercado h mais de 35 anos. autor de vrios trabalhos publicados, dentre os quais os livros Planejamento e controle de sistemas de informao, publicado pela Livros Tcnicos e Cientcos, em 1984, Gerncia de projetos de sistemas: uma abordagem prtica, publicado pela Livros Tcnicos e Cientcos, em 1989, com segunda edio em 1990; Gerncia estratgica da tecnologia da informao: como obter vantagens competitivas, publicado tambm pela Livros Tcnicos e Cientcos em 1992; Gerncia de software atravs de mtricas, publicado pela Editora Atlas em 1995; Fbrica de software: implantao e gesto de operaes, publicado pela Editora Atlas em 2004, e Implantando a Governana de TI: da estratgia gesto dos processos e servios, no prelo, publicado pela Brasport, em 2006. Ao longo de sua carreira atuou como analista, gerente e diretor em empresas de prestao de servios em informtica, tendo prestado servios tanto para instituies pblicas como privadas, tais como MEC, Ministrio da Aeronutica, Bradesco, Ita, Citibank, BankBoston, Philip Morris, Unisys, Getronics, Plen Technologies, Carlson Wagonlit, SPI Automation, Ogeda, CPM, Accor Services, Banco IBI, C&A, BSI Tecnologia, ABN AMRO Real S.A., Financeira Aymor, CEF, BB, Asbace/ATP, Consoft, Altran,CVC,Visanet, Eletrobrs, BicBanco,etc. Na indstria de servios de TI foi pioneiro no desenvolvimento de produtos e servios, como a primeira fbrica de software do Brasil, operaes de outsourcing de sistemas, metodologias de desenvolvimento de software, de gesto de projetos, de garantia da qualidade, de mtricas, etc. Teve a oportunidade de coordenar e implantar modelos de qualidade para software e suporte baseados na ISO e no SW-CMM e CMMI. professor do MBA de Gesto da TI FIA/USP nas disciplinas de gesto de operaes de servios de TI, das quais tambm coordenador. Professor do Ibmec e orientador de teses de mestrado no IPT. Conselheiro Cientco do Instituto de Tecnologia de Software de So Paulo, membro do Isaca e ITIL Foundation Certied pela EXIN, CobiT Foundation e CGEIT pelo Isaca. Atualmente, atua nas suas empresas, ITSS e Aragon Consultores Associados em projetos de Governana de TI e gesto empresarial e governamental.
introduo
Governana em TI
| Introduo
Se voc no sabe para onde voc quer ir, qualquer caminho voc pode seguir. Se voc no sabe onde voc est, um mapa no vai ajudar. Roger Pressman
Voc sabe o que Governana?
Governana o conjunto de responsabilidades e prticas exercidas pela diretoria e pela gerncia executiva com o objetivo de prover uma direo estratgica es empresa, assegurando que seus objetivos sejam alcanados e seus riscos gerenciados apropriadamente, vericando que seus recursos sejam usados de forma responsvel, com tica e transparncia.
Repare que, em linhas gerais, o processo de governana nas empresas visa a responder a quatro questes bsicas: 1. Se a empresa est fazendo as coisas certas. 2. Se a empresa est atuando de forma correta. 3. Se o uso de recursos ecaz e eciente. 4. Se os objetivos estabelecidos so alcanados. Observe que o conceito de governana relativamente novo, mas j se reconhece que boas prticas de governana aplicam-se a qualquer tipo de empreendimento. Pense e responda: quais so as trs principais reas do conhecimento que podem contribuir diretamente para uma boa governana?
12
Governana: Gesto, Auditoria e Tecnologia da Informao
Figura 1: Os trs pilares da Governana.
Cada uma dessas reas tem um objetivo denido dentro da governana: Gesto estabelece um sistema de controle gerencial, bem como um ambiente que promova o alcance dos objetivos do negcio. Auditoria avalia de forma independente a adequao e a eccia dos controles estabelecidos pela gerncia/diretoria. Tecnologia da Informao apoia e capacita a execuo dos controles do nvel estratgico ao operacional.
13
INTRODUO
Governana em TI
| Introduo
STAKEHOLDERS
So as partes interessadas de um negcio, projeto etc. De maneira abrangente, podemos pensar que h trs grupos de stakeholders: aquelas pessoas ou instituies que possuem algum tipo de envolvimento prossional ou pessoal com a empresa (investidores, clientes, funcionrios, fornecedores, credores, acionistas, usurios, parceiros etc.); as pessoas que podem ser afetadas, de alguma forma, pelos resultados da operao da empresa (uma comunidade contrria construo de um viaduto etc.).
A Governana Corporativa tornou-se um tema dominante nos negcios por ocasio dos vrios escndalos nanceiros ocorridos nos EUA em meados de 2002 Enron, Worldcom e Tyco, para citar apenas alguns. A gravidade de tais escndalos abalou a conana de investidores, realando a necessidade das empresas de proteger o interesse de seus STAKEHOLDERS. A Governana Corporativa tem a gerncia de risco como um de seus principais componentes, que so: planejamento estratgico, liderana, denio de processos, acompanhamento e gerncia de riscos.
O papel da Governana em TI na governana da empresa
Imagine-se como um gerente executivo de uma grande empresa que est sendo alvo constante de diversos ataques cibernticos. Tente agora calcular o quanto a sua empresa pode vir a perder diante dessa situao. Exatamente! Nos ambientes de negcio dinmicos e turbulentos de hoje, a TI serve no s para apoiar, mas, principalmente, para capacitar a misso das empresas. Enquanto, no passado, os executivos podiam delegar, ignorar ou evitar as decises relacionadas TI, isto hoje simplesmente impossvel. A dependncia da TI torna-se cada vez mais crtica, em uma economia baseada no conhecimento, onde as organizaes usam a tecnologia para gerenciar, desenvolver e reportar sobre ativos intangveis, tais como informao e conhecimento. O sucesso da empresa s pode ser obtido quando tais ativos so seguros, precisos, conveis, e fornecidos no tempo certo pessoa certa. Tal dependncia da TI implica uma grande vulnerabilidade que inerente aos ambientes complexos de TI. Ameaas tais como erros e omisses, abusos, crimes cibernticos, fraudes, bem como sistemas indisponveis custam muito caro para qualquer organizao. Observe que, por um lado, a TI requer grandes investimentos de capital e, por outro, os acionistas das empresas esto vidos por saber o valor gerado por tais investimentos. Agora responda seguinte pergunta: Por que a TI no agrega o valor esperado ao negcio? Na realidade, h uma falta de alinhamento entre os objetivos do negcio e as atividades de TI.
14
Tudo isto revela que a dependncia crtica das empresas em relao TI requer um foco especco em como govern-la. Isto necessrio para assegurar no s bons resultados dos investimentos feitos em TI, como tambm que os riscos associados a sua aplicao sejam mitigados. Voc deve estar se perguntando: "O que tudo isto tem a ver com a governana da empresa em geral?" A Governana Empresarial um sistema atravs do qual as entidades so dirigidas e controladas. A dependncia que o negcio tem da TI faz com que os problemas referentes a Governana no possam ser resolvidos sem considerar a TI. A Governana Empresarial deve, portanto, dirigir e contribuir para o estabelecimento da Governana em TI. A TI, por sua vez, pode inuenciar as oportunidades estratgicas da empresa, fornecendo informaes valiosas para a elaborao de planos estratgicos. Dessa forma, a Governana em TI ajuda a empresa a tirar o mximo proveito da informao e pode ser vista como um fator propulsor da Governana Empresarial. Agora vamos investigar melhor esta relao. Perceba que as atividades da empresa requerem informaes extradas das atividades de TI para alcanar os objetivos do negcio e que a TI tem que estar alinhada com as atividades da empresa para tirar o mximo proveito de suas informaes. Assim, a Governana em TI e a Governana Empresarial no podem ser consideradas disciplinas distintas e isoladas, sendo que aquela deve ser integrada estrutura geral desta, conforme mostra a Figura 2:
Governana Corporativa foca-se em: Sude nanceira da empresa Estratgia Controladoria Gesto de riscos Gesto de eventos crticos Conabilidade dos recursos nanceiros Governana em TI foca-se em: Alinhamento de TI com os objetivos do negcio Uso dos recursos de TI Gerncia dos riscos de TI Valor agregado
Governana Corporativa
Governana em TI
Governana Empresarial
Governana Empresarial foca-se em: Planejamento estratgico e alinhamento com os objetivos da empresa Gesto de sistemas nanceiros e contbeis Operaes da empresa Controles internos Figura 2: Dimenses da Governana.
15
INTRODUO
Governana em TI
| Introduo
GOVERNANA
EM
TI
Agora que voc j entendeu a relao da Governana em TI com a governana da empresa como um todo, tpico que ser aprofundado mais adiante no curso, pense em quais ferramentas as organizaes possuem para implementar a GOVERNANA EM TI. Voc j ouviu falar no COBIT ou na ITIL? A ITIL e o COBIT representam uma parte pequena da Governana podendo se incluir neste conceito conjuntos de boas prticas como o guia PMBOK, a famlia de normas ISO para Gerenciamento de Servios de TI (ISO 20000), a famlia de normas ISO para implementao do Sistema de Gerenciamento da Segurana da Informao (ISO 27000), conjuntos de boas prticas para Gerenciamento de Servios de Telecomunicao (eTOM), alm de vrias outras normas, padres e losoas que possam ajudar de alguma forma a empresa a aumentar o seu grau de maturidade em uma determinada rea de processos. O contedo de nosso curso vai ter como foco, principalmente, os controles do COBIT e as prticas da ITIL. O conceito de Governana muito mais amplo e vai alm daquilo que costuma ser tratado no mercado, onde somente a ITIL e o COBIT so mencionados. Alguns captulos tambm abordaro o conceito geral de estratgia e de governana e outras normas e padres, de maneira menos detalhada. Note que cada vez mais as empresas requerem de voc, prossional de Gerncia ou de TI, conhecimentos sobre as melhores prticas do mercado. A esta altura, voc deve estar preocupado com o nmero de boas prticas, normas, padres etc. que dever absorver para poder trabalhar com Governana em TI. No se preocupe. Saiba que a Fundao Cecierj trabalha para apoiar voc nessa meta! Representada pela professora Masako Masuda e pela professora Mirian Crapez, a Fundao ampliou a sua misso e incluiu no escopo do seu pblico-alvo os prossionais de mercado. No incio de 2008, foi estabelecida uma nova rea do conhecimento na Diretoria de Extenso voltada para a oferta de cursos no s aos professores da Educao Bsica, mas tambm aos demais prossionais, intitulada Governana: Gesto, Auditoria e Tecnologia da Informao (TI). Um dos objetivos dessa rea, projetada e implantada pelas professoras Lcia Baruque e Cssia Baruque, de que os prossionais do conhecimento, que so parte essencial da sociedade da informao, possam se capacitar e se atualizar em temas de ponta, incluindo aqueles que moram no interior do Estado.
de responsabilidade da diretoria e gerncia executiva, sendo uma parte integrante da Governana Empresarial e consiste de liderana, estruturas e processos organizacionais que asseguram que a TI apoia e amplia as estratgias e os objetivos da organizao. O COBIT Control Objectives for Information and related Technology um guia elaborado pelo Information Systems Audit and Control Association, estruturado como framework, orientado a processo, que apresenta objetivos de controle a serem aplicados desde o planejamento da TI at a sua avaliao, de forma a ajudar no gerenciamento da TI, maximizando o retorno sobre seus investimentos. ITIL (INFORMATION TECHNOLOGY INFRASTRUCTURE LIBRARY) um conjunto de boas prticas para elaborao, implantao e gerenciamento de processos de TI, criada pela secretaria de comrcio (Ofce of Government Commerce OGC) do governo ingls, tendo como foco a descrio dos processos necessrios para gerenciar a infraestrutura de TI de forma eciente e ecaz e objetivando garantir os nveis de servio acordados com os clientes internos e externos.
16
Sociedade da Informao aquela cujo modelo de desenvolvimento social e econmico baseia-se na informao como meio de criao do co conhecimento. Ela desempenha papel fundamental na produo de riqueza e na contribuio para o bem-estar e a qualidade de vida dos cidados. Tal sociedade encontra-se em processo de formao e expanso.
Profissional do conhecimento um termo adaptado de knowledge worker, referindo-se a prossionais que trabalham diretamente com a informao, produzindo ou fazendo uso do conhecimento, em oposio queles envolvidos na produo de bens ou servios. So analistas de sistemas, programadores, desenvolvedores de produtos ou pessoal ligado tarefa de planejamento e anlise, bem como pesquisadores envolvidos principalmente com a aquisio, anlise e manipulao da informao. Esse termo foi popularizado pelo guru Peter Drucker.
Agora que voc est familiarizado com o conceito de Governana e com a importncia de adquirir conhecimentos sobre Governana em TI, mos obra. Vamos aprender muito a seguir!
Este material foi projetado para ser autoinstrucional. Entretanto, voc pode interagir com outros prossionais da rea ou mesmo realizar atividades adicionais com feedback do tutor, ao participar do nosso curso no ambiente virtual de aprendizagem da Fundao. Para maiores informaes, acesse: http://www.cederj.edu.br/ extensao/governanca/index.htm
Bons estudos e conte conosco!
17
INTRODUO
Governana em TI
| Introduo
INFORMAES SOBRE O CURSO
Objetivo geral Capacitar os participantes na aplicao de ferramentas e tcnicas para a construo de processos baseados nos controles do COBIT, nas boas prticas da ITIL e em outros mo modelos e normas visando gesto ecaz e eciente da Gove Governana em TI, atendendo aos requisitos de responsabilidade, prestao de contas e transparncia.
Objetivos especcos
Aps este curso, o participante ir adquirir as seguintes capacidades: Reconhecer e aplicar conceitos fundamentais da Governana em TI, tais como ecincia operacional, eccia estratgica, alinhamento estratgico da TI, modelos de maturidade e objetivos de controle. Realizar avaliao de maturidade em todas as reas de processo da TI com base no COBIT. Gerenciar ou participar de projetos de Governana em TI com base nos controles do COBIT. Gerenciar ou participar de projetos para a construo de processos de TI com base nas boas prticas da ITIL (v.2 ou v.3). Vericar o que so e para que servem, no contexto da Governana em TI, outras normas, padres ou modelos de boas prticas, como a ISO 38500, a ISO 20000, a ISO 27000, o eSCM e o MOF.
Pblico-alvo
Este curso destinado a prossionais com curso superior interessados em adquirir capacidades e desenvolver habilidades relacionadas ao contexto da Governana em TI, principalmente com base no COBIT e na ITIL.
Ementa
Conceitos relacionados Governana em TI. Conformidade regulatria versus Tecnologia da Informao. ITIL v.2: o gerenciamento de servios de TI. ITIL v.3: o ciclo de vida de servios de TI. O COBIT v.4.1: conceitos e fundamentos. reas de processo e objetivos de controle do COBIT. Outros modelos e normas para a Governana em TI. Projeto de Governana em TI. Carga horria: 45 horas-aula.
18
Masako Oya Masuda

Presidente da Fundao Centro de Cincias e Educao Superior a Distncia do Estado do Rio de Janeiro (Cecierj), vinculada Secretaria de Estado de Cincia e Tecnologia. Possui graduao em Cincias Biolgicas pela Universidade de So Paulo, mestrado em Cincias Biolgicas (Biofsica) pela Universidade Federal do Rio de Janeiro, doutorado em Cincias Biolgicas (Biofsica) pela Universidade Federal do Rio de Janeiro e ps-doutorado pela University of California. Tem experincia na rea de Fisiologia, com nfase em Fisiologia Geral.
Mirian Araujo Carlos Crapez

Vice-presidente de Educao Superior a Distncia da Fundao Cecierj. Graduada em Cincias Biolgicas pela Universidade Federal de Minas Gerais, com doutorado em Metabolismo de aromticos e poliaromticos, realizado na Universit D'Aix-Marseille II, e ps-doutorado na Universit Paris VI (Pierre et Marie Curie). Atualmente professora associada da Universidade Federal Fluminense.
Lcia Blondet Baruque

Mestre e doutora em Informtica pela PUC-Rio; bacharel em Cincias Econmicas pela UFRJ; possui Certicate in Management pela John Cabot University (Roma). Foi professora no curso de ps-graduao de Anlise, Projeto e Gerncia de Sistemas e atuou no Centro de Educao a Distncia da PUC-Rio. Atualmente, professora associada da Fundao Cecierj, coordenadora da rea de Governana: Gesto, Auditoria e Tecnologia da Informao e pesquisadora associada do Laboratrio de Tecnologia em Banco de Dados da PUC-Rio. Trabalhou na auditoria da Exxon Company International e na ONU, em Roma, bem como na diretoria do Instituto dos Auditores Internos do Brasil. Membro do Institute of Internal Auditors. CIA, CISA Exam.
19
INTRODUO
Governana em TI
| Introduo
Cssia Blondet Baruque

Foi mestre e doutora em Informtica pela PUC-Rio. Foi docente e atuou como cocoordenadora da rea de Governana: Gesto, Auditoria e Tecnologia da Informao da Fundao Cecierj e como pesquisadora associada do Laboratrio de Tecnologia em Banco de Dados da PUC-Rio. Trabalhou como pesquisadora e professora na PUC-Rio, IMPA, FGV-online e UEZO em temas como e-learning, bibliotecas digitais, data warehousing/OLAP e minerao de dados, alm de ter exercido cargos importantes, o que lhe conferiu grande experincia em desenvolvimento de sistemas, nas empresas Fininvest, Cyanamid, Banco Nacional, Capemi, Shell e RFFSA.
Luis Claudio dos Santos

Mestre em Comunicaes Mveis pela PUC-Rio e ps-graduado pelo programa Management of Technology in Computer Networks do NCE/UFRJ. Graduou-se em Engenharia de Computao pelo ITA. Possui certicaes nas reas de Gerenciamento de Projetos e Governana em TI (PMP, ITIL e COBIT). Possui dez anos de experincia em Gesto de Projetos e TI. Atua como consultor na empresa Primmer e professor em cursos de ps-graduao em universidades de So Paulo (Grupo Ibmec e FIAP). Atua como Subject Matter Expert junto ao PMI (Project Management Institute), participando da elaborao dos exames de certicao PMP e CAPM. Trabalhou no Departamento de Controle do Espao Areo, da Aeronutica. Participou de projetos de maturidade em Gesto de Servios de TI e Gerenciamento de Projetos para empresas de mdio e grande porte de domnio pblico e privado. Como instrutor, ministrou nessas reas mais de cinquenta treinamentos in company.
20
Conceitos relacionados Governana
Meta da aula
Explicar os conceitos iniciais relacionados Governana em TI.
objetivos
Ao nal desta aula, voc dever ser capaz de:

1
listar e exemplicar os conceitos bsicos sobre o tema da aula, tais como: ecincia operacional, eccia estratgica, processos, melhoria contnua, normas, boas prticas e regulamentos; descrever e explicar o conceito de alinhamento estratgico da TI; aplicar o grid estratgico e a matriz de informao.
2 3
AULA
INTRODUO
Voc j deve ter ouvido em algum lugar que hoje em dia a TI cada vez mais importante para todas as empresas. Nesta aula voc aprender como se pode medir de maneira objetiva o nvel de importncia da TI em uma empresa atravs de ferramentas muito simples. Alm disso, voc aprender o que , anal, o to almejado alinhamento estratgico da TI.
As duas questes mais importantes em nossas primeiras aulas so: O que planejamento estratgico? O que Governana em TI? No por coincidncia que nossas duas primeiras aulas so voltadas a responder a essas questes. Nesta primeira aula ns vamos tratar do conceito de planejamento estratgico organizacional, com nfase no planejamento estratgico da TI. Na segunda aula iremos discutir o conceito de Governana.
CONCEITOS INICIAIS A evoluo da TI nas organizaes

Vrios autores buscaram denir a evoluo da TI nas organizaes. Laurindo (2008) considera uma srie de outros estudos e apresenta divises que podem ser vistas como eras da evoluo da TI. Vamos utilizar uma diviso derivada daquelas apresentadas em Laurindo e que servir bem aos propsitos de nossas aulas de agora em diante.
22
da TI. A competitividade das organizaes era limitada e as decises da TI, assim como a sua operao, eram centralizadas por poucos especialistas em tecnologia.
Figura 1.1: A TI nos anos 1950.
Sistemas de informaes gerenciais (anos 1970 e 1980) Essa era se caracterizou pelo foco na eccia estratgica na gesto da TI e os gestores comearam a se beneciar de uma grande quantidade de dados que comeava a car disponvel em sistemas de banco de dados. Sistemas de informaes estratgicas (anos 1980 e 1990) Nesse perodo o foco se manteve voltado para o uso estratgico da TI. A TI ento comeou a ser vista no somente como algo que poderia auxiliar as empresas a atingir suas metas de negcio, mas tambm como um fator que poderia mudar completamente o prprio negcio. Computao onipresente (anos 1990 at hoje) Este perodo o "estado-da-arte" em que se encontra a TI. Alguns se referem a essa era usando a expresso computao ubqua, isto , acesso s funes e operao da TI em todo lugar, a qualquer hora a partir de qualquer meio.
Figura 1.2: A TI nos anos 1990.
23
AULA
Essa era se caracterizou pelo foco na ecincia operacional
Processamento de dados (anos 1950 a 1970)
o que estamos observando com o advento de novos e cada vez menores equipamentos mveis de transmisso, recepo e processamento WIFI
O padro IEEE 802.11 uma tecnologia desenvolvida pelo IEEE para transmisso de dados em redes locais sem o. O WIMAX (o padro IEEE 802.16) uma tecnologia desenvolvida pela mesma entidade para transmisso em redes sem o em longas distncias. O Bluetooth (o padro IEEE 802.15) usado para transmisso a distncias muito pequenas (1m a 3m) em aplicaes como home theater sem o, equipamentos embarcados em automveis etc. 3G uma denominao genrica recebida pelas tecnologias de telefonia celular que atendem a certos requisitos de capacidade de transmisso e mobilidade. Por exemplo, as tecnologias WCDMA e UMTS de telefonia celular. Muitos pases possuem redes 3G que atingem todo o seu territrio, como o caso do Japo e alguns pases da Europa. No caso do Brasil, a tecnologia 3G s est disponvel nos grandes centros urbanos.
de dados baseados em tecnologias como WIFI, WIMAX, BLUETOOTH, 3G e outras que permitem acesso a dados com diversos graus de mobilidade em redes sem o de onde quer que voc esteja. O que voc acha da evoluo da TI ao longo dos ltimos 50 anos? Bem, talvez voc no tenha vivido todos esses anos de evoluo, mas o fato que cada vez mais as escolhas feitas pela TI se tornam crticas para o negcio, quer pelos investimentos envolvidos, quer pelo valor estratgico. O resultado disso que todos ns somos afetados pelo fato de que cada prossional de TI precisa buscar no somente uma formao tcnica, mas tambm uma formao administrativa sobre o negcio que ele ajuda a sustentar atravs do seu trabalho tcnico. Por exemplo, o fato de voc e vrios outros prossionais estarem buscando conhecimento sobre a ITIL e o COBIT s conrma isso. Estudaremos ambos em detalhes nas prximas aulas.
Voc pode acessar o site do IEEE (Institute of Electrical and Electronic Engineers ou Instituto de Engenheiros Eltricos e Eletrnicos) no endereo http://www.ieee.org/portal/site e obter vrias informaes sobre os padres ou at mesmo adquiri-los. Mas lembre-se: os padres do IEEE no so gratuitos! O site foi acessado em 30 de dezembro de 2009.
Tecnologia da Informao
O que essa expresso representa para voc? Alguns autores, principalmente os europeus, se referem TI usando a expresso TIC (Tecnologia da Informao e Comunicaes) para se referir tambm s Telecomunicaes. Atualmente muitos autores se referem ao conceito de TI (Tecnologia da Informao) como algo amplo que engloba no somente hardware e software, mas tambm outros ativos como processos, procedimentos, tecnologia e o prprio conhecimento explcito e documentado. Nesse contexto amplo, as telecomunicaes tambm fazem parte do que chamamos de TI.
24
meno a algo dentro do ramo das telecomunicaes, pois, assim como vrios autores, entendemos que hoje a TI engloba tambm essa rea do conhecimento.
A ecincia operacional da TI
Qual o maior problema que a TI enfrenta hoje? Poderamos dizer, sem medo de errar, que um dos maiores problemas da TI (se no, o maior) a questo do excesso de solues existentes no mercado. A grande concorrncia, aliada rpida reproduo das solues prontas, leva as empresas a um cenrio de muita competio. As empresas optam por investir todos os seus recursos e esforos em ecincia operacional pura e simples, em detrimento da eccia estratgica. Note que essa deciso semelhante a apostar no pensamento: No importa muito o que ns fazemos aqui. O que importa mesmo que fazemos cada vez mais rpido e com menos recursos. Ser que mesmo um objetivo plausvel e coerente fazer tudo cada vez mais rpido e com cada vez menos recursos? At mesmo aquilo que no precisaria ser feito? Muito bem. Se voc respondeu corretamente a essas perguntas, voc entende perfeitamente bem a diferena entre ecincia operacional e eccia estratgica da TI.
A eccia estratgica da TI
O termo eccia responde a questes como: O que importante para a empresa? O que importante para a TI? Que projetos, servios e operaes so importantes para a TI e para a empresa? Quais no so? Em vrias situaes podemos observar projetos sendo iniciados e encerrados sem a avaliao estratgica adequada. O termo eccia est diretamente relacionado ao alinhamento estratgico. Para comear, as primeiras coisas! Zelar pela eccia zelar por iniciar projetos e operaes de TI somente quando eles estiverem alinhados ao plano diretor de TI (PDTI) que, por sua vez, dever estar alinhado ao plano estratgico organizacional.
25
AULA
no sendo, portanto, necessrio utilizar TIC quando quisermos fazer
Ao longo das aulas, vamos adotar esse conceito amplo de TI,
Uma denio mais formal diz que ecincia de um processo a medida de velocidade com que as entradas do processo so convertidas em suas sadas. Eccia a medida do grau com que as a sadas satisfazem os requisitos iniciais do processo, ou o seja, perfeitamente possvel termos um processo eciente e inecaz; melhor dizendo, converter entrae das em sadas rapidamente, porm, sadas que no atendem aos objetivos iniciais. O contrrio tambm verdade: possvel ser muito ecaz, mas no ser eciente.
Processos e melhoria contnua

Outras denies importantes dentro do conceito de Governana so as denies de processo e de melhoria contnua. Podemos denir um processo como um conjunto de atividades ou tarefas executadas de acordo com regras, procedimentos ou funes organizacionais para transformar as entradas do processo nas sadas desejadas.
Procedimentos
Procedimentos
Procedimentos
Entradas Atividade Atividade Atividade
Sadas
Regras
Regras
Regras
Figura 1.3: Um processo simples.
26
das, quais so as sadas e quais so as ferramentas e tcnicas utilizadas para transformar as entradas em sadas durante cada atividade ou tarefa intermediria, ou seja, documentar um processo descrever a suas: Entradas. Sadas. Atividades intermedirias. Ferramentas e tcnicas. Alm disso, todo processo precisa ter: Metas e objetivos. Papis e responsabilidades. Indicadores-chave de desempenho. Responsveis pelo processo.
Figura 1.4: O ciclo PDCA.
Act
Plan
Check
Do
Devemos lembrar que a ideia de processo to forte hoje em dia que todos os conjuntos de boas prticas do mercado esto sendo escritos na forma de processo. assim com a ITIL, com o COBIT, com o PMBOK, com as normas ISO etc.
Voc sabia que ISO no uma sigla? As letras ISO representam Organizao Internacional para a Padronizao, ou, do ingls, International Organization for Standardization. Note que, caso fosse uma sigla, o correto seria IOS e no ISO. Diz-se que a organizao escolheu as letras ISO para fazer referncia palavra isonomy (isonomia). A ISO cria padres mundiais em vrios setores da economia. Os exemplos mais prximos do contexto da TI so a famlia de normas ISO 20000, que trata do gerenciamento de servios de TI, e a famlia de normas ISO 27000, que trata da segurana da informao. O site da organizao pode ser acessado no endereo http://www.iso.org/iso/home.htm. O site foi acessado em 30 de dezembro de 2009.
27
AULA
sua formalizao precisa ter, no mnimo, a denio de quais so as entra-
Observe que todo processo na empresa precisa ser formalizado e
Voc j trabalhou em alguma empresa onde tudo era feito atravs de processos? Por que voc acha que algumas empresas optam por trabalhar por processos? Um processo importante porque atravs dele que a inteligncia organizacional comea a acontecer. Quando no h processos, a organizao tende a executar uma atividade ou resolver um problema de vrias formas diferentes. Muitas vezes, a empresa acaba dependendo de uma nica pessoa para resolver problemas que s ela sabe resolver.
Onde Estou?
Aonde quero chegar?
O que fazer para chegar l
Projetos & Operaes
Projetos & Operaes
Cheguei? No Sim
E agora aonde quero chegar?
Figura 1.5: Ciclo da melhoria contnua.
28
execut-lo. Imagine que, por algum motivo, um dos prossionais mais atuantes de uma empresa precise ser substitudo (por transferncia, por frias, por promoo etc.). No cenrio sem processos tudo precisa ser reaprendido pela pessoa que venha a substituir esse prossional. No cenrio com processos, a pessoa chega e passa a seguir o processo. Apenas isso. E o que se pode ganhar com isso? Ora, dessa forma a empresa depende menos das pessoas para manter suas operaes repetitivas e pode aproveitar melhor a capacidade de seus prossionais para as atividades que geram maior valor agregado. O objetivo de qualquer processo iniciar o ciclo de melhoria contnua na organizao, uma vez que a formalizao do processo na empresa contemplar os critrios de medio de desempenho que sero analisados a m de buscar melhoria no processo. A adoo de processos faz a organizao pensar diariamente em responder a questes como: Onde estamos agora? Aonde queremos chegar? O que temos de fazer para chegar l? Chegamos aonde queramos? Onde estamos agora? E assim sucessivamente...
Edwards Deming nasceu nos EUA em 1900 e cou conhecido por sua atuao no Japo a partir da dcada de 1950 na rea de qualidade e melhoria contnua de processos. Foi considerado o estrangeiro que gerou maior impacto sobre a indstria e a economia japonesas no sculo XX. Foi Deming que popularizou o conceito do ciclo PDCA, no qual est intrnseca a ideia da melhoria contnua. O ciclo PDCA envolve o planejamento do processo (Plan), a sua execuo (Do), a avaliao do processo ( Check ) e, finalmente, as aes visando melhoria do processo (Act). O ciclo PDCA se tornou to importante e to ligado ao conceito de processo que todas as normas ISO mais recentes o referenciam fazendo um paralelo do contedo da prpria norma com a losoa do ciclo de melhoria contnua de Deming. Figura 1.6: Edwards Demming.
29
AULA
competitiva, pois a inteligncia estar no processo e qualquer um poder
Quando os processos esto denidos, a empresa ganha vantagem
Normas, boas prticas e regulamentos

As normas so tambm chamadas de padres de mercado. Existem muitas normas, assim como existem vrios rgos mundiais de padronizao, como a ISO (International Organization for Standardization), o IEEE (Institute of Electrical and Electronic Engineers), a ANSI (American National Standards Institute) e alguns outros. As normas e padres escritos por uma dessas entidades tendem a se tornar mandatrias para uma determinada rea da indstria. O que acontece se um fornecedor ou fabricante optar por no seguir um padro ou norma? Ora, no mximo ele estar sujeito ao fracasso comercial, na medida em que mais entidades no mundo adotarem tal padro. Ser que possvel implantar somente uma parte da norma? No. Em geral, a norma precisa ser implementada na sua totalidade, atendendo a todos os seus requisitos. Outro conceito importante o das boas prticas. Como voc deve imaginar, as boas prticas possuem o objetivo de informar o que consenso no mercado e que j vem sendo adotado pelas organizaes com resultados favorveis. Voc deve estar se perguntando agora: ser que possvel implementar somente uma parte das boas prticas em uma determinada rea? Agora a resposta sim! tpico das boas prticas o fato de que possvel implementar somente partes de seu contedo, atender parte dos requisitos e mesmo adaptar o que est nas boas prticas realidade da empresa que venha a adot-la. Na verdade, essa abordagem (adaptar as boas prticas a uma realidade especca) at recomendada. Outra caracterstica importante o fato de que as chamadas boas prticas so distribudas e compartilhadas de forma gratuita, ao contrrio das normas, que devem ser compradas pela empresa ou pelo prossional interessado em us-las. As boas prticas representam um caminho rpido para alcanar timos resultados, uma vez que elas tratam de conhecimentos testados e aprovados por vrias organizaes em todo o mundo.
30
Preencha as lacunas:
Dois exemplos de boas prticas so ________________, para gerenciamento de projetos, e __________________, para gerenciamento de servios de TI. Dois exemplos de famlias de normas desenvolvidas para a rea de TI pela ISO so a _______________ e a _____________________.
Resposta
Dois exemplos de boas prticas so PMBOK, para gerenciamento de projetos, e ITIL, para gerenciamento de servios de TI. Dois exemplos de famlias de normas desenvolvidas para a rea de TI pela ISO so a ISO 20000 e a ISO 27000.
Voc deve ter observado que em ambos os casos (normas e boas prticas) a empresa ainda possui alguma liberdade: adotar ou no adotar. No caso dos regulamentos h duas opes: acatar ou ser penalizado. Percebeu a diferena? Na verdade, no existe opo com relao aos regulamentos. claro que muitas vezes um regulamento (ou lei) obriga uma empresa a adotar uma determinada norma para operar em uma determinada rea, caso em que, por fora de regulamentao, a empresa estar obrigada a adotar a norma.
Funes e processos organizacionais

Costuma-se dizer que a TI est em tudo o que fazemos. Porm o que tudo? Nosso esforo por definir alinhamento estratgico da TI necessita da denio de qual o papel que ela desempenha nas organizaes. Embora seja muito difcil construir uma lista absoluta sobre quais so as funes organizacionais, possvel fazer uma diviso simples para efeito de classicao inicial. Aqui segue uma sugesto nossa que vem da experincia de mercado. Essa lista ser usada ao longo de todas as outras aulas:
31
AULA
Atividade
Pessoas
Processos
Tecnologia
Figura 1.7: Pessoas, processos e tecnologia.
Aquisio de materiais e logstica. Comercial, vendas e marketing. Operao e produo. Recursos humanos. Finanas. Controle e auditoria. Podemos dizer que tudo (ou quase tudo...) o que acontece em uma organizao acontece em uma dessas reas. A denominao dessas reas pode at variar de empresa para empresa e de setor para setor, mas a atividade-m praticamente a mesma. Sabe o que mais importante aqui? A TI est cada vez mais presente em cada uma dessas reas nas organizaes. H um consenso de que todas as funes dentro das organizaes dependem no apenas de bons prossionais, mas tambm de bons processos e da tecnologia adequada.
32
Sobre o termo estratgia

Voc sabia que a competio natural nas empresas evolucionria e dirigida pelas leis das probabilidades, o que diferente da estratgia, que tende a ser revolucionria e dirigida tambm pela intuio. A estratgia visa a acelerar o ritmo das mudanas favorecendo quem as provocou.
A palavra "estratgia" vem do grego stratego, que signica general. O termo estratgia se originou na rea militar, assim como os conceitos de nvel operacional, ttico e estratgico. Essa ideia estudada desde a Grcia antiga. Naquela poca, no campo de batalha, os generais deniam as estratgias (Devemos tomar aquela cidade amanh, porque depois isso no ser mais possvel.), os coronis escolhiam as tticas mais adequadas (Vamos iniciar a invaso amanh ao anoitecer, nos aproximando pelo mar.), e aos sargentos e soldados s restava a operacionalizao (Vamos entrar no barco amanh ao anoitecer, remar, desembarcar, apontar as armas, disparar e, se tivermos sorte, permanecer vivos!).
Note que a estratgia resulta de processos revolucionrios que subvertam o estado natural das coisas (status quo), levando uma empresa a uma posio que no ser facilmente alcanada e disputada por outras. Ou seja, qualquer resultado alcanado por uma estratgia descrita na forma de uma receita conhecida tende a ser rapidamente copiada, haja vista que h uma rpida difuso da informao e do conhecimento atravs de consultorias. E, nesse contexto, sabemos que a prpria TI acaba contribuindo para facilitar ainda mais a difuso do conhecimento quase que em tempo real. Pois bem, tal cenrio de alta competio e difuso de boas prticas, informaes e receitas prontas para o sucesso favorece muito a ecincia operacional (que visa a resultados de curto prazo) e desfavorece a eccia estratgica (que visa a resultados de mdio e longo prazo). Voc se lembra do que falamos a respeito desses conceitos? Caso contrrio, revise-os, pois eles so essenciais.
33
AULA
O PLANEJAMENTO ESTRATGICO DA TI
Atividade
2
2
H vrias tcnicas de seleo de projetos utilizadas no mercado. Cite e explique pelo menos duas. Descreva como os projetos so selecionados na empresa onde voc trabalha. _____________________________________________________________________________ ______________________________________________________________________________ ______________________________________________________________________________ ______________________________________________________________________________ ______________________________________________________________________________ ______________________________________________________________________________ ______________________________________________________________________________ ______________________________________________________________________________ _______________________________________________________________________________ _______________________________________________________________________________
Resposta
Algumas tcnicas possveis so: perodo de payback, Taxa Interna de Retorno (TIR), Valor Presente Lquido (VPL) e anlise de custo-benefcio. O perodo de payback baseado no tempo que, segundo o plano de negcios, os lucros oriundos do produto do projeto tero compensado seu investimento. Quanto menor o perodo de payback, melhor. A anlise de custo-benefcio leva em considerao vrios fatores positivos e negativos e tenta mensur-los de maneira sistemtica, a m de chegar a uma concluso sobre quais projetos so mais atrativos para a empresa. Os benefcios somados precisam ser maiores que os custos somados. Taxa Interna de Retorno (TIR) e Valor Presente Lquido (VPL) envolvem anlises mais avanadas do setor nanceiro e contbil da organizao. Essas tcnicas visam a selecionar no presente um projeto em detrimento de outros com base no retorno nanceiro obtido sobre o capital investido, com base em aspectos econmicos (como inao prevista no perodo) ou com base em aspectos temporais (como a durao dos projetos analisados).
34
A ecincia operacional visa aquisio de hardware, software e outros ativos que possam signicar receitas para os resultados imediatos sem levar em considerao o custo-benefc cio das aquisies ou prejuzos de mdio e longo prazos. A eccia estratgica visa a garantir resultados de mdio e longo prazo, alinhando o investimento de hoje aos resultados seguros e duradouros de amanh. Hoje, a TI vive basicamente um momento de desenfreada busca pela ecincia operacional e nenhuma preocupao com a eccia estratgica, o que fatalmente levar algumas empresas (ou setores inteiros) ao colapso.
Observe que, para muitas empresas, mais seguro copiar o que as outras esto fazendo e garantir suas receitas do que arriscar algo sozinha, empunhando a bandeira do alinhamento estratgico. Assumir os riscos de tomar decises implica abrir mo de receitas que so certas no presente em favor de receitas incertas no futuro. Mas, no cenrio atual, abdicar de qualquer receita pouco atraente, mesmo com a promessa de um grande benefcio no futuro. Ou seja, as empresas no fazem mais escolhas. Na maior parte das vezes, elas copiam seus concorrentes, invertendo apenas a ordem de quem copia a quem. E isso gera um excesso de solues prontas que so sempre implementadas a toque de caixa (tudo para ontem...). Assim, nunca sobra tempo para pensar e fazer as escolhas estratgicas! Voc sabe qual o resultado disso? Como a TI tende a estar em tudo que a empresa faz, parte da correria de todos os departamentos acaba terminando na TI, e esta, por sua vez, vive correndo por causa de seus prprios projetos. So os incndios do dia a dia, dos quais ningum que trabalhe com TI, em qualquer empresa, rea ou parte do mundo, est livre.
Planejamento estratgico da organizao

Antes de tratarmos do alinhamento estratgico da TI, vamos definir como se consegue o alinhamento estratgico da organizao como um todo.
35
AULA
Uma ideia que precisamos denir agora e no abandonar mais a de que n h como conseguir um bom no a alinhamento estratgico da TI se a empresa no possuir um plano estratgico organizacional.
isso mesmo! Sem a denio das famosas misso e viso car muito difcil para a TI escrever bem o seu plano diretor de TI, porque a base dele construda a partir do plano estratgico organizacional. Pois bem. Precisamos voltar um passo antes de avanar e perguntar o seguinte: como se constri o plano estratgico de uma empresa? Existem vrias formas, e a forma escolhida pela empresa precisa estar de acordo com a sua realidade. Entretanto, algumas regras so importantes.
Figura 1.8: Planejamento.
Segundo Rezende (2008), o plano estratgico precisa: Ser elaborado com equipes multidisciplinares. Abranger todos os departamentos da empresa (inclusive a TI). Descrever metas e objetivos de curto, mdio e longo prazos. Determinar estratgias para atingir metas. Ser revisto periodicamente. Responder a questes como o qu, por qu, quem, onde, quando, como e por quanto. Quais seriam as etapas para a elaborao do plano estratgico?
36
haja outros caminhos, at porque trilhar caminhos diferentes faz parte do prprio pensamento estratgico. Reproduzimos a seguir os passos, segundo esse autor, com algumas adaptaes para a adequao ao nosso contexto: Preparao, divulgao e capacitao. Anlise dos ambientes interno e externo. Estabelecimento de diretrizes. Planejamento das estratgias. Implementao das estratgias. Monitoramento e controle de projetos e operaes. Anlise e atualizao do plano. De todas as etapas, uma das mais importantes a anlise dos ambientes externo e interno, pois a partir dela que devem ser descritas as estratgias. Como uma empresa pode decidir como atuar sem saber qual o cenrio que a cerca? No pode! Ser bem difcil aproveitar oportunidades em reas em que a organizao possui fraquezas (pois fatalmente os concorrentes conhecero tal oportunidade e podero explor-la melhor). Por outro lado, ser muito ruim para ela no atentar para certas ameaas que esto diretamente relacionadas s suas fraquezas corporativas. Uma ferramenta muito utilizada para analisar o ambiente externo o modelo das cinco foras, de Porter. Esse modelo diz que: A rivalidade entre os concorrentes denir o sucesso em um setor. A rivalidade ser tanto maior quanto maior for a ameaa de novos entrantes e quanto maior for a ameaa de produtos substitutos. A rivalidade ser tanto maior quanto maior for o poder de barganha de clientes e quanto maior for poder de barganha de fornecedores. O que acontece quando novos produtos substitutos surgem no mercado? Normalmente, o mercado deixa de existir, diminui ou muda suas caractersticas quando os clientes comeam a obter os mesmos resultados atravs de outros produtos. o caso da mquina de escrever tradicional, dos oppy disks etc.
37
AULA
Ressaltamos que, segundo nosso entendimento, perfeitamente possvel que
Rezende (2008) descreve as fases para a elaborao do plano.
Figura 1.9: Anlise do cenrio externo.
Por outro lado, a ameaa de novos entrantes o que faz com que outro fornecedor possa comear a oferecer o mesmo produto ou servio, segmentando o mercado. Em alguns setores, muito fcil o surgimento de concorrentes, literalmente da noite para o dia, como o caso das vendas pela internet. Em outros, o surgimento de novos concorrentes no acontece com tanta facilidade, como no caso do setor de aviao. O poder de barganha dos clientes o que deve
ANLISE SWOT Na conquista do objetivo Ajuda Interna (organizao) Atrapalha
ser avaliado quando se quer saber at que ponto o cliente insatisfeito pode suportar o mau servio antes de procurar outro fornecedor. Em algumas reas, o poder de barganha dos clientes cada vez mais alto, como no caso da telefonia celular. Em outras, o poder ainda bem reduzido, como nos sistemas operacionais para computadores pessoais. Finalmente, o poder de barganha dos fornecedores depende de quem so os compradores de suas
Foras
Fraquezas
Externa (ambiente)
Oportunidades
Ameaas
matrias-primas e insumos. Quanto menos compradores o fornecedor tiver, maior ser o poder de barganha da empresa por menores preos na aquisio de insumos para a sua cadeia de produo.
Figura 1.10: Matriz S.W.O.T.

Fonte: http://pt.wikipedia.org/wiki/An%C3%A1 lise_SWOT.
38
Esta um acrnimo em ingls para foras (strenghts), fraquezas (weakness), oportunidades (opportunities) e ameaas (threats). Porm, importante deixar claro que, enquanto as foras e fraquezas so caractersticas analisadas do ponto de vista interno da empresa, as ameaas e oportunidades so avaliadas tambm do ponto de vista externo. O grande benefcio dessa matriz o fato de que a anlise levar ao conhecimento no s das fraquezas, mas tambm das foras da organizao. Note que um erro comum as organizaes escolherem suas metas e traarem estratgias sem ter a menor ideia do cenrio externo ou do cenrio interno, cujas consequncias normalmente so percebidas somente quando os projetos j esto em sua fase de execuo.
Atividade 3
Por que a grande maioria das empresas no se preocupa em conhecer o ambiente 2 interno e o ambiente externo nos quais opera e em selecionar projetos de acordo com seu contexto? Explique a consequncia disso. _____________________________________________________________________________ _____________________________________________________________________________ ______________________________________________________________________________ ______________________________________________________________________________ ______________________________________________________________________________ ______________________________________________________________________________ ______________________________________________________________________________ _______________________________________________________________________________ _______________________________________________________________________________ _______________________________________________________________________________
Resposta
A maioria das empresas age dessa forma porque opera em ambientes cada vez mais competitivos, em que as presses por resultados imediatos supera a necessidade de planejamento estratgico de mdio e longo prazos. A consequncia desse cenrio o fato de que h setores em que as empresas apenas reproduzem entre si uma cartilha com os mesmos processos, vendem os mesmos produtos e fornecem os mesmos servios, limitando-se a fazer sempre a mesma coisa, apenas buscando ecincia naquilo que fazem. Esse cenrio prejudica o pensamento estratgico, pois diculta qualquer tentativa de garantir o alinhamento que seria conseguido atravs das escolhas que a empresa deveria fazer com relao aos seus produtos e servios.
39
AULA
zaes utilizam a matriz S.W.O.T melhor, ou a matriz F.O.F.A. SWOT.
Para analisar a empresa do ponto de vista interno, muitas organi-
Enm, a empresa deve conhecer a si mesma, seus concorrentes e seus clientes antes de denir qualquer meta. bvio que a empresa deve escolher metas que usem suas foras para explorar as oportunidades que de fato existam no mercado. E, por outro lado, bvio e esperado que as empresas optem por investir em diminuir as suas fraquezas quando as ameaas relacionadas a elas se mostrem muito grandes.
Ferramentas para o Planejamento Estratgico da TI

O que deve vir primeiro: o plano diretor de TI ou o plano estratgico da organizao? O plano diretor de TI sempre deve levar em considerao a misso, viso, valores e metas do plano estratgico da empresa. Qualquer projeto da TI precisa estar alinhado ao pensamento estratgico e, por outro lado, a TI precisa ter tempo de se adequar aos novos cenrios que vo surgindo a partir das decises estratgicas que so tomadas dentro de outros departamentos. Algo que vem mudando no cenrio da computao onipresente o fato de que, cada vez mais, a estratgia da TI tende a mudar a estratgia da prpria organizao. Algumas empresas mudaram sua forma de operao nos ltimos anos por causa das escolhas feitas com base nas tecnologias disponveis. o caso, por exemplo, de muitas empresas que hoje possuem parte signicativa de seu faturamento baseada no comrcio eletrnico, vendendo desde livros e produtos eletroeletrnicos at roupas e produtos alimentcios.
Atividade 4
Vimos que a estratgia da TI pode ser uma impulsionadora da estratgia da orga- 2 nizao. Encontre exemplos na Internet ou em seu ambiente de trabalho de que isso acontece ou aconteceu e descreva-os resumidamente. _____________________________________________________________________________ ______________________________________________________________________________ ______________________________________________________________________________ ______________________________________________________________________________ ______________________________________________________________________________ ______________________________________________________________________________ ______________________________________________________________________________ _______________________________________________________________________________ _______________________________________________________________________________ __________________________________________________________________________
40
H vrios exemplos de empresas em que o avano tecnolgico acabou mudando o prprio negcio tradicional das empresas. H empresas que nasceram no mercado tradicional e que, por conta dos avanos da tecnologia, possuem hoje boa parte de suas operaes migradas para o mundo digital. Podemos citar como exemplo lojas de varejo, como a Americanas, livrarias, como a FNAC etc. Existem exemplos em que a tecnologia inuenciou tanto a empresa que o seu nascimento j aconteceu no mundo digital e elas no possuem nenhuma operao moda tradicional, como no caso de livrarias como a Amazon, sites de leilo como o Mercado Livre etc. Tambm existem setores que conseguem lucrar mais, tanto atravs da prestao de servios pela Internet e quanto atravs do modelo tradicional, a exemplo dos bancos, das companhias areas, das agncias de turismo, das redes de hotis etc.
Agora vamos apresentar e explicar duas ferramentas que ajudam a responder duas questes bsicas. Preste muita ateno, pois ambas as ferramentas ajudaro a responder a estas duas questes. Quanto a TI importante para o negcio da empresa? Quanta informao est contida no produto de sua empresa? o que veremos nos prximos itens.
Dependncia da TI para o negcio (o grid estratgico)

Impacto da TI no presente
Voc j deve ter ouvido que a TI muito importante para o negcio. Mas fato que tal dependncia no acontece no mesmo nvel para todo tipo de empresa em qualquer setor da economia. Sabemos que existem empresas que dependem muito mais da TI do que outras. Como exemplo, podemos citar o setor bancrio, no qual a TI pode ser vista como uma verdadeira linha de produo. Se a TI para, o banco para tambm.
TI Produo (companhias areas)
TI Estratgica (bancos e telecom)
TI Suporte (maufatura tradicional)
TI Mudana (e-commece)
Impacto da TI no futuro Figura 1.11: O grid estratgico.
41
AULA
Resposta
Os quadrantes anteriores so chamados grid estratgico. Ele representa um modelo adaptado que pode ser encontrado em Laurindo (2008) apud McFarlan, 1984. O objetivo do grid estratgico guiar a empresa na denio do grau de importncia que a TI tem para o negcio. No exemplo anterior, h empresas cujo impacto para o negcio baixo tanto no presente quanto no futuro, ou seja, no existem projetos cuja previso seja de aumentar a importncia da TI para a empresa. A TI dessas empresas chamada de TI Suporte. Na maior parte das empresas de manufatura a TI se enquadra nessa categoria. Para elas, a TI , e ser por muito tempo, um centro de suporte operao e s ser lembrada quando algo para de funcionar na operao. Por outro lado, para algumas empresas a TI no possui importncia muito grande hoje, mas algumas mudanas estratgicas podero fazer com que a TI se torne mais importante no futuro. H exemplos de empresas tradicionais que esto migrando parte de suas operaes para a internet (Casas Bahia, FNAC etc.). A TI pode se enquadrar no conceito de TI Mudana (ou Transio)... Existem, porm, algumas empresas para as quais o impacto da TI no presente alto, mas no h nenhuma tendncia de que esse impacto se torne maior no futuro. o caso das empresas areas, que j passaram por uma fase de grandes mudanas operacionais h alguns anos, quando todas implementaram seus sistemas de vendas e outros servios, tais como check-in pela internet. Nesse caso, a TI dessas empresas chamada de TI Produo (ou Fbrica). Por ltimo, existem empresas que destacamos como aquelas para as quais a TI possui o maior impacto hoje e tal impacto continuar crescendo no futuro, devido gama de novas possibilidades que as caractersticas do negcio permite explorar. Chamamos essa categoria de TI Estratgica. Um exemplo o setor bancrio: nele, os servios pela Internet a cada dia alteraram a competio no setor. Por isso a TI nesse ambiente uma TI Estratgica. Voc pode dizer aonde queremos chegar com tal classicao? Ora, quanto mais importante for a TI para o negcio, maior ser a importncia de que ela seja tratada de acordo com tal grau de importncia.
42
Mas ainda existe outra forma de denir a importncia da TI para a empresa (at mesmo para no correr o risco de errar...): a utilizao da matriz de informao. Ela representa um modelo adaptado que pode ser encontrado em Laurindo (2008) apud Porter, 1985.
Informao no Processo Produtivo
Renaria de petrleo
Bancos e naceiras
Cimento
Informao no Produto Final Figura 1.12: A matriz de informao.
Outra maneira de buscar alguma representao sobre o valor que a Tecnologia da Informao possui em uma organizao determinar o quanto de informao est presente no produto ou servio nal da empresa. A princpio pode parecer a voc que um pouco diferente denir o valor de um produto ou servio em quantidade de informao, porm tal classicao se presta ao nosso propsito. O primeiro grupo composto por empresas cujo produto nal no possui grande quantidade de informao (por exemplo, empresas que fabricam cimento) e em cujo processo produtivo tambm no h necessidade de manipular grandes quantidades de informao, ou seja, h pouca informao no processo produtivo e h pouca informao no produto nal. Portanto, poderamos concluir que tais empresas no dependem tanto da TI para se manter em operao. No extremo oposto esto empresas cujo processo produtivo depende muito da Tecnologia da Informao (como exemplo, citamos
43
AULA
Dependncia da informao para o produto (a matriz de informao)
os bancos e empresas do setor nanceiro). Alm disso, para esse tipo de empresas, o prprio produto nal composto em grande parte por informao (como exemplo, citamos as empresas do ramo de comunicao, como jornais, revistas etc.). Um exemplo interessante so as empresas do ramo petrolfero, cujo processo produtivo depende muito da informao, mas cujo produto nal no. Por outro lado, dada a importncia da informao em qualquer rea hoje em dia, seria difcil encaixar uma empresa no quadrante no qual no h importncia alguma da informao no processo produtivo e no h importncia da informao no produto nal.
Atividade
Voc j se questionou sobre em qual quadrante do grid estratgico se encaixa 3 a TI da sua empresa? E com relao matriz de informao? Em que quadrante ela est? Voc diria que o tratamento dado TI na sua empresa adequado sua importncia? _____________________________________________________________________________ ______________________________________________________________________________ ______________________________________________________________________________ ______________________________________________________________________________ ______________________________________________________________________________ _______________________________________________________________________________ _______________________________________________________________________________ _______________________________________________________________________________ _______________________________________________________________________________ ____________________________________________________________________________
Comentrio
A resposta depende do seu ambiente. A aplicao do grid estratgico e da matriz de informao ser feita com o auxlio do tutor nas atividades online.
44
O que voc concluiu at agora? O que o alinhamento estratgico da TI e como ele poderia ser conseguido? Note que a resposta para essas perguntas parece ser bastante simples, porm a implementao da frmula nem tanto. Ora, o alinhamento estratgico da TI se d quando tudo que a TI faz (ou quase tudo) possui alguma importncia diretamente retirada do pensamento estratgico organizacional. Somente assim poderemos dizer que os projetos e as operaes da TI acontecem com o objetivo de cumprir ou ajudar a cumprir a misso da organizao. Ento, claro que seria impossvel seguir adiante se a prpria organizao no possusse um rumo estratgico bem denido. por isso que projetos de elaborao do plano diretor de TI s vezes comeam j com grande probabilidade de serem malsucedidos, porque se espera governar a TI em uma empresa que no valoriza o pensamento estratgico. Por mais que isso parea bvio, precisamos ressaltar aqui que esse caminho no dar certo. a mudana feita de baixo para cima que custa mais tempo e mais esforo do que custaria caso a mudana acontecesse seguindo as etapas necessrias. O alinhamento depende de mudanas na forma como a organizao conduz seus projetos em todas as reas e departamentos (que, como vimos, cada vez mais dependem da TI para ser bem-sucedidos). O caminho natural para a obteno do alinhamento estratgico da TI seria, partindo do plano estratgico da empresa, construir o plano diretor de TI.
CONCLUSO
Vimos nesta aula que a TI tem se tornado cada vez mais importante em todas as empresas, e isso requer que os prossionais de TI acompanhem tal evoluo e comecem a enxergar a TI como um provedor de servios. muito importante que voc comece a construir, desde j, um pensamento voltado tanto para a estratgia organizacional quanto para a estratgia da TI, independente do seu cargo e de suas funes na empresa.
45
AULA
O alinhamento estratgico da TI
Tambm vimos que a importncia da TI, embora seja crescente em todas as reas, varia de organizao para organizao. Voc precisa saber como denir objetivamente qual esse papel da TI na sua empresa. Uma das formas de fazer isso atravs da avaliao com base no grid estratgico ou na matriz de informao. Essa uma das formas de voc identicar problemas do seu dia a dia que esto ligados a prticas da sua empresa com relao TI que no esto alinhadas real importncia dessa rea para o negcio.
Atividade online
A Agora que voc j conhece vrios conceitos iniciais relacionados Governana em TI, v sala de aula virtual e resolva a atividade proposta pelo tutor. Nessa atividade, voc ir elaborar um questionrio de avaliao a m de aplicar o grid estratgico e a matriz de informao na sua empresa para determinar o grau de importncia que a TI tem para a sua organizao.
3
RESUMO
Assim como vrios outros autores, usaremos em nossas aulas um conceito amplo para a expresso TI que abrange hardware, software, telecomunicaes, pessoas, processos e procedimentos da rea de TI. Eccia fazer o que deve ser feito. Ecincia fazer algo com menos recursos. possvel ser eciente sem ser ecaz e vice-versa. Processos transformam uma ou mais entradas em uma ou mais sadas atravs de atividades. Cada atividade executada segundo regras utilizando tcnicas e ferramentas diversas (automatizadas ou no). Podemos utilizar um conjunto de boas prticas em partes, pois nada nas boas prticas mandatrio. As normas ou padres devem ser implementados na sua totalidade, embora a empresa possa optar por no adot-los; Regulamentos ou leis so mandatrios, ou seja, toda empresa que atua na rea afetada pelo regulamento precisa obedecer. s vezes uma lei exige o atendimento de determinados padres e normas do mercado.
46
As funes organizacionais podem ser divididas em: Aquisio de Materiais e Logstica; Comercial, Vendas e Marketing; Operao e Produo; Recursos Humanos; Finanas; Controle; e Auditoria. Cada vez mais todas essas funes dependem, alm das pessoas, de processos e de tecnologias. Construir estratgias organizacionais algo que no pode ser feito somente com base em modelos prontos, pois, se isso fosse possvel, qualquer empresa teria acesso a tal informao. O que todo mundo possui no deve ser considerado estratgico. O modelo das cinco foras e a matriz S.W.O.T. so ferramentas importantes para a anlise dos cenrios externo e interno da organizao durante a elaborao do plano estratgico; O grid estratgico ajuda a organizao a denir o quanto a TI importante para o negcio hoje e o quanto dever ser no futuro. A matriz de informao ajuda a organizao a denir o quanto o produto nal da organizao depende da informao.
Informaes sobre a prxima aula

Na prxima aula iremos falar do prprio conceito da Governana em TI e do plano diretor de TI. Alm disso, trataremos da questo da conformidade regulatria, detalhando os exemplos da Lei Sarbanes-Oxley e do Acordo da Basileia, ambos considerados marcos regulatrios importantes para a Governana em TI em todo o mundo. Procure utilizar os conhecimentos adquiridos at aqui e at a prxima aula!
47
AULA
Atividades Finais
1) Ns conclumos, ao longo do texto, que no recomendado elaborar um plano diretor de TI em uma organizao que no possua um plano estratgico organizacional. Voc conhece um exemplo onde aconteceu? O resultado foi satisfatrio? 2) Analise a sua prpria organizao e dena o principal produto (ou servio) oferecido por ela. Depois responda com relao sua empresa: a. Qual o papel e importncia da TI? b. Qual a importncia da informao no produto nal? 3) A melhor denio de processo : a. ( b. ( c. ( d. ( ) Possui incio, meio e m e gera um produto nico. ) Dene atividades que levam entradas a sada desejada. ) Possui regras para promover a melhoria contnua. ) fortemente baseado no ciclo PDCA de E. Deming.
4) Um diretor leu um artigo sobre uma nova metodologia para a implantao acelerada de um mdulo de sistema ERP. Essa metodologia promete reduzir em 50% o tempo normal de implantao. Sem titubear, o diretor pede ao gerente que utilize tal metodologia, pois isso economizar tempo no projeto que j se encontra atrasado. Esse um exemplo tpico de: a. ( b. ( c. ( d. ( ) Atitude errada na busca pela ecincia operacional. ) Atitude errada na busca pela eccia estratgica. ) Atitude correta na busca pela ecincia operacional. ) Atitude correta na busca pela eccia estratgica.
5) (Analista de Sistemas TCE-AL FCC/2008) Na anlise SWOT so atributos da organizao a. ( ) as ameaas e os pontos fracos, porm os pontos fortes e as ameaas so considerados condies externas. b. ( ) as metas e os obstculos, porm os fatores crticos de sucesso e os pontos fortes so considerados condies externas. c. ( ) as oportunidades e os pontos fracos, porm os pontos fortes e as ameaas so considerados condies externas. d. ( ) os pontos fortes e fracos, porm as ameaas e as oportunidades so consideradas condies externas. e. ( ) as metas e os fatores crticos de sucesso, porm as ameaas e os pontos fortes so considerados condies externas. 6) Explique a principal diferena entre boas prticas, normas, padres e regulamentos.
48
7) (Analista do Judicirio TRF-5 FCC/2003) A arquitetura de sistemas de informao de uma organizao deve ser composta pelo: a. mapeamento dos processos e atividades empresariais, relacionados com as reas, os produtos e sistemas que os apiam. b. relacionamento das reas com os sistemas que os apiam. c. relacionamento dos produtos e servios com os sistemas que os apiam. d. conjunto e pela estrutura dos recursos computacionais, envolvendo instalaes, equipamentos, softwares, sistemas, dados e pessoal. e. conjunto dos sistemas com respectivas documentaes de programas e arquivos. 8) (Analista Judicirio TRT-15 CESPE/2008) Com relao a gesto de tecnologia da informao (TI), julgue os prximos itens. a. O grid estratgico de McFarlan permite analisar impacto no negcio da empresa de aplicaes de TI presentes e futuras, denindo quatro quadrantes, cada um representando uma situao para a empresa: suporte, fbrica, transio e estratgico. b. O COBIT (control objectives for information and related technology) uma estrutura de controle de TI em que os processos e os objetos de controle so segmentados em quatro domnios: planejamento e organizao; aquisio e implementao; entregas e suporte; monitorao. Ao contrrio do ITIL, o COBIT no inclui etapas e tarefas, porque uma estrutura de controle e no, uma estrutura de processos.
Respostas
1. A mudana que acontece sem apoio da alta direo nunca o melhor caminho. Pode-se at conseguir algum sucesso, mas com certeza o sucesso vir de forma muito mais traumtica e demorada do que poderia vir caso houvesse um comprometimento da alta direo e um compromisso com o pensamento estratgico em todos os departamentos. Alm disso, sempre que esse tipo de abordagem acaba dando certo, verificamos que existiu por trs do projeto a participao de uma pessoa com extrema capacidade de relacionamento interpessoal e outras habilidades que, nem sempre, est disponvel em todas as empresas. E, vale ressaltar, a empresa deve evitar, sempre que possvel, depender de habilidades interpessoais para aquilo que deveria ser feito atravs de processos bem definidos. 2. Essa atividade importante, pois faz com que o aluno pense sobre tudo que foi falado dentro do seu contexto. Por isso ela aparece ao longo da aula vrias vezes. A resposta a esta questo depender do contexto do aluno e ser respondida na atividade on line indicada. 3. Alternativa b. Os outros itens contm informaes que esto relacionadas ao processo, mas no contm a definio de processo que o que a questo solicita.
49
AULA
4. Alternativa a. Decidir sem pensar sempre um erro; mesmo quando h um benefcio muito claro em jogo, o prejuzo pode no compensar o investimento. O diretor deve procurar entender melhor a metodologia em questo, pois os artigos em revistas podem ser tendenciosos e verificar se ela se adqua sua realidade. De acordo com nossa aula, a viso do diretor foi uma viso baseada na eficincia operacional somente. 5. Alternativa d. Foras e fraquezas so analisadas do ponto de vista interno. Ameaas e oportunidades so analisadas, tambm, do ponto de vista externo. 6. A principal diferena reside na opo que a empresa possui por adotar ou no o seu contedo (ou partes dele). No caso das boas prticas, tudo possvel, ou seja, permitido no adotar, adotar em partes ou adotar totalmente. No caso de normas e padres, ainda existe a opo pela adoo ou no, mas, uma vez adotado, o padro ou norma tem de ser seguido risca (100%). Com relao aos regulamentos, no h opo. A empresa alcanada pela regulamentao precisa obedecer a ele na sua totalidade e no existe a opo por no segui-lo sem ser penalizado. Obviamente existem outras diferenas, mas essas so as que mais chamam a ateno e a mais citada no mercado. 7. Alternativa a. A abordagem do trabalho por processos um assunto discutido em TI h muito tempo. E, como se pode ver, cobrado em provas h muito tempo. 8. Respostas: a. Verdadeiro. b. Verdadeiro.
50
Governana em TI
Meta da aula
Explicar o conceito da Governana em TI.
objetivos

1 2
descrever o conceito de Governana em TI; explicar os efeitos da legislao sobre a Governana em TI; identicar e listar os passos da elaborao de um modelo de Governana em TI para a sua empresa; explicar como acontece a elaborao de um plano diretor de TI.
AULA
| Governana em TI
INTRODUO
Voc sabe o que Governana em TI? E o que a Governana em TI tem a ver com a Constituio Federal de 1988? Voc sabe? Vamos adiante para entender esses assuntos, pois existe, sim, uma relao entre tudo isso!
Como dissemos na primeira aula, as duas questes mais importantes nesta primeira parte do curso so:
O que planejamento estratgico? O que Governana em TI?
Nesta segunda aula vamos tratar do conceito de Governana em TI e responder segunda pergunta, haja vista que a primeira pergunta foi respondida em nossa primeira aula.
GOVERNANA EMPRESARIAL
Governana Empresarial o conjunto de processos, costumes, polticas e procedimentos que regulam a maneira como uma empresa administrada em todas as suas reas. Portanto, a Governana Empresarial inclui tambm o estudo do relacionamento entre os diversos atores desse cenrio, isto , todas as pessoas envolvidas. Citamos alguns exemplos tpicos desses atores (embora a lista ainda possa ser aumentada). So eles:
52
Funcionrios do nvel executivo. Funcionrios em geral. Fornecedores e parceiros. Usurios e clientes. Instituies reguladoras.
Figura 2.1: Governana Empresarial no sculo XXI.
Voc cou curioso quando dissemos que a lista pode ser aumentada? Bem, basta pensar que, nos dias de hoje, as questes envolvendo o meio ambiente e a forma com que as sociedades podem alter-lo em benefcio de seus negcios tambm tm ganhado importncia cada vez maior. E como isso afeta a TI? Ora, voc j ouviu falar da TI Verde? A losoa por trs desta ideia pode ser resumida da seguinte forma: na hora de decidir sobre a aquisio de uma plataforma de
CLUSTERS
com quatro ou com cinco, voc deve levar em considerao a economia de energia que ser obtida utilizando quatro servidores e no cinco! A economia que voc faz ajudar a economizar a gua do planeta, assim como outros recursos naturais que so gastos para produzir energia. Pode parecer exagero, mas no fundo, no fundo, a losoa essa. A TI precisa levar em considerao o meio ambiente em tudo o que ela faz e TI Verde precisa deixar de ser apenas uma losoa...
O conceito de TI Verde apareceu h poucos anos e vem se tornando cada vez mais forte, principalmente neste sculo, com o constante debate sobre as questes ambientais. Em resumo, podemos dizer que TI Verde uma losoa que tem como resultado a adoo de prticas sustentveis para tornar menos prejudicial o uso da TI pelas empresas e pelo consumidor nal. Voc pode ler artigos sobre o assunto em http://info.abril.com.br/corporate/ ti-verde/. Esse site foi acessado em 30 de dezembro de 2009. Figura 2.2: TI Verde.
Um CLUSTER um conjunto de computadores que utiliza sistemas operacionais distribudos que permitem o compartilhamento de recursos e tarefas de processamento. Um cluster pode ser construdo inclusive a partir de computadores convencionais, com baixo poder de processamento; uma vez operando em cluster, esses computadores passam a funcionar como se fossem uma nica mquina com poder de processamento avanado capaz de realizar atividades complexas muito mais rapidamente.
53
AULA
Conselho de administrao.
Acionistas.
| Governana em TI
Vale ressaltar que o nosso assunto principal nesta aula, a Governana em TI, um subconjunto da Governana Empresarial, que um guarda-chuva maior para a governana.
GOVERNANA EM TI
Voc sabia que vrios autores procuraram denir a Governana em TI e no h uma forma comum a eles? Sempre h ligeiras diferenas. Por exemplo, em Weill (2006) encontramos a seguinte denio: "Governana em TI consiste em um ferramental para a especicao dos direitos de deciso das responsabilidades, visando encorajar comportamentos desejveis no uso da TI." J o ITGI (IT Governance Institute) dene Governana em TI como algo que "responsabilidade da alta administrao, incluindo diretores e executivos, na liderana, nas estruturas organizacionais e nos processos que garantam que a TI da empresa sustente e estenda as estratgias e objetivos da organizao".
O ITGI (IT Governance Institute) foi criado em 1998 em reconhecimento ao aumento cada vez maior da importncia da TI para o sucesso de todas as empresas. O ITGI presta assistncia a lderes de TI e altos executivos empresariais com relao ao objetivo maior de promover o alinhamento estratgico da TI. Voc pode acessar o site do ITGI no endereo: http://www.itgi. org. Esse site foi acessado em 30 de dezembro de 2009.
Muitos trabalhos tambm procuraram denir o contexto no qual se insere a Governana em TI. Porm, consenso para muitos autores, entre eles Fernandes (2008), que o estudo da Governana em TI precisa considerar diversas dimenses, tais como o ambiente de negcio, a integrao tecnolgica, a segurana da informao, a dependncia da TI com o negcio, a questo da conformidade regulatria, a prestao de servios pela TI e o manuseio da informao.
54
A Era da Informao
Governana
Segurana da Informao
TI como Prestadora de Servios
Governana em TI
Dependncia do Negcio em Relao TI
Marcos de Regulao
Figura 2.3: Dimenses da Governana em TI.
Ambiente de negcio da TI
O ambiente de negcio se caracteriza pela intensa competio, o que origina a necessidade de inovao constante e a busca diria pela ecincia operacional em detrimento da eccia estratgica. A concorrncia agora global, e o poder dos clientes e fornecedores alto na maioria dos setores. Tudo isso aumenta muito os riscos que podem afetar qualquer negcio.
Integrao tecnolgica
A partir da dcada de 1970, que chamamos de era dos sistemas de informaes gerenciais, os sistemas comearam a sofrer integrao ou migrao para outros sistemas com suporte s funes de gerenciamento de bancos de dados. Na mesma poca surgiram vrias novas linguagens de programao que permitiam o rpido desenvolvimento de sistemas de software. Esse movimento foi consolidado na dcada de 1990. Rapidamente as empresas comearam a passar por alguns problemas srios, com o excesso de solues para tudo (o que parece no ter sido solucionado at hoje...). Durante esses anos, os sistemas ERP (Enterprise Resource Planning) ou sistemas de gesto empresarial integrada comearam a tentar unir essa "colcha de retalhos". No cenrio atual, vrias siglas convivem e tentam manter o controle sobre o ativo mais importante da organizao, que a informao.
55
AULA
Ambiente de negcios
Integrao Tecnologia
| Governana em TI
Data Mining
Assim, prometem organizar a manipulao da

Data Warehouse
BI
informao de maneira a agregar valor organizao. Podemos citar algumas:
ERP
CRM
Data Mining. Data Warehouse. BI (Business Inteligence). CRM (Customer Relationship Management). ERP (Enterprise Resource Planning). E-Business. E-Commerce. B2B (Business-to-Business). B2C (Business-to-Consumer).
EBusiness
ECommerce
B2B
B2C
Segurana da informao
A segurana da informao no foi preocupao nos primeiros anos da TI, mas hoje representa um papel cada vez mais importante.
VPN sigla em ingls para Rede Privada Virtual (Virtual Private Network) um conceito utilizado quando uma empresa utiliza uma rede de dados pblica (por exemplo, a internet) para comunicao com funcionrios que trabalham remotamente (em casa, no aeroporto etc.) ou com outras empresas (parceiros, fornecedores etc.). Normalmente as VPNs utilizam criptograa e outras tcnicas para garantir a segurana da informao.
Vrias tecnologias, principalmente aquelas que permitem acesso remoto (VPNS, extranets, internet etc.) e aquelas que permitem acesso com mobilidade (WiFi, WiMax, 3G etc.) tornam a questo da segurana o calcanhar de aquiles de qualquer sistema. Por isso, fraudes em sistemas de TI tm o potencial de gerar prejuzos cada vez mais altos, na medida em que as empresas migram parte de suas receitas para o mundo digital.
Dependncia do negcio
Apenas para citar um exemplo, digamos que a empresa est pensando em investir na proteo de seus ativos contra ataques pela internet. Quanto ela deve investir? A resposta depende do que ela quer proteger. Esse item deixa claro que a importncia da TI para o negcio precisa ser determinada, a m de que todo investimento feito em TI possua uma razo diretamente extrada de seu plano estratgico.
56
Toda empresa est sujeita a algum grau de controle por parte do Estado ou por parte de entidades privadas. Esse controle tem sido cada vez maior. Os exemplos da Lei Sarbanes-Oxley e do Acordo da Basileia (que estudaremos no nal desta aula) so os mais importantes do ponto de vista mundial. Porm, dependendo da rea, a empresa precisa atender a uma srie de questes regulatrias e a TI ir precisar acompanhar a empresa fornecendo os meios para o atendimento desses requisitos legais.
A TI como prestadora de servios

Note que, na aula passada, ressaltamos que a ideia de processo cada vez mais aceita como o melhor caminho para alcanar resultados timos em qualquer rea (inclusive na TI). Do mesmo modo, o conceito de que a TI uma rea prestadora de servios cada vez mais aceita em todo o mundo. Disso retiramos tambm a ideia de que a TI precisa denir, para cada um de seus servios, quem seu cliente, quem seu usurio, quem seu patrocinador etc. Tudo isso , sem dvida, uma mudana de paradigma para uma rea acostumada a ser um centro de custo responsvel por lidar com hardware e software e oferecer suporte tcnico.
A Era da Informao
Como voc sabe, hoje em dia h muito mais conectividade, muito mais informao, maiores demandas por novos servios, centenas de fornecedores das mesmas solues, dezenas de ferramentas e tcnicas consagradas pelo mercado, muito mais modelos de gesto etc. Tudo isso contribui para alimentar o crculo vicioso (ou virtuoso) da Era da Informao. Cada um de ns gera mais informao na medida em que tudo digitalizado (fotos, documentos, msicas, livros etc.) e compartilhamos mais informao por meio de aplicaes diversas (Twitter, Facebook, LinkedIN, Youtube, Emule, Kazaa etc.). Isso sem falar em contedos completos de cursos de graduao e MBAs que esto sendo totalmente digitalizados e adaptados para o formato EAD, tal como este nosso curso!
57
AULA
Marcos regulatrios
| Governana em TI
Tudo isso gera necessidade de maior conectividade (largura de banda, processamento, memria etc.), ou seja, as pessoas necessitam de mais recursos e a TI fornece mais recursos. Na medida em que elas tm mais recursos, geram e compartilham mais informao. E assim vamos!
Atividade
Voc j entendeu a losoa por trs da Governana em TI? Pesquise pelo menos 1 mais uma dimenso que pode fazer parte do contexto da Governana em TI e explique a relao existente. _____________________________________________________________________________ _____________________________________________________________________________ _____________________________________________________________________________ _____________________________________________________________________________ _____________________________________________________________________________ _____________________________________________________________________________
Resposta
Assim como a Governana Empresarial no pode prescindir da losoa voltada para o meio ambiente, bvio que a Governana em TI tambm no pode mais viver sem pensar no verde. Portanto, outra dimenso que se enquadra no contexto do estudo da Governana em qualquer contexto a dimenso das questes ambientais e ecolgicas, ou seja, a chamada TI Verde.
CONFORMIDADE REGULATRIA Sarbanes-Oxley (SOX)

A Lei Sarbanes-Oxley tem como objetivo proteger investidores da bolsa de valores contra fraudes contbeis e nanceiras das companhias americanas que forjavam dados de seus balanos anuais a m de evitar perdas no valor de suas aes.
58
Sarbanes e Oxley so nomes de dois senadores norte-americanos responsveis por escrever a referida lei. Ela atinge diretamente as empresas americanas que possuem capital aberto e, indiretamente, todas as liais dessas empresas no mundo, no caso das multinacionais. Alm disso, outras empresas que se relacionam com essas empresas, tais como parceiros e fornecedores, tambm acabam sendo afetados e, s vezes, auditados.
Esta lei contm vrias diretrizes sobre a gerao, uso e armazenamento de informaes, diretrizes para auditoria, dene papis e responsabilidades da alta direo, discorre sobre a imputabilidade de gerentes nanceiros, diretores e presidentes no caso de fraudes e trata de vrios outros temas. O maior benefcio da SOX para a TI mundial foram os ensinamentos obtidos a partir de sua publicao nos Estados Unidos. Vrias empresas fecharam as portas porque no conseguiram se adequar aos seus artigos a um custo aceitvel para o negcio ou porque no foi mais possvel falsicar informaes e sair impune (ou, pelo menos, isso cou muito mais difcil).
Figura 2.4: Conformidade regulatria.
Alguns itens da Lei Sarbanes-Oxley com impacto direto na TI: As informaes sobre operaes passadas devem car disponveis por um perodo de cinco anos para ns de auditoria. As informaes requisitadas devem estar disponveis sempre que necessrio s pessoas cujo acesso legtimo. As informaes no devem ser acessadas por pessoas que no possuam direito de acesso legtimo. Os dados informados devem ser atualizados e corretos.
59
AULA
| Governana em TI
Mas quais empresas conseguiram atender a tais exigncias? As empresas que se adequaram aos novos princpios legais tinham uma caracterstica em comum: o fato de que elas possuam reas de TI ao mesmo tempo ecazes e ecientes. Essa caracterstica vista hoje como um fator decisivo, pois o mundo inteiro aprendeu a lio. Para muitas organizaes, simplesmente no foi possvel atender ao que a lei determinava, e elas no tiveram outra sada seno fechar as portas.
Acordo da Basileia
Trata-se de um acordo internacional assinado por representantes de vrios bancos centrais de vrios pases do mundo na cidade de Basileia, Sua. Esse acordo afetou todos os pases signatrios, entre eles o Brasil.
O Acordo da Basileia possui trs pilares: Estabelece procedimentos mnimos para o clculo dos riscos de capital (risco de crdito e risco operacional), buscando atingir objetivos comuns mesmo quando a abordagem de gerenciamento de risco distinta. Dene regras para auditorias em instituies nanceiras, visando a avaliar os mtodos de identicao, anlise, monitoramento e controle dos riscos. Estabelece regras para tornar pblicas as informaes acerca do grau de exposio ao risco ao qual est sujeita uma instituio, face aos resultados obtidos em auditorias.
Regulamentao no Brasil
No Brasil h excesso de regulamentao sobre qualquer tema. Enquanto a constituio norte-americana, por exemplo, a mesma desde 1787 e possui menos que dez artigos e no mais que trinta emendas, a constituio brasileira em vigor a oitava, possui mais de 250 artigos e j passou por mais cinquenta emendas. Alm disso, leis e decretos completam uma lista imensa de regulamentaes em todos os setores.
60
a ser, aos poucos, exercidas por empresas de direito privado, com a participao ou no do Estado, sob a scalizao das agncias reguladoras. De l para c, vrias agncias foram criadas. Citamos alguns exemplos: Anatel (Agncia Nacional de Telecomunicaes). Aneel (Agncia Nacional de Energia Eltrica). ANP (Agncia Nacional do Petrleo). Anac (Agncia Nacional de Aviao Civil). Antaq (Agncia Nacional de Transportes Aquavirios). ANA (Agncia Nacional das guas). ANTT (Agncia Nacional de Transporte Terrestre). Anvisa (Agncia Nacional de Vigilncia Sanitria). ANS (Agncia Nacional de Sade). Ancine (Agncia Nacional do Cinema). Em um ambiente to instvel, a questo da conformidade legal se torna muito complicada para qualquer empresa. Porm, isso no pode ser motivo para que a questo seja totalmente descartada da agenda de diretores e gerentes de TI. importante que tais executivos possuam reservas de recursos (e de tempo) para lidar com questes de conformidade regulatria e que, na medida do possvel, tentem se antecipar a elas. A essa altura desnecessrio dizer que a
Figura 2.5: A TI em boas mos.
adequao s leis que estejam em vigor altamente recomendada e que a no adequao, por si s, j implica uma deciso em total desacordo com o conceito de Governana em TI. J percebeu o que tudo isso tem a ver com a Governana em TI? Como dissemos, j faz muito tempo que a TI deixou de ser somente um setor responsvel por servidores e aplicaes. Atualmente, a TI uma rea que deve se relacionar com o negcio to bem como qualquer outra rea. A conformidade legal sempre foi uma exigncia para todas as outras reas da empresa e, desde os marcos regulatrios da SOX e da Basileia, passou a ser tambm para a TI. Alm disso, no raro as
61
AULA
estado novo, em que tarefas tipicamente exercidas pelo Estado passaram
A partir de 1998, houve um esforo por desenvolver o chamado
| Governana em TI
exigncias de conformidade legal de uma rea acabam gerando projetos para os quais a TI precisar alocar recursos de pessoal, de equipamentos ou de aplicaes.
Atividade 2
O Brasil est passando por um momento de adequao contbil e scal fortemente 2 direcionado pelos avanos na rea de TI. Essa adequao tem sido chamada de Sped Contbil e Sped Fiscal. Pesquise o que isso e explique o que tem a ver com a questo da Governana em TI. __________________________________________________________________________ __________________________________________________________________________ __________________________________________________________________________ __________________________________________________________________________ ___________________________________________________________________________ ___________________________________________________________________________ ___________________________________________________________________________ ___________________________________________________________________________ ___________________________________________________________________________ ______________________________________________________________________________ _______________________________________________________________________________ ______________________________________________________________________________
Resposta
O Sped Contbil e o Sped Fiscal o maior exemplo de necessidade de adequao pelo qual as empresas esto passando no momento aqui no Brasil, por fora de regulamentao. A exigncia (que legal e, portanto, mandatria) est acontecendo principalmente por causa dos avanos alcanados pelos rgos pblicos na rea de TI. Vrias empresas esto se adequando aos novos tempos e em ritmo acelerado, pois o rgo regulamentador (no caso, a Receita Federal do Brasil) estipulou datas para tal adequao. As empresas esto migrando aos poucos (por setor da economia e regime contbil), para que a mudana acontea com menor impacto. Aps a data limite estipulada para cada setor, a empresa que no estiver regulamentada passar a ser multada mensalmente pelo no cumprimento da lei. E de que consiste tal adequao? Diminuir a quantidade de papis scais e contbeis (livros, notas scais, guias de pagamento etc.) e passar tudo para o formato digital utilizando conceitos avanados de criptograa.
62
Voc sabe o que o Sped Contbil e Sped Fiscal? Esses so uns dos maiores exemplos de evoluo tecnolgica visando diminuio da burocracia contbil e scal jamais vistos no Brasil. O Sped Contbil trata da substituio dos livros da escriturao mercantil das empresas pelos seus equivalentes digitais. O Sped Fiscal est relacionado escriturao scal digital, que baseada em arquivos digitais que sero assinados (digitalmente utilizando recursos de criptograa e assinatura digital) e transmitidos, via internet, para a Receita Federal do Brasil. Saiba mais em http://www1. receita.fazenda.gov.br/default.htm. Esse site foi acessado em 30 de dezembro de 2009.
UM MODELO PARA A GOVERNANA EM TI

Apresentamos a seguir, de forma muito resumida, os passos mnimos para a construo de processos visando Governana em TI.
Elaborar o plano estratgico da empresa

Qualquer modelo para a Governana em TI deve ser construdo com base no fato de que no h Governana em TI se a prpria organizao no tiver o pensamento voltado para a governana. E essa governana nada mais que uma losoa pautada em uma srie de medidas efetivas visando ao melhor controle do negcio de acordo com os recursos disponveis. Quais so os fatores que afetam o plano estratgico de uma organizao? As entradas para a elaborao de um plano estratgico costumam ser de vrios tipos. Por exemplo: Demandas externas (tais como presses econmicas, presses por inovao, diretrizes da matriz e novos concorrentes). Demandas internas (solicitaes de novos servios, projetos em andamento em diversos departamentos, resultados de vendas que viram projetos etc.). Presses sociais (acessibilidade, incluso digital, TI Verde etc.). E, alm disso, o que mais pode afetar o plano estratgico? A empresa precisa estar muito ciente de sua misso e de sua viso, pois a partir desta que sero denidas as estratgias para atingir metas relacionadas s demandas sem se desviar de sua misso.
63
AULA
| Governana em TI
Planejamento Estratgico da Empresa
Alinhamento Campliance
Plano Diretor de TI
Deciso e Alocao
Gesto e Operao
Medio e Desempenho
Figura 2.6: Etapas do modelo de Governana.
Examinar as questes de conformidade regulatria

Como j dissemos, algo importante a se considerar em relao ao ambiente externo tambm a questo das leis que regulam a operao da empresa no setor (ou setores) onde ela atua. Alguns setores so mais afetados pelas alteraes frequentes da legislao tcnica (por exemplo, o setor de telecomunicaes); outros so mais afetados pelas legislaes ambientais (por exemplo, o setor da indstria petrolfera). H ainda algumas legislaes que acabam afetando todos os setores da economia, como no caso das legislaes trabalhistas e tributrias. Dentro do contexto da governana, a questo da conformidade legal to importante quanto as questes tecnolgicas. Vale ressaltar que a alta direo deve estar comprometida em conhecer as questes de conformidade que podem afetar a sua operao, pois, como j dissemos, os projetos de conformidade
Figura 2.7: Alinhamento entre PDTI e Plano Estratgico.
so mandatrios.
64
restrio de tempo dada pelo poder regulador.
Elaborar o plano diretor de TI

Mas, anal, o que o plano diretor de TI (PDTI)? O plano diretor contm estratgias diretamente extradas do plano estratgico da organizao que serviro para alinhar os objetivos da TI aos objetivos da organizao. Na verdade, os objetivos da rea de TI devem ser construdos a partir dos objetivos da organizao.
O plano diretor de TI contm diretrizes para a rea de TI de curto, mdio e longo prazos. Embora esses valores no sejam absolutos, pois devem variar de empresa para empresa e de setor para setor, o que o p mercado tem praticado para curto, mdio e longo prazos na rea de TI : um ano, dois a trs anos e cinco a seis anos, respectivamente.
Tomar decises e fazer alocaes

O que fazer aps a elaborao do plano diretor de TI? Com o PDTI em mos, o diretor de TI deve executar funes como: Decidir sobre quais projetos iniciar ou cancelar. Interromper ou iniciar operaes da TI. Obter recursos para os projetos e operaes. Fazer a alocao dos recursos. Estabelecer as diretrizes para o gerenciamento da capacidade, disponibilidade e continuidade da infraestrutura de servios de TI. Esta uma etapa que tem foco na eccia estratgica, ou seja, escolher o que deve ser feito de acordo com o PDTI, que, por sua vez, teve sua origem no plano estratgico da organizao. As direes para a TI, que signicam a eccia estratgica, j foram dadas no PDTI.
65
AULA
por no cumpri-los. Alm disso, tais projetos normalmente possuem
Isso signica que, com relao a esses projetos, no h como optar
| Governana em TI
Garantir o controle e o gerenciamento da operao

Observe que, uma vez iniciados os projetos e as operaes, ou seja, uma vez que as escolhas sobre o que deve ser feito j foram feitas de forma ecaz, a rea de TI deve ter como meta a utilizao eciente dos recursos. Operaes e projetos podem ser cancelados ou interrompidos a qualquer momento por motivos diversos, como falta de alinhamento com a nova estratgia organizacional, determinao de que o projeto ou operao no conseguir atender mais aos objetivos iniciais ou at mesmo por falta de recursos. Lembre-se de que o PDTI deve ser revisado periodicamente, e novas estratgias podem ser adotadas, dependendo dos novos cenrios que surjam. nessa fase que so desenvolvidos os acordos com usurios e fornecedores para garantir a qualidade dos servios prestados. tambm neste momento que projetos so selecionados, planejados, executados e encerrados pela TI.
Atividade
Preencha as lacunas com os seguintes termos e expresses: plano diretor de TI 3 operaes portflio plano estratgico projetos metas regulamentao alocao. O primeiro passo para a elaborao do modelo de Governana em TI o exame do _____________________ da empresa, onde suas diretrizes esto denidas e documentadas. O segundo passo examinar as questes de _________________, pois elas podem ter impacto direto nos __________ e __________ da TI. Somente aps as etapas anteriores que o _____________________ poder ser escrito de forma consistente, pois suas metas devem ser extradas e desdobradas diretamente do prprio plano estratgico da empresa. Por m, restar equipe de TI tomar as decises de __________, pois tais decises deniro quais projetos e operaes sero de fato executados. Finalmente, cabe ao provedor de TI o gerenciamento efetivo de seu __________ para que os _________ da TI, e consequentemente os da empresa, sejam atingidos.
Resposta Comentada
O primeiro passo para a elaborao do modelo de Governana em TI o exame do plano estratgico da empresa, onde suas diretrizes esto denidas e documentadas. O segundo passo examinar as questes de regulamentao, pois elas podem ter impacto direto nos projetos e operaes da TI. Somente aps as etapas anteriores que o plano diretor de TI poder ser escrito de forma consistente, pois suas metas devem ser extradas e desdobradas diretamente do prprio plano estratgico da empresa. Por m, restar equipe de TI tomar as decises de alocao, pois tais decises deniro quais projetos e operaes sero de fato executados. Finalmente, cabe ao provedor de TI o gerenciamento efetivo de seu portflio para que os objetivos da TI, e consequentemente os da empresa, sejam atingidos.
66
Denio do PDTI
O plano diretor de TI (PDTI) um documento de alto nvel, ou seja, elaborado pelo diretor de TI com o auxlio de outras partes interessadas e do prprio pessoal do provedor de TI. Ele deve conter informaes menos detalhadas, porm, mais abrangentes. O plano diretor de TI precisa ser um documento vivo. Isso quer dizer que deve ser revisado periodicamente (no caso da TI, aconselha-se pelo menos uma reviso a cada trimestre). As metas do PDTI devem estar alinhadas s metas da organizao.
Contedo do PDTI
Todo plano visa a responder questes simples do tipo: O que ser feito? Quem far? Quando far? Por que far? Onde far? Como far? Quanto custar? Note que o PDTI deve responder a essas questes para a rea de TI de forma menos detalhada, porm, suciente para que ocorra o detalhamento posterior na forma de polticas, procedimentos e outros documentos que completam a informao do PDTI. Os gerentes de TI so responsveis por detalhar o plano diretor de TI e operacionalizar suas diretrizes na forma de projetos e operaes.
Figura 2.8: O PDTI um documento formal.
67
AULA
O PLANO DIRETOR DE TI
| Governana em TI
Elaborao do PDTI
Note que o PDTI deve ser feito de forma interdisciplinar, envolvendo pessoas de outras reas da organizao. Tal necessidade ser tanto maior quanto maior for a importncia estratgica da TI para o negcio. Observe que todas as reas envolvidas devem ter cincia de que existe um plano estratgico organizacional e que a elaborao do PDTI parte desse plano maior sob todos os aspectos. O PDTI deve conter o portflio de TI da empresa, ou seja, deve guiar a todos com relao ao que a TI faz na forma de projetos ou operaes continuadas e o que a TI no faz. Que servios a TI fornece e que servios ela no fornece. Voc pode esperar algumas diculdades tpicas no processo de elaborao do plano. Citamos algumas: Tendncia a detalhar informaes mais do que o necessrio. Tendncia a ser demasiadamente otimista ao selecionar as diretrizes em detrimento dos recursos de TI disponveis. Reatividade da equipe de TI acostumada a lidar somente com questes operacionais.
A ITIL E O COBIT NO CONTEXTO DA GOVERNANA

OK. J tempo de comearmos a tratar da ITIL e do COBIT . Dissemos que estes so apenas dois dos modelos que podem ser abordados dentro do contexto da Governana. Mas onde esses modelos se encaixam? A Figura 2.9 descreve essa interao entre alguns dos diversos modelos disponveis (existem vrios outros...). Note que uma organizao pode ter uma postura reativa e esperar que as presses externas ou internas a empurrem rumo melhoria em seus processos, o que tende a acontecer de forma muito desgastante e traumtica. Por outro lado, ela pode agir proativamente e buscar a melhoria em suas reas de processo utilizando algum modelo de boas prticas ou normas existentes. Essa ltima abordagem facilitada quando a empresa governa corretamente no s a TI, mas todas as suas outras reas. Voltaremos a falar de cada um destes modelos nas aulas nais deste curso. Por ora, vamos apenas manter o foco na ITIL e no COBIT .

68
Imagine que voc o diretor de TI de uma empresa com mais de oito mil funcionrios em uma mesma planta e a TI possua oitenta pessoas que atuam nas mais diversas reas. O que voc deve fazer para saber se o gerenciamento de projetos de TI bom ou ruim? Que critrios adotar para medir seu trabalho e comparar com o que outras organizaes fazem?
Presses Externas e Internas (Inovao, Avano Tecnolgico, Projetos de outras rea, Compliance, Acompanhar a Concorrncia, etc).
Planejamento Estratgico
Controles de TI (COBIT)
TI Reativa
PRINCE 2 PMBOK ISO 20000 SCRUM ISO 27000 MOF ISO 31000 ITIL eSCM-SP
eSCM-CL
ISO 9000
eTom Seis Sigma
A Empresa Figura 2.9: Vrios caminhos para a Governana.
Pois bem, o COBIT resolve essa questo. Em sua verso mais recente, ele dene as 34 reas de processo da TI (gerenciamento de projetos de TI somente uma delas) e fornece formas de medir a maturidade de cada uma. Digamos que voc, ainda na cadeira de diretor de TI da empresa mencionada, resolva melhorar o seu nvel de maturidade em gerenciamento de projetos de TI. O que voc deve fazer? O primeiro passo a ser seguido descobrir qual o grau de maturidade atual em gerenciamento de projetos de TI da empresa. O prximo saber qual grau de maturidade a empresa precisa atingir. O COBIT tambm auxiliar voc a encontrar essa resposta.
TI Proativa
69
AULA
COBIT
| Governana em TI
E se voc quiser saber o quanto a sua equipe boa em lidar com incidentes de TI no dia a dia? Os usurios acham que os servios prestados pelo provedor de TI so de alta qualidade ou de baixa qualidade? Existe capacidade ociosa na sua TI? Voc poderia estar oferecendo mais servios e no est? Enm, mais uma vez, o COBIT possui todas essas respostas.
ITIL
Existem, porm, algumas perguntas que o COBIT no responder. So aquelas perguntas comeadas com Como.... Isso porque o COBIT possui informaes sobre os controles que devem ser perseguidos e os indicadores-chave de desempenho em todas as reas da TI, mas no possui informaes sobre como a organizao ir suprir as lacunas (gaps) para amadurecer em alguma rea. a que entram as boas prticas e normas indicadas em cinza na Figura 2.9, como a ITIL , o PMBOK etc. Como a ITIL pode ajudar ento? Ora, a ITIL contm processos que visam melhoria do sistema de gerenciamento de servios de TI. Em sua segunda verso, ela contm dez dos processos mais importantes para a Tecnologia da Informao reunidos nos livros de suporte a servios de TI e entrega de servios de TI. Caso a empresa note, por meio do COBIT , que o seu grau de maturidade em gerenciamento de incidentes de TI ruim, ela poder usar a ITIL a m de melhorar esse processo, pois a ITIL contm informaes sobre o que deve ser feito.

CONCLUSO
Vimos que a Governana em TI muito mais prxima de uma losoa do que de algo que possa ser implantado ou adquirido por intermdio de consultorias. Mesmo porque a governana est fortemente ligada ao pensamento estratgico da empresa, ou seja, intimamente ligada personalidade da organizao. Voc deve ter plena conscincia de que, antes de pensar em Governana em TI, a empresa como um todo deve estar comprometida com a mudana que precisar ser implementada em todas as reas.
70
lo de governana depende da elaborao do plano estratgico da empresa. Por sua vez, o modelo de Governana da TI depende do plano diretor de TI, que, por sua vez, ser elaborado a partir do plano estratgico. Por m, lembre-se de que o conceito de Governana em TI um conceito muito abrangente. Envolve vrias dimenses e precisa estar atento a muitos fatores que podem afetar as operaes da TI e, consequentemente, da empresa. Como vimos na aula passada, o grau de afetao ser tanto maior quanto maior for a dependncia da empresa em relao TI.
Atividade online
A Agora que voc j conhece bastante coisa sobre o conceito de Governana em TI, 4 v sala de aula virtual e resolva a atividade proposta pelo tutor. O instrutor ir trabalhar com modelo padronizado (template) de um plano diretor de TI. O objetivo explicar como acontece a elaborao de um PDTI a partir de um modelo genrico.
RESUMO

Governana em TI um conceito amplo e vai alm da ITIL e do COBIT . Governana de TI envolve tudo o que a TI faz e depende fortemente do alinhamento estratgico da TI. Uma coisa no existe sem a outra. Governana em TI envolve dimenses como a perspectiva do negcio, a segurana da informao, a conformidade regulatria, a prestao de servios, o manuseio da informao e a conformidade regulatria. A Era da Informao acelera a evoluo, diculta o pensamento estratgico e a Governana em TI. A conformidade regulatria um fator importante do planejamento estratgico da TI desde os marcos regulatrios da Lei Sarbanes-Oxley (SOX) e do Acordo da Basileia.
71
AULA
tudo a ver com governana. Resumindo de maneira muito simples, o mode-
importante entender tambm que planejamento estratgico tem
| Governana em TI
Os passos mnimos para um projeto de governana so: elaborar o plano estratgico, examinar as questes de conformidade regulatria, elaborar o plano diretor de TI, tomar decises e fazer alocaes e garantir o controle e o gerenciamento da operao.

Na prxima aula vamos iniciar os estudos da segunda verso da ITIL , publicada em 2000, mas largamente utilizada at hoje. Nessa aula sero estudados conceitos iniciais da ITIL e a funo da central de servios, que responsvel por implementar o ponto nico de acesso entre o usurio e o provedor de TI. Procure utilizar os conhecimentos adquiridos e at a prxima aula!

Atividades Finais
1) Analise as armaes abaixo (V para Verdadeiro e F para Falso). a) Acionistas, executivos, funcionrios, instituies e o meio ambiente fazem parte do contexto da Governana em TI. b) Uma empresa brasileira sem lial no exterior pode ser auditada com base na Lei Sarbanes-Oxley por uma empresa estrangeira. c) A TI Verde esta relacionada s reas de TI das empresas cujas atividades possuem alto impacto no meio ambiente, tais como indstria petrolfera, usinas etc. 2) Assinale I para ITIL e C para COBIT: a) ( ) Possui controles para o que deve ser feito na rea de TI. b) ( ) Contm detalhes sobre como atingir metas de processo. c) ( ) Possui detalhes sobre entradas e sadas de processos. d) ( ) Contm informaes sobre metas de negcio. e) ( ) Possui modelos de maturidade para reas de processo.
72
f) ( ) Possui indicadores de meta dos processos. g) ( ) Contm informaes menos abrangentes e mais detalhadas. h) ( ) Contm informaes mais abrangentes e menos detalhadas. 3) (Tcnico Superior PGE-RJ FCC/2009) Atitudes ou polticas discriminatrias, sob qualquer pretexto, so totalmente inaceitveis na Governana por se tratar de um dos seus princpios bsicos, que a) transparncia. b) perenidade. c) responsabilidade corporativa. d) prestao de contas. e) equidade. 4) (Auditor em TI Estado-BA FCC/2004) Para um planejamento estratgico de TI ser do conhecimento dos responsveis pelos processos de negcio e de outras partes relevantes da organizao, a administrao deve assegurar: a) a incluso de novas estratgias na elaborao de planos de TI. b) as mudanas peridicas dos planos de TI. c) a comunicao dos planos de TI. d) o monitoramento e a avaliao dos planos de TI. e) a elaborao de planos de TI de curto e longo prazo. 5) Partindo da meta Nossa empresa manter sua posio de liderana e destaque na rea de outsourcing de TI ao longo do ano de 2009, escreva trs metas para a rea de TI que so consequncias ou desdobramentos dessa meta organizacional. 6) Quais so as etapas macro do modelo de Governana em TI visto nesta aula. Explique como as etapas se encaixam no ciclo de elaborao do plano estratgico e do plano diretor de TI. 7) (Analista Tcnico de TI SUSEP ESAF/2006) Entre os benefcios advindos da adoo de boas prticas de Governana Corporativa, correto armar que: a) ela cria, por si s, valor para a empresa. b) proporciona uma administrao ainda melhor, em benefcio dos acionistas majoritrios como prioridade. c) proporciona aos proprietrios (acionistas ou cotistas) a gesto estratgica de sua empresa, sem a necessidade da efetiva monitorao da direo executiva. d) disponibiliza ferramentas que asseguram ao Conselho de Administrao o controle da propriedade sobre a gesto, descartando a necessidade de Auditoria Independente e de Conselho Fiscal. e) os investidores tendem a pagar mais por aes de empresas que adotam melhores prticas de administrao e transparncia.
73
AULA
| Governana em TI
Respostas
1. a. Verdadeiro. b. Verdadeiro. c. Falso. TI Verde se aplica a qualquer tipo de empresa. 2. a. C. O COBIT possui objetivos de controles. b. I. A ITIL indica como devem ser implementados os processos. c. I. A ITIL mais detalhada e possui descrio de processos. d. C. O COBIT foi escrito a partir da viso de negcio da TI. e. C. O COBIT ajuda a determinar o nvel de maturidade da TI. f. C. O COBIT possui indicadores-chave de meta dos processos. g. I. A ITIL mais detalhada, mas no aborda certos temas. h. C. O COBIT aborda todas as reas da TI, com poucos detalhes. 3) Alternativa E. A questo se refere ao princpio da equidade que visa a evitar que questes discriminatrias de qualquer espcie afetem o sucesso da Governana. 4) Alternativa C. Para tornar o plano conhecido pelas partes interessadas preciso comunicao efetiva. Veremos mais tarde que o COBIT possui processos que tratam especificamente destas questes. 5) Os exemplos so muitos e dependem do momento por que a organizao est passando. Alguns exemplos seriam: A TI investir em treinamento e certificao dos analistas em eSCM. A TI investir no relacionamento com os clientes atuais capacitando os profissionais alocados em clientes em habilidades interpessoais. A TI iniciar uma campanha com outros departamentos para o fornecimento de recursos humanos no s na modalidade outsourcing, mas tambm na nova modalidade body shop (alocao de profissionais e mo de obra na organizao cliente para serem gerenciados por ele). 6) As etapas so: elaborar o plano estratgico, examinar questes de conformidade regulatria, elaborar o plano diretor de TI, decidir e fazer alocaes, gerir a operao e controlar o desempenho. Note que a elaborao do plano estratgico vem antes. Cada etapa, por sua vez, pode ser melhor detalhada segundo critrios especficos que podem variar de setor para setor e de empresa para empresa. Por exemplo, as etapas da elaborao do PDTI podem variar etc. 7) Alternativa E. Esta questo interessante, pois ressalta o fato de que o retorno obtido com aes de Governana tambm acontece na forma de recursos financeiros diretos, principalmente no caso de empresas de capital aberto.

74
ITIL: histrico, evoluo e conceitos
Meta da aula
Explicar os processos de suporte a servios de TI da ITIL v2.
objetivos

1 2 3
identicar, listar e explicar os principais conceitos da ITIL; explicar o que a central de servios da ITIL; listar as principais funes da central de servios da ITIL.
Pr-requisitos
So pr-requisitos para esta aula ter atingido os objetivos da Aula 1, Conceitos relacionados Governana, e os objetivos da Aula 2, A Governana em TI.
AULA
| ITIL: Histrico, evoluo e conceitos
INTRODUO
De onde surgiu a ITIL e como ela se enquadra no contexto da Governana em TI? Voc sabia que os chamados Call Centers tm tudo a ver com a ITIL? Responder a estas e a outras questes nosso objetivo nesta aula. Ento, vamos adiante!
Muito bem! Chegou a hora de iniciarmos nossos estudos sobre um dos principais conjuntos de boas prticas mencionados at o momento e um dos mais utilizados e conhecidos no mercado mundial, inclusive no Brasil. Estamos falando da ITIL. Nesta aula, nosso foco ser estudar a segunda verso da ITIL, publicada no ano 2000, mas ainda largamente usada em consultorias, projetos de melhoria em gerenciamento de servios de TI e em certicaes prossionais. Devido larga absoro da ITIL em sua segunda verso, ela ainda subsiste em paralelo nova verso, publicada em 2007. A verso mais recente da ITIL (verso 3) tambm ser estudada em nosso curso nas prximas aulas.
As letras I.T.I.L. representam a sigla para Information Technology Infrastructure Library ou, em portugus, biblioteca da infraestrutura de TI. A palavra biblioteca no vem por acaso. De fato, a ITIL composta por vrios livros, cada um tratando de um assunto de TI especco. Por exemplo, a verso 2 da ITIL possui sete livros que tratam de assuntos diversos como suporte a servios de TI e entrega de servios de TI.
76
Governana: ITIL : Gesto, Auditoria e Tecnologia da Informao
A ITIL no uma metodologia. um conjunto de boas prticas para construir processos para a rea de TI nas organizaes. Esses processos podem ser idnticos aos que existem nos livros de ITIL, ou adaptados de acordo com a realidade da empresa.
A biblioteca ITIL se refere a um conjunto de processos escalveis, ou seja, processos que podem ser adaptados s necessidades de cada empresa, independente do seu porte. Guarde bem este conceito, pois vamos precisar muito dele. A razo principal para a adoo de boas prticas a construo de processos visando melhoria contnua da rea de TI, aumento da satisfao do cliente e do usurio de TI e aumento da autoestima dos prossionais que fornecem servios de TI. Observe que uma constatao importante trazida pela ITIL para o cenrio de TI mundial o fato de que, voc, como prossional de TI, precisar cada vez mais entender do negcio que voc ajuda a sustentar na organizao, a m de desempenhar bem o seu papel. Assim, seu foco no pode mais ser o de um operador de tecnologia, mas sim o de algum preocupado com o servio que est sendo prestado pelas tecnologias e como usurios e clientes so afetados por ela. Dessa forma, o trabalho dos prossionais de TI passa a ser mais direcionado para pessoas e processos do que somente para tecnologias.
Melhoria contnua Nvel de maturidade
Alinhamento estratgico da TI
A C
P D Melhoria contnua
Planejar, Executar, Avaliar resultados, novas aes
Tempo Figura 3.1: Nveis de maturidade e melhoria contnua.
77
AULA
Por incrvel que parea, ainda nos dias de hoje, esse pensamento no acompanha a maioria dos prossionais de TI em seu ambiente de produo e, quando acompanha, muitas vezes faltam processos adequados na organizao para que tal pensamento de fato se reita em melhoria no servio prestado. Imagine que algum pergunte a voc, apontando para um equipamento servidor em plena produo: Quanto custa este servidor?. Nessa situao, voc pode dar duas respostas. Uma levar em considerao apenas o valor do hardware conforme a nota scal do fornecedor. Outra resposta levar em conta o valor do ativo em produo (congurado, instalado e operacional), o valor das informaes armazenadas por ele, o valor dos servios que dependem dele, o valor dos impactos negativos caso ele que inoperante e, claro, o valor do prprio hardware (em muitos casos, o mais barato de todos os itens). Percebeu a diferena?
HISTRICO BREVE DA ITIL O governo britnico

Voc deve saber que a Inglaterra conhecida por desenvolver normas, padres e boas prticas que acabam se tornando mundialmente importantes e reconhecidos. Para a rea de TI, alm da ITIL, podemos citar tambm o exemplo da ISO 27000 (famlia de normas para o gerenciamento da segurana da informao), que foi originada do BS 7799 (British Standard 7799). No Reino Unido, a ITIL deu origem ao BS 15000 em 2003 que, mais tarde, daria origem famlia de normas mundiais ISO 20000 para o Gerenciamento de Servios de TI. Iremos falar da ISO 20000 no nal deste curso. A ITIL surgiu na Inglaterra no nal da dcada de 1980, sob a tutela da ento chamada CCTA (Central Computer and Telecommunications Agency), que possua funes semelhantes s funes do Serpro aqui no Brasil.
78
que possui vrias outras funes na Inglaterra, homologou o ITSMF (IT Service Management Forum) como frum ocial para discutir e desenvolver todos os assuntos especicamente relacionados s melhores prticas da ITIL. Podemos citar como funes do ITSMF: Certicar entidades para fornecer treinamentos ociais. Certicar prossionais de TI em diversos nveis. Homologar centros de realizao de provas. Identicar as melhores prticas e revisar a biblioteca. Publicar peridicos ociais em todo o mundo.
O ITSMF holands foi o primeiro chapter fora do Reino Unido, criado em novembro de 1993. Atualmente o ITSMF possui desmembramentos em todo o mundo, chamados chapters (captulos). Hoje existem chapters do ITSMF em pases como frica do Sul, Blgica, Alemanha, ustria, Sua, EUA, Austrlia e Brasil. Acesse o site do ITSMF no Brasil no endereo: http://www.itsmf.com.br. O site foi acessado em 30 de dezembro de 2009.
Em 2001, mais 500 empresas j faziam parte do consrcio patrocinador das comunidades do ITSMF para discusso das melhores prticas em gerenciamento de servios de TI em todo o mundo. Segundo Magalhes (2007), uma pesquisa da empresa Forrester Research apontou que, das empresas com faturamento igual ou superior a US$ 1 bilho em 2008, 80% utilizavam boas prticas baseadas na ITIL em suas reas, sees ou departamentos de TI (contra 40% em 2006 e 13% em 2004).
ISO20.000 BSI15000 OGCITIL2 ITIL Idade Escura da TI
1970
1980
1990
2000
2005
Figura 3.2: Evoluo histrica da ITIL.
79
AULA
ment Commerce) e a mantenedora dos direitos sobre a ITIL. O OGC,
Atualmente a CCTA foi incorporada ao OGC (Ofce of Govern-
Por ltimo, ressaltamos que os livros ociais da ITIL publicados pelo OGC (Ofce of Government Commerce) esto disponveis para compra e possuem direitos de cpia. Porm, o estudo, a transmisso e a utilizao das boas prticas so livres.
A primeira verso da ITIL

Voc sabe quando a primeira verso da ITIL foi publicada? H mais de vinte anos, entre 1989 e 1995, pelo governo britnico, atravs da CCTA (Central Communications and Telecommunications Agency). A ITIL v.1 era composta por 31 livros associados cobrindo todos os aspectos da proviso de servios de TI.
A segunda verso da ITIL

A segunda verso da ITIL foi publicada em 2000 e acabou sendo reconhecida no mundo inteiro e largamente adotada por empresas em dezenas de pases. Foi esta a verso responsvel por consolidar a ITIL no mundo, conseguindo o que a verso anterior no conseguiu.
Figura 3.3: Os livros da ITIL verso 2.
A verso dois ser estudada nesta e nas prximas duas aulas deste curso. Dos livros indicados aqui, somente os livros Entrega de servios de TI e Suporte a servios de TI sero estudados (o que praxe mesmo nos cursos ociais). Embora esta deduo encontre muitas crticas, muitos dizem que os outros cinco livros da ITIL no so to estudados porque
80
um dos maiores motivos impulsionadores da elaborao da terceira verso da ITIL pelo ITSMF.
Gerenciamento da segurana
T N E
Planejamento para implementar o gerenciamento do servio Gerenciamento de servio
E C
G C I O A perspectiva da negociao Suporte de servio
Gerenciamento da infraestrutura de TIC
N O L O
Entrega de servio
Gerenciamento de aplicaes
Gerenciamento da segurana
G I A
Figura 3.4: Arquitetura da ITIL verso 2.
A terceira verso da ITIL

Em 2007 foi lanada a verso trs da ITIL, composta por 26 processos agrupados em cinco volumes. Esses volumes privilegiam o ciclo de vida dos servios e tentam fazer com que outros assuntos, alm do suporte a servios e da entrega de servios, sejam tambm objeto de estudo das melhores prticas para o gerenciamento de servios de TI pela comunidade envolvida nas discusses do ITSMF. Os cinco livros so: Estratgia do servio (Service Strategy). Projeto de servio (Service Design). Transio do servio (Service Transition). Operao do servio (Service Operation). Melhoria contnua do servio (Continual Service Improvement).
81
AULA
(normas, padres etc.) j consolidados mundialmente. Esse foi, inclusive,
eles abordam assuntos que j esto bem escritos em outros documentos
Melhoria contnua do servio
Projeto de servio Estratgia do servio

o ra Ope rvio e de s
ITIL
lho r do ia co ser nt vi nua o
T do ran se si rv o io
Figura 3.5: Arquitetura da ITIL v3.
Vamos estudar esta verso mais adiante em nosso curso.
O ITSMF j distribuiu mais de quatrocentos mil certicaes ITIL em todas as suas verses entre 1993 e 2008. No Brasil h cerca de cinquenta mil prossionais certicados e, desde 2006, vem havendo crescimento de 25% ao ano, em mdia, do nmero de prossionais certicados. Atualmente a prova de certicao no nvel de fundamentos pode ser feita tanto para a verso trs (que estudaremos adiante) quanto para a verso dois da ITIL. O custo da prova de certicao no nvel de fundamentos de US$ 165,00 para ambas as verses da ITIL e no h pr-requisitos. Para os nveis mais altos de certicao, o ITSMF exige que o candidato realize treinamento ocial em um centro homologado.
CONCEITOS RELACIONADOS ITIL v2 Processos

Voc j est familiarizado com o conceito de processo? Lembra-se de como ele foi descrito em nossa primeira aula e de como o conceito de melhoria contnua em uma organizao acontece atravs de processos? Caso tenha dvidas, revise esse conceito, pois ele ser muito importante para o bom entendimento das prximas aulas.
82
Me
Me
nu nt co ria vio lho ser do a
menos... A ITIL v.2 possui sete livros; dois deles so muito mais utilizados pelo mercado, pois tratam de questes mais prximas do nvel de maturidade atual da maioria das organizaes. So os livros: Suporte a servios de TI e o de Entrega de servios de TI. Observe que o contedo desses dois livros composto pela descrio de dez processos, cinco em cada um deles, tratando de aspectos do gerenciamento de servios de TI. No livro de suporte temos os seguintes processos: Gerenciamento de incidentes de TI. Gerenciamento de problemas de TI. Gerenciamento de mudanas na infraestrutura de TI. Gerenciamento de liberaes na infraestrutura de TI. Gerenciamento de congurao na infraestrutura de TI. No livro de entrega temos os seguintes processos: Gerenciamento do nvel de servio. Gerenciamento da capacidade. Gerenciamento da disponibilidade. Gerenciamento da continuidade. Gerenciamento nanceiro da TI. Voc vai precisar aguardar um pouco para conhec-los, pois estudaremos os processos do livro de suporte na Aula 4 e os processos do livro de entrega na Aula 5.
Indicadores-chave de desempenho
Talvez voc j tenha ouvido falar da sigla KPI (Key Performance Indicator), que em portugus signica indicador-chave de desempenho. Todo processo visa melhoria contnua. Como dissemos, no h como melhorar algo se no tivermos um meio de medir o que se quer melhorar. Lembra-se das caractersticas que devem ser denidas para qualquer processo?
83
AULA
mente que estudar a ITIL signica estudar processos. Nada mais, nada
Como j dissemos, o conceito de processo to importante atual-
Relembrando: Metas e objetivos. Papis e responsabilidades. Indicadores-chave de desempenho. Responsveis pelo processo.
Pois bem, os indicadores-chave de desempenho so aquilo que se quer medir no processo a m de saber se as metas e objetivos esto ou no sendo atingidos. Por exemplo, imagine que a sua empresa constri um proFigura 3.6: Indicadores de desempenho.
cesso, capacita os envolvidos no processo, dene os papis da cada um, inclusive o do responsvel pelo processo, e
implementa o processo em seu ambiente operacional. Imagine ainda que esse processo visa diminuio do nmero de incidentes relacionados a um equipamento de grande porte, muito caro, e cuja parada ocasiona perdas de dez dlares por minuto na linha de produo. Uma vez que o novo processo est em execuo, como o dono do processo ir saber se o objetivo (diminuir o nmero de incidentes) est ou no sendo atingido? Como ele ir elaborar os relatrios para a alta direo? Ora, esta muito fcil, voc deve estar pensando! Basta medir a quantidade de incidentes aps a implementao do novo processo e comparar com a quantidade de incidentes anteriores. E, de fato, essa a resposta! Esperamos que a ideia de indicador-chave de desempenho tenha cado clara! Embora o conceito seja bastante simples, nem sempre encontramos no dia a dia das empresas a preocupao com denir as metas do processo e persegui-las atravs da medio de indicadores-chave de desempenho (normalmente, nem existem indicadores formalmente denidos). Ressaltamos que nem sempre simples denir indicadores-chave de desempenho, principalmente para a rea de servios. Por exemplo, em uma empresa que est criando uma metodologia para gerenciar projetos de TI baseada em processos do Guia PMBOK, o sucesso de cada processo ser medido atravs de indicadores-chave de desempenho.
84
A denio dos indicadores-chave de desempenho uma das principais formas de m manter o pensamento da organizao voltad do para a melhoria contnua dos processos e, no contexto da ITIL, tarefa imprescindvel desde o incio da construo dos processos.
Mas como ser medido o sucesso da metodologia? Ora, o sucesso da metodologia est no sucesso de cada projeto. E o que o sucesso em cada projeto? O sucesso do projeto atender aos requisitos do cliente. Alto l! Nem sempre isso verdade. Lembra-se do conceito de eccia? Se o projeto em si no for um projeto alinhado estratgia da organizao e ao plano diretor de TI, o fato de termos atendido aos requisitos do cliente no faz desse projeto um sucesso total!
O Guia PMBOK possui 42 processos que contm as boas prticas do mercado para o gerenciamento de projetos em qualquer rea. Um desses processos denominado Elaborar o Termo de Abertura do Projeto e um processo de iniciao do projeto. nesse processo que acontece a escolha do projeto com base em algum critrio de seleo e que a organizao decide se o projeto ou no importante para atingir alguma meta estratgica, ou seja, se a metodologia for bem construda, existir um processo que impedir a execuo de projetos que no contribuam para a estratgia da empresa.
Enm, esta outra histria, mas, repetimos que nem sempre ser simples encontrar os indicadores-chave de desempenho. Porm, a empresa deve orientar seus esforos para deni-los, pois muitssimo pior no t-los! Seguem alguns exemplos simples de indicadores de desempenho: Nmero de incidentes registrados por dia (ou semana, ms etc.). Nmero de problemas registrados por dia (ou semana, ms etc.). Tempo mdio para resoluo de incidentes (ou problemas). Tempo mdio para diagnstico de causa-raiz de problemas.
85
AULA
Quantidade de itens de congurao registrados na BDGC (Base de Dados de Gerenciamento da Congurao). Quantidade de servios para os quais a empresa possui ANS (Acordos de Nvel de Servio). Voc sabe a diferena entre incidente e problema? Por ora, vamos dizer apenas que existe, sim, uma diferena. Vamos tratar desse assunto no prximo item. Os indicadores-chave de desempenho cam mais elaborados na medida em que a empresa amadurece o seu processo. Ou seja, em um estgio avanado de amadurecimento, os indicadores podero ser escritos na forma: Nmero de incidentes registrados nos meses de fechamento de trimestre que afetaram nossos clientes do servio Gold XYZ. Quantidade de servios para os quais a empresa possui ANS que dependem de ANOs (Acordos de Nvel Operacional) e de CAs (Contratos de Apoio). Percebeu a diferena? Com o tempo, a tendncia orientada pela melhoria contnua que o nvel de amadurecimento do processo permita a denio de indicadores-chave de desempenho com cada vez mais detalhamento, o que permitir empresa obter informaes de negcio muito mais valiosas. Assim, frases como Aqui ns melhoramos a cada dia a nossa qualidade em tudo o que fazemos so substitudas por frases como Nossos ndices de incidentes em operaes de pouso e decolagem passaram de 48/1.000 para 16/1.000 no ltimo ano e nossa meta agora reduzir esse ndice para 10/1.000 em no mximo trs meses." A primeira frase fala, mas no diz nada. J a segunda deixa claro o que signica qualidade e melhoria contnua, sem nem mesmo precisar mencionar estes termos. Por ltimo, lembramos que BDGC um conceito que ser visto na Aula 4, no processo de gerenciamento da congurao, e que ANS, ANO e CA sero estudados na Aula 5, no processo de gerenciamento do nvel de servio.
86
Voc sabe o que signicam os termos incidente, problema e requisio de servio? Tanto incidentes quanto problemas diminuem o nvel dos servios prestados pelo provedor de TI ou o interrompem totalmente. Porm, incidentes so eventos para os quais existem solues conhecidas, documentadas e que podem ser imediatamente aplicadas a m de restabelecer a operao normal o mais rapidamente possvel (so as chamadas solues de contorno). J os problemas so aqueles eventos que afetam um servio ou o interrompem totalmente, mas para os quais haver sempre a necessidade de uma investigao em busca de uma causa-raiz. Ou seja, problema o evento para o qual no conhecemos a causa e, obviamente, para o qual no possumos uma soluo de contorno documentada e pronta para ser aplicada. Finalmente, uma requisio de servio uma solicitao do usurio no relacionada a um incidente ou problema propriamente dito. Por exemplo, uma solicitao de informao, esclarecimentos sobre verses de softwares homologadas, pedidos de mudana de senha etc.
Atividade
Um usurio liga todas as segundas-feiras, no incio do expediente, a m de solicitar 1 a restaurao do seu acesso Internet. O tcnico responsvel sempre executa a mesma ao: conectar novamente cabos que foram desconectados durante a faxina geral do m de semana. O que o usurio em questo faz toda segunda-feira : a. Solicitar um servio ao provedor de TI. b. Relatar um incidente ao provedor de TI. c. Relatar um problema ao provedor de TI. _______________________________________________________________________________ _______________________________________________________________________________ ________________________________________________________________________________ _______________________________________________________________________________ _______________________________________________________________________________ ______________________________________________________________________________
87
AULA
Incidente, problema e solicitao de servio
Resposta
Letra b. Do ponto de vista do usurio, ele relata sempre um incidente. papel do provedor de TI fazer a classicao. Nesse caso, a questo conhecida e a soluo tambm. O que falta uma atitude proativa do provedor no sentido de atacar a causa-raiz do problema. Note que o problema no o fato de os cabos estarem desconectados (isso o efeito relatado pelo usurio). O problema o que faz com que tal incidente se repita recorrentemente. Veremos como lidar com essa questo em detalhes na prxima aula.
Usurio versus cliente

Voc j se perguntou quem so os usurios e quem so os clientes dos servios que voc presta na rea de TI de sua empresa? A denio de usurio e de cliente muito importante no contexto da ITIL. Usurios so aqueles que utilizam o servio no dia a dia; clientes so aqueles que pagam pelo servio. Um exemplo simples: no caso de uma pet shop, quem o usurio e quem o cliente? O usurio, pelo que se espera, um co ou um gato, mas cliente o dono do animal. No nosso caso de TI, nem sempre cliente e usurio so a mesma pessoa ou entidade em si. Alm disso, o usurio pode ser interno ou externo. Por exemplo, as fbricas de bens de consumo (automvel, geladeira, fogo, mquina de lavar etc.) certamente possuem uma rea de TI. Voc sabe quem o usurio e quem o cliente da TI nestes casos? E no caso de uma empresa de software, quem o usurio e quem o cliente? Bem, passemos ao prximo item. Nele esclareceremos tais questes.
Provedor de servios
A denio formal diz que o provedor de servios de TI a funo organizacional composta por pessoas, processos e tecnologias com o objetivo de fornecer servios para usurios internos ou externos da TI.
88
para usurios internos. No primeiro caso, a atividade-m da empresa a prpria TI (outsourcing, fbricas de software etc.); no segundo caso, a atividade-m outra que no tem nada a ver com a TI (empresas siderrgicas, bancos, aviao etc.).
Atividade
Na maior parte das situaes, relativamente fcil identicar o usurio dos servios 1 de TI. Porm, a identicao do cliente, aquele que paga pelo servio, no to simples. Isso acontece principalmente nas situaes em que o ncleo de negcios da empresa no a prestao de servios de TI. Por exemplo: em uma empresa que fabrica tecidos, quem o cliente da rea de TI? Explique a sua resposta com base nos conceitos da ITIL. _____________________________________________________________________________ ______________________________________________________________________________ ______________________________________________________________________________ ______________________________________________________________________________ ______________________________________________________________________________ _____________________________________________________________________________
Resposta
O cliente aquele que paga pelo servio. Deve car claro que o pagamento nem sempre acontece em dinheiro. Normalmente, no caso em que a TI presta servios internamente, o cliente a pessoa dentro da organizao que tem o poder de alocar mais (ou menos) verbas para a aquisio de recursos, contratao de pessoal, realizao de treinamentos etc. Em ltima instncia, ela quem paga pelo servio. Em determinadas situaes, o chefe do departamento para o qual a TI est prestando um servio (um diretor) tambm pode ser visto e tratado como o cliente, uma vez que a sua percepo pode afetar diretamente a percepo daquele que responsvel por distribuir os recursos em toda a organizao (um presidente). No caso da empresa de tecidos, como em qualquer outro caso, a ideia a mesma. Cliente aquele que paga pelo servio, de uma forma ou de outra.
89
AULA
ta servios para outras empresas do provedor de TI que presta servios
Note que preciso fazer distino entre o provedor de TI que pres-
Nesse ponto, voltamos s questes do item anterior. A resposta simples. O provedor de TI pode prestar servios para usurios internos, ou externos, e para ambos. No caso da fbrica de software, como a TI faz parte do prprio ncleo de negcios da empresa, os usurios dos servios de TI so tipicamente externos, ou seja, aqueles que utilizam os programas e aplicativos desenvolvidos pelos programadores da empresa. Porm, a estrutura dessa fbrica de software certamente possuir pessoas encarregadas das vendas, do marketing, das nanas etc. Essas pessoas tambm necessitaro de servios do provedor de TI e sero tambm usurios (ainda que internos) do provedor.
Servio versus produto

Apenas para evitar confuso, cabe diferenciar estes dois conceitos. Servio tudo aquilo que se oferece, presta ou fornece (uma consultoria, um aconselhamento, uma capacitao etc.). Produto tudo aquilo que se produz, fabrica ou manufatura (um software, um computador, uma impressora etc.). Em muitos casos, uma contratao envolve servios e produtos. Por exemplo, quando um rgo do governo adquire diversos equipamentos com servio de instalao, suporte e treinamento. Encontramos algumas bibliograas que utilizam o termo produto de maneira genrica ao se referir ao produto no sentido estrito e aos servios conforme explicado neste pargrafo.
Atividade
3
1
Relacione a coluna da direita com a coluna da esquerda. ( ( ( ( ( ( ( ( ( ) Consultoria, capacitao e instalao. ) Nmero de incidentes por ms. ) Evento com soluo conhecida. ) Aquele que usa o servio. ) Evento sem causa-raiz denida. ) Aquele que paga pelo servio. ) Documentos, relatrios e servidores. ) Executa as funes da TI. ) Solicitao de alterao de senha. 1. Cliente. 2. Usurio. 3. Provedor de TI. 4. Servio. 5. Produto. 6. Incidente. 7. Problema. 8. Solicitao de dervio. 9. Indicador de desempenho.
90
( 4 ) Consultoria, capacitao e instalao um servio. ( 9 ) Nmero de incidentes por ms um indicador. ( 6 ) Evento com soluo conhecida um incidente. ( 2 ) Aquele que usa o servio o usurio. ( 7 ) Evento sem causa-raiz denida um problema. ( 1 ) Aquele que paga pelo servio o cliente. ( 5 ) Documentos, relatrios e servidores so produtos. ( 3 ) Executa as funes da TI o provedor de TI. ( 8 ) Solicitao de alterao de senha uma solicitao.
Note que a expresso provedor de servios de TI, cunhada pela ITIL, deixa claro qual o seu foco. Ao instalar um computador pessoal ou um hardware de produo, voc estar prestando um servio. Portanto, tenha sempre em mente quem o seu usurio e quem o seu cliente.
A CENTRAL DE SERVIOS
Vamos agora conhecer o conceito de central de servios. A central de servios uma funo da ITIL. Grave bem esse conceito e procure entend-lo nos prximos pargrafos. A central de servios no um dos processos da ITIL, mas sim uma funo desempenhada por uma ou mais pessoas dentro do provedor de TI. O maior objetivo da central implantar um ponto nico de contato entre o usurio e o provedor de TI. Em alguns ambientes, a expresso ponto nico de contato ou de acesso substituda pela sigla em ingls SPOC (Single Point of Contact). O ponto nico de acesso pode ser um nmero de telefone, um email de suporte, uma pgina para abertura de chamado atravs da intranet da empresa etc. No curto prazo, a adoo do SPOC costuma gerar reatividade por parte dos usurios, mas, a mdio e longo prazos, na medida em que os resultados concretos comeam a aparecer, a maior ecincia na prestao de servios falar mais alto. Por isso, o projeto de melhoria na prestao de servios de TI atravs das prticas da ITIL precisar de apoio formal da alta direo, principalmente em sua fase inicial. E, diga-se de passagem, a implantao da central de servios o primeiro passo dentro de um projeto como esse.
91
AULA
Resposta
Perceba que sem a central impossvel implantar os processos essenciais do livro de suporte da ITIL, como o de gerenciamento de incidentes. Esse processo o principal responsvel por organizar o combate aos incndios do dia a dia da TI, liberando tempo para que as equipes possam atuar em aes proativas.
Funes da central de servios

As funes da central iro variar muito, dependendo do porte da organizao e do estgio de maturidade em que ela se encontre. Porm, a ITIL lista algumas das principais atividades que tipicamente sero desempenhadas pela central desde o incio de sua operao. Alguns dos principais objetivos so: Ser o ponto nico de acesso entre o usurio e o provedor de TI. Registrar todos os incidentes e solicitaes de servio do usurio. Restaurar o nvel de servio rapidamente e sempre que possvel. Dar suporte implantao de outros processos da ITIL. Registrar informaes e lies aprendidas. Uma das confuses que se faz com relao escalabilidade da ITIL est relacionada central de servios. Normalmente as pessoas tendem a pensar em central de servios como um call center ou algo parecido. Da se originam pensamentos do tipo: A minha TI composta por duas pessoas, eu e o meu chefe. Como posso implementar um call center em uma TI to pequena?
Figura 3.7: A central de servios.
H atuamente no mercado uma srie de empresas que fabricam software com funcionalidades inspiradas na biblioteca ITIL. Muitas empresas, ao iniciar o seu projeto de construo de processos com base nessa biblioteca, optam por adquirir uma dessas ferramentas. Muitas delas so relativamente caras. Vale ressaltar que no obrigatria a aquisio de qualquer tipo de software para melhorar o gerenciamento de servios de TI. Porm, isso muito recomendado em ambientes de mdio e grande porte simplesmente para automatizar certas tarefas. Lembre-se de que a soluo ser dada pelas pessoas e que as tecnologias s iro potencializar as decises (sejam elas corretas ou no). Para ver uma lista de fabricantes de ferramentas para gerenciamento de servio de TI homologados acesse: http://www.pinkelephant.com/ResourceCenter/PinkVerify/PINKVERIFY-Toolsets.htm O link foi acessado em 30 de dezembro de 2009.
92
corporativo para solicitao de servios at, de fato, a criao de um grupo de pessoas responsvel por dar o primeiro atendimento s solicitaes do usurio. O importante que exista uma forma nica de acesso aos servios do provedor de TI e que essa forma permita o registro de todos os incidentes, sua classicao, escalao etc. Por outro lado, a estrutura da central no deve permitir a continuidade de vcios como acesso direto do usurio ao tcnico, analista ou gerente, priorizao dos chamados de acordo apenas com o nvel hierrquico ou preferncias pessoais etc. Enm, existem objetivos muito claros da central e so esses objetivos que devem ser perseguidos pela organizao. A forma de atingir tais objetivos, como j dissemos, ir depender do porte da empresa e do seu nvel de maturidade em gerenciamento de servios de TI, porm os objetivos permanecem os mesmos. Conhea alguns benefcios possibilitados pela central: Aumento da acessibilidade do usurio ao suporte. Produtividade das equipes de 2 e 3 nveis. Reduo do impacto diminuindo o tempo de reparao. Percepo de qualidade e satisfao dos clientes. Fcil obteno de indicadores para gesto e suporte deciso. Por m, ressaltamos que a expresso nvel de maturidade no possui, em nosso contexto, nenhum sentido pejorativo. Falaremos mais sobre a determinao do nvel de maturidade de uma organizao com relao s reas de processo da TI nas aulas sobre os controles do COBIT.
TIPOS DE CENTRAL DE SERVIO

Vamos agora examinar os tipos de central de servio que encontramos nas empresas. Observe que, em algumas organizaes, a central de servios recebe outras denominaes. Vale ressaltar que aconselhvel e recomendado que a empresa utilize as boas prticas da ITIL adaptando seus processos sua realidade. Essa adaptao pode passar inclusive pelo uso de outras terminologias quando a empresa j est acostumada com certos termos. Porm, por outro lado, um dos benefcios das boas prticas
93
AULA
pode ser desempenhada de vrias formas, desde a padronizao de um email
Como j dissemos, a funo da central de servios (ou funes...)
justamente uniformizar conhecimento, e isso passa por desenvolver aos poucos uma terminologia comum para facilitar a comunicao dos prossionais da rea. Resumindo, em certos casos, principalmente no que diz respeito a criar a sua prpria terminologia, tal adaptao deve obedecer a algum critrio lgico e formal na empresa. Isso para que a comunicao entre organizaes que tenham adotado processos baseados na ITIL acontea naturalmente e sem a necessidade de tradues, pois isso (duas empresas que adotaram processos baseados na ITIL no se comunicarem bem) iria de encontro aos objetivos bsicos da biblioteca de boas prticas. Veja abaixo alguns tipos de central mais comuns e as suas respectivas denies (a escolha depende de como a empresa decidiu implantar esta funo): Call center (ou centro de chamadas) Normalmente atende a um grande volume de chamados por telefone sem, necessariamente, a preocupao de prestar o suporte tcnico inicial. Em alguns ambientes o usurio pode ser direcionado para um centro de suporte via telefone; em outros o seu chamado ser apenas registrado com uma previso de tempo para a soluo. Contact center (ou centro de contato) Semelhante ao call center, mas, neste caso, o atendimento feito atravs de vrios meios alm do telefone, entre eles o email, alguma ferramenta web para abertura de chamados, chat em tempo real etc. Help desk (ou central de suporte) O foco est em prestar o primeiro suporte e, sempre que possvel, restabelecer o nvel de servio, integrando o processo de gerenciamento de incidentes, que iremos ver na prxima aula. Service desk (ou central de servios) Trata-se do nvel mximo. O foco prestar bom servio ao usurio de TI. Perceba que isso um pouco mais que resolver o incidente. Por exemplo, a central se certica de que resolver o incidente, de fato, deixou o cliente satisfeito e que o servio, do ponto de vista do usurio, est funcionando a contento.
94
O que podemos falar sobre as pessoas que operam a central de servios? Outra questo importante com relao central o fato de que, alm das habilidades tcnicas, essas pessoas devem possuir habilidades interpessoais como educao, cortesia, capacidade de ouvir, autocontrole, assertividade, objetividade, entoao de voz, empatia etc. Isso porque, em muitos casos, a imagem do provedor de TI para o usurio nal ser a imagem passada pela central. Alm disso, conforme estudaremos na prxima aula, a maior parte das questes reportadas pelos usurios se trata de incidentes cuja soluo depende muito mais de identicar suas caractersticas e aplicar uma soluo conhecida, ou seja, em muitos casos a habilidade de lidar com o usurio a m de identicar rapidamente o que realmente interessa (a despeito do humor do usurio no momento da conversao) ser mais importante do que a habilidade tcnica para aplicar uma soluo j conhecida. Obviamente, nada impede que ambos os conjuntos de habilidades sejam desenvolvidos em todas as equipes, mas o foco deve ser o mais adequado possvel situao. Quem est na linha de frente com o usurio deve saber lidar muito bem com pessoas, pois muitos dos conitos entre usurio de TI e provedor de TI surgem da incapacidade mtua de comunicao. Observe que as pessoas que lidam diretamente com o usurio devem ter em mente que o bom atendimento pode ser to importante (ou mais) que a prpria soluo do incidente em si. At mesmo por limitao de recursos, o "bom atendimento" nem sempre signica a soluo imediata de todos os assuntos. Porm, receber a devida ateno por parte do
Figura 3.8: Equipe da central de servios.
95
AULA
EQUIPE DA CENTRAL DE SERVIOS
provedor de TI normalmente algo citado em toda empresa como bom atendimento. E devida ateno signica apenas que a solicitao no ser esquecida e que ela ser solucionada de acordo com o ANS para aquele tipo de incidente. Lembre-se de que, com o advento da ITIL, a preocupao principal do prossional de TI deve ser com a satisfao do usurio nal.
CONCLUSO
A ITIL surgiu numa poca em que vrias boas prticas, normas e padres estavam surgindo no mundo todo em diversos setores da indstria. Seu objetivo, desde o incio, era melhorar a qualidade na prestao de servios de TI na Inglaterra. Hoje, aps mais de duas dcadas de evoluo, o mundo inteiro utiliza a ITIL para melhorar seus servios de TI. Alm do objetivo inicial, a ITIL hoje cumpre tambm o objetivo de fazer com que o prossional de TI adote uma postura mais estratgica na empresa, ou seja, que adote um pensamento mais voltado para o ciclo de vida dos servios que ele ajuda a prestar. No Brasil, a ITIL largamente adotada em vrias empresas. Porm, alm de seus processos, existe uma losoa por trs da sua adoo que precisa estar muito clara para qualquer um que queria utiliz-la, quer seja em um projeto na empresa, quer seja para adquirir conhecimentos ou mesmo obter uma certicao prossional. Nesta aula vimos os conceitos iniciais, inclusive a ideia da central de servios; nas prximas iremos tratar especicamente de cada um dos processos mencionados.
96
Atividade online
Pronto! J hora de fazermos algumas atividades online para consolidar os conhecimentos com relao ITIL antes de partirmos para as aulas que iro tratar dos processos de suporte e de entrega. V sala de aula virtual e resolva a atividade proposta pelo tutor. O objetivo da atividade determinar como a central de servio poderia ser implementada na sua empresa. Lembre-se de que isso ir depender de vrios fatores e decises, porm, para estar aderente s boas prticas, as principais funes da central de servio devero ser garantidas.
RESUMO
A ITIL foi desenvolvida pelo governo britnico, e sua primeira verso foi publicada no nal da dcada de 1980.
A verso mais recente da ITIL a terceira, com 26 processos e cinco livros. A segunda verso da ITIL ainda muito utilizada e estudada no mercado.
Ela possui sete livros, dos quais dois so mais estudados: os livros Suporte a servios de TI e Entrega de servios de TI.
Os indicadores-chave de desempenho so importantes para a melhoria

contnua do processo e devem fazer parte de sua prpria denio.
O foco da ITIL a prestao de servios, a satisfao do usurio nal e

a melhoria da autoestima dos prossionais que atuam na rea de TI com base em resultados concretos.
A central de servios no um processo, e sim uma funo da ITIL. O principal objetivo da central de servio servir de ponto nico de acesso
entre o usurio e o provedor de TI.
Outras funes da central de servios so: registrar todos os incidentes,

restabelecer o nvel de servio o mais rapidamente possvel e registrar informaes e lies aprendidas para melhoria do processo.
H vrios tipos de central de servio e vrias denominaes, de acordo

com suas funes. Porm, os objetivos nais so sempre os mesmos e devem ser sempre perseguidos.
As habilidades interpessoais dos prossionais que atuam na central de

servio so to importantes (ou mais) quanto as habilidades tcnicas.
97
AULA
Informao sobre a prxima aula

Na prxima aula iremos explicar os detalhes dos processos do livro de suporte da ITIL v2. Costuma-se dizer que esses processos so operacionais e que, por outro lado, os processos do livro de entrega so tticos. Na verdade, essa no uma ideia formalmente correta e veremos o porqu disso tambm em nosso prximo encontro. Aproveite os conhecimentos adquiridos at aqui e at a prxima aula!
Atividades Finais
1) Foi visto ao longo da aula que a central de servio no necessariamente um local fsico com pessoas dedicadas unicamente a tal funo. Como a central de servio seria implementada na sua empresa? 2) Quais das atividades abaixo no se referem central de servio (escolha duas opes): a. Ser o ponto nico de acesso entre o usurio e o provedor de TI. b. Registrar todos os incidentes e solicitaes de servio do usurio. c. Investigar a causa das interrupes do servio. d. Restaurar o nvel de servio rapidamente e sempre que possvel. e. Impedir a comunicao entre o usurio e o provedor de TI. f. Registrar informaes e lies aprendidas. 3) De acordo com a losoa que vem sendo adotada desde a dcada de 1980, qual seria a melhor denio para a ITIL, dentre as listadas a seguir? a. Um padro internacional para o gerenciamento de servios de TI. b. Uma metodologia para a proviso de servios de TI. c. Um modelo que contm diretrizes para a TI em todas as reas. d. Uma referncia baseada naquilo que mais aceito no mercado. 4) O que so indicadores de desempenho e qual a sua funo na ITIL? 5) Qual o papel do processo e do indicador de desempenho no processo de melhoria contnua do gerenciamento de servios de TI? 6) (Analista de Segurana MEC FGV/2009) A ITIL demonstra as melhores prticas que podem ser utilizadas na aplicao de seus conceitos. Ela permite o mximo de alinhamento entre as
98
a. relacionamentos. b. processos. c. objetivos. d. eventos. e. classes. 7) (Analista de Finanas e Controle da CGU ESAF/2008) Na ITIL, a Central de Servios (Service Desk) a principal interface operacional entre a rea de TI e os usurios dos seus servios. Assinale a opo que representa uma tarefa da Central de Servios. a. Identicar tendncias de problemas. b. Controlar erros conhecidos. c. Revisar os principais problemas identicados. d. Gerenciar o trabalho das diversas equipes de suporte tcnico. e. Produzir informaes gerenciais, coletando medidas e calculando indicadores de desempenho.
Respostas
1. Esta atividade importante, e a resposta a esta questo depender do contexto do aluno e ser respondida na atividade on line indicada. A central de servio precisa cumprir certos objetivos e a ITIL diz quais seriam eles. Porm fica a critrio da organizao a implementao da forma mais adequada s suas necessidades e aos seus recursos disponveis. O SPOC, ou ponto nico de acesso entre provedor e usurio, pode ser implementado via telefone, email ou ferramenta web. As equipes de soluo podem ser divididas em mais de um nvel. A triagem e o acompanhamento dos chamados podem ser feitos por pessoas alocadas exclusivamente para isso, ou podem ser uma tarefa feita pela prpria equipe de soluo (dependendo de quantas pessoas h na equipe de TI e do nmero de chamados). 2. Alternativas c e e. A central de servio no investiga a causa das interrupes do servio, pois isso funo dos responsveis pelo gerenciamento de problemas. Alm disso, a central no impede a comunicao entre o usurio e o provedor de TI. Ela apenas estabelece um processo eficaz para que a comunicao acontea de forma efetiva. 3. Alternativa d. A ITIL no um padro nem uma metodologia. Por outro lado, a ITIL no contm informaes para todas as reas da TI, pois ela menos abrangente (com menos viso de negcio, p. ex.). 4. Os indicadores de desempenho so itens do processo que podem ser quantificados (medidos) a fim de permitir alguma forma de comparao entre os resultados desejados pelo processo e os resultados que esto sendo obtidos. Um processo pode ser construdo com o objetivo de diminuir o nmero de incidentes em uma determinada
99
AULA
tecnologias da informao e as demais reas de negcio, de modo a garantir a gerao de valor organizao. O Gerenciamento de Servios de TI baseia-se em:
rea X da empresa de 1.000 por ms para 800 por ms. Assim, um indicador de desempenho do processo seria o nmero de incidentes na rea X por ms. Um processo pode ter vrios indicadores de desempenho. 5. O processo permite empresa iniciar o ciclo de melhoria contnua. A cada execuo do processo a empresa tem a oportunidade de melhor-lo, a fim de execut-lo, da prxima vez, de maneira mais eficiente. Quando no h processo, cada pessoa na organizao executa o seu prprio processo e, pior, a mesma pessoa pode executar uma mesma atividade de forma diferente a cada vez. Um processo, por pior que seja, torna-se a forma com que todos executam uma mesma atividade. Assim, cada um pode dar a sua contribuio. O indicador de desempenho formalizar, em cada processo, o que a empresa quer medir a fim de tomar decises. A melhoria contnua acontece no momento em que analisamos indicadores e tomamos decises. 6. Alternativa b. A ITIL fortemente baseada em processos. Seu contedo praticamente todo descrito na forma de processos. 7. Alternativa e. Identificar tendncias, controlar erros e revisar problemas funo do gerenciamento de problemas. Gerenciar equipes de suporte funo dos gerentes, coordenadores etc.; no da central.
100 Governana: ITIL : Gesto, Auditoria e Tecnologia da Informao
O suporte a servio de TI na ITIL v2
Meta da aula
Explicar os processos de suporte a servios de TI da ITIL v2.
objetivos

1
explicar o processo de gerenciamento de incidentes; explicar o processo de gerenciamento de problemas; explicar o processo de gerenciamento da congurao; explicar o processo de gerenciamento de mudanas; explicar o processo de gerenciamento de liberaes; explicar o relacionamento entre os processos de suporte.
3 4
5 6
Pr-requisitos
So pr-requisitos para esta aula ter atingido os objetivos das duas primeiras aulas do curso, que tratam do planejamento estratgico e da governana em TI, e ter atingido os objetivos da Aula 3, que apresentou o histrico da ITIL e os principais conceitos relacionados a ela.
AULA
Governana em tecnologia da informao
| O suporte a servio de TI na ITIL V2
INTRODUO
Nesta aula vamos falar dos processos de suporte da ITIL v2. Voc sabia que esses processos possuem foco mais voltado para a manuteno dos servios que esto em produo na empresa?
Ns iremos ver nesta aula os processos do livro de suporte a servios de TI, aos quais muitas pessoas se referem como processos operacionais da ITIL.
Observe que mais adequado dizer que esses processos possuem foco maior em atividades operacionais e no que eles so essencialmente processos operacionais. A diferena pode lhe parecer sutil, mas imprescindvel termos em mente o fato de que um dos objetivos bsicos da ITIL fazer com que o prossional de TI construa uma viso holstica de sua funo na empresa. Isso signica dizer que, embora voc possa atuar na maior parte do tempo em atividades consideradas operacionais, precisa ter algum entendimento dos vrios nveis de tomada de deciso na empresa (entre eles o ttico-estratgico), que se relacionam a tudo o que voc faz. Isso ter viso sistmica! Embora alguns armem que o cenrio competitivo das empresas um campo de batalha, j faz muito tempo que os recursos humanos das organizaes comearam a ser tratados como o ativo de maior valor em uma empresa. Por falar nisso, voc conhece a denio de ativo organizacional? Vamos denir esse conceito de acordo com a ITIL mais adiante, ainda nesta aula. No ambiente atual, a TI abre diversas possibilidades, inclusive a de utilizar o potencial humano dos prossionais que atuam no nvel operacional para ajudar a criar tticas e estratgias. As novas verses de softwares de fabricantes em vrios setores da indstria possuem apelo colaborativo muito forte, e esse apelo tem sido claramente impulsionado pela revoluo que tem sido causada pelos aplicativos e ferramentas colaborativas da web, tais como o Twitter, o Facebook, o LinkedIN e vrios outros.
102 Governana: Gesto, Auditoria e Tecnologia da Informao
cada processo a seguir podem variar, dependendo das adaptaes feitas pela empresa. Alm disso, uma mesma atividade pode ser executada de vrias maneiras para ser adaptada a ambientes de TI de pequeno, mdio e grande porte. justamente com base nessas decises de adaptao que reside o fato de que a ITIL pode ser muito til em ambientes de diferentes portes. O sucesso de um projeto de melhoria no gerenciamento de servios de TI depende de as adaptaes terem sido feitas de forma correta e vice-versa.
GERENCIAMENTO DE INCIDENTES
O principal objetivo deste processo solucionar incidentes e restabelecer o nvel de servio o mais rapidamente possvel atravs da central de servio. Esse processo lida com os incidentes do dia a dia da TI, e ns j vimos que incidentes de TI so aqueles eventos que interrompem um servio (ou diminuem o seu nvel de qualidade), mas que possuem soluo conhecida. Ou seja, em todos os casos, chamaremos de incidentes de TI algum evento cuja soluo de contorno seja conhecida e aplicvel. Sempre existir uma soluo conhecida e imediatamente aplicvel para um incidente! Esse processo traz como benefcio imediato para a TI o fato de que os chamados incndios do dia a dia comeam a ser controlados por meio de processos e, dessa forma, passam a ser tratados de forma cada vez mais eciente (lembre-se do conceito de melhoria contnua). Note que, de fato, a tendncia que o foco da execuo desse processo seja mesmo mais operacional, porm so aes operacionais voltadas para atingir objetivos denidos nos outros nveis de deciso da empresa.
Figura: 4.1: Gerenciamento de incidentes de TI.
103
AULA
Observe que o tipo, a quantidade e a ordem das atividades de
Enm, vamos aos processos de suporte!
Descrio do processo
A principal entrada desse processo o registro de um chamado, normalmente feito pelo usurio atravs de central de servio. A principal sada o usurio satisfeito. As atividades desse processo so: Deteco do incidente. Registro do incidente. Classicao do incidente. Priorizao do incidente. Escalonamento. Restaurao. Fechamento.
Indicadores de desempenho do processo

Nmero de incidentes por rea de negcio. Nmero de incidentes por departamento. Nmero de incidentes por tipo de servio. Incidentes resolvidos por operador. Incidentes resolvidos no primeiro nvel de atendimento. Tempo mdio para resoluo de incidentes.
GERENCIAMENTO DE PROBLEMAS
O principal objetivo desse processo lidar com os problemas que afetam a rea de TI. Voc se lembra da diferena entre incidente e problema, no? Chamamos de problema o evento que, assim como o incidente, interrompe um servio (ou diminui o seu nvel de qualidade), mas para o qual no temos uma soluo conhecida e aplicvel. A implantao dos processos de gerenciamento de incidentes em conjunto com o gerenFigura 4.2: Gerenciamento de problemas de TI.
ciamento de problemas permite que a TI suporte muito bem os servios que j esto em operao
na empresa e lide com as suas interrupes de forma mais prossional e ordenada. Isto , organizao e prossionalismo no lugar da falta de prossionalismo e desorganizao que vemos em muitas empresas!
sem que sejam investigados adequadamente. Em muitos casos as empresas investem muito esforo e dinheiro em conviver com as consequncias de um problema, mas nunca o erradicam da sua infraestrutura, ou seja, aprendem a conviver com o problema por falta de tempo para corrigir algo que est errado. Observe que o gerenciamento de problemas depende muito do processo de gerenciamento de incidentes. fato que a interdependncia entre todos os processos da ITIL muito forte, mas alguns processos esto mais intimamente ligados. O gerenciamento de incidentes, por exemplo, organizando o atendimento a chamados de usurios, permite que a equipe de mais alto nvel da organizao possua tempo para se dedicar a questes mais proativas ou para investigar questes mais complexas. Chamamos de equipes de mais alto nvel, por exemplo, analistas seniores e outros especialistas. Note que, de maneira geral, a regra que dene a diferena entre incidente e problema no o grau de criticidade relacionado ao tema. Embora incidentes tendam a ser tratados na organizao de forma mais simples que os problemas, tal tendncia no uma regra imutvel e, portanto, no devemos usar essa ideia como base para a nossa denio de incidente e problema. Em resumo, perfeitamente possvel acontecer um incidente, ou seja, algo com soluo conhecida e aplicvel, mas de graves consequncias para a organizao, caso no sejam tomadas as devidas providncias. Por outro lado, tambm possvel existir um problema ou seja, algo que no possui causa-raiz conhecida e, obviamente, uma soluo a priori que no trar necessariamente graves consequncias para a organizao caso no seja sanado. Descrio do processo A principal entrada desse processo a identicao e o registro de um problema na infraestrutura. A principal sada a erradicao do erro na infraestrutura de TI. As atividades desse processo so: Registro do problema. Classicao do problema.
105
AULA
que permanecem em alguns ambientes de TI existam por muito tempo
O principal benefcio desse processo no deixar que os mistrios
Priorizao do problema. Escalonamento. Diagnstico da causa-raiz. Relatrio de registro na BDGC (Base de Dados de Gerenciamento da Congurao). Requisio de mudana. Erradicao do erro. Indicadores de desempenho do processo Nmero de problemas por rea de negcio. Nmero de problemas por departamento. Nmero de problemas por tipo de servio. Nmero de requisies de mudana geradas. Nmero de erros erradicados da infraestrutura. Tempo mdio para resoluo de problemas.
Atividade 1
2 Considere um usurio que est sendo afetado pela interrupo de um servio 1 por causa de um erro existente na infraestrutura de TI da empresa. O usurio entra em contato com a central de servio para reclamar. Liste e explique todas as etapas, desde quando o usurio percebe a falta do servio at o diagnstico da causa-raiz pelo provedor de TI. Faa isso obedecendo sequncia em que elas devem ser executadas de acordo com os processos de gerenciamento de incidente e de problemas da ITIL.
Resposta
Em primeiro lugar, o usurio identica a falta do servio e entra em contato com a central de servio. A central registra o chamado abrindo um registro para um novo incidente na BDGC. Ressalte-se que, do ponto de vista da central, o usurio sempre abre um chamado para um incidente;
classicar o incidente e buscar na base uma soluo de contorno para priorizao e escalao. Como o enunciado deixa claro que se trata de um problema (erro existente na infraestrutura), no haver soluo de contorno pronta para ser aplicada. A central deve ento registrar, classicar, priorizar e escalonar um problema mantendo aberto o registro do incidente, porque o tempo, do ponto de vista do usurio, deve ser contado desde que ele fez o contato, e no desde que o provedor identicou que se tratava de um problema e no de um incidente. O prximo passo seria a investigao, pela equipe de especialistas, em busca do diagnstico da causa-raiz do problema. Dessa forma, as atividades, desde a identicao at o diagnstico da causa-raiz, seriam: identicao, registro do incidente, classicao do incidente, registro do problema, classicao do problema, priorizao do problema, escalonamento do problema e diagnstico da causa-raiz do problema.
Erro na infraestrutura
Incidente
Problema Erro conhecido Requisio de mudana Resoluo e fechamento Figura 4.3: Sequncia de eventos na ITIL v2.
Gerenciamento da congurao
O gerenciamento da congurao o processo responsvel por criar e manter a BDGC. O conceito da BDGC um dos conceitos mais importantes da ITIL. Mas o que seria uma base de dados de gerenciamento da congurao, anal? Ela tem a ver com o conceito de banco de dados? Sim, tem muito a ver.
107
AULA
logo, o que registrado primeiro na base um incidente. O prximo passo seria
Voc pode chegar a uma empresa e pedir para ver a BDGC que d suporte aos processos de gerenciamento de servios de TI. Na verdade, a melhor solicitao nesse caso seria acessar a BDGC. A BDGC uma SGBDs, ou sistemas
de gerenciamento de banco de dados, so sistemas automatizados para permitir acesso rpido e seguro a grandes quantidades de informaes em formatos de registros, tabelas e campos. Exemplos de SGBDs proprietrios so o Oracle, o SQLServer (da Microsoft). Um exemplo bem conhecido de SGBD gratuito o MySQL, utilizado principalmente em sistemas operacionais baseados em Unix e Linux. Muitos fabricantes oferecem softwares que do suporte construo e operacionalizao de um BDGC de acordo com os processos criados a partir das boas prticas da ITIL e tambm so compatveis com vrios bancos de dados.
coleo de dados armazenados em um SGBD (Sistema de Gerenciamento de Banco de Dados). muito importante que voc tenha claro, desde j, que uma ferramenta que d suporte BDGC no uma ferramenta de gerenciamento de ativos de hardware. Ela muito mais do que isso. Para falar a verdade, a maioria desses softwares possui um mdulo de gerenciamento de ativos que apenas uma parte do sistema. Em muitos casos, o mdulo de gerenciamento de ativos gratuito! As ferramentas para suporte BDGC normalmente so ferramentas que suportam vrios dos processos da ITIL disponibilizando telas que auxiliam os operadores da central de servios a: abrir um chamado de incidente, acompanhar esse chamado, gerar um problema a partir de um incidente, associar o problema ou incidente a um membro da equipe de resoluo, associar o problema ou incidente a um ANS etc. Voc percebeu que um dos principais benefcios desses softwares o relacionamento entre as informaes que ele proporciona? Com um bom software possvel responder a questes como: De quais ativos de hardware dependem o servio para o qual o usurio est abrindo um chamado? Quais so os componentes desse ativo que possuem maior ndice de chamados abertos por ms? Quantas vezes esse usurio abriu chamados para o mesmo servio e quem o usurio em questo? Para obter as respostas, a BDGC precisa ter vrias informaes armazenadas e em diferentes nveis. No mnimo, os dados completos do usurio, dos servios e dos ativos de hardware, alm de todos os relacionamentos entre eles. Se voc imaginar que a quantidade de atributos do usurio (nome, endereo, mensalidade etc.) para os servios e para
Figura 4.4: Gerenciamento da congurao
Mas voc deve estar pensando: Eu preciso mesmo adquirir uma ferramenta automatizada e cara para implementar processos compatveis com a ITIL na minha empresa?" Em princpio, no! Mantenha o foco nos objetivos do processo. A base das boas prticas, como j dissemos, atingir objetivos de melhoria na prestao de servios de TI, independente de como eles sero atingidos, pois isso ir variar de organizao para organizao. A necessidade de automatizao depender muito do tamanho da empresa. Quanto maior a empresa, maior ser a necessidade de automatizao para implementar processos de forma eciente. Imagine fazer o registro de incidentes de TI em um ambiente com quatro mil usurios de TI em uma planilha eletrnica! Se voc acha que pode ser fcil, certamente porque ainda no passou por essa experincia na prtica... Quanto ao custo de tais ferramentas, depende muito do conceito de caro ou barato, que bastante relativo. O que no relativo o fato de que o investimento, seja ele alto ou baixo, dever se reetir em retorno concreto para a empresa. Vamos denir alguns novos conceitos da ITIL que aparecem em nosso curso pela primeira vez aqui no processo de gerenciamento da congurao. Item de congurao IC um componente da infraestrutura de TI cujas informaes so armazenadas na BDGC. Exemplos de IC so as informaes sobre os computadores e servidores da organizao, sobre softwares, sobre procedimentos, sobre usurios, clientes e prossionais do provedor de TI etc. Note que o IC no o hardware em si (pois este est em uso em algum local da empresa), mas as informaes sobre ele (por exemplo, onde est o hardware e quem o responsvel por ele). Atributos do item de congurao So os atributos que constituem a informao sobre um item de configurao. Os atributos so definidos para toda uma categoria de ICs. Por exemplo, posso ter para a categoria computador pessoal os atributos velocidade do processador, quantidade de memria, localizao na empresa,
109
AULA
esses podem se tornar complexos (e caros).
os ativos muito grande, voc ter uma ideia de como sistemas como
responsvel , data de aquisio , perodo de garantia etc. Os atributos sero os mesmos, mas o valor dos atributos far um item de congurao diferente do outro. Os atributos devem ser construdos para que cada item de congurao seja nico na BDGC! Assim, se a empresa adquire dez micros iguais, no mnimo, o responsvel pelo micro, sua localizao e utilizao faro com que eles sejam nicos na empresa. Ativo um componente fsico, como um aparelho de fax, um computador, uma mesa, um modelo de documento (template), documentos de descrio de processos etc. Note que no so apenas os computadores, servidores etc., que so considerados ativos de uma organizao. Ativo tudo aquilo que seja mensurvel e que possua valor para a organizao. Alguns dizem que o conhecimento organizacional, quando identicado, explicitado, compartilhado e armazenado, um ativo organizacional. Linha de base (baseline) Em algumas situaes pode ser necessrio manter um histrico dos registros da BDGC que sirva para determinar qual era o estado da infraestrutura de TI em um determinado momento no passado. A maneira mais simples de entender esse conceito pensar que a linha de base um retrato da infraestrutura em um determinado momento. E para que serve esse retrato? Ele pode servir, por exemplo, para acompanhamento em trilhas de auditoria, para realizar um retrocesso quando mudanas ou liberaes geraram impactos negativos no esperados ou para anlise da evoluo de desempenho da TI etc. Descrio do processo Este processo tem como entradas as informaes sobre os itens de congurao que devem ser inseridas na BDGC. A principal sada a prpria BDGC atualizada e efetiva na infraestrutura. As atividades desse processo so: Anlise e denio do escopo. Anlise e denio do nvel de detalhamento. Denio dos atributos dos itens de congurao.
Alterao da BDGC. Acompanhamento e auditoria da BDGC. Indicadores de desempenho do processo Quantidade de itens de congurao na BDGC. Quantidade de atributos por itens de congurao. Nvel de detalhamento por tipo de item de congurao. Alteraes na BDGC na ltima semana. Itens de congurao por servio prestado.
Atividade
Um consultor, ao visitar a empresa pela primeira vez, pede para ver a BDGC da 3 empresa. Como deve ser interpretada essa pergunta e o que o consultor espera obter de informao ao visualizar a BDGC? Quais so os riscos que o consultor est correndo ao conar na BDGC? Como a BDGC deve ser protegida? Explique sua resposta.
Resposta
Em princpio no h nada de errado com a pergunta. A BDGC pode ser visualizada atravs de uma ferramenta de software que permita isso, pois ela uma base de dados armazenada em um sistema de gerenciamento de banco de dados que contm informaes sobre a infraestrutura de TI da empresa. Espera-se que, em um ambiente de gerenciamento de servios de TI maduro, a BDGC reita a realidade da organizao da maneira mais dedigna possvel. O maior risco nesse caso o consultor conar na BDGC e, na prtica, vericar
111
AULA
Alimentao da BDGC.
Construo da BDGC.
que ela no reproduz a realidade da organizao. A BDGC protegida atravs dos processos de gerenciamento da congurao que impedem alteraes ilegtimas na BDGC e que, ao mesmo tempo, se comunicam com os outros processos para que as alteraes feitas na infraestrutura se reitam o mais rapidamente possvel na BDGC.
GERENCIAMENTO DE MUDANAS
O principal objetivo deste processo aprovar mudanas para que elas sejam feitas de melhor forma possvel e sem gerar impactos inesperados. As mudanas podem ser categorizadas em menores, normal, signicativas e urgentes. Um dos benefcios que se obtm com esse processo o fato
Figura 4.5: Gerenciamento de mudanas.
de que a infraestrutura de TI ser protegida. Qual o maior proble-
ma de uma BDGC? Ora, o maior problema ter informaes na base de dados que no correspondam realidade da organizao? De que vale investir na construo e operacionalizao de uma BDGC, adquirindo hardware e software, treinando equipes e investindo tempo, se ela no reproduz com delidade a realidade da empresa? Eu penso, e voc tambm deve pensar o mesmo, que teria sido melhor continuar como antes... Pelo menos no se teria gastado tempo e dinheiro. Pois isso! Juntamente com o processo de gerenciamento das liberaes, o gerenciamento de mudanas evita que estas sejam feitas de forma desorganizada. Precisamos ressaltar que preciso que a empresa tenha muito cuidado nesse processo para que o excesso de etapas no processo ou o rigor na sua implementao no acabe sendo um tiro no p do gerente de TI. Vamos seguir o processo de gerenciamento de mudanas toda vez que um usurio ligar para solicitar alterao de senha? bvio que no.
uma forma de o prprio usurio recuperar a sua senha atravs de um aplicativo automatizado. Como tal mudana ser aprovada? Ela ser aprovada atravs do gerenciamento de mudanas. Descrio do processo A principal entrada desse processo a solicitao de uma mudana na infraestrutura, quer seja ela legtima e necessria, quer no seja. A principal sada a aprovao da mudana com as diretrizes para a sua execuo. As atividades desse processo so: Registro da requisio de mudana. Classicao da mudana. Priorizao da mudana. Autorizao da mudana. Elaborao do plano de desenvolvimento. Elaborao do plano de retrocesso. Relatrio de registro para a BDGC. Avaliao e acompanhamento da mudana.

Nmero de requisies de mudanas autorizadas. Nmero de requisies de mudanas urgentes. Nmero de requisies de mudanas para erradicao de erro. Nmero de requisies de mudanas para melhoria. Nmero de incidentes relacionados a uma mudana. Nmero de mudanas que necessitaram retroceder.
GERENCIAMENTO DE LIBERAES
O processo de gerenciamento de liberaes est diretamente relacionado com a garantia de que apenas softwares e hardwares testados e aprovados estejam em uso. Assim, ele coordena liberaes na infraestrutura de TI, quer seja de atualizaes das verses existentes (upgrades), quer seja de substituies completas de hardware e software por outros novos. Apenas hardwares e softwares homologados devem estar em uso na organizao.
113
AULA
solicitar alterao de senha? A sim, talvez seja necessrio implementar
Mas e se os mesmos usurios ligarem duas ou trs vezes por dia para
Dentro do contexto desse processo surgem denies importantes: Biblioteca de Software Denitivo. Depsito de Hardware Denitivo. A DSL (Denitive Software Library ou Biblioteca de Software Denitivo) o local onde so armazenadas todas as cpias fsicas de softwares autorizados. Note que esse local pode ser um armrio com mdias de instalao e licenas de uso de softwares, uma pasta no servidor com os arquivos executveis das instalaes etc. Lembre-se do importante conceito de que a ITIL escalvel;
Figura 4.6: Gerenciamento de liberaes.
assim, dependendo das caractersticas da sua organizao, voc pode atingir um
mesmo objetivo da forma que mais se adque sua realidade. A DHS (Denitive Hardware Store ou Depsito de Hardware Denitivo) cumpre um papel semelhante ao da DSL, mas para o hardware em uso na organizao. Obviamente, nesse caso no possvel pensar em um depsito de hardware que no seja um local fsico de fato para guardar peas de reposio ou equipamentos completos para atender s necessidades organizacionais. Porm, ainda nesse caso, vrias adaptaes de escalabilidade so possveis. A empresa pode, por exemplo, cuidar ela mesma de todas as substituies e reparos atravs de um setor especco ou, por outro lado, pode terceirizar essa tarefa em diferentes graus para um ou mais fornecedores. Outro conceito importante que est ligada a esse processo o conceito de release, que uma palavra em ingls que signica, em nosso contexto, entrega. Em portugus costumamos nos referir mesma ideia usando a palavra verso. A seguir explicamos os trs tipos de entregas (ou verses) denidos pela ITIL. Delta Verso parcial de itens de congurao (IC) que foram alterados desde a ltima entrega ou que so novos. Tipicamente, no uma verso muito convel porque no foi testada com todos os componentes juntos.
convel, uma vez que todos os itens denitivos (do hardware ou do software) foram testados juntos. Pacote (package) O pacote uma entrega individual de vrias unidades funcionais diferentes (de hardware ou de software), algumas nas verses full, outras na verso delta. Pacote o nome dado ao agrupamento dessas unidades funcionais distintas e com diferentes verses (full ou delta) reunidas em um todo nico que ser liberado na infraestrutura, ou seja, entregue para utilizao pela operao da TI. Costuma-se dizer que o gerenciamento de liberaes o principal responsvel pelo ROLL OUT da liberao na infraestrutura da organizao. ROLL OUT
um termo muito usado dentro da ITIL. Ao ouvir tal expresso, entenda algo como executar todas as atividades relacionadas liberao a m de tornla efetiva e operacional na organizao. bastante til, s vezes, sintetizar uma frase inteira em uma expresso pequena. Por isso, comece a se familiarizar com certas expresses em ingls que so muito usadas pelo mercado ao se referir aos processos da ITIL.
Descrio do processo Esse processo tem como principal entrada uma mudana na infraestrutura que foi autorizada pelo processo de gerenciamento de mudanas. A principal sada ser a mudana liberada na infraestrutura. As atividades desse processo so: Solicitao de mudana aprovada. Elaborao do plano de liberao. Testes. Comunicao e preparao. Execuo do plano de liberao. Relatrio de registro para a BDGC.

Nmero de inconsistncias encontradas na BDGC. Nmero de inconsistncias encontradas na BSD ou DHD. Nmero de liberaes implantadas bem-sucedidas. Nmero de liberaes que necessitaram retroceder.
115
AULA
Esta verso possui todos os componentes nais e, por isso, mais
Completa (full)
Atividade 3
Considere um usurio que est sendo afetado pela interrupo de um 4 5 servio por causa de um erro existente na infraestrutura de TI da empresa. O usurio entra em contato com a central de servios para reclamar. Liste e explique todas as etapas, desde quando o usurio percebe a falta do servio at o momento em que o servio restabelecido pelo provedor de TI. Faa isso obedecendo sequncia em que elas devem ser executadas de acordo com todos os processos de suporte a servios de TI da ITIL.
Resposta
Vimos na atividade anterior que as atividades, desde a identicao at o diagnstico da causa-raiz, seriam: identicao, registro do incidente, classicao do incidente, registro do problema, classicao do problema, priorizao do problema, escalonamento do problema e diagnstico da causa-raiz do problema. Aps o diagnstico da causa-raiz, a prxima atividade no processo de gerenciamento de problema seria enviar um relatrio de registro para a BDGC a m de documentar o erro mais rapidamente possvel e elaborar uma requisio de mudana para a avaliao e aprovao (ou no) das mudanas necessrias na infraestrutura. Depois, a mudana deve ser registrada, classicada, priorizada e autorizada pelo processo de gerenciamento de mudanas. Caso a mudana seja aprovada, seus planos de desenvolvimento e retrocesso devem ser elaborados e um relatrio de registro para a BDGC deve ser enviado para que
Ao mesmo tempo, uma vez que a mudana foi aprovada, o processo de gerenciamento de liberao se inicia com a elaborao do plano de liberao, testes, comunicao e preparao e execuo do plano de liberao (roll out). Aps a execuo, deve ser elaborado um relatrio de registro para a BDGC para documentar que a mudana foi executada. Agora, o registro de problema, que permanece em aberto, deve ser fechado, pois o erro foi erradicado, assim como o registro de incidente deve ser fechado. A atividade de fechamento do incidente deve envolver a comunicao com o usurio, a m de atestar que, do ponto de vista dele, o servio foi restabelecido. Finalmente, aps a execuo da mudana, ainda faz parte do processo de gerenciamento de mudana a sua avaliao e acompanhamento, a m de certicar que as mudanas de fato surtiram o efeito inicialmente desejado. Assim, as etapas em sequncia seriam: identicao, registro do incidente, classicao do incidente, registro do problema, classicao do problema, priorizao do problema, escalonamento do problema, diagnstico da causa-raiz do problema, relatrio de registro para a BDGC (do problema), elaborar uma requisio de mudana, registro da mudana, classicao da mudana, priorizao da mudana, autorizao da mudana, elaborao do plano de desenvolvimento, elaborao do plano de retrocesso, relatrio de registro para a BDGC (da mudana), elaborao do plano de liberao, testes, comunicao e preparao, execuo do plano de liberao (roll out), relatrio de registro para a BDGC (da liberao), erradicao do erro, fechamento do incidente, avaliao e acompanhamento.
INTEGRAO DOS PROCESSOS DE SUPORTE

Voc deve observar que os processos de suporte interagem entre si de maneira bastante variada, de organizao para organizao. Um usurio pode abrir um chamado relatando o que, do ponto de vista dele, um incidente. O primeiro prossional a prestar atendimento para esse chamado pode chegar concluso de que no se trata de um incidente, mas sim de um problema. Nesse caso, o que deve ser feito? O incidente deve ser fechado e um problema aberto na BDGC? Ora, claro que no! Perceba que, do ponto de vista do usurio, o ANS est contando, ou seja, a percepo dele de que a sua questo, seja ela incidente ou problema, no foi resolvida. Logo, o incidente nunca fechado pelo simples fato de no haver uma soluo de contorno para ele (e, portanto, por se tratar de um problema). O procedimento correto
117
AULA
sejam documentadas as providncias que esto sendo tomadas pelo provedor.
manter o incidente aberto conforme o procedimento inicial e abrir, tambm, um chamado para investigao do problema. Ou seja, nesse exemplo, dois registros so criados na BDGC. Outra situao seria a de a equipe de investigao do problema encontrar a causa-raiz e saber como solucionar o problema. O que deve ser feito? Fcil. Sabemos que tudo acontece por processos. O caminho natural seria corrigir o erro de uma vez por todas. Pois bem, isso que acontece tambm em um ambiente de boas prticas; todavia, acontece seguindo um caminho baseado em processos para que a soluo de um problema no acabe trazendo outro (Voc j viu isso acontecer...). Assim, uma sequncia normal da ITIL seria: Um incidente relatado pelo usurio (do ponto de vista dele). A central de servios determina que no h uma soluo conhecida (trata-se de um problema, portanto). Um novo registro para o problema gerado na BDGC. Nessa altura, o problema seguir o uxo normal do gerenciamento de problema e, em paralelo, o incidente seguir o uxo normal do gerenciamento de incidentes. Aps diagnstico da causa-raiz, o processo de gerenciamento de problemas ir gerar um relatrio de erro-conhecido para a BDGC (a m de que a informao seja divulgada na central de servios). Aps o relatrio de erro-conhecido, uma solicitao de mudana deve ser realizada para o gerenciamento de mudanas. O processo de gerenciamento de mudanas segue o seu uxo normal de aprovao (ou no) da mudana na infraestrutura. Caso a aprovao acontea, o processo de gerenciamento de liberaes ir executar a alterao na infraestrutura seguindo o seu uxo normal (realizar aquisies, instalaes, conguraes, testes etc.). Ufa! Isso lhe parece muito, no? Mas no . Esse uxo exatamente o uxo normal que acontece em toda organizao. A diferena que, em muitos casos, uma nica pessoa toma todas as decises sem seguir nenhum processo. E, conforme j vimos, esse o caminho mais rpido para que o caos acabe se instaurando, na medida em que o nmero de eventos comea a aumentar. E esse tambm o primeiro passo para o
em compartilhar e explicitar o conhecimento tcito etc.
CONCLUSO
Vimos nesta aula como a ITIL lida com questes como incidentes do dia a dia e problemas na rea de TI. A ideia mais importante dessa aula a de que a losoa da ITIL prega que a abordagem dessas questes atravs de processos a melhor forma de combater a falta de qualidade na prestao de servios de TI. Lembre-se do fato de que o mundo j adotou a ideia de que o trabalho nas empresas acontece melhor, em todas as reas, quando acontece atravs de processos. Em princpio, pode parecer complicada a ideia de lidar com tudo de maneira to sistemtica. Repetimos que, de fato, o que os processos da ITIL fazem explicitar o que todos j fazemos normalmente. Todos ns temos nossa forma de identicar incidentes e problemas e lidamos de maneiras diferentes com tais questes. Todas as empresas procuram, de uma forma ou de outra, construir procedimentos para autorizao e execuo de mudanas. Porm, na falta de processos nicos e documentados, cada um segue sua prpria maneira de fazer as coisas, o que normalmente gera retrabalho, inecincia, ineccia, desmotivao e tantos outros prejuzos que j conhecemos. Finalmente, voc deve observar que muito comum encontrar empresas que construram seus processos por tentativa e erro. fcil notar nesses casos que, aps vrios tropeos, o resultado nal na organizao um processo muito parecido (s vezes idntico) com os processos descritos na ITIL. E voc acha que isso acontece por acaso? Claro que no. A ITIL um conjunto de boas prticas e, obviamente, ela contm prticas consideradas boas e que so adotadas no mercado pela maioria das empresas que deram certo. Por que reinventar a roda, ento?
119
AULA
de documentao, falta de amadurecimento organizacional, diculdade
surgimento dos problemas que afetam a TI em todo o mundo, como falta
INFORMAES SOBRE FRUM Vamos trocar informaes sobre os processos de suporte a servios de TI apresentados aqui? Acesse o frum da semana. Ttulo: Suporte a servios de TI na prtica. Objetivo: Identicar e avaliar empresas que utilizam processos de suporte baseados na verso 2 da ITIL. Essas empresas tm se beneciado das boas prticas? Quais vantagens e benefcios elas alcanaram? Vamos tambm identicar e avaliar empresas que no possuem nenhum processo formal para suporte a servios de TI. Que tipo de problemas essas empresas esto enfrentando? Elas esto tentando melhorar? Como?
Atividade online
C Como implementar os processos de suporte a servios em uma empresa? V sala 6 de aula virtual e resolva a atividade proposta pelo tutor. O objetivo da atividade determinar como os processos de suporte a servios poderiam ser implementados na sua empresa. Lembre-se de que, embora a implementao dependa de vrios fatores, as principais funes de cada um dos cinco processos de suporte a servios de TI devero ser garantidas.
RESUMO
Os processos de suporte a servios de TI so: gerenciamento de incidentes, gerenciamento de problemas, gerenciamento da congurao, gerenciamento de mudanas e gerenciamento de liberaes. mais adequado dizer que os processos de suporte a servios de TI possuem foco maior em atividades operacionais e no que eles so essencialmente processos operacionais. O gerenciamento de incidentes lida com eventos cuja causa-raiz conhecida e para os quais existem solues de contorno conhecidas e aplicveis. O gerenciamento de problemas lida com eventos cuja causa-raiz no conhecida e procura identicar a causa-raiz e erradicar o erro da infraestrutura. A erradicao do erro na infraestrutura da TI atravs do gerenciamento de problemas depende do gerenciamento de mudanas, pois implica alteraes no estado operacional do ambiente produtivo da TI.
O gerenciamento da congurao cria a BDGC e protege a sua integridade. Itens de Congurao (ICs), atributos e ativos so conceitos importantes do processo de gerenciamento da congurao. O gerenciamento de mudanas possui como objetivo principal a aprovao de mudanas necessrias ou rejeio de mudanas desnecessrias. O gerenciamento de liberaes executa a implementao da liberao na infraestrutura, ou seja, o principal responsvel pela concretizao de alteraes na infraestrutura, quer seja de hardware ou de software.

Na prxima aula, iremos explicar os detalhes dos processos do livro de entrega da ITIL v2. Assim como no caso dos processos de suporte, costuma-se dizer que os processos de entrega so mais tticos (o que j sabemos que no uma denio rigorosamente correta). Os processos de entrega lidam com questes como a qualidade do servio prestado, a garantia da continuidade desses servios e o gerenciamento nanceiro da TI. Aproveite os conhecimentos adquiridos at aqui e at a prxima aula!
121
AULA
Atividades Finais
1) Qual o foco principal do processo de gerenciamento da congurao? 2) Qual o principal objetivo da BDGC? 3) Por que no podemos dizer que um software de gerenciamento de ativos suciente para dar suporte criao, alterao e manuteno de uma BDGC? 4) Qual a principal diferena entre a base de dados do gerenciamento da congurao e o registro de informaes sobre ativos de TI? a. A BDGC um sistema e ativos podem ser hardware e software. b. Ambos os conceitos so usados indistintamente na ITIL. c. A BDGC registra informaes alm daquelas sobre hardware. d. A BDCG relaciona todos os atributos dos itens armazenados. 5) Os funcionrios de uma empresa esto habituados a trabalhar em casa um dia por semana (home ofce). Recentemente, vrios funcionrios tm comunicado que uma nova congurao de segurana adicional exigida para a conexo remota est causando desempenho insatisfatrio durante a navegao. Uma soluo temporria foi identicada pelos prprios usurios. Quais processos, alm do processo de gerenciamento de incidente, esto envolvidos na aplicao de uma soluo sistmica e denitiva para essa questo? a. Mudana, congurao, liberaes e problemas. b. Congurao, problemas e liberaes. c. Mudanas e liberaes. d. Mudanas, liberaes e congurao. e. Problemas e liberaes. 6. (Analista do MPE-SE FCC/2009) Auxilia a gesto do ambiente de TI por intermdio do registro de todos os seus itens em um banco de dados o que permite controlar os componentes de infraestrutura envolvidos na realizao dos servios de TI. O processo ITIL referente a esta denio o Gerenciamento de: a. Incidentes. b. Problemas. c. Congurao. d. Mudanas. e. Verses. 7. (Analista Administrativo ANATEL CESPE/2009) Tendo como base o ITIL, julgue os itens seguintes. a. Incidente qualquer evento que faz parte da operao padro de um servio e que pode causar sua interrupo ou a reduo da qualidade do servio. Incidentes que no podem ser resolvidos imediatamente pelo service desk devem ser tratados por especialistas. b. A gerncia de conguraes trata o hardware, o software e a documentao como itens de congurao; difere de gerenciamento de ativos, pois no considera o registro contbil de depreciao e no mantm informaes acerca dos relacionamentos entre ativos.
c. O gerenciamento de mudanas responsvel por autorizar a mudana e avaliar seus impactos, enquanto o gerenciamento de conguraes responsvel por identicar as reas impactadas e manter os registros das mudanas. d. Uma verso corresponde a um conjunto de mudanas autorizadas para um servio de tecnologia da informao. Um release do tipo delta, ou total, inclui os itens de congurao que mudaram ou so novos desde a ltima liberao de verso. e. Um problema pode resultar em mltiplos incidentes, e requer uma anlise de impacto, uma vez que pode levar degradao dos acordos de nveis de servio. possvel que um problema no seja diagnosticado at que vrios incidentes tenham ocorrido. 8. (Tcnico Judicirio TER-GO CESPE/2009) A respeito de gerenciamento de servios de tecnologia da informao (TI) e da biblioteca ITIL , assinale a opo correta. 1. O gerenciamento da liberao muito prximo do gerenciamento da congurao, que abrange planejamento, desenho, construo e vericao de hardware e software para criar um conjunto de componentes de verso para um ambiente real. 2. O gerenciamento de dano permite a identicao de processos crticos do negcio e o dano potencial que pode ser causado organizao. Este controle realizado com a tcnica de cenrios de simulao. 3. O controle de incidentes corresponde ao processo de identicar, registrar, classicar e acompanhar incidentes at que os servios afetados voltem sua operao normal. 4. O CMDB (conguration management database) um banco de dados que contm todos os detalhes relevantes acerca de cada uma das fases do gerenciamento de congurao.
Respostas
1. O gerenciamento da configurao cumpre vrios papis. O mais importante est relacionado BDGC. graas ao gerenciamento da configurao que a BDGC criada, mantida e atualizada. 2. A BDGC uma base de dados que tem como objetivo armazenar diversas informaes teis para a empresa e informaes teis para a prpria efetivao de todos os outros processos. Podemos dizer que todos os processos da ITIL dependem, em maior ou menor grau, da BDGC. Assim, fica bvio concluir que a qualidade da BDGC se reflete diretamente na qualidade de todos os outros processos. Na verdade, da qualidade do processo de gerenciamento da configurao depende a qualidade de todos os outros processos da ITIL . 3. O que o mercado chama de softwares de gerenciamento de ativos so, na maior parte dos casos, softwares de gerenciamento de ativos de hardware apenas. A BDGC se preocupa com todos os ativos, ou seja, no s ativos de hardware, mas tambm ativos de software, processos etc. E principalmente a BDGC vai muito mais alm, pois possui informaes sobre todos os relacionamentos entre os ativos.
123
AULA
4. Alternativa d. O grande benefcio da BDGC a possibilidade de estabelecer cruzamento de informaes e relacion-las, gerando conhecimento para a organizao e para os outros processos. O registro de ativos por si s no permite tal relacionamento. 5. Alternativa a. Todos os processos esto envolvidos. Deve-se identificar a causa-raiz do problema (gerenciamento de problema). As mudanas necessrias precisam ser analisadas e autorizadas (gerenciamento de mudanas). Uma vez aprovadas, elas devem ser executadas sem prejuzo na infraestrutura (gerenciamento de liberaes). Por fim, durante a execuo de cada um dos processos, a BDGC precisa refletir o estado atual da infraestrutura, ou seja, o que est sendo feito com relao ao incidente/problema at a sua erradicao da infraestrutura (gerenciamento da configurao). 6. Alternativa c. O enunciado se refere claramente ao gerenciamento da configurao. 7. Respostas: a. Falso. Incidentes que no possuem soluo imediata devem ficar abertos e originar um registro de problema para investigao. b. Falso. A gerncia da configura trata de relacionamentos entre todos os ativos. c. Verdadeiro. d. Falso. O release do tipo Delta uma verso parcial ou incompleta. e. Verdadeiro 8. Alternativa c. O gerenciamento da liberao no se relaciona com o gerenciamento da configurao da forma descrita. No existe o processo gerenciamento de dano na ITIL . A funo da BDGC ( ou CMDB em ingls) no tem nada a ver com fases do gerenciamento da configurao.
A entrega de servios de TI na ITIL v2
Meta da aula
Explicar os processos de entrega de servios de TI da ITIL v2.
objetivos

1 2 3 4 5 6
explicar o processo de gerenciamento de nvel de servio; explicar o processo de gerenciamento da capacidade; explicar o processo de gerenciamento da disponibilidade; explicar o processo de gerenciamento da continuidade; explicar o processo de gerenciamento nanceiro; explicar o relacionamento entre os processos de entrega.
Pr-requisitos
So pr-requisitos para esta aula ter atingido os objetivos das duas primerias aulas do curso, que tratam do planejamento estratgico e da Governana em TI, e ter atingido os objetivos da Aula 3, que apresentou o histrico da ITIL e os principais conceitos relacionados a ela. Alm disso, recomendado que o aluno tenha atingido os objetivos da Aula 4, sobre suporte a servios de TI.
AULA
| A entrega de servios de TI na ITIL v2
INTRODUO
Nesta aula vamos falar dos processos de entrega da ITIL v2. Voc sabia que esses processos possuem um foco mais voltado para a entrega dos servios de acordo com as necessidades reais de organizao?
Ns iremos ver nesta aula os processos do livro Entrega de servios de TI, aos quais muitas pessoas se referem como processos tticos da ITIL.
PROCESSOS TTICOS
Fazemos aqui uma observao: seria mais adequado dizer que esses processos possuem foco maior em atividades tticas, e no que eles so processos tticos. O processo de gerenciamento da capacidade, por exemplo, um processo que fornece informaes gerenciais para a tomada de decises no nvel ttico, porm depende diretamente de implementaes operacionais para ser efetivo. Enm, como tudo em TI hoje em dia, os processos no podem estar rigidamente restritos a um ou outro nvel organizacional, pois todos lidam com informaes de todos os nveis. Assim, repetimos nesta aula o que dissemos na aula anterior sobre a ITIL. Embora, devido ao cargo que voc ocupe, possa atuar na maior parte do tempo em atividades consideradas tticas, voc precisa ter bom entendimento das questes operacionais e das questes estratgicas relacionadas a tudo o que voc faz. Ou seja, voc precisa ter viso sistmica das suas funes! Enm, vamos aos processos de entrega! J vimos que cada processo, por denio, composto por entradas, sadas e atividades intermedirias. O que faz a ITIL ser muito til para a TI o fato de ela descrever os processos completos para resolver questes muito importantes em nosso dia a dia. muito importante que voc mantenha em mente a ideia de que fazendo opes sobre como desempenhar uma das atividades do processo descrito na ITIL que a empresa ir adequ-lo ao seu perl.
servio dos usurios. Toda empresa que queira implementar esse processo obviamente precisar denir esses requisitos. A diferena que cada uma poder fazer isso da forma que melhor lhe convier. Uma sugesto seria entrevistar pessoalmente cada um dos usurios de TI e fazer questionamentos sobre cada um dos servios. Bem, isso se a empresa tiver apenas meia dzia de usurios de TI... E se a empresa tiver cem usurios? Talvez seja uma alternativa vivel enviar questionrios por e-mail para que sejam respondidos e devolvidos tambm por e-mail. Mas e se a empresa tiver mil usurios, quem iria consolidar as informaes de mil formulrios? O que voc faria nessa situao? Bem, neste caso, nossa sugesto seria a TI criar um formulrio online cujas informaes fossem automaticamente consolidadas em uma base de dados. Enm, como voc j deve ter percebido, existem vrias formas de desempenhar a atividade denir os requisitos de servio dos usurios dentro do processo gerenciamento do nvel de servio. Isso a ITIL! Ela nos diz qual o melhor processo para melhorar o gerenciamento de servios de TI na organizao, mas cabe a ns adaptar o processo nossa realidade. Por isso dizemos que ela um conjunto de boas prticas que pode auxiliar muito a empresa, embora, tambm por denio, nada nela seja mandatrio. Bem, j que estamos falando tanto de gerenciamento do nvel de servio, comearemos esta aula por esse processo.
GERENCIAMENTO DO NVEL DE SERVIO

O que nvel de servio? No contexto da ITIL, entenda essa expresso como qualidade de servio. Voc se lembra dos acordos de nvel de servio (em ingls, SLA Service Level Agreement)? Tudo neste processo gira em torno dos requisitos que o usurio possui para os servios prestados e as necessidades reais da empresa. muito comum encontrar ambientes de TI em que as exigncias do usurio com relao a um determinado servio esto muito alm daquelas que, de fato, seriam as mais adequadas para a organizao.
Figura 5.1: Gerenciamento do nvel de servio.
127
AULA
servio que veremos adiante, uma das atividades denir requisitos de
Por exemplo, no caso do processo do gerenciamento do nvel de
O contrrio tambm acontece, mas com cada vez menos frequncia. Isso porque, como vimos nas primeiras aulas, a sensao do usurio de que precisa cada vez mais da TI (o que de certa forma um fato). Mas como balancear tais exigncias? At que ponto a TI deve se esforar para atender a todas as solicitaes de todos os usurios para todos os servios? A resposta bem simples. At o ponto em que o investimento realizado para atender a tais demandas seja justicado pelo retorno obtido para o negcio. Os benefcios obtidos com a implantao desse processo esto relacionados ao balanceamento de toda a demanda com o seu fornecimento atendendo aos requisitos de forma alinhada ao negcio e de acordo com a capacidade da TI. Podemos listar os objetivos desta forma: Melhorar o relacionamento entre o cliente e o provedor. Melhorar o entendimento dos requisitos do servio. Balancear a demanda do cliente e o custo da proviso do servio. Mensurar os nveis de servio prestados e buscar sua melhoria. Assim como em outros processos, este processo tambm possui alguns termos prprios.
Catlogo de servios (service catalog)

um catlogo que contm todos os servios que so prestados pela rea de TI e, eventualmente, os servios que no so prestados. Fazem parte do contedo do catlogo de servios os softwares para os quais a TI presta suporte, assim como suas verses homologadas, os tipos de eventos que so tratados pela TI, os tipos de eventos que so tratados pela TI, os tipos de incidentes resolvidos pela TI, informaes sobre o escalonamento de incidentes e problemas etc.
Requisitos de servios (service level requirements)

Denio dos requisitos do usurio para cada um dos servios prestados pela TI, de acordo com o catlogo de servio.
Acordos de nvel de servio (service level agreement)

um acordo entre o provedor de TI e o cliente. No um documento tcnico nem um contrato. O ANS possui todas as informaes sobre como o
Service Level Management
ANS Cliente TI ANS
ANO rea A rea C rea B ...
CA Portflio Servios
Provedor Externo
Figura 5.2: Acordos do gerenciamento de nvel de servio.
servio deve ser prestado, do ponto de vista do usurio, e o que para ele visto como prioritrio, importante, secundrio ou pouco relevante.
Acordo de nvel operacional (operation level agreement)

um tipo de acordo semelhante ao ANS. A diferena que o ANO estabelecido internamente entre diferentes reas do prprio provedor de TI ou entre este e outras reas da organizao. Ele importante quando, para cumprir um ANS estabelecido com o usurio, a TI necessita da interao entre seus diversos departamentos ou com outras unidades organizacionais.
Contrato de apoio (underpinning contract)

Possui funo semelhante do ANS e do ANO, mas se trata de um contrato realizado entre o provedor de TI e fornecedores terceirizados. Esse tipo de contrato importante quando, para honrar o ANS, a TI depende de parceiros externos organizao, caso em que deve existir um contrato que reita todos os requisitos dos ANSs que dependem de servios do fornecedor ou parceiro em questo.
Descrio do processo
A principal entrada deste processo so os requisitos dos usurios de TI. A principal sada o servio prestado atendendo aos requisitos. As atividades deste processo so:
129
AULA
Contexto Negcios
Provedor de TI
Outros departamentos da empresa
Denio do catlogo de servio. Denio dos requisitos de servio. Negociao dos acordos de nvel de servio. Negociao dos acordos de nvel de operacional. Celebrao dos contratos de apoio. Monitorao dos nveis de servio. Anlise dos requisitos de servio. Anlise do catlogo de servio.
Indicadores de desempenho
Quantidade de servios prestados que no esto no catlogo. Quantidade de servios que no possuem requisitos acordados. Quantidade de servios que no atendem aos requisitos.
Atividade 1
Um usurio instala em sua mquina de trabalho um software que lhe foi indicado por 1 um amigo. Aps alguns dias de uso, o computador do usurio comea a apresentar problemas toda vez que o novo software inicializado. Que processo, se implementado na organizao, poderia ter impedido que o usurio instalasse o software sem comunicar TI? Que processo, se implementado na organizao, poderia identicar a presena do software desconhecido na congurao da empresa? Explique sua resposta.
Resposta
O processo de gerenciamento do nvel de servio implementa o catlogo de servio que responsvel por informar aos usurios quais so os softwares homologados para os quais a TI prestar servios. O processo de gerenciamento da liberao o responsvel por garantir que somente softwares liberados correta e ocialmente na empresa estejam presentes na congurao da infraestrutura de TI.
O que acontece se a TI no tem capacidade para atender aos requisitos de servio solicitados pelos usurios? Com certeza a resposta no muito boa. Neste processo, quando falamos de capacidade, estamos nos referindo no somente a questes de hardware e software, mas tambm a questes de competncias dos prossionais, ecincia dos processos de TI e tudo o mais que possa afetar o fornecimento do servio por incapacidade operacional. Note que, conforme a losoa da ITIL, o foco aqui tambm no somente mquinas e cdigos de programas de computador. O foco do gerenciamento da capacidade sistmico! Voc acha que a TI precisa saber qual a sua capacidade de atender s demandas atuais e futuras dos usurios e clientes? Acha que possvel controlar essa demanda de alguma forma a m de fazer com que ela acompanhe a capacidade de fornecimento? Sim, claro que . Por isso, o gerenciamento da capacidade dividido em trs subprocessos que possuem foco muito bem claro e denido:
Figura 5.3: Gerenciamento da capacidade.
Gerenciamento da capacidade do negcio

Trata-se do esforo por procurar se adequar de forma proativa s demandas que surgiro devido a metas de negcio de curto, mdio e longo prazo e que tenham impacto direto ou indireto na capacidade de a TI sustentar a operao da empresa. Para a efetividade deste subprocesso, a TI precisa se comunicar bem com todos os nveis estratgicos organizacionais (leia-se comunicar-se bem com as outras reas de negcio).
Gerenciamento da capacidade dos recursos

Esta parte do processo tem foco diretamente voltado para a capacidade atual de todos os recursos (hardware, software, pessoas, ativos etc.) para atender s demandas atuais. O provedor de TI precisa estar ciente da sua capacidade operacional, a m de avaliar se os incidentes e problemas relatados pelos usurios esto ou no relacionados
131
AULA
GERENCIAMENTO DA CAPACIDADE
incapacidade operacional da TI. Por outro lado, as requisies dos usurios, tanto no que diz respeito ao que deve ser feito quanto no que diz respeito a como deve ser feito, devero estar adequadas capacidade operacional da TI. O que deve ser feito e com que qualidade deve ser feito so informaes denidas pelo processo de gerenciamento do nvel de servio por meio do catlogo de servios e dos requisitos de servio, respectivamente.
Gerenciamento da demanda
Este processo atua tentando controlar a demanda por servios dentro da organizao ou equilibrando os requisitos do nvel de servio. Um dos caminhos mais comuns obedece lei da oferta e da procura. Quando a demanda aumenta, o valor cobrado pelo servio tende a aumentar at que a oferta acompanhe ou supere a demanda. O contrrio tambm verdade. Assim, o provedor de TI pode cobrar mais por servios cujos requisitos de qualidade estabelecidos pelo usurio sejam altos. Mas como fazer isso quando o provedor de TI possui usurios e clientes internos, ou seja, a TI pertence a uma empresa cujo ncleo de negcios no propriamente a prestao de servios de TI? Veremos ainda nesta aula que o processo de gerenciamento nanceiro da TI oferece caminhos para tornar efetiva essa cobrana mesmo em ambientes como esse.
Descrio do processo
A principal entrada deste processo so as demandas da organizao por servios. A principal sada o atendimento a tais demandas de maneira sustentvel pelo negcio, ou seja, a um custo vivel para a organizao. As atividades deste processo so: Determinar as demandas de negcio atuais e futuras. Determinar as demandas por recursos atuais. Elaborar relatrios de avaliao da capacidade. Elaborar relatrios de utilizao da capacidade. Elaborar requisies de mudana. Controlar e monitorar a demanda.
Tipos e quantidade de recursos de hardware em uso. Tipos e quantidade de recursos de software em uso. Habilidades dos recursos humanos do provedor de TI. Capacidades dos recursos humanos do provedor de TI. Tipos e quantidades de demandas futuras.
Atividade 2
Ainda considerando o cenrio da questo anterior, imagine que, aps avaliao do software, a empresa decida homolog-lo para uso na organizao. Alm disso, imagine que os problemas causados se devam exclusivamente a requisitos de processamento e memria necessrios para a execuo do software. Quais processos da ITIL sero abordados at o momento da liberao do software na infraestrutura e com quais objetivos? Explique sua resposta.
2
Resposta
Inicialmente o gerenciamento de incidentes ser o processo responsvel por receber e registrar os chamados do usurio. O gerenciamento de problemas ser o responsvel por detectar a causa-raiz do comportamento estranho do software. Uma requisio de mudana ser tratada pelo gerenciamento de mudana para avaliar e aprovar a homologao do software. O gerenciamento de liberao ser o responsvel por fazer as instalaes e por armazenar as cpias do software homologado no depsito de software denitivo. O gerenciamento da capacidade ser o responsvel por avaliar as questes de capacidade envolvidas. Ressalte-se que, neste caso, no se trata somente do conceito bsico de capacidade, ou seja, se as mquinas possuem ou no capacidade
133
AULA
para executar o software (processamento, memria etc.). Neste caso, o processo de gerenciamento da capacidade precisa decidir, por exemplo, quantas licenas do software so sucientes para atender demanda atual e s demandas futuras do negcio. O gerenciamento do nvel de servio ser acessado a m de determinar com o usurio os requisitos para esse servio, para elaborar o ANS e para inserir o novo servio no catlogo. O gerenciamento da congurao precisar garantir, a todo momento, que a BDGC reita as alteraes que esto acontecendo na infraestrutura.
GERENCIAMENTO DA DISPONIBILIDADE
Qual a diferena entre capacidade da TI e disponibilidade? Espero que voc no que confuso com essa pergunta, pois a diferena total. Embora ambos os conceitos estejam relacionados, eles no so uma coisa s. Tanto no so que a ITIL possui dois processos distintos para tratar de cada uma dessas ideias dentro
Figura 5.4: Gerenciamento da disponibilidade.
do ambiente de prestao de servios de TI. Esse processo tambm possui alguns termos tpicos:
Disponibilidade (availability)
A disponibilidade de um servio afetada tanto pela quantidade de falhas do servio quanto pelo tempo mdio necessrio para repar-lo. Dois servios, A e B, podem sofrer uma nica interrupo no perodo de uma hora. Porm, se um for reparado em cinco minutos e o outro em vinte, certamente a sensao de disponibilidade do usurio com relao ao primeiro servio ser maior. O clculo da disponibilidade feito por meio da determinao do tempo mdio entre falhas (TMEF). Quanto maior esse tempo, maior ser a disponibilidade do servio.
Conabilidade (reliability)
A conabilidade de um servio est ligada somente ao nmero de falhas do servio. Observando o exemplo dos servios A e B do item anterior, embora o servio A seja mais disponvel (possua TMEF maior), ambos so igualmente conveis (ou no conveis...), pois ambos possuem ndice de uma falha a cada hora no perodo analisado.
Sustentabilidade (resilience)
A sustentabilidade, s vezes chamada de resistncia ou resilincia. Est ligada ao grau de manuteno do servio mesmo quando uma falha acontece. A sustentabilidade medida com relao ao tempo necessrio para restabelecer o servio aps alguma interrupo ou queda no nvel acordado com o usurio. Em alguns casos, a sustentabilidade to grande que, mesmo com a falha total de alguns recursos, o usurio no nota a interrupo ou a queda no nvel de servio. Nesse caso, o tempo de recuperao nulo. Isso possvel nos casos em que o provedor de TI investe na redundncia na prestao de alguns servios prioritrios para a organizao. A sustentabilidade medida por meio do ndice de tempo mdio para reparar (TMPR). Quanto menor esse tempo, maior ser a sustentabilidade.
TMPR
Identicao
Reparo
Recuperao total
Incidente
Diagnstico
Recuperao parcial
Incidente
TMEF
TMEI Tempo Figura 5.5: ndices de gerenciamento da disponibilidade.
Pontos de falha (points of failure)

Identica, por meio de mapas, quais componentes esto inuenciando a disponibilidade do servio.
135
AULA
(TMEI). Quanto maior esse ndice, mais convel o servio.
A conabilidade est ligada ao ndice de tempo mdio entre incidentes
Descrio do processo
A principal entrada deste processo a solicitao dos usurios por aumento na disponibilidade, conabilidade ou sustentabilidade dos servios. A principal sada a prestao de servios que possuam ndices de disponibilidade, conabilidade e sustentabilidade compatveis com as necessidades da empresa, nem mais, nem menos. As atividades deste processo so: Determinar as demandas de negcio atuais e futuras. Determinar as demandas por disponibilidade atuais. Determinar ndices de disponibilidade dos servios. Realizar o mapeamento dos servios. Determinar pontos nicos de falha. Elaborar requisies de mudana. Controlar e monitorar a disponibilidade.
Tempo mdio entre falhas dos servios (TMEF). Tempo mdio para reparar os servios (TMPR). Tempo mdio entre incidentes do sistema (TMEI). Servios que j esto mapeados na infraestrutura.
Atividade 3
Imagine que voc est no aeroporto usando um carto de internet mvel de 60 3 minutos. Exatamente dez minutos aps comear a usar o servio, a bateria do seu notebook acaba e o todo processo de reinicializao e autenticao no provedor leva cinco minutos. Voc continua usando o servio e, aps vinte minutos, o acesso interrompido. Voc liga para a central do carto e informado de que o servio ser restabelecido em minutos. Ao todo, a segunda interrupo leva dez minutos. Voc se conecta novamente e usa a Internet at que os 60 minutos acabam. Quais so os ndices TMEF, TMPR e TMEI para esse servio? possvel pensar em disponibilidade dos servios de TI mesmo quando o usurio o responsvel pela interrupo? Explique.
Resposta
TMEF = [60 (10 + 5)] / 2 = 22,5; TMPR = (10 + 5) / 2 = 7,5; TMEI = TMEF + TMPR = 30.
Note que o tempo em que o servio cou fora do ar por culpa do usurio tambm entra nos clculos. Para ele, assim como para a empresa, no interessa a causa da indisponibilidade, mas sim o fato de que um servio importante no estava disponvel. Em muitos ambientes, as empresas investem em treinamentos dos usurios para diminuir as causas de indisponibilidade. J em outros, infelizmente, os provedores de TI no se preocupam tanto com a indisponibilidade quando a culpa no deles. Vale lembrar que a disponibilidade de um servio depende de vrios itens da congurao cuja falha pode inuenciar negativamente o servio.
GERENCIAMENTO DA CONTINUIDADE
Este processo lida com o que pode afetar o negcio como um todo. Ele procura responder a questes como: Que eventos podem ocasionar o fechamento da empresa antes que ela possa reagir? At que ponto a operao da TI est sujeita a catstrofes naturais? Caso elas aconteam, em quanto tempo os servios voltaro a ser oferecidos, ainda que em nveis de qualidade menores? Em quanto tempo a operao normal poder ser restabelecida? Note que, pela primeira vez estamos falando de algo que pode afetar, de uma vez s e de maneira grave, vrios servios do provedor de TI ou todos eles. Pois bem, vamos comear a tratar deste processo denindo alguns conceitos importantes: Voc sabe a diferena entre plano de continuidade, plano de recuperao de desastres e plano de contingncia? , esta realmente no uma pergunta simples de responder. muito comum encontrarmos denies diferentes no mercado; e muito mais comum ainda encontrarmos pessoas usando esses termos como se fossem a mesma coisa. Por isso, vamos esclarecer desde j esse ponto.
Figura 5.6: Gerenciamento da continuidade.
137
AULA
Plano de contingncia
Chamamos de aes de contingncia os procedimentos que so executados aps um evento de graves propores, a m de manter os servios em operao. Perceba que as aes de contingncia so reativas. Ora, mas o plano de contingncia, assim como qualquer plano, deve ser elaborado antecipadamente? bvio que sim. Porm, as aes de contingncia sero executadas, de fato, aps o incidente (ou acidente). Elas podero ser ensaiadas e treinadas (o que at recomendado), mas sero executadas na sua totalidade e realidade apenas de forma reativa por ocasio da conrmao do evento previsto. At porque muitas aes de contingncia (como mudana da base de operao para um outro prdio) so muito custosas para a organizao.
Plano de recuperao de desastres

O plano de recuperao de desastres tem como foco garantir que a empresa conseguir retornar sua operao normal em um tempo aceitvel para o negcio. Toda ao de contingncia citada no item anterior servir para restabelecer a operao o mais rpido possvel, porm nem sempre isso ser feito nas condies exatamente iguais (ou semelhantes) s condies anteriores ao desastre. O plano de recuperao de desastres procura fazer com que a empresa volte a operar como operava no dia D-1 (um dia antes do desastre). Assim, se a ao de contingncia foi mudar a base de operao para outro prdio, a ao de recuperao ser retornar ao prdio anterior ou, se isso no for possvel, reproduzir em denitivo no novo prdio as condies existentes no prdio antigo. Esse plano tambm envolve aes reativas, ou seja, aes que so efetivamente executadas apes o evento.
Plano de continuidade
Este, sim, um plano que contm aes que visam a garantir a continuidade da organizao e vrias aes que so tomadas, independentemente da ocorrncia dos eventos desfavorveis. O plano de continuidade dene a necessidade de realizar acordos com parceiros (ou mesmo concorrentes), a m de que ambos tenham uma alternativa operacional em caso de acidentes graves. Anal, muitas aes de contingncia e de recuperao de desastre s sero possveis se a organizao tiver realizado
exemplo, a empresa no saber para que prdio se mudar em caso de desastre caso tal deciso no tenha sido tomada antes do desastre. No mnimo ela ir demorar mais a realizar tal mudana se todas as decises precisarem ser tomadas aps o evento que normalmente no o melhor momento para tomar qualquer deciso. A losoa do gerenciamento da continuidade deve ser justamente esta: tomar decises bem pensadas no momento em que possvel decidir com calma sobre eventos graves para a organizao, em vez de deixar para fazer isso no meio da tempestade ou no olho do furaco (literalmente falando...). Mas somente para cuidar das causas naturais que esse processo existe? No. Por exemplo, a deciso de construir uma plataforma de servidores totalmente redundante em um segundo data center uma deciso que pode muito bem ser motivada pela preocupao com a continuidade dos negcios. Mesmo porque dicilmente essa ser uma solicitao do usurio, haja vista o fato de que, para ele, o que interessa apenas a extremidade do servio onde ele pode acess-lo e utilizar suas funcionalidades, nada mais. A preocupao sistmica com a implementao de backups tambm uma preocupao com a continuidade. Enm, parte do esforo sistmico relacionado segurana da informao tambm tem como fator motivador a continuidade dos negcios, evitando prejuzos tangveis e intangveis. O principal objetivo deste processo a construo de um plano de continuidade de todas as questes relacionadas ao tema e que seja vivo na organizao. Um plano vivo na organizao signica um plano que conhecido por todos, revisado e alterado para reetir novas necessidades estratgicas da organizao e o novo contexto de negcio pelo qual ela passa. Recomenda-se que o plano de continuidade seja revisado sempre que o plano estratgico e o plano diretor de TI forem revisados.
139
AULA
garantia da continuidade da operao. Por
algumas aes antecipadamente visando
Descrio do processo
A principal entrada deste processo a necessidade de qualquer empresa de se manter e permanecer no mercado. A principal sada a existncia de um plano de continuidade efetivo. As atividades deste processo so: Determinar as demandas de negcio atuais e futuras. Identicar riscos para a operao de TI. Analisar os riscos para a operao de TI. Elaborar o plano de continuidade. Elaborar requisies de mudana. Revisar e testar o plano de continuidade.
Quantidade de itens cobertos no plano de continuidade. Quantidade de revises feitas no plano de continuidade.
Atividade
O seu diretor de TI informa que todos iro se reunir para discutir os itens do plano 4 de continuidade das operaes de TI. Um gerente lembra que a empresa j possui um plano de continuidade que pode ser muito til. Porm, um analista diz que o plano ajudar pouco, pois no trata de questes de Tecnologia da Informao. Quem est certo? Explique.
bvio que um plano de continuidade j elaborado pela empresa ajudar a equipe de TI a elaborar o seu plano de continuidade. O gerente est certo (por isso ele o gerente...). Na verdade, a questo da continuidade, como ressaltamos, to sistmica que dicilmente poder ser tratada apenas dentro do escopo da TI. O recomendado e seguido por muitas empresa elaborar um nico plano de continuidade abordando aspectos de todas as reas, inclusive da TI. Isso porque a soluo para questes que envolvem causas de fora maior, tais como incndios, terremotos e furaces, geralmente a mesma para vrias reas. Obviamente, existem questes essencialmente de TI, como cpias de segurana e sistemas redundantes, que devero ser tratadas parte neste plano geral.
GERENCIAMENTO FINANCEIRO
Quanto voc custa por ms para a sua organizao? E quanto voc traz de retorno? Estenda essas perguntas para que elas contemplem todas as pessoas e recursos envolvidos na prestao de servios de TI e voc ter como resposta aquilo que o principal objetivo do processo de gerenciamento nanceiro da TI. Este processo fornece meios para que a TI possa informar e controlar os custos da entrega dos servios que sustentam as necessidades subprocessos para melhor organizao e implementao.
Figura 5.7: Gerenciamento nanceiro.
de negcio dos clientes. Assim como outros, ele tambm dividido em
Oramentao
Este um subprocesso que determina quanto custam os servios. Observe que no to simples determinar o custo de um servio, pois ele normalmente depende de recursos diretos e indiretos que possuem custos que podem ser xos ou variveis, dependendo do uso. A rigor, deveria se considerar o valor homem/hora, o tipo e a quantidade de equipamentos utilizados, a depreciao dos materiais usados, servios de terceiros etc. Lembre-se de que justamente no nvel de detalhamento para a construo desses custos que a empresa estar adaptando o processo da ITIL sua realidade. Em resumo, estamos dizendo que a atividade de
141
AULA
Resposta
denio dos custos dos servios pode ser realizada de vrias maneiras dependendo do nvel de preciso de que a empresa necessite.
Contabilidade
A contabilizao servir para denir a forma de agregao dos custos dos servios. Ela pode ser feita por usurio, por cliente, por departamento, por rea etc. Depende de que tipo de resposta a empresa quer obter. Qual o valor dos servios prestados pela TI para o departamento X? Qual o valor dos servios prestados pela TI para os projetos da rea de negcio Y?
Cobrana
Assim, uma vez que o provedor de TI sabe os custos dos servios prestados e sabe contabiliz-lo de acordo com uma demanda especca, s restar realizar a cobrana. Nesse caso, a cobrana dos servios poder ser real, nocional ou inexistente. A cobrana real envolve emisso de fatura e nota scal, recebimento e gerao de impostos. Toda empresa cujo provedor de TI presta servios para clientes externos realiza a cobrana real. A cobrana nocional acontece em empresas em que o total a ser pago debitado de uma conta ctcia existente para que as reas ou departamentos possuam certo grau de independncia, funcionando como empresas dentro da empresa. H exemplos na indstria em que a cobrana nocional j acontece. A realidade que poucas empresas realizam a cobrana nocional. Empresas cujo ncleo de negcio a prestao de servios de TI ou fabricao de produtos de tecnologia certamente realizam a cobrana real, pois sem isso elas no existiriam. Algumas poucas empresas realizam a cobrana nocional. Voc conhece alguma empresa em que a cobrana nocional feita pela TI? Conhece alguma empresa em que existe a cobrana nocional, mas no dentro da rea de TI?
Numa empresa, em uma reunio semestral para tratar de questes de oramento, 5 um dos vice-presidentes defende que a TI precisa de mais investimentos; outro diz que o investimento feito nos ltimos anos no tem signicado nenhum resultado palpvel. Qual processo ajudaria a responder essa questo? Explique o que deveria ser feito antes da sua implementao.
Resposta
O gerenciamento nanceiro tem como objetivo responder a questes de retorno sobre o investimento atravs da oramentao (que dene como mensurar os custos de cada servio), contabilizao (que dene como agregar e relacionar os custos na empresa) e cobrana (que permite recuperar todos os custos por meio da cobrana real ou nocional). Como na empresa os vice-presidentes discutem investimento e retorno com base apenas na emoo (feeling), ca claro que ela no possui processos denidos, documentados e maduros. Assim, antes que o gerenciamento nanceiro seja implementado, vrios processos de suporte e entrega precisam ser criados e implementados na empresa. O gerenciamento nanceiro depende de informaes de todos os outros processos, e sem eles o gerenciamento nanceiro no ser efetivo.
Descrio do processo
A principal entrada deste processo a necessidade que a empresa possui de determinar os custos operacionais da TI e a necessidade da TI de recuperar esses custos por meio de alguma forma de cobrana. As principais sadas so a determinao dos custos dos servios prestados pela TI, a sua contabilizao e a sua cobrana. As atividades deste processo so: Realizar a oramentao dos servios de TI. Realizar a contabilizao dos servios de TI. Realizar a cobrana dos servios de TI.
143
AULA
Atividade 5
Quantidade de servios para os quais o custo foi denido. Quantidade de servios para os quais h contabilizao. Quantidade de servios para os quais se realiza cobrana.
INTEGRAO DOS PROCESSOS DE ENTREGA

Se algum lhe perguntasse por onde comear um projeto de implantao da ITIL, o que voc responderia? A primeira coisa que voc deveria responder que no se implanta a ITIL. A ITIL um conjunto de livros, cada um deles com informaes sobre como melhorar o gerenciamento de servios de TI atravs da criao, implantao e melhoria de processos. Assim, o mximo que se pode dizer que o projeto seria de criao de processos para o gerenciamento efetivo de servios de TI com base nas boas prticas da ITIL. Ou ento, que o projeto seria o de melhoria dos processos j existentes na organizao por meio da utilizao de prticas recomendadas pela ITIL. Enm, qualquer coisa, menos implantar a ITIL. A gente implanta um servidor, um procedimento etc. Bem, mas por onde comear, anal? Normalmente as empresas tendem a comear pelos processos de suporte a servios, pois eles iro garantir a sustentao do que j est em operao na empresa. Com o tempo, o amadurecimento desses processos far com que a equipe de TI consiga colher benefcios advindos da organizao por processos. Os incndios do dia a dia comeam a diminuir devido ao maior compartilhamento de informaes e ecincia na aplicao das solues. Os problemas comeam a ser menos comuns, pois as falhas na infraestrutura so identicadas e erradicadas. A quantidade de retrabalho diminui, pois as mudanas acontecem somente quando agregam valor real empresa e, nesses casos, sua concretizao na infraestrutura acontece da forma adequada. A partir deste ponto a empresa pode comear a se perguntar: O.K. E agora, o que podemos fazer para melhorar ainda mais? Como ns j vimos, existem muitos caminhos. Ela certamente vai precisar aumentar a qualidade dos servios sempre. Porm ns sabemos que isso tem um preo que deve ser comparado com o retorno que a empresa obtm.
responder? Ser que ele dir algo como: Eu no posso car sem este servio e ponto nal? Perceba que isso signica TMPR igual a zero, o que implica redundncia total em todos os servios! No s redundncia total, mas tambm a garantia de que a redundncia implementada tambm no falhar em hiptese alguma. Sabemos que, pela "Lei de Murphy", impossvel dar tal garantia. Normalmente os projetos de implantao de processos de gerenciamento de servios de TI baseados na ITIL v2 abordaram em sua primeira fase os processos de gerenciamento de incidente, problema, congurao, mudana e liberao, mais o processo de gerenciamento de nvel de servio. Algumas empresas pararam por a. Outras seguiram adiante, implementando um processo para gerenciamento da capacidade e da disponibilidade nas fases seguintes. Algumas abordaram tambm o gerenciamento da continuidade nessa segunda fase de construo e amadurecimento dos processos. Como o gerenciamento da continuidade se ocupa de questes que dicilmente podem car restritas ao ambiente de TI, normalmente a elaborao de um plano de continuidade pela TI trocada pela elaborao de um plano de continuidade para a organizao. Em alguns casos, o esforo por melhorar os processos de gerenciamento de servios de TI traz essa questo tona pela primeira vez na empresa. Em outros casos, a empresa j possui um plano de continuidade, que apenas adaptado para abordar tambm as questes de TI ou revisado para que tais questes sejam abordadas de maneira aderente s boas prticas que esto sendo implantadas. Um ponto em comum na maioria dos casos o fato de que a maior parte das organizaes no implantou o gerenciamento nanceiro da TI ou adequou alguma funcionalidade j existente nas reas nanceiras da organizao para mensurar os custos da TI. Nesses casos, alguns benefcios se tornam muito mais difceis, como o controle da demanda atravs da cobrana nocional, tal como vimos quando discutimos o gerenciamento nanceiro.
145
AULA
quanto tempo ele pode car sem o servio XYZ, o que voc acha que ele
Se voc perguntar a um usurio de TI tpico na sua empresa
CONCLUSO
Esta foi a ltima aula sobre a verso 2 da ITIL. Nela ns lidamos com questes como a qualidade dos servios prestados e o custo desses servios. A ideia mais importante desta aula a de que a losoa da ITIL prega que todo servio tem um custo que deve ser determinado pelo provedor e esse custo deve ser recuperado na forma de benefcios para o usurio e para a empresa, ou seja, a relao custo-benefcio dos servios muito importante. Observe que, no fundo, todos os processos de entrega giram em torno desta ideia. Eles so orientados a determinar quais so as necessidades da empresa, se as necessidades esto sendo atendidas e, principalmente, qual o custo de atender demanda atual e qual ser o retorno obtido com isso. O clculo da demanda aparece na forma de requisitos de qualidade, disponibilidade, capacidade e continuidade dos servios. O gerenciamento nanceiro explicita esses custos na forma de valores monetrios e, dependendo do caso, cobra por esses servios. Ficou claro? Caso ainda restem dvidas, no deixe de participar do frum e de realizar as atividades online, pois ambos iro reforar estas ideias.
INFORMAES SOBRE FRUM Vamos trocar informaes sobre os processos de entrega de servios de TI apresentados aqui? Acesse o frum da semana. Ttulo: Entrega de servios de TI na prtica. Objetivo: Identicar e avaliar empresas que utilizam processos de entrega baseados na verso 2 da ITIL. Essas empresas tm se beneciado das boas prticas? Quais vantagens e benefcios elas alcanaram? Vamos tambm identicar e avaliar empresas que no possuem nenhum processo formal para entrega de servios de TI. Que problemas essas empresas esto enfrentando? Elas esto tentando melhorar? Como?
Atividade online
C Como implementar os processos de entrega de servios em uma empresa? V 6 sala de aula virtual e resolva a atividade proposta pelo tutor. O objetivo da atividade determinar como os processos de entrega de servios poderiam ser implementados na sua empresa. Lembre-se de que, embora a implementao dependa de vrios fatores, as principais funes de cada um dos cinco processos de entrega de servios de TI devero ser garantidas.
RESUMO
Os processos de entrega de servios de TI so: gerenciamento de nvel de servio, gerenciamento da capacidade, gerenciamento da disponibilidade, gerenciamento da continuidade e gerenciamento nanceiro da TI. mais adequado dizer que os processos de entrega de servios de TI possuem um foco maior em atividades tticas e no que eles so essencialmente processos tticos. O gerenciamento de nvel de servio dene quais so os servios prestados pela TI atravs do catlogo de servios. O gerenciamento de nvel de servio dene quais so os requisitos para os servios prestados pela TI por meio dos requisitos de servio. O gerenciamento da capacidade determina a capacidade do provedor de TI para oferecer os servios do catlogo de servios, de acordo com os requisitos de servio estabelecidos pelos usurios. O gerenciamento da disponibilidade determina ndices como TMEF, TMEI e TMPR para os servios prestados pela TI. O gerenciamento da continuidade se preocupa com questes que podem afetar de uma vez s vrios servios da TI, fazendo com que a empresa possa ter que fechar as portas por no conseguir reagir em tempo hbil. O gerenciamento nanceiro procura determinar os custos da operao da TI e recuperar esses custos atravs da cobrana pelos servios. Essa cobrana pode ser real ou nocional.
147
AULA

Na prxima aula vamos continuar falando da ITIL, porm, iremos tratar da nova verso da biblioteca: a verso 3, publicada em 2007! Especicamente nessa aula, alm de apresentar os principais conceitos relacionados nova losoa de abordagem presente na ITIL v3, tambm estudaremos os processos de estratgia de servios de TI e de desenho de servios de TI. Aproveite os conhecimentos adquiridos at aqui e at a prxima aula!
Atividades Finais
1) Uma organizao deseja passar a utilizar funcionalidades de videoconferncia e telepresena em sua rede local. Alguns analistas informam que, em decorrncia do volume de dados, ser necessrio realizar um upgrade da largura de banda da rede. Qual processo responsvel pela aprovao do aumento na largura de banda? a. Gerenciamento de problema. b. Gerenciamento de disponibilidade. c. Gerenciamento de mudana. d. Gerenciamento de capacidade. 2) Qual das opes NO elemento do gerenciamento da disponibilidade? a. Tempo mdio entre falhas. b. Conabilidade. c. Condencialidade. d. Sustentabilidade. 3) Qual das opes NO elemento do gerenciamento nanceiro da TI? a. Oramentao. b. Contabilizao. c. Cobrana. d. Negociao.
a. Maior redundncia de plataforma. b. Menor nmero de falhas. c. Maior robustez do hardware. d. Menor tempo para recuperao. 5) (Analista do MPE-SE FCC/2009) Um dos objetivos do processo de Gerenciamento de Continuidade dos Servios de TI estabelecidos no ITIL a. prever a necessidade de recursos adicionais de TI com antecedncia. b. identicar e remover erros do ambiente de TI. c. estabelecer procedimentos de avaliao de impacto das mudanas. d. planejar as medidas a serem tomadas em caso de contingncia. e. restaurar a operao normal dos servios de forma gil. 6) possvel ter problemas de disponibilidade por falta de capacidade? Explique em que o gerenciamento da disponibilidade diferente do gerenciamento da capacidade. 7) (Analista de Sistemas do CEHAP-PB CESPE/2009) Com relao ao modelo ITIL, assinale a opo correta. a. Para gerenciar incidentes, necessrio que os problemas sejam registrados de modo que seja possvel identicar suas causas e projetar tendncias. b. O gerenciamento de nveis de servio envolve avaliar o impacto das mudanas, apenas depois de implementadas, sobre a qualidade dos servios e os acordos de nveis de servio (SLA ). c. H uma inter-relao entre os processos de gerenciamento de problemas, incidentes e mudana e as funes de um service desk. d. O gerenciamento de mudanas envolve a aquisio de informaes sobre todos os componentes de infraestrutura e o gerenciamento de nveis de servio necessita identicar a associao entre componentes que auxiliam a entregar o servio para manter acordos de nveis de servio bem fundamentados. 8) (Analista de Controle Interno SAD-PE FGV/2009) No ITIL, um processo responsvel pela validao dos planos de contigncia e recuperao dos servios de TI aps a ocorrncia de acidentes. Nessa atividade, esse processo no trata apenas de medidas reativas, mas tambm de medidas proativas decorrentes de aes de mitigao dos riscos de ocorrncia de um desastre em primeira instncia. O processo descrito acima denominado: a. Gerenciamento de Falhas. b. Gerenciamento de Incidentes. c. Gerenciamento de Problemas. d. Gerenciamento da Continuidade dos Servios de TI. e. Gerenciamento da Disponibilidade dos Servios de TI.
149
AULA
4) Qual dos seguintes termos NO est associado sustentabilidade?
Respostas
1. Alternativa c. Normalmente todos os processos interagem entre si em vrias situaes, inclusive neste caso. Porm o processo responsvel pela aprovao da mudana o gerenciamento de mudana. 2. Alternativa c. Confidencialidade um conceito do processo de gerenciamento da segurana, que tratado em outro livro da ITIL v2. 3. Alternativa d. Negociao no um conceito do gerenciamento financeiro. 4. Alternativa b. Um servio sustentvel quando ele resistente (ou resiliente). Esse conceito est relacionado ao fato de que um servio consegue continuar operando mesmo que alguns de seus componentes falhem, ou, caso ele seja interrompido, suas caractersticas permitem que ele seja restabelecido rapidamente. O menor nmero de falhas no quer dizer necessariamente que o servio seja mais sustentvel (ele pode falhar muito, mas, dependendo da redundncia, o usurio nem notar as falhas). 5. Alternativa d. Restaurar a operao normal de forma gil no um objetivo do gerenciamento da continuidade. As outras alternativas se referem a outros processos. 6. Ambos os conceitos esto diretamente ligados, e a falta de capacidade pode obviamente gerar indisponibilidade. Porm, os conceitos so diferentes e os processos que lidam com ambos tambm o so. Ambos os processos lidam com demandas do usurio por mais recursos (maior disponibilidade ou maior capacidade). Ambos precisam avaliar o custo-benefcio para atender s demandas. Podemos ter o gerenciamento da capacidade identificando a necessidade real de aquisio de novos servidores (troca) e o gerenciamento da disponibilidade no recomendando a aquisio de servidores a mais (redundncia). Afinal, pode estar claro para a empresa que os servidores antigos no suportam mais os novos servios ( necessrio trocar); mas, por outro lado, pode estar claro que a demanda por disponibilidade 24/7 (24 horas por dia, sete dias por semana) no justificada pelas caractersticas do provedor de TI (se falhar, o suporte tomar as medidas cabveis). Por exemplo, uma empresa de varejo que atende ao pblico fisicamente (apenas) em suas lojas de departamentos e s funciona de segunda a sexta em horrio comercial no precisa de disponibilidade 24/7 (mas precisa de alta disponibilidade durante o horrio comercial). 7. Alternativa c. As outras alternativas misturam conceitos de dois ou mais processos sempre de maneira incorreta. 8. Alternativa d. Decorre diretamente da teoria sobre o processo de gerenciamento da continuidade.
ITIL v3 evoluo focada no ciclo de vida do servio de TI parte 1
Meta da aula
Explicar ITIL v3 e suas diferenas com relao ITIL v2.
objetivos

1 2
reconhecer as diferenas entre a ITIL v3 e a ITIL v2; explicar os processos do livro Estratgia de servios de TI (Service strategy) na ITIL v3; explicar os processos do livro Melhoria contnua de servios de TI (Continual service improvement) na ITIL v3.
pr-requisito para esta aula ter atingido os objetivos das cinco primeiras aulas do curso que tratam do Planejamento Estratgico, da Governana em TI, da evolu o da ITIL e dos livros de entrega e suporte da ITIL v2.
AULA
Pr-requisito
| ITIL v3 evoluo focada no ciclo de vida do servio de TI parte 1
INTRODUO
Vrias vezes neste curso ns discutimos o conceito de melhoria contnua. Voc sabia que o conceito central da ITIL v3 a ideia da melhoria contnua dos servios? Bem, vamos ver nesta aula como isso foi implementado nos livros dessa nova verso.
Voc sabe qual a principal diferena entre a ITIL v2 e a ITIL v3? a abordagem baseada no servio prestado pelo provedor de TI e no seu ciclo de vida! Nessa nova abordagem os processos foram agrupados de forma mais interdependente e de acordo com o ciclo de vida do servio. Na verso de 2000, os processos podiam ser estudados de forma relativamente independente um do outro, o que gerava alguns erros de interpretao dos objetivos principais do gerenciamento de servios de TI. Vamos tratar dessas questes nesta aula.
Quando falamos que a ITIL v2 a verso mais antiga da ITIL, no estamos necessariamente dizendo que ela est ultrapassada. A verso 2 da ITIL continua rme e forte e, apesar da promessa de que a verso 3 a substituiria at o nal de 2008, ainda hoje (estamos terminando o ano de 2009) possvel realizar a prova de certicao em ambas as verses e vrios projetos comeam pela ITIL v2 ignorando a ITIL v3. Porm, como veremos adiante, isso no necessariamente um problema.
Figura 6.1: Ciclo de vida do servio versus livros da ITIL v3.
Recentemente a EXIN, uma das empresas homologadas pelo ITSMF res ponsvel pelos exames da ITIL v2 em todo o mundo, anunciou que a extino dos exames e de qualquer tipo de produto nesta verso, em todos os idiomas, est marcada apenas para 30 de junho de 2011! Voc pode obter mais informaes acessando o link: http://www.exin-exams. com/content/news/ogc-announces-timeline-for-withdrawal-of-itil-v2.aspx. Esse site foi acessado em 30 de dezembro de 2009.
Voc talvez pense que o fato de haver duas verses em uso de um mesmo conjunto de boas prticas torna o seu estudo muito confuso. Na realidade isso no acontece. Ns vamos ver nas prximas duas aulas que praticamente todo o contedo da ITIL v2 aparece na ITIL v3, e que esta nova verso, por sua vez, possui mais melhorias no que diz respeito losoa de abordagem do que no que diz respeito ao contedo propriamente dito. Obviamente, o contedo da verso 2 foi revisado, o que era o mnimo que se esperava aps sete anos de evoluo da verso 2, publicada em 2000, para a verso 3, publicada em 2007.
153
AULA
COMPARAES ENTRE A ITIL V2 E A ITIL V3

Antes de comearmos a discutir o contedo da ITIL v3 propriamente dita, vamos tratar rapidamente das principais semelhanas e diferenas entre estas duas verses: a ITIL v2 e a ITIL v3. Em primeiro lugar, uma diferena bvia o fato de que a ITIL v2 possui sete livros e a ITIL v3 possui cinco livros. Voc deve estar pensando: Grande diferena! Desde quando a quantidade de livros tem a ver com a qualidade do seu contedo? Ora, sabemos que no tem mesmo. Porm, nesse caso, tal fato que em princpio seria irrelevante, nos remete a duas consideraes importantssimas: O nmero de livros da verso 3 (cinco) foi denido estrategicamente para que cada um dos livros representasse um dos cinco estgios do ciclo de vida do servio: (i) denio das estratgias de servio; (ii) desenho e planejamento do servio; (iii) transio e liberao do servio; (iv) gerenciamento da operao do servio; (v) melhoria contnua do servio. Ao contrrio do que aconteceu com a ITIL v2, os livros da ITIL v3 foram feitos para serem interdependentes. Embora esse pensamento sempre tenha existido, a forma com que os livros foram escritos na verso de 2000 no contribua para isso e prticas indispensveis para os projetos na ITIL v2 foram deixadas de lado (o que causou o insucesso de vrios deles). Voc deve se lembrar que nas aulas em que estudamos a ITIL v2 apenas dois de seus sete livros foram estudados. Estudar apenas os livros Entrega de servios de TI e Suporte a servios de TI, deixando de lado os outros livros da ITIL v2, se tornou uma prtica de praxe adotada em todo o mundo. Voc deve estar tentando relembrar quais eram os outros cinco livros e de que eles tratavam exatamente. Pois bem, a prxima seo discutir esses livros. Vamos no s relembrar quais eram os outros cinco dos sete livros da ITIL v2, mas tambm explicar alguns conceitos importantes que ainda no foram vistos e que serviro de base para voc entender como a ITIL v3 foi desenvolvida. Adiantando, alm dos livros com processos de entrega e processos de suporte, os outros cinco livros da verso 2 eram: Gerenciamento da
(Security management), Perspectiva do negcio (The business perspective), Gerenciamento de aplicaes (Application management ) e Planejamento para a implementao do gerenciamento de servios (Planning to implement service management).
OS OUTROS CINCO LIVROS DA ITIL V2 Gererenciamento da infraestrutura de TIC (ICT infrastructure management)
Como a ITIL nasceu na Europa (especicamente na Inglaterra), ela tratava TI e telecomunicaes como duas coisas distintas o que, no nal da dcada de 1990, j no fazia mais tanto sentido. O livro Gerenciamento da infraestrutura de TIC tratava de tudo o que tinha a ver com o gerenciamento de servios relacionados s comunicaes, ou seja, que no estivesse dentro do contexto da TI. Como j tivemos a oportunidade de discutir, com a chamada convergncia digital, est cada vez mais difcil se fazer tal distino. De qualquer modo, no precisamos nos aprofundar tanto nessa discusso semntica. Vale ressaltar que hoje existe um padro denominado eTOM que se enquadra melhor no contexto do gerenciamento de servios no setor de telefonia e comunicaes mveis. Vamos falar um pouco desse padro em nossa ltima aula. Vale lembrar ainda que a ITIL v3 no utiliza mais essa terminologia e no possui mais esse livro. eTOM
um acrnimo para mapa avanado de operaes de telecomunicaes (em ingls, Enhanced Telecom Operations Map). Ele um padro criado por empresas do setor de Telecomunicaes (fabricantes e operadoras de telefonia) que dene processos para a prestao de servios nessa rea. Podemos dizer que o eTOM est para o setor de Telecomunicaes assim como a ITIL est para o setor de Tecnologia da Informao. Voc pode obter maiores informaes sobre o eTOM em http:// www.tmforum.org. Esse site foi acessado em 30 de dezembro de 2009.
O que a chamada convergncia digital? Embora no haja uma denio formal para tal expresso, existem alguns consensos. Um deles relacionado ao fato de que a convergncia digital dene o fenmeno da convergncia de mdias e meios de acesso informao digital. Convergncia de meios a partir do momento que cada vez mais simples estar conectado a partir de qualquer lugar e a todo momento. Isso pode acontecer atravs dos acessos tradicionais (discado, linha privada, via cabo etc.), atravs da rede celular 3G, via satlite, via redes WiFi e WiMax ou mesmo via rede de energia eltrica, haja vista que o padro PLC (Power Line Communication) foi recentemente homologado no Brasil. A convergncia de mdias acontece quando a informao em si passa a ser gerada por todos (mquinas digitais, lmadoras etc.) e compartilhada por todos atravs das redes sociais (Twiter, Facebook, You tube, etc.) e outras ferramentas colaborativas (blogs, Emule, Kazaa etc.).
155
AULA
technology infrastructure management), Gerenciamento da segurana
infraestrutura de TI e comunicaes (Information and communication
Gerenciamento da segurana (Security management)

Segurana da informao? isso mesmo. A ITIL tambm falava desse assunto desde a verso 2! Mas, quem um dia chegou a estudar segurana da informao por esse livro? Quase ningum. Costuma-se dizer que essa uma das reas em que a ITIL pouco contribuiu com algo novo, uma vez que j existiam vrios padres, normas etc., escritos sobre o assunto. Desse modo, qual foi a abordagem na ITIL v3 com relao ao tema? Ora, agora o assunto Gerenciamento da segurana deixou de ser estudado em um livro inteiro da ITIL para ser um processo dentro do livro Desenho do servio. Pareceu ser bem mais adequado deixar claro que obviamente a segurana faz parte do contexto Gerenciamento de servio de TI, mas que a ITIL v3 no possui a pretenso de esgotar o assunto em um livro inteiro (deixando isso para normas como a ISO 27000, por exemplo).
Perspectiva do Negcio (The business perspective)

Lembra-se do ttulo deste curso? Lembra-se de tudo o que falamos a respeito nas duas primeiras aulas? Pois bem. A ITIL sempre quis tornar o pensamento da Governana em TI uma realidade em nossa rea. Porm, pelos motivos que j discutimos, esse foi um dos livros que mais rapidamente foram esquecidos. No era raro ouvir (e ainda no ) muitas pessoas dizerem: Ah, este livro da ITIL v2 mais indicado para os diretores, presidentes e CIOs das empresas. Os livros importantes mesmo so os livros Entrega de servios de TI e Suporte a servios de TI. Enm, nunca demais repetir aquilo que o nosso mantra nesse curso: o prossional de TI precisa, cada vez mais, estar ciente de que ele presta um servio e todo servio deve agregar valor ao negcio. A despeito de sua funo na empresa (seja ela mais operacional, ttica ou estratgica), preciso que ele construa uma viso sistmica, ou seja, que entenda as diversas perspectivas sob as quais o servio concebido, prestado e usado. Esse era o objetivo do livro Perspectiva do negcio quando ele foi escrito. Alm disso, este livro tambm tratava de questes como parcerias e terceirizaes
Figura 6.2: Estratgias de negcio.
Fonte: http://img.efetividade.net/img/
(outsourcing, body shop etc.).
Voc sabe a diferena entre body shop e outsourcing? Outsourcing, como sabemos, sinnimo de terceirizao. A prtica de body shop no recente e hoje o mercado utiliza uma expresso especca para essa prtica. Trata-se da situao em que prossionais so alocados no cliente e so gerenciados por ele em projetos ou operaes do dia a dia. A rigor, contratado um nmero especco de horas de um prossional com um determinado perl, mas o escopo do trabalho em que ele estar envolvido no denido a priori. Essa prtica facilita a contratao de mo de obra sem que o escopo do trabalho seja conhecido antecipadamente (como nas contrataes a preo xo) e tambm elimina do contratante o compromisso de longo prazo e encargos sociais de uma contratao em regime CLT. Vale ressaltar que, nesse caso, h uma relao contratual entre as duas empresas e que o prossional alocado dever possuir um vnculo empregatcio com uma delas (a que fornecedora de prossionais em regime body shop).
Gerenciamento da aplicao (Application management)

Note que este contedo estava muito prximo do contedo de alguns livros que tratam de engenharia de software, especicao de requisitos, gerenciamento de projetos de software, aquisio de aplicaes de software, implantao e integrao de sistemas. Novamente, no foi nesse livro que tais informaes passaram a ser conhecidas pelo mundo. Muita coisa j havia sido escrita sobre o tema de forma bem mais aprofundada. De maneira semelhante ao que aconteceu com o livro Gerenciamento da segurana, o livro Gerenciamento da aplicao foi transformado em processos (mais de um, nesse caso) diludos no livro Transio do servio da ITIL v3.
Planejamento para a implementao do gerenciamento de servio (Planning to implement service management)

Questes como recursos necessrios, alinhamento dos servios de TI com as metas de negcio, abordagem escolhida para a implementao dos processos, eram tratadas nesse livro. Qual a melhor forma de se conduzir o esforo para a criao ou melhoria de processos de TI com base na ITIL ? Um bom caminho conduzir esse esforo na forma de um projeto, ou seja, com datas (incio, meio, m e principais marcos), denio de escopo, linha de base para o oramento etc. Esse livro, no fundo, pensava em tratar desse assunto, mas, para isso, j tnhamos na poca o PMBOK (ainda na segunda verso) que evolui muito no que diz respeito a essas questes. Hoje o Guia PMBOK est na sua

157
AULA
verso 4 (publicada em dezembro de 2008) e mais do que o suciente para lidar com tais questes. Enm, foi mais um livro que acrescentou pouco com relao a outros conjuntos de boas prticas que j tratavam do mesmo tema. Alm dos sete livros centrais, a ITIL v2 ainda possua livros secundrios que tratavam de questes especcas sobre um determinado setor ou sobre assuntos que, aps os lanamentos dos livros centrais, precisaram ser melhor esclarecidos em uma nova publicao. Mas como? A ITIL v2 no possua sete livros ento? No, ela possua sete livros principais (core) e vrios outros secundrios ou auxiliares. Lembre-se de que estamos falando de uma biblioteca de livros! Um exemplo de livro complementar da ITIL v2 era o livro intitulado Gerenciamento de ativos de software (Software asset management). Esse livro tratava da aquisio, distribuio e uso de software na organizao controlando verses, licenas e outras questes primordiais. Outro exemplo o livro intitulado Implementao da ITIL em pequena escala (ITIL small-scale implementation). Esse livro tratava da implementao da ITIL em empresas de pequeno porte e esclarece vrias dvidas sobre a losoa e objetivos mais importantes da ITIL v2. Por exemplo, era comum ouvir em ambientes pequenos de TI a ideia de que a ITIL no se adequava bem a contextos de pequeno porte, pois exigia implementaes que dependiam de softwares carssimos e de muito investimento em pessoal. Na verdade, no bem por a e o que faltava nesses casos era uma interpretao adequada da losoa do gerenciamento de servios de TI. Os objetivos a serem alcanados deviam ser sempre os mesmos em todas as empresas. Porm, a forma de se atingir tais objetivos podia (e devia) variar de organizao para organizao no s dependendo do seu porte, mas tambm de vrios outros fatores. Note que agora sim temos uma viso relativamente ampla do que realmente era a verso 2 da ITIL publicada em 2000. Desse modo, ns nalmente podemos iniciar a nossa discusso sobre os livros da ITIL v3 publicados em 2007.
Caso uma empresa precise iniciar hoje um projeto de criao ou de melhoria de processos para a rea de TI, qual verso da ITIL deve ser escolhida? Justique sua resposta com base nas diferenas entre as verses vistas nessa aula.
Resposta
O fato que, neste momento, no existe uma resposta absoluta e vlida em todos os casos. Embora a ITIL v3 v substituir a ITIL v2 em um futuro prximo, as empresas nada perdem em iniciar o projeto pela verso 2. Isso porque o contedo no mudou muito de uma verso para a outra. Porm, a forma de apresentao dos processos na verso 3 faz com que a filosofia da ITIL fique clara desde o incio da explicao dos processos. E a sim, no entender a filosofia central por trs da ITIL um erro grave e perigosssimo (independentemente da verso escolhida). Quantos profissionais j tiveram contato com a verso 2? E com a verso 3? Quantos ativos (livros, documentos, informaes, conhecimento etc.) a empresa possui que podem auxili-la na escolha? Enfim , caso nada direcione a empresa para uma verso, o aconselhvel obviamente manter todos os esforos voltados para a verso mais recente, haja vista que ela uma verso atualizada e reflete as filosofias de outros modelos de boas prticas, normas e padres de governana mais modernos.
O LIVRO ESTRATGIA DO SERVIO (SERVICE STRATEGY)

Este livro da ITIL v3 possui um forte apelo para o pensamento estratgico. O livro est no centro do ciclo de vida dos servios para deixar clara a ideia da necessidade de alinhamento estratgico que deve orientar todo o investimento feito pelo provedor de TI no provimento de servios aos usurios. Alguns tpicos-chave tratados nesse livro so a denio do custo e do valor agregado do servio (earned value), a necessidade de descrio de casos de negcio para cada servio (business case) e a denio de ativos de servio (service assets).
159
AULA
Atividade
Esse livro possui trs processos que discutiremos nesta aula, a saber: Gerenciamento Financeiro. Gerenciamento do Portflio. Gerenciamento da Demanda. Observe que tanto esse livro quanto o livro Melhoria contnua do servio deixam clara a ideia de que a adoo de processos para o provimento de servios de TI sempre deve acontecer visando Governana em TI. Isso signica que o pensamento da organizao deve estar voltado tanto para a eficincia quanto para a eccia e, alm disso, que deve ser garantido o alinhamento estratgico de todos os servios de TI com
Figura 6.3: Maximizao do retorno.
Fonte: http://www.penn-olson.com/wp-content/ uploads/2009/09/roi1.jpg
relao ao prprio negcio da empresa. Ns poderamos, para efeito de melhor enten-
dimento desses dois livros (foco maior dessa aula), dizer que o livro Estratgia do servio voltado para a ideia do alinhamento estratgico e que o livro Melhoria contnua do servio voltado para a ideia de ecincia e da eccia. Voc se lembra destes trs conceitos? Ns os estudamos nas duas primeiras aulas. Observe que um conceito novo que aparece nos processos de estratgia do servio o SLP, sigla em ingls para Pacote de Nvel de Servio (Service Level Package). Os SLPs renem os requisitos estratgicos de um servio. Esse pacote contm principalmente as necessidades de negcio (metas e objetivos) que sero atendidas pelo servio descritas ainda em um nvel macro, ou seja, menos detalhado. Os SLPs so gerados atravs da execuo dos processos do livro Estratgia do Servio.
Gerenciamento Financeiro
Lembra-se do processo Gerenciamento Financeiro do livro Entrega de Servios da ITIL v2? Pois bem, aqui est ele de novo. Esse processo visa a gerenciar o ciclo nanceiro de todo o portflio de servios de TI de forma a garantir a sua sustentao econmica. Permanecem como objetivos principais desse processo a oramentao dos servios levando em considerao o custo de todos os ativos envolvidos na prestao do servio, a denio de uma estrutura de agregao dos custos a ser
Na verso 3 da ITIL o ROI (Return Over Investiment) recebe uma ateno especial, pois ele precisa representar com a maior delidade possvel a relao entre os custos envolvidos na prestao dos servios e o valor que cada servio agrega ao negcio.
Gerenciamento do Portflio
Este um processo novo nesta verso. Pelo menos no era um dos processos tradicionalmente estudados nos livros Entrega de servios de TI e Suporte a servios de TI. Ele procura responder a questes como: quais so os servios que devem fazer parte da lista de servios prestados pela TI no curto, mdio e longo prazo? Quais servios devem ser otimizados? quais devem ser interrompidos? Esse processo formaliza a denio, a anlise, a aprovao e a ocializao de novos servios. Na prxima aula iremos explicar os processos Gerenciamento do catlogo de servios e Gerenciamento do nvel de servio. Nessa ocasio voc ir notar que esses dois processos esto muito ligados ao Gerenciamento do portflio. Porm, guarde desde j o conceito de que a perspectiva aqui mais estratgica e a perspectiva l ser mais ttico-operacional. Por conta disso, a ITIL v3 cita duas categorias de servio:
Servios de negcio
So aqueles denidos diretamente pelo negcio. Por exemplo, a implantao de servios de vdeo conferncia para diminuir custos com passagem area tendo em vista a restrio oramentria ocasionada por uma crise que afetou a demanda pelos produtos da empresa.
Servios de TI
So aqueles denidos para atender a demandas dos usurios. Por exemplo, o suporte aos usurios de uma sesso de vdeo conferncia para o seu estabelecimento, manuteno e encerramento. Note que a diferena bem sutil, mas, em alguns casos, pode ser necessrio empresa o gerenciamento desses dois tipos de servio de forma isolada. Na verdade, a partir dos servios denidos atravs
sigla de Retorno Sobre Investimento (em ingls, Return Over Investment). Embora tambm existam vrias denies, o fato que no existe uma formalizao aceita em todas as reas para o que seja ROI. De qualquer modo, a ideia bsica obviamente simples. Trata-se do retorno que a empresa obtm para o investimento que ela faz em algo. Muitos procuram denir uma frmula para computar os custos e os retornos com projetos ou operaes na empresa. Alguns custos vm na forma de aquisies de hardware e software, depreciao de equipamentos e instalaes, pagamento de pessoal e servios terceiros, encargos e impostos, premiaes, prejuzo imagem e marca etc. Alguns retornos aparecem na forma de aumento nas receitas, valorizao da imagem, aquisio de conhecimentos, habilidades e competncias (know how) etc. Uma regra geral que, em qualquer setor, o ROI deve considerar custos tangveis e custos intangveis. A chamada maximizao do ROI signica aumentar o retorno obtido sem, necessariamente, aumentar o investimento.
161
AULA
adotadas na organizao.
ROI
adotada para a sua contabilizao e as formas de cobrana a serem
do Gerenciamento do portflio que o Catlogo de servios ser gerado dentro do processo de Gerenciamento do catlogo de servios.
Gerenciamento da demanda
Lembra-se de que, quando estudamos o Gerenciamento da capacidade, ns dividimos aquele processo em trs subprocessos? Um desses subprocessos era o Gerenciamento da demanda, pois na ITIL v3 este subprocesso se tornou um processo isolado. A ideia aqui exatamente a mesma: gerenciar o ciclo de produo dos servios e o ciclo de demanda por servios a m de garantir um equilbrio entre ambos, o que extremamente necessrio para sustentar o negcio. A tcnica principal a mesma: combinar pacotes de servios customizados, cujas funcionalidades sejam adequadas a pers diferenciados de usurios ou a atividades especcas de negcio. Uma forma de regular oferta e demanda, como vimos, a cobrana diferenciada quando a demanda supera a oferta. Por exemplo, cobrar mais para os diretores que necessitem de suporte 24 horas por dia, sete dias por semana. A moral da histria que, se algum diretor necessita desse tipo de servio, os resultados que ele deve gerar por usar tais servios devem superar os custos da sua prestao diferenciada. Trocando em midos, se o custo de manter um suporte 24 horas no justicado por mais negcios fechados pelo diretor em questo, melhor no prestar tal suporte e solicitar ao diretor que trabalhe apenas em horrio comercial, j que as suas horas extras no tm necessariamente gerado maior receita para a empresa.
O LIVRO MELHORIA CONTNUA DO SERVIO (CONTINUAL SERVICE IMPROVEMENT)

Este livro contm a base losca da melhoria contnua que um conceito sobre o qual todos os processos de todos os livros da ITIL se sustentam (inclusive os prprios processos de melhoria contnua). A melhoria contnua reside no fato de que, sob as mesmas condies, a TI procura oferecer um servio cada vez melhor (ecincia operacional) e, sob condies diferentes, a TI procura adaptar a prestao do servio nova realidade, quer ela seja melhor, quer ela seja pior
suporte necessrio a todos os processos de negcio da empresa a um custo que possa ser suportado pelo negcio. Para tanto, preciso denir o que precisa ser medido na forma de indicadores, estabelecer formato e periodicidade de relatrios, planejar as operaes e projetos de TI de curto, mdio e longo prazos, denir papis e responsabilidades, ou seja, em resumo, a melhoria contnua precisa acontecer na forma de processos, isto , com entradas, sadas e atividades bem denidas. Este livro possui dois processos que discutiremos nesta aula, a saber: Relatrio do servio. Medio do servio.
Figura 6.4: Relatrio corporativo.
Fonte: http://www.programaslivres.net/blog/wp-content/ uploads/2007/05/re
Relatrio do servio
No se pode melhorar o que no se pode medir e, obviamente, voc no mede algo de que voc no toma conhecimento. Os relatrios cumprem o papel de levar ao conhecimento dos interessados informaes relevantes sobre os servios prestados pela TI. A empresa deve estabelecer padres de relatrios assim como a sua periodicidade para cada servio.
Medio do servio
O gerenciamento parte do princpio de que a medio ser realizada. Os resultados das medies devem, na medida do possvel, reetir quantitativamente os benefcios para a organizao. Somente assim as decises sobre a manuteno ou no de um servio, ou mesmo a sua melhoria, podero ser tomadas com o embasamento desejado.
163
AULA
contexto, a TI precisa se esforar para fornecer o
(eccia estratgica). Enm, independentemente do
Identicar Viso. Estratgia. Objetivos Tticos. Objetivos Operacionais.
1. Denir o que voc deveria medir.
7. Implementar aes corretivas.
2. Denir o que voc pode medir.
Metas 6. Apresentar e usar a informao, sumrio de avaliao aes de planejamento. 3. Coleta de dados: Quem? Como? Onde? Integridade dos dados?
5. Anlise dos dados: Relaes? Tendncias? De acordo com plano? Alvos conhecidos? Aes corretivas?
4. Processamento de dados: Frequncia? Formato? Sistema? Preciso?
Figura 6.5: Melhoria contnua em sete passos.
A Figura 6.5 acima apresenta um esquema simplicado baseado no que foi proposto pela ITIL v3 para a execuo dos processos de melhoria contnua em sete passos. Terminamos ressaltando que a melhoria dos servios consomem recursos que, como sabemos, normalmente so quanticados com relativa simplicidade (somando o dinheiro que saiu do bolso do cliente). Na verdade, a quanticao dos custos do servio no to simples, pois deveriam entrar no clculo os custos diretos e os custos indiretos envolvidos. Por isso a ITIL dene um processo s para isso (o de gerenciamento nanceiro). Por outro lado, nem sempre os benefcios obtidos so tangveis e facilmente quanticveis. Isso leva geralmente a uma sensao de retorno abaixo do esperado, o que pode no condizer com a realidade dos fatos. Sendo mais claro, embora o cliente sempre tenha em mente um valor mirabolante para os custos dos servios prestados pela TI (pois algo sentido em seu bolso), ele geralmente no possui um valor muito claro e bem denido para o retorno obtido pela prestao de cada servio.
contnua em tudo o que ela faz (embora isso nem sempre seja verdade...). Voc deve notar que, antes de tudo, preciso haver um equilbrio fundamental entre os processos de estratgia do servio (portflio, nanceiro e demanda) e de melhoria contnua (relatrio e medio) para que haja a manuteno da relao custo-benefcio desejada. o resultado dessa combinao que chamamos de alinhamento estratgico.
Atividade
2
2 3
Explique como os processos do livro Estratgia de servios se integram no ciclo de vida dos servios de TI.
Resposta
Dentro do ciclo de vida do servio duas etapas so estratgicas: a prpria estratgia que escolhe o que importante de acordo com os objetivos e metas de negcio e a melhoria contnua que garante a eficincia e a eficcia. Ou seja, os servios escolhidos pelos processos de estratgia do servio de TI so especificados, entregues e gerenciados pelos outros processos da ITIL v3. Uma vez em operao, os processos de melhoria contnua garantem a melhoria na forma com que os servios so prestados. Seus processos interagem com os processos de estratgia a fim de identificar pontos de melhoria nos servios em operao (eficincia), novos servios que so necessrios ou at mesmo servios que so desnecessrios (eficcia). Perceba que a eficcia est intimamente ligada ao alinhamento estratgico.
165
AULA
sem comunicar o fato de que ela d a devida importncia melhoria
Por outro lado absolutamente nenhuma empresa aceita existir
CONCLUSO
Voc aprendeu nesta aula que a ITIL v3 evoluiu para tornar mais clara a ideia de que todo prossional de TI precisa ter uma viso estratgica do servio que ele presta, do usurio para o qual o servio prestado e do cliente que fornece os recursos para que o servio seja prestado. A ITIL v3 fortalece esse vnculo apresentando os seus livros de forma intimamente ligada ao ciclo de vida do servio que abrange, inclusive, o conceito de melhoria contnua na sua prestao. A ITIL v3 ir substituir totalmente a ITIL v2? Sim. Talvez esteja demorando um pouco mais que o esperado em virtude da reatividade natural com relao mudana. Esperamos que voc tenha percebido que a reatividade , de certa forma, injusticada uma vez que o contedo da ITIL v2 e da ITIL v3 se equivalem. Apenas a nova abordagem escolhida se tornou mais fortemente ligada losoa que a ITIL sempre teve. Em outras palavras, a empresa que comeou pela ITIL v2 entendendo a sua losoa central (foco na prestao do servio para o usurio de acordo com as estratgicas organizacionais) no ter absolutamente nenhuma diculdade em se adaptar rapidamente ITIL v3. Por outro lado, a empresa que estiver comeando um projeto de construo de processos para o melhor gerenciamento de servios de TI, no ter mais diculdade escolhendo a nova verso de que teria se escolhesse a antiga. A nica diculdade real o fato de que existe menos informao disponvel sobre a ITIL v3 do que sobre a ITIL v2. Mas esse problema vai diminuir gradativamente na medida em que a adoo da verso mais recente da ITIL for acontecendo, no mesmo?
INFORMAES SOBRE O FRUM.

Vamos trocar informaes sobre os processos dos livros Estratgia do servio e Melhoria contnua? Acesse o frum da semana. Ttulo: Estratgia e melhoria contnua da TI na prtica. Objetivo: At agora tanto o conceito de estratgia quanto o conceito de melhoria contnua foram bastante discutidos. Desde as primeiras aulas estamos girando em torno desses assuntos sob diferentes nuances. Agora acabamos de ver que a evoluo da ITIL culminou na elaborao de um livro para cada um desses conceitos. Voc consegue denir uma maneira de se utilizar as ferramentas vistas nas primeiras aulas para a construo dos processos vistos nessa aula? Acesse o nosso frum, pois iremos aprofundar essas ideias.
Atividade online
Existem ferramentas que ajudam a implementar os processos dos livros 2 3 Estratgia do servio e Melhoria contnua? V sala de aula virtual e resolva a atividade proposta pelo tutor. O objetivo da atividade exemplicar pelo menos uma forma de, na prtica, implementar os processos desses livros na sua empresa. Lembre-se de que tal implementao depende de vrios fatores e que o objetivo dessa atividade que cada um encontre uma resposta mais adequada para a sua realidade na sua organizao.
RESUMO
A ITIL v3, publicada em 2007, possui cinco livros que foram escritos para se encaixarem perfeitamente no ciclo de vida dos servios de TI. Os cinco livros da ITIL v3 so: Estratgia do servio; Desenho do servio; Transio do servio; Operao do servio; e Melhoria contnua do servio. Segundo a ITIL v3, o ciclo de vida do servio de TI composto por: (i) denio das estratgias de servio; (ii) desenho e planejamento do servio; (iii) transio e liberao do servio; (iv) gerenciamento da operao do servio; e (v) melhoria contnua do servio. A ITIL v2, publicada em 2000, possua, alm dos livros Entrega de servios e Suporte a servios, outros livros que nunca foram muito estudados. Um dos objetivos principais da ITIL v3 foi fazer com que o estudo das boas prticas de Gerenciamento de Servios de TI no deixasse de considerar questes importantes do planejamento estratgico e por isso ela tornou os livros e seus processos muito mais interdependentes do que eram na ITIL v2. O livro Estratgia do servio possui trs processos com forte apelo para o pensamento estratgico e est no centro do ciclo de vida dos servios. Esse livro est mais ligado ao conceito de alinhamento estratgico. O livro Melhoria contnua do servio possui dois processos que visam a oferecer um servio cada vez melhor ( eficincia operacional ) e adaptar a sua prestao s variaes do ambiente de negcios (eccia estratgica).
167
AULA

Na prxima aula vamos continuar falando da ITIL v3, porm, iremos tratar dos outros trs livros desta verso: os livros Desenho do servio, Transio do servio e Operao do servio! Nessa aula vamos explicar cada um dos 18 processos divididos nesses livros. Veremos que alguns processos j estudados na verso 2 foram divididos em mais de um processo na verso 3 e outros foram apenas revisados e atualizados. Porm, o que h de novo anal? Bem, veremos na prxima aula que h sim alguns detalhes que merecem maior ateno. At l!
Atividades Finais
1. Um diretor de TI discute com sua equipe questes de melhoria na TI. Alguns dizem que todos os processos devem ser melhorados, outros dizem que apenas aqueles considerados mais importantes devem receber investimentos. O diretor diz que a deciso no deve ser tomada segundo critrios emocionais, mas sim com base no processo que cuida justamente desse tipo de deciso. Qual o processo em questo? a. Gerenciamento nanceiro. b. Gerenciamento do portflio. c. Gerenciamento da demanda. d. Perspectiva do negcio. 2. O livro ______________________est diretamente relacionado ao fato de que, sob as mesmas condies, a TI ir procurar sempre oferecer um servio mais ___________, ou seja, fazer a mesma coisa com menos recursos e mais ___________, ou seja, fazer o que precisa ser feito para atingir as metas da empresa. Qual alternativa preenche corretamente as lacunas acima? a. Melhoria contnua eciente ecaz. b. Melhoria contnua ecaz eciente. c. Estratgia do servio eciente ecaz. d. Estratgia do servio ecaz eciente. 3. O livro _______________________ possui foco mais voltado para o __________________ e est no centro do ____________________ dos servios para deixar clara a ideia da necessidade de direcionar e justicar todo o investimento feito no provimento de servios de TI. Qual alternativa preenche corretamente as lacunas acima? a. Melhoria contnua alinhamento estratgico ciclo de vida. b. Melhoria contnua ciclo de vida alinhamento estratgico. c. Estratgia do servio alinhamento estratgico ciclo de vida. d. Estratgia do servio ciclo de vida alinhamento estratgico. 4. Nesta aula foram discutidos os contedos dos livros da ITIL v2. Explique qual foi o objetivo dessa discusso e o que ele tem a ver com o contedo da ITIL v3. 5. Quando se explicam as diferenas entre a ITIL v2 e a ITIL v3, uma diferena principal sempre citada. Cite e explique essa diferena. 6. (Analista de Finanas e Controle da CGU ESAF/2008) A ITIL Information Technology Infrastructure Library composta por um conjunto das melhores prticas para a denio dos processos necessrios ao funcionamento de uma rea de TI. Os objetivos da ITIL so: a. denir os processos a serem implementados na rea de TI. b. fornecer um guia para o planejamento de processos padronizados, funes e atividades para os integrantes da equipe de TI. c. permitir o mximo alinhamento entre a rea de TI e as demais reas de negcio da organizao. d. tornar-se uma referncia para as organizaes que necessitam de informaes para a melhoria do Gerenciamento de Servios de TI. e. aumentar a qualidade e diminuir o custo alocado dos servios de TI.
169
AULA
7. Na ITIL v3 so preocupaes da etapa de estratgia de servio e da etapa de melhoria contnua do servio, respectivamente: a. Gerenciamento do portflio de TI e gerenciamento da demanda por servios de TI. b. Medio e controle de processos e realizao de relatrios de desempenho. c. Gerenciamento do portflio de TI e medio e controle de processos. d. Medio e controle de processos e gerenciamento nanceiro da TI. e. Realizao de relatrios de desempenho e gerenciamento da demanda por servio.
Respostas
1. Alternativa b. o processo Gerenciamento do portflio o responsvel por lidar com as questes relacionadas a quais projetos e processos operacionais devem fazer parte do portflio da TI. 2. Alternativa a. O livro Melhoria contnua possui processos voltados para a busca da eficincia e da eficcia a despeito das mudanas de mercado que possam afetar a empresa. A questo tambm evoca a definio de eficincia e eficcia, to discutida neste curso. 3. Alternativa c. O livro Estratgia do Servio lida com o alinhamento estratgico, ou seja, tudo que se faz precisa trazer um retorno para a empresa. Esse livro est no centro da verso 3 ITIL. 4. Os contedos dos livros da ITIL v2 foram discutidos para que as novidades da ITIL v3 sejam mais bem interpretadas. Na verdade, muito do que citado como novo na verso 3 no tem nada de novo, pois j eram assuntos abordados na verso 2, porm naqueles livros no chegaram a ficar famosos. O principal objetivo da discusso mostrar que, embora muitos assim digam, a ITIL v3 no possui grandes modificaes no seu contedo central. 5. A diferena bsica est na abordagem, que agora privilegia todo o ciclo de vida dos servios. Embora boa parte do contedo seja o mesmo, a forma com que os processos da ITIL v3 so apresentados faz com que o seu estudo seja, obrigatoriamente, voltado para a prestao do servio. Isso traz benefcios bvios e um dos principais o fato de que relativamente difcil estudar um dos livros deixando outros de lado. Todo o contedo aparece intimamente relacionado na verso 3. 6. Alternativa b. Questo interessante. Nunca esquea que a ITIL ajuda muito no alinhamento estratgico, mas este no o foco dela, mas, sim, o do COBIT. A ITIL um guia para o planejamento de processos (veja bem: ela um guia para o planejamento dos processos; no uma definio dos processos). 7. Alternativa c. Conforme visto nesta aula, os processos da etapa de estratgia do servio so 03: gerenciamento do portflio, gerenciamento financeiro e gerenciamento da demanda; os processos da etapa de melhoria contnua do servio so dois: medio e controle dos processos e relatrio de desempenho dos processos.
ITIL v3 evoluo focada no ciclo de vida do servio de TI parte 2
Meta da aula
Explicar ITIL v3 e suas diferenas com relao ITIL v2.
objetivos

1
explicar os processos de livro Desenho de servios de TI (Service Design) na ITIL v3; explicar os processos do livro Transio de servios de TI (Service transition) na ITIL v3; explicar os processos do livro Operao de servios de TI (Service operation) na ITIL v3;
pr-requisito para esta aula ter atingido os objetivos das cinco primeiras aulas do curso, que tratam do Planejamento Estratgico, da Governana em TI, da evolu o da ITIL e dos livros de entrega e suporte da ITIL v2.
AULA
Pr-requisito
Governana em Tecnologia da Informao | ITIL V3 - Evoluo focada no ciclo de vida do servio de TI
INTRODUO
J sabemos que boa parte dos processos da ITIL v2 per
manecem na ITIL v3 com pouca ou nenhuma adaptao,
porm, estes processos esto agora agrupados de uma forma totalmente diferente, sabe como? Vamos em frente entender como isso acontece.
Na aula passada, vimos as questes relativas estratgia e melhoria contnua dos servios na ITIL v3. Nesta aula, vamos estudar os processos reunidos nos livros tidos como os mais ttico-operacionais da ITIL v3. Observe que vale aqui a mesma ideia de dolivro entrega de servci da ITIL pode at possuir um foco maior em um determinado nvel organizacional, porm, o seu contedo escrito de forma que tudo se relacione de maneira sistmica. Assim, vamos tratar nesta aula dos livros Desenho do servio, Transio do servio e Operao do servio, uma vez que na aula passada foram abordados os livros Estratgia do servio e Melhoria contnua do servio.

Os processos em cada um destes livros renem, respectivamente, a ideia de especicar (desenho), planejar e entregar (transio) e manter (operao) o servio. E como tudo isso deve acontecer? Ora, a especicao, a entrega e a manuteno do servio devem acontecer de forma eciente e ecaz (foco d d do livro Estratgia do servio) garantindo o seu alinhamento estratgico (foco do livro Melhoria contnua)! Ou seja, tudo exatamente de acordo com os processos dos outros dois livros. Percebeu como os cinco livros se integram no ciclo de vida do processo?
e ideias centrais, por denio, precisam ser simples! Porm, como o foco da ITIL descrever tudo na forma de processos genricos que sirvam para qualquer tipo de provedor de servios de TI, o seu contedo s vezes no totalmente bvio e nem sempre interpretado adequadamente. Para que isso nunca acontea com voc, tenha sempre em mente que os cinco livros interagem da forma como descrevemos anteriormente.
O LIVRO DESENHO DO SERVIO (SERVICE DESIGN)

O foco dos processos deste livro abordar todos os aspectos relevantes para a especicao do servio, ou seja, a denio de como ele deve ser. Descrever como um servio deve ser abrange denir os seus requisitos de qualidade, os seus requisitos de capacidade e disponibilidade alm dos aspectos de continuidade e de segurana da informao. nestes processos que as arquiteturas e padres so denidos de acordo com as metas estratgicas escolhidas para o servio nos processos de estratgia do servio. Os processos de desenho abordam todos os processos do livro de entrega de servios da ITIL v2, com exceo do gerenciamento nanceiro, que na verso 3 passou a ser um processo de estratgia do servio. Alm disso, dependendo de todos estes fatores, a anlise da necessidade de aquisio externa versus desenvolvimento interno (make or buy analisys) e do gerenciaFigura 7.1: Especicao do servio.
mento da cadeia de fornecimento (supply chain management) se tornar muito mais (ou muito menos) crtico. Este livro possui sete processos que discutiremos nesta aula, a saber: Gerenciamento do catlogo de servios. Gerenciamento do nvel de servio. Gerenciamento da capacidade. Gerenciamento da disponibilidade. Gerenciamento da continuidade. Gerenciamento da segurana da informao. Gerenciamento de fornecedores.
173
AULA
ITIL parece bvio e simples, no mesmo? Mas essa mesmo a ideia central
Explicado desta forma, o relacionamento entre os cinco livros da verso 3 da
Vale lembrar ainda que o livro Desenho do servio leva em considerao no somente os aspectos tecnolgicos, mas tambm aspectos relacionados s pessoas e aos processos. Lembre-se de que um conceito importante das boas prticas da ITIL o trip formado por pessoas, processos e tecnologias. Um conceito novo e importante que aparece nos processos de especicao e desenho o SDP, sigla em ingls para pacote de desenho de servio (service design package). Os SDPs renem todos os requisitos operacionais de um servio de acordo com os requisitos estratgicos. Este pacote contm principalmente o escopo do servio conforme os requisitos de qualidade, capacidade e disponibilidade a serem atendidos. Os SDPs so gerados atravs da execuo dos processos do livro Desenho do servio.
Gerenciamento do catlogo de servios

Este processo resultado da diviso do processo Gerenciamento do nvel de servio do livro Entrega de servios da ITIL v2. O catlogo de servios deve garantir ao usurio uma fonte convel de informaes sobre os servios que so prestados pela TI e os servios que no so prestados. Este processo garante que estas informaes sejam geradas, documentadas e compartilhadas com os usurios.
Gerenciamento do nvel de servio

Este processo o prprio processo Gerenciamento do nvel de servio do livro Entrega de servio da ITIL v2 com um contedo menor, uma vez que o processo Gerenciamento do catlogo de servio foi denido em outro processo conforme vimos acima. Este processo deve lidar com o estabelecimento de todos os acordos entre o provedor de TI e as outras partes interessadas, tais como os acordos de nvel de servio (ANS), estabelecidos com os usurios, os acordos de nvel operacional (ANO), estabelecidos com fornecedores internos (outros departamentos da organizao dos quais a TI depende para prestar seus servios) e os contratos de apoio (CA), estabelecidos com fornecedores externos (terceirizados o parceiros).
Assim como na verso anterior, este processo visa a assegurar que a capacidade da infraestrutura de TI suciente para absorver todas as demandas atuais e futuras a um custo que possa ser suportado pelo negcio. De fato, o contedo deste processo em si permaneceu exatamente o mesmo com relao ao seu contedo na verso 2 da ITIL .
Gerenciamento da disponibilidade
Assim como na verso anterior, este processo visa a assegurar a disponibilidade, a conabilidade e a sustentabilidade dos servios. Assim como o gerenciamento da capacidade, o contedo deste processo tambm permaneceu o mesmo com relao ao seu contedo na verso 2 da ITIL .
Gerenciamento da continuidade
Este processo visa a assegurar a continuidade do negcio tratando de questes de continuidade, contingncia e recuperao de desastres. Na ITIL v3 so feitas consideraes sobre o plano de derenciamento da continuidade da organizao e o plano de gerenciamento da continuidade dos servios de TI. Embora sempre no seja novidade que ambos os planos esto diretamente relacionados, pois as aes de continuidade (reativas ou proativas) podem ser as mesmas independentemente do setor da empresa, a ITIL v3 resolveu formalizar isso tambm, ou seja, se a empresa possui um plano de gerenciamento da continuidade, o trabalho deste processo deve se limitar a analisar este plano e vericar quais questes especcas da TI no foram abordadas. O conselho que elas sejam inseridas neste plano maior da empresa e no que seja desenvolvido um plano de gerenciamento da continuidade especco para a rea de TI. Isso deve ser feito, repetimos, por causa do carter universal da maioria das aes deste tipo de plano.
Gerenciamento da segurana da informao

Bem, poderamos muito bem comear este pargrafo da mesma forma dizendo que este processo no mudou desde a verso anterior, mas devemos antes lembrar que muitas pessoas dizem que a ITIL v2 no
175
AULA
Gerenciamento da capacidade
tratava da questo da segurana. Na verdade, como j ressaltamos em muitos casos, tratar ela tratava sim, porm, isso era feito em um livro parte e no em apenas um processo do livro Entrega de servios ou do livro Suporte a servios (que eram os nicos conhecidos). Enm, a ITIL v3 ressalta a questo da segurana da informao neste processo descrevendo os princpios de condencialidade, integridade e disponibilidade, a segurana de hardware e de software, a documentao dos processos etc. Convenhamos que no bem por conta da ITIL que conclumos que a segurana da informao importante. Talvez a novidade aqui seja o fato de que, segundo a ITIL , a segurana tambm deve ser abordada na forma de processo. Na verdade, a esta altura do curso, creio que isso (o fato de que quase tudo na ITIL acontece na forma de processo) tambm no lhe seja nenhuma novidade.
ISO 20000
uma da norma ISO publicada em 2005. Ela foi originada da BS 15000 que uma norma britnica publicada em 2003. Na verdade, a norma ISO foi originada da norma BS (British Standard) que, por sua vez, se originou da verso 2 da ITIL . Ou seja, a ISO 20000 trata do gerenciamento de servios de TI, assim como na ITIL , porm, na forma de requisitos e no na forma de boas prticas. Ela fortemente baseada em processos e tem como losoa principal a melhoria contnua conforme o ciclo PDCA.
Voc sabe quais so os princpios bsicos da segurana da informao? A condencialidade, a integridade e a disponibilidade so sempre citados como princpios bsicos. Garantir a condencialidade garantir que somente usurios legtimos tero acesso informao. Garantir a integridade garantir que a informao no ser alterada de forma indevida. E, nalmente, garantir a disponibilidade garantir que a informao estar acessvel nos momentos em que ela for necessria. Alm disso, costuma-se listar outros dois princpios bsicos, que so a autenticidade (o autor da informao mesmo quem diz ser) e o no repdio (o sistema impede que o autor legtimo da informao negue a sua autoria). Outros princpios da informao so citados, porm, so menos comuns e mais especcos de algumas reas ou setores.
Gerenciamento de fornecedores
Do mesmo modo, engana-se quem diz que a ITIL no tratava deste assunto. Tratava, mas no nos livros consagrados de entrega e suporte. Tanto tratava que a ISO 20000 (que estudaremos resumidamente em nossa ltima aula) possua este processo claramente citado como fonte de alguns de seus requisitos (lembre-se de que a ISO 20000 era uma norma e, portanto, possua requisitos). Ns veremos ainda neste curso o que a ISO 20000 tem a ver com a ITIL .
os de TI. Note que imprescindvel que o provedor de servios de TI gerencie bem os seus fornecedores, caso contrrio, a falta de qualidade deles poder ter reexo direto no nvel de servio percebido pelo usurio. E, do ponto de vista do usurio, as causas da diminuio do nvel de servio no importam muito. Para eles, o importante se os servios que constam no catlogo de servios esto ou no esto disponveis e se atendem ou no atendem os nveis combinados.
Atividade
1
1
Explique como os processos do livro Desenho do servio se integram no ciclo de vida do servio de TI.
Resposta
Estes processos tm como funo principal fornecer as especificaes necessrias para criar ou modificar servios de acordo com as metas e objetivos almejados pela empresa. Assim, suas entradas so originadas, principalmente, nos processos do livro Estratgia do servio. J as suas sadas so direcionadas, principalmente, para os processos do livro Transio do servio, que tero como funo entregar os servios conforme as especificados.
O livro Transio de servio (Service transition)

Os processos de transio esto relacionados entrega dos servios necessrios ao negcio. Estes processos envolvem o planejamento mais detalhado do que foi especicado visando sua operacionalizao conforme sua denio pelos processos de desenho.
Figura 7.2: Transio do servio.

177
AULA
externos e dos contratos rmados com eles para a prestao dos servi-
Enm, este processo trata do gerenciamento dos fornecedores
Muitos dos processos visam a controlar e diminuir os riscos de fracasso e rompimento do objetivo principal do gerenciamento de servios de TI, que garantir que todos os servios estejam alinhados com as necessidades de negcio. Este livro possui seis processos que discutiremos nesta aula: Gerenciamento de mudanas. Gerenciamento da congurao e de ativos. Gerenciamento da liberao e implantao. Validao e testes do servio. Avaliao. Gerenciamento do conhecimento.
Nos processos de transio acontecem a elaborao dos planos de entrega e a execuo destes planos. Lembre-se d de que o planejamento feito apenas para viabilizar e entrega dos servios conforme as especicaes contidas en nos SDPs (que por sua vez devem atender aos SLPs). Lembre-se tambm de que os SDPs so gerados pelos processos de desenho e que os SLPs so gerados pelos processos de estratgia.
Gerenciamento de mudanas
Voc se lembra deste processo? Pois . Ele exatamente o mesmo e sua funo e contedo tambm. O gerenciamento de mudanas avalia e aprova as mudanas necessrias para entregar os servios de forma a atender aos requisitos de usurios e clientes.
Gerenciamento da congurao e de ativos

Bem, este processo apenas mudou de nome, mas continua tendo como objetivo principal a manuteno dos itens de congurao (IC) na base de dados de gerenciamento da congurao (BDGC). As mudanas foram sutis. Primeiro o nome do processe deixa claro, de uma vez por todas, que gerenciamento da congurao uma coisa e gerenciamento de ativos outra (embora ambos sejam to parecidos que possam ser tratados em um mesmo processo...).
mais o foco exclusivo do processo. O Gerenciamento da congurao e de ativos usa agora a expresso sistema de gerenciamento da congurao, ou seja, a palavra sistema nos remete ao software, ao hardware, aos procedimentos e a tudo mais que componha o sistema em questo. Observe que esta abordagem parece ser mais adequada, pois o termo BDGC parecia chamar mais a ateno para o banco de dados em si (o Oracle, o SQLServer, o MySQL etc.) do que para o sistema como um todo. Normalmente as explicaes na bibliograa nem mesmo citavam, por exemplo, as ferramentas de integrao com esta base de dados (softwares que, como j dissemos, podem custar centenas de milhares de dlares). A mudana valeu, no mnimo, para tornar as terminologias adotadas mais claras e congruentes.
Gerenciamento da liberao e implantao

Mais uma vez o mesmo processo, com uma mudana sutil no seu nome. Mudana sutil com o objetivo de esclarecer algo que parece no ter cado claro para alguns na ITIL v2. A liberao trata da implantao do servio na infraestrutura. Neste processo a palavra liberao signica o tratamento de mudanas autorizadas incluindo planejamento, desenho, construo, congurao e testes. J a palavra implantao signica implantao mesmo, ou seja, os passos para a efetivao da mudana continuam sendo os mesmos: planejamento, especicao, construo, congurao, testes e implantao. Exatamente o que signicava quando o processo se chamava somente Gerenciamento da liberao. Mas, no se sabe o porqu, alguns nunca entenderam que liberao tambm fazia aluso liberao de um produto de infraestrutura, tal como um novo servidor, roteador ou switch instalado. Para alguns, o processo Gerenciamento da liberao s se referia liberao de software... Enm, agora talvez que claro que o processo Gerenciamento da liberao e implantao trata da efetivao da mudana, seja ela qual for. No nal das contas, o processo o mesmo. Libera geral.
179
AULA
BDGC (base de dados de gerenciamento da congurao) agora no
A outra mudana, tambm sutil, o fato de que a nossa famosa
Validao e testes do servio

Uma coisa so os testes feitos pelo processo Gerenciamento da liberao e implantao. Outra coisa so os testes do servio j implantado. Este processo valida o servio implantado e realiza os testes necessrios. Era de fato algo que cava meio no ar na ITIL v2, mas que agora ca formalmente denido neste processo. Voc deve notar que qualquer organizao que entendesse a BUSINESS
INTELIGENCE
losoa e os objetivos de cada processo da ITIL v2 no deixaria de realizar os devidos testes aps a implantao do servio s porque no havia na ITIL v2 um processo que formalmente dissesse que isso era necessrio. Muitas bibliograas inclusive se referiam a estes testes ps-liberao como testes que estavam subentendidos no processo Gerenciamento da liberao da verso 2. Agora no preciso subentender, pois h um processo formal que trata somente disso.
ou inteligncia de negcio, uma expresso para denir um conceito que se tornou forte e popular na dcada de 1990. At hoje a BI no ocupa nas empresas o patamar que deveria (ou poderia) ocupar. O conceito relativamente simples e est ligado ideia da construo de processos para coleta, gerao, armazenamento, manuteno, utilizao e descarte da informao a m de gerar conhecimento til para o negcio. BI envolve o uso eciente de ferramentas automatizadas, a denio de processos adequados para a organizao e a gerao de valor agregado para o negcio a partir do conhecimento quer seja na escolha de melhores projetos, quer seja na alterao de seus processos. Algumas caractersticas essenciais dos sistemas de BI modernos permitir a busca rpida de relaes de causa e efeito e a extrao e integrao de dados oriundos de mltiplas fontes.
Avaliao
Voc se lembra das revises ps-implementao que eram citadas tanto no processo Gerenciamento de problemas quanto no processo Gerenciamento de mudanas do livro Suporte a servios da ITIL v2? Agora o processo Avaliao se ocupa, formalmente, destas questes. A avaliao conrma a efetividade de uma mudana na infraestrutura a m de assegurar que, aps a mudana, os objetivos almejados tenham sido alcanados.
Gerenciamento do conhecimento
Aqui sim, podemos dizer que ITIL inovou em um processo... Na verdade, a questo de que a BDGC era muito rica em informaes e que poderia ser utilizada para alimentar ou mesmo suportar sistemas de B U S I N E S S
INTELIGENCE
costumava ser citada por alguns prossionais
e implementada por algumas empresas. Com a denio deste processo a ITIL v3 deixa claro que esta questo to importante nos dias de hoje que ganhou o direito de fazer parte do rol das boas prticas em gerenciamento de servios de TI.
ele manipula, assim como os relacionamentos criados por meio do sistema de gerenciamento da congurao. Isso signica garantir que as informaes sejam disponibilizadas em tempo, para as pessoas autorizadas e em um formato que efetivamente permita a tomada de decises estratgicas. No mnimo, este processo servir muito bem aos processos de estratgia do servio. No mximo, os processos de tomada de deciso da prpria empresa podero se beneciar dele. Tudo depender de quanto a TI estrategicamente importante para o negcio. Lembre-se das duas primeiras aulas onde sugerimos formas de denir a importncia estratgica da TI para um determinado tipo de empresa atravs do grid estratgico, matriz de informao etc.
Atividade prtica 2
Explique como os processos do livro Transio do servio se integram no ciclo de vida do servio de TI.
2
Resposta
Estes processos tm como funo principal planejar e executar as aes necessrias para entregar servios de acordo com as suas especificaes. Assim, suas entradas so originadas, principalmente, nos processos do livro Desenho do servio. J as suas sadas so direcionadas, principalmente, para os processos do livro Operao do servio, que tero como funo manter a operao dos servios para atender as necessidades dos usurios.
O livro Operao do servio (Service operation)

Este livro contm as melhores prticas para atingir os requisitos de servio previamente denidos. Por isso ele envolve todos os processos necessrios para o gerenciamento de todos os eventos relacionados aos usurios nais (que usam o servio prestado) e aos clientes (que fornecem os recursos para que os servios sejam prestados).
181
AULA
representa informao) deve utilizar estrategicamente as informaes que
O provedor de servios de TI (lembre-se de que a letra I em TI
Este livro possui cinco processos que discutiremos nesta aula, a saber: Gerenciamento de eventos. Cumprimento de requisies. Gerenciamento de acesso. Gerenciamento de incidentes. Gerenciamento de problemas. Os processos deste livro esto relacionados aos servios que
Figura 7.3: Operao do servio.
de fato esto em uso na empresa, ou seja, eles esto relacionados ao momento do ciclo de vida do servio em que ele (o servio) de fato est (ou no) agregando valor ao negcio. preciso mensurar o valor agregado pelo servio, analisar as causas das possveis variaes e determinar o custo-benefcio real da sua manuteno. A ITIL v3 possui algumas funes. Quando estudamos a ITIL v2 voc se lembra que vimos a denio da central de servios, que no era um processo, mas sim uma funo. A verso 3, alm de possuir a funo da central de servio, tambm possui outras trs funes listadas abaixo. O contedo destas funes descrito pela ITIL v3 no livro Operao do servio.
Funo da central de servios

Conforme descrito na ITIL v2.
Funo de gerenciamento tcnico

Funo relacionada ao gerenciamento do corpo tcnico para que todas as funes tcnicas sejam desempenhadas efetivamente em cada um dos processos do livro Gerenciamento de servios de TI.
Funo de gerenciamento operacional

Funo relacionada ao gerenciamento da operao, ou seja, do corpo de prossionais responsvel por manter no ar as operaes e servios da TI.
Funo de gerenciamento de aplicativo

Funo responsvel pelo gerenciamento de aplicativos em todo o seu ciclo de vida. Lembre-se de que a ITIL v2 possua um livro que abordava este assunto que, na verso, virou uma funo.
Exceo
Evento
Filtro
Aviso
Informao Figura 7.4: Eventos na ITIL v3.
Gerenciamento de eventos
O Gerenciamento de eventos tem como principal objetivo detectar eventos e analisar qual processo da operao o mais apropriado para lidar com eles. Assim, este processo lida com qualquer questo que implique mudana de estado na infraestrutura, tal como requisies, alertas que necessitam de interveno humana, eventos tratados de forma automatizada, incidentes, problemas e at mesmo mudanas na infraestrutura. Este processo divide os eventos em:
Excees
As excees so as requisies do usurio, os incidentes, os problemas e as mudanas na infraestrutura. Note que existe um processo dentro do livro Operao do servio que lida com cada um destes tipos de excees possveis. A saber, Cumprimento de requisies, Gerenciamento de incidentes, Gerenciamento de problemas e Gerenciamento de mudanas, respectivamente.
Advertncias
As advertncias so eventos que alteram o estado da infraestrutura, mas que no precisam ser tratados, a princpio, por um processo especco. Por exemplo, alertas que necessitam de interveno humana e alertas que so tratados de forma automatizada. Um alerta pode dar origem a algum outro tipo de evento dependendo de suas consequncias.
183
AULA
Informaes
Informaes so eventos que necessitam apenas de seu registro na base de dados para possibilitar uso futuro. Toda informao poder ser usada pelo processo Gerenciamento do conhecimento do livro Transio do servio. Observe que, uma vez detectado tipo de evento, o gerenciamento de eventos deve encaminhar o seu tratamento para o processo mais adequado.
Cumprimento de requisies
Uma vez que o cliente ou usurio selecionou um servio no catlogo de servios, a solicitao deve ser tratada a m de fornecer o servio solicitado. Cada solicitao gerada a partir do catlogo de servio e documentada em um registro atravs do sistema de gerenciamento da congurao com todas as informaes relevantes. Uma solicitao um tipo de evento que no se enquadra nas outras categorias. Este processo lida, por exemplo, com questes como a solicitao de uma nova senha quando a original foi esquecida pelo usurio. Ou seja, algo que no deve ser tratado pelo provedor de TI nem como um incidente nem como um problema. Por outro lado, no deixa de ser um servio que deve fazer parte do catlogo de servios do provedor de TI. Assim como no caso de incidente e problemas, uma vez que a requisio foi atendida, o registro deve ser fechado.
Gerenciamento de acesso
Podemos dizer que este processo tambm relativamente novo, uma vez que ele no aparecia na verso anterior (pelo menos no de maneira formal). Quais usurios possuem acesso legtimo a um determinado servio? Este acesso pode acontecer segundo diferentes graus de funcionalidades? Enm, caso a empresa possua tais restries, certamente ela precisar regular o acesso ao servio de forma que somente usurios com direitos legtimos podero ter o acesso liberado. Esse processo trabalha com polticas de acesso e outros procedimentos do provedor de TI e possui um relacionamento muito prximo ao processo de gerenciamento da segurana do livro de desenho do servio.
Esse processo permanece como era na verso 2. Ele visa a restaurar a operao o mais rapidamente possvel atravs da aplicao de uma soluo de contorno conhecida.
Gerenciamento de problemas
Esse processo tambm permanece como era na verso 2. Como j sabemos, ele visa a investigar a causa-raiz de problemas e a erradicar erros conhecidos da infraestrutura de TI.
Para acessar informaes sobre implementaes da ITIL v3, modelos de relatrios e imagens extradas de sistemas de gerenciamento da congurao reais, acesse http://wiki.service-now.com/index.php?title=Main_Page. O site foi acessado em 30 de dezembro de 2009. Contedo em ingls.
Estratgia do servio
Lies de melhoria (estratgico)
Resultados (SLPs)
Desenho do servio
Lies de melhoria
Resultados (SDPs)
Transio do servio
Lies de melhoria
Resultados
Operao do servio
Melhoria contnua do servio

Figura 7.5: Interao entre os livros da ITIL v3.
185
AULA
Gerenciamento de incidentes
Atividade
3
3
Explique como os processos do livro Operao do servio se integram no ciclo de vida do servio de TI?
Resposta
Estes processos tm como funo principal a manuteno da operao dos servios de acordo com as necessidades dos usurios. Assim, suas entradas so originadas, principalmente, nos processos do livro Transio do servio. J as suas sadas so direcionadas, principalmente, para os processos do livro Estratgia do servio, que tero como funo garantir que a operao est agregando valor a um custo que pode ser justificado e suportado pelo negcio.
CONCLUSO
OK. Terminamos com esta aula mais uma etapa do nosso curso. Esperamos que voc tenha percebido que a ITIL v3 quis principalmente conrmar a sua losoa inicial sobre o pensamento mais voltado para a prestao de servios de TI com foco nos requisitos dos usurio e nas necessidades de negcio do cliente. Ela novamente chamou a ateno para a necessidade de quebrar o paradigma que associa o trabalho na TI com o gerenciamento de tecnologia pura e simplesmente. Trabalhar com TI , cada vez mais, sinnimo de trabalhar com pessoas e processos tendo, obviamente, a tecnologia como principal aliada! Ressaltamos que, por maior que seja a resistncia, a substituio completa da ITIL v2 pela ITIL v3 acontecer em breve. Mesmo assim, conforme tudo o que foi discutido, aqueles mais reativos que teimarem em comear pela ITIL v2 no cometero um erro que o impea de atingir os principais objetivos da ITIL. Objetivos estes que no mudaram desde a sua concepo ainda na dcada de 1980: atingir timos resultados atravs
que fornecem os servios de TI.
INFORMAES SOBRE O FRUM Vamos trocar informaes sobre os processos do livro Estratgia do servio e Melhoria contnua? Acesse o frum da semana. Ttulo: Estratgia e melhoria contnua da TI na prtica. Objetivo: At agora o conceito do ciclo PDCA foi muito discutido. Desde as primeiras aulas estamos girando em torno deste assunto sob diferentes nuances. Agora acabamos de ver que a evoluo da ITIL culminou na elaborao de livros que visam a representar o ciclo de vida do servio na rea de TI. Voc consegue denir qual dos livros da ITIL v3 est mais associado a qual etapa do ciclo PDCA? Esta diviso absoluta, ou seja, existem livros que esto relacionados a mais de uma etapa e vice-versa? Acesse o nosso frum, pois iremos aprofundar estas ideias.
Atividade online
Existem ferramentas que ajudam a implementar os processos de dese- 1 2 3 nho, transio e operao? V sala de aula virtual e resolva a atividade proposta pelo tutor. O objetivo da atividade exemplicar pelo menos uma forma de, na prtica, implementar os processos destes livros na sua empresa. Lembre-se de que tal implementao depende de vrios fatores e que o objetivo desta atividade que cada um encontre uma resposta mais adequada para a sua realidade na sua organizao.
187
AULA
cliente e do usurio de TI e o aumento da autoestima dos prossionais
de processos visando melhoria contnua, o aumento da satisfao do
RESUMO
Segundo a ITIL v3, o ciclo de vida do servio de TI composto por: (i) denio das estratgias de servio; (ii) desenho e planejamento do servio; (iii) transio e liberao do servio; (iv) gerenciamento da operao do servio; e (v) melhoria contnua do servio. O livro Desenho do servio possui sete processos direcionados para a especicao e desenho dos servios de forma que os objetivos da organizao sejam atendidos a um custo suportado pelo negcio. No ciclo de vida do servio, os processos de desenho esto ligados denio de requisitos para o servio. O livro Transio do servio possui seis processos direcionados para a liberao do servio na infraestrutura sem impactar a operao. No ciclo de vida do servio, os processos de transio esto ligados ao planejamento e execuo dos planos para liberao do servio. O livro Operao do servio possui cinco processos direcionados para o suporte operao do servio e comunicao com usurio e cliente. No ciclo de vida do servio, os processos de operao esto ligados ao momento em que o servio est em produo e precisa agregar valor. O livro Operao do servio tambm descreve as funes da central de servio, do gerenciamento tcnico, do gerenciamento operacional e do gerenciamento de aplicativo.

Na prxima aula vamos iniciar uma nova etapa do nosso curso. Esta nova etapa composta por quatro aulas onde trataremos do COBIT. Caso voc ainda se lembre das primeiras aulas saber responder seguinte pergunta: o que deve vir primeiro em um projeto onde se quer aumentar o nvel de maturidade no gerenciamento de servios de TI? A ITIL ou o COBIT? Caso no se lembre, voc pode revisar as aulas passadas. Ou pode esperar nossa prxima aula, pois nela responderemos a esta a vrias outras questes importantes sobre o assunto. At l!
Atividades Finais
1. O diretor de TI, juntamente com sua equipe de gerentes e coordenadores, determina vrios servios que devero ser agregados ao portflio da organizao ao longo dos prximos quatro trimestres. Ele encaminha vrios documentos denominados Termos de Abertura. Os processos responsveis por interpretar e detalhar esses termos podem ser encontrados em qual livro da ITIL v3? a. Estratgia do servio. b. Desenho do servio. c. Transio do servio. d. Operao do servio. 2. A TI se rene na sexta-feira para analisar SDPs prioritrios e deseja disponibilizar aqueles urgentes j durante o nal de semana. A mudana acaba sendo aprovada pelo comit formado pelo gerente de TI, pelo coordenador da rea afetada e por sua equipe. Qual processo da ITIL v3 passa a ser o mais importante nesse momento? a. Gerenciamento de incidentes. b. Gerenciamento da mudana. c. Gerenciamento da liberao e implantao. d. Gerenciamento da congurao e de ativos.
189
AULA
3. Uma plataforma que sustenta servios crticos de uma empresa est preparada para chavear entre dois sistemas redundantes, automaticamente, na falha de algum componente vital. Durante o nal de semana, um problema acontece e a plataforma funciona to bem que ningum percebe qualquer diferena no servio na segunda-feira. Que processo responsvel por lidar com esta situao? a. Gerenciamento da congurao de ativos. b. Gerenciamento de capacidade. c. Gerenciamento de problemas. d. Gerenciamento de eventos. 4. A ITIL v2 possui o processo Gerenciamento da liberao no livro Suporte a servios. A ITIL v3 possui o processo Gerenciamento da liberao e implantao no livro Transio do servio. Explique as semelhanas e diferenas entre esses dois processos. 5. A ITIL v2 possui o processo Gerenciamento da congurao no livro Entrega de servios. A ITIL v3 possui o processo de Gerenciamento da congurao e de ativos no livro Transio do servio. Explique as semelhanas e diferenas entre esses dois processos. 6. (Tcnico Superior PGE-RJ FCC/2009) O processo de Gerenciamento de Congurao e de Ativos de Servio do ITIL denido no estgio do ciclo de vida: a. Operao de servios. b. Melhoria contnua de servios. c. Estratgias de servios. d. Projeto de servios. e. Transio de servios. 7. (Analista Judicirio do TRT-15 FCC/2009) Segundo o ITIL, o controle dos riscos de fracasso e rompimento do objetivo principal do Gerenciamento de Servios, que garantir que os servios de TI estejam alinhados com as necessidades de negcio, realizado no estgio: a. Service Strategy. b. Service Design. c. Service Operation. d. Service Transition. 8. (Analista Judicirio do TRT-15 FCC/2009) As arquiteturas e os padres para gerenciamento de servios, segundo o ITIL, so denidos no estgio: a. Continual Service Improvement. b. Service Operation. c. Service Strategy. d. Service Transition. e. Service Design. 9. (Analista de Finanas e Controle da CGU ESAF/2008) Na ITIL, o processo de Gerenciamento do Nvel de Servio a base para o gerenciamento dos servios que a rea de TI aprovisiona para a organizao. Assinale a opo que contm um subprocesso que pertence ao Gerenciamento do Nvel de Servio.
a. Monitorao do desempenho. b. Dimensionamento da aplicao. c. Planejamento do crescimento dos servios. d. Projeo dos recursos. e. Garantia da existncia de um plano de recuperao do servio.
Respostas
1.Alternativa b. So os processos de desenho que detalham as decises tomadas no nvel estratgico. Esses processos colhem especificaes de alto nvel do servio, podendo inclusive se reportar aos processos de estratgia caso algo precise ser esclarecido antes do planejamento e execuo das aes de entrega dos servios. Termo de abertura um documento citado, explicado e utilizado em empresas que adotam a filosofia PMI para gerenciamento de projetos. 2. Alternativa c. Como os SDPs foram criados, a questo indica que o servio est na etapa de transio. Uma vez que a mudana foi aprovada, resta apenas a liberao do servio na infraestrutura. Os processos que aparecem nas outras alternativas sero importantes em outros momentos do ciclo de vida do servio. 3. Alternativa d. Esta situao no boa, pois o provedor de TI precisa identificar, na segunda-feira, que o chaveamento ocorreu e restaurar as funcionalidades do sistema que falhou. Esse tipo de situao requer funcionalidades de alertas automatizados que indiquem alteraes na infraestrutura. Inicialmente, a resposta automtica. Em um segundo momento, haver necessidade de interveno humana. Perceba que esse tipo de situao no necessariamente um incidente ou um problema, pois o usurio no afetado diretamente (pelo menos no no primeiro momento). 4. So mais semelhanas do que diferenas. O contedo em si do processo permanece o mesmo, com ligeiras alteraes que no comprometem a ideia bsica. Uma das alteraes acontece no prprio nome do processo. Isso se deve ao fato de que, na verso 2, muitos diziam que este processo lidava com a liberao de software na infraestrutura. Na verdade, este processo lida com a liberao de funcionalidades na infraestrutura, independentemente de que tipo de servio seja e dos ativos relacionados. 5. Valem as mesmas observaes da questo anterior, ou seja, o contedo do processo em si permanece o mesmo com ligeiras alteraes que no comprometem a idia bsica. Neste caso, muitos confundiam gerenciamento da configurao com gerenciamento de ativos. A ITIL v3 quis deixar claro que ambos so preocupaes deste processo, mas que tratam de coisas muito distintas. 6. Alternativa e. Conforme visto na teoria. 7. Alternativa d. nos processos de transio que os servios passam a fazer parte da operao, de fato. neste momento que os riscos de as estratgias serem esquecidas se manifestam. Por isso os processos de validao e testes e de avaliao do servio foram definidos. Alm disso, o processo de gerenciamento de mudanas tambm desempenha um papel importante neste contexto.
191
AULA
8. Alternativa e. durante o desenho (ou projeto) do servio que os padres e arquiteturas para a implementao do servio sero definidos conformes as diretrizes estratgicas estabelecidas. 9. Alternativa a. Lembre-se sempre de que a monitorao do desempenho necessria para que o provedor determine se os nveis de servio esto ou no esto sendo atendidos.
Introduo ao COBIT v4.1 Parte 1
Meta da aula
Explicar os conceitos iniciais sobre o COBIT .
objetivos

1
Identicar, listar e explicar os principais conceitos sobre o COBIT tais como os critrios de informao, as reas foco da Governana e os indicadores de desempenho e de meta. Listar e exemplicar os domnios do COBIT .
Pr-requisitos
So pr-requisitos para esta aula ter atingido os objetivos das primeiras aulas que tratam do Planejamento Estratgico, da Governana em TI e das duas verses da ITIL, a saber, a verso 2 e a verso 3.
AULA
| Introduo ao COBIT v4.1 Parte 1
INTRODUO
Vimos que a ITIL possui uma srie de boas prticas para a construo de processos de TI. Mas, a ITIL ajuda a TI a conseguir o alinhamento estratgico? Na verdade, ela no o modelo mais adequado para esse m. E qual seria o modelo mais adequado ento? Vamos estudar o COBIT a partir desta aula e ver como ele responde a essa questo!
A sigla COBIT signica, em ingls, objetivos de controle para a informao e tecnologia (Control Objectives for Information and related Technology). Ok, mas de que trata o seu contedo? Costumamos dizer que o contedo do COBIT baseado em controles para a rea de TI diretamente relacionados gesto do negcio. No arriscado dizer que a Governana em TI implementada atravs do COBIT, ou seja, dentro do mbito da TI so os seus objetivos de controle que guiaro quaisquer outras iniciativas da TI, por exemplo, com relao utilizao ou no da ITIL v3, do PMBOK v4, ou de qualquer outra norma, padro ou conjunto de boas prticas voltados para a TI. Voc deve estar imaginando que o COBIT o assunto mais importante desse nosso curso de Governana. Se tivssemos de dar uma resposta rpida, poderamos at dizer que sim! Na verdade, cada assunto importante, dependendo do momento que a empresa estiver passando. Essa ideia car mais clara em nossa ltima aula, quando abordaremos o tema Governana em TI envolvendo todos os assuntos vistos no curso. Voc sabe quantos anos se passaram desde a publicao da primeira verso do COBIT? Uma dcada? Duas? A sua primeira verso foi publicada pela ISACF (Information Systems Audit and Control Foundation) em 1994. A ISACF era uma ramicao da ISACA (Information Systems Audit and Control Association) que a associao detentora dos direitos sobre o COBIT. Hoje o ITGI (Information Technology Gover-
A ISACA ainda mantm o acrnimo por questes de marketing em seu site e em todo o seu material, porm ela no utiliza mais os termos controle, auditoria e sistemas de informao quando a sigla mencionada, isto , ISACA s uma logomarca que um dia signicou information systems audit and control association, mas hoje no mais. Um dos motivos bvios para isso o fato de que uma associao para auditoria e controle de sistemas de informao no o que a ISACA representa hoje. Os pers de seus membros (assim como as suas preocupaes) vo muito alm do controle e auditoria, embora essas duas funes ainda estejam tambm presentes. Atualmente o COBIT se encontra na verso 4.1, publicada em 2007. Sua evoluo atravs dos anos se deu da seguinte forma: 1996 - Verso 1 Foi publicada a primeira verso com foco mais voltado para auditoria e controle de sistemas de informao com base em padres tcnicos, prossionais e regulatrios internacionais. 1998 - Verso 2 Publicao da segunda verso, agora com uma losoa de que os objetivos de controle deviam ser baseados nos resultados pretendidos pela TI, ou seja, primeiro se pensa onde a TI quer chegar e, depois, em quais objetivos precisam ser estabelecidos para que ela chegue l. Dessa forma o COBIT comeou a servir de ponto de partida para que os executivos de TI gerenciassem os seus processos a m de atingir os resultados almejados. 2000: Verso 3 Publicao da terceira verso revisada para se adequar a vrios outros modelos, normas, padres e conjuntos de boas prticas que se tornavam famosos naquela poca (tais como a ITIL e o PMBOK). Essa verso marcou a passagem do COBIT da losoa do controle para a losoa da gesto e gerenciamento. Era uma adequao viso da TI prestadora de servio que se tornaria muito forte no novo sculo. Observe que naquele ano foram publicadas novas verses da ITIL, do PMBOK, do COBIT e de vrios outros modelos.
195
AULA
a funo de garantir a evoluo do COBIT.
nance Institute), organizao criada pela prpria ISACA, desempenha
Note ainda que a diferena de abordagem, embora sutil, muito importante. A palavra controle traz consigo uma ideia de reatividade muito mais ligada ecincia operacional. J os termos gesto e gerenciamento esto mais ligados a aes proativas necessrias eccia estratgica. Caso j no tivssemos discutido tanto as diferenas entre essas duas expresses, a diferena poderia mesmo lhe parecer pequena. Esperamos que este no seja mais o seu pensamento. 2005: Verso 4 Em 2005 uma nova verso trouxe tona uma expresso que agora toma conta de todas as discusses dos executivos de TI e de suas equipes: a Governana em TI. A verso 4 do COBIT possua 34 reas de processo e 214 objetivos gerais de controle visando implementao de processos de TI que garantam o alinhamento estratgico. Uma ideia muito clara nessa verso era a de que o novo documento tinha um pblico alvo mais heterogneo formado no s por tcnicos da rea de TI, mas tambm por executivos e auditores, ou at mesmo por gestores de outras reas interessados em interagir melhor com a TI.
Figura 8.1: Cubo da governana.
fato que essa era a ideia desde a verso 2, mas esse objetivo foi inteiramente atingido atravs do novo formato da verso 4 de 2005. Talvez por conta disso, essa verso tenha tornado o COBIT mais conhecido em todo o mundo. 2007: Verso 4.1 Em 2007 houve apenas um incremento do COBIT. A maior mudana aconteceu nos objetivos de controle de cada rea de processo, que foram revisados para orientar melhor a empresa com relao eccia estratgica da TI, ou seja, a criao de processos efetivos que culminem no alcance de metas e objetivos de negcio. Um fato que chamou a ateno foi o de que o COBIT v4.1 continuou tendo 34 reas de processo. Embora os objetivos de controle tenham diminudo um pouco (de 214 na verso 4 para 210 na verso 4.1), a comunidade passou a crer que o COBIT atingiu a sua maturidade. Isso porque o seu contedo, no que diz respeito s macro reas de processo, parece ter se estabilizado.
desanimador quando um modelo reconhecido mundialmente muda de forma drstica de uma verso para outra (acrescentando ou retirando contedos). Isso costuma acontecer com modelos pouco amadurecidos. Para a nossa felicidade, esse no parece ser mais o caso do COBIT.
Voc sabia que a ISACA foi fundada antes de o homem ir lua? Em 1967 um pequeno grupo de indivduos com prosses e interesses similares que atuavam em auditoria e testes em sistemas computacionais se encontraram para discutir uma forma de criar um conjunto centralizado de diretrizes de auditoria. Na poca esses sistemas j se tornavam cada vez mais crticos e complexos. Em 1969, ano em que o homem pisou na lua principalmente por causa dos avanos nos sistemas embarcados em aeronaves, o grupo foi fundado formalmente. Hoje a ISACA possui mais de 86.000 membros com os pers diferenciados de vrios setores da economia e em mais de 160 pases. O site ocial da ISACA o http://www.isaca.org. J o ITGI (IT Governance Institute) foi criado somente em 1998 em reconhecimento ao fato de que a TI se tornava cada vez mais importante dentro das empresas e passava a ser vista como uma rea crtica para o sucesso em atingir os objetivos de negcio. O site ocial do ITGI o http://www.itgi.org. Esse site foi acessado em 30 de dezembro de 2009.
CONCEITOS ESSENCIAIS Misso e princpios do COBIT

Agora pare e pense: qual seria a misso do COBIT? A sua misso, conforme descrio no documento do COBIT v4.1, pesquisar, desenvolver, publicar e promover um modelo para a Governana em TI convel, atualizado e internacionalmente aceito que possa ser adotado por empresas e utilizado no dia a dia por gerentes de negcio, prossionais de TI e auditores. Mas anal, partindo dessa misso, em que o COBIT pode auxiliar voc no seu trabalho dirio? Bem, talvez ele no lhe ajude diretamente, mas com certeza ele poder auxiliar muito a sua empresa a atingir o alinhamento estratgico da TI, seja qual for o setor onde ela atua.
197
AULA
nico fator determinante para se chegar a alguma concluso, sempre
Embora uma informao meramente quantitativa no seja o
COSO (C O M MITTEE OF
O contedo da ltima verso do COBIT v4.1 foi escrito para que a sua misso fosse cumprida atravs das seguintes metas: Fornecer uma forma concreta de a empresa implementar o alinhamento entre os objetivos de negcio e os objetivos da TI. Ajudar a alcanar a conformidade regulatria sendo compatvel com os padres de controle e auditoria mais comuns (como o COSO , por exemplo) utilizados por rgos reguladores ou por auditores externos. Ser compatvel com as boas prticas, normas e padres de TI mais reconhecidos e utilizados no mundo. Ser independente de quaisquer tecnologias. Ser um modelo orientado a processos com uma estrutura que permita fcil navegao e pesquisa pelo seu contedo. Fornecer uma linguagem comum que utilize termos e denies que sero entendidos tanto pelos prossionais do provedor de TI na empresa quanto pelos gestores do negcio.
SPONSORING O R G A N I Z AT I O N S OF THE TREADW AY C O M M I S SION)

um comit criado em 1985 nos EUA para prevenir fraudes em demonstraes contbeis. Trata-se de uma organizao sem ns lucrativos formada por representantes das principais associaes de classes ligadas rea nanceira. Dedica-se melhoria nos relatrios nanceiros, sobretudo pelo cumprimento de controles internos e pela aplicao da tica prossional. Atualmente as recomendaes do COSO so amplamente praticadas em todo o mundo, inclusive no Brasil. Voc pode obter mais informaes sobre o COSO no site http://www. coso.org/.
Esse site foi acessado em 30 de dezembro de 2009.
que responde a
Requisitos do negcio
direciona os investimentos em
Informao empresarial
COBIT
Recursos de TI
que so usados para
Processos de TI
para entregar
Figura 8.2: Ciclo bsico do COBIT.
Por ser mais focado em objetivos de negcio, o contedo do COBIT muito abrangente, mas pouco detalhado no que diz respeito a como os processos devem ser implementados. Perceba que vale aqui a seguinte ideia: O COBIT contm muito sobre o que deve ser feito e para p que deve ser feito e, por outro lado, contm pouco sobre o como deve ser feito.
Dessa forma a utilizao do COBIT auxiliar a empresa a ligar os objetivos do negcio aos objetivos da TI. Ele cumprir o papel de servir de elo entre o planejamento estratgico da empresa e o plano diretor de TI. Ele ir ajudar a alinhar os objetivos e metas de negcio aos objetivos dos processos operacionais da TI. Como? Vejamos um exemplo. Imagine que uma empresa possua em seu plano estratgico um objetivo do tipo: melhorar o alinhamento estratgico da TI com o negcio. Voc acha isso abstrato? Pois bem, assim so os objetivos estratgicos! Genricos o suciente para darem uma direo, mas pouco detalhados o suciente para no limitarem as opes de quem precisa concretiz-los. Por outro lado, eles devem estar relacionados misso da empresa e de acordo com os seus valores e princpios. Um objetivo como esse pode ser desdobrado em vrias metas para a rea de TI. Uma delas, por exemplo, seria garantir que a aquisio e manuteno de software acontecessem de forma alinhada com os requisitos do negcio e que isso fosse feito em tempo hbil e a um custo razovel para a empresa. Como isso se tornaria real? Ora, atravs de um processo de desenvolvimento eciente e ecaz. E qual o caminho para criar processos de desenvolvimento ecientes e ecazes? Ora, por exemplo, traduzindo os requisitos de negcio para as especicaes de software; aderindo a padres de desenvolvimento para que haja um controle integrado de mudanas; priorizando requisitos de software com base na relevncia para o negcio; e separando as atividades de desenvolvimento, testes e operao. E como a empresa saberia que esse objetivo est sendo atingido? Ora, por exemplo, atravs do nmero de
199
AULA
problemas operacionais causados por aplicaes que geraram paralisao nos servios; ou atravs do percentual de usurios satisfeitos com as funcionalidades que foram entregues. Voc pode se perguntar: Como anal o COBIT ajudaria? Em absolutamente tudo. Todas as respostas (e at mesmo as perguntas) no exemplo acima foram extradas do texto do COBIT. O mapeamento com o COBIT imediato bastando para isso analisar a meta estratgica e determinar qual preocupao com relao TI ela expressa. Normalmente as metas estratgicas estaro relacionadas a uma das reas foco da Governana (ou a mais de uma). As reas foco da Governana, segundo o COBIT, so: alinhamento estratgico da TI; entrega de valor pela TI; gerenciamento do risco da TI; gerenciamento dos recursos de TI; e anlise de desempenho da TI. Estudaremos essas reas em nossa prxima aula. Nesse exemplo, para facilitar, a meta j mencionava o alinhamento estratgico da TI. Porm, em qualquer outro caso, traduzir as aspiraes do plano estratgico para as reas foco da Governana no ser difcil. Bem, essa uma forma simples de se pensar em como o COBIT poderia ajudar na prtica. Durante essa aula ainda iremos analisar outros exemplos.
Foco no negcio
De acordo com sua misso, voc sabe qual o principal objetivo do COBIT? Seu principal objetivo ser orientado ao negcio! Mas o que seria um modelo orientado ao negcio anal? Um modelo orientado ao negcio um modelo construdo no s para os prossionais responsveis pelo provimento dos servios de TI, mas principalmente para os executivos responsveis pelo negcio. O COBIT oferece diretrizes claras para que estes executivos possam tomar decises sobre a TI. O ciclo bsico do COBIT exemplicado na Figura 8.2. Nela os requisitos de negcio direcionam investimento em recursos de TI. Recursos de TI so utilizados por processo de TI. Processos de TI entregam dados que devem atender aos critrios de informao. A informao utilizada para gerar requisitos de negcio. Nesse contexto, informaes teis podem ser previses sobre aspectos econmicos que afetaro o mercado onde a empresa atua; desejo ou necessidade de clientes e usurios por acompanhar inova-
pelo usurio e o nvel de servio entregue; previses de demandas futuras pelos servios e sobre a capacidade atual da empresa; informaes sobre ameaas e vulnerabilidades que afetam a empresa e sobre os processos de gerenciamento do risco; necessidade de atendimento a normas, leis e regulamentos; ou simplesmente desejo de aumentar o retorno sobre o investimento realizado. Note que somente um conjunto de processos bem-estruturados de TI fornecer servios que garantiro empresa a gerao das informaes vitais tomada de deciso e denio dos requisitos de negcio. Voc j percebe que a informao representa um papel fundamental no COBIT? Gerenciar bem a informao o corao do sistema de Governana em TI e vital para atingir o objetivo de alinhar os processos de TI estratgia da empresa. O COBIT fornece matrizes com metas genricas de negcio e metas genricas de TI e mostra como elas podem ser mapeadas segundo os critrios de informao. Estes exemplos, que so genricos, podem ser usados para guiar a empresa na determinao de suas metas especcas. Alm disso, o COBIT fornece mtricas que permitem mensurar resultados obtidos pelos processos de TI e compar-los com as metas e objetivos que deveriam ser atingidos. Em outras palavras, a empresa pode responder, com relao a cada processo, questo: fazendo isso que conseguiremos chegar aonde queremos chegar? Alm disso, o COBIT herdou os princpios da Governana sobre os quais o COSO foi construdo, a saber: responsabilidade (responsibility), prestao de contas (accountability) e transparncia (transparency).
201
AULA
mo mercado; discrepncias existentes entre o nvel de servio desejado
es tecnolgicas; entrada de novos concorrentes disputando o mes-
Mas voc reconheceria uma meta se a visse? O que so metas de TI e metas do negcio anal? Vamos tratar melhor desse assunto nas prximas aulas sobre o COBIT. Por hora, tenha em mente que hoje toda empresa usa a TI, de uma forma ou de outra, para operacionalizar iniciativas de negcio. A maneira com que a TI usada pela empresa deve ser representada na forma de metas de TI. Denir o trabalho na forma de metas permite um controle maior sobre o que feito pela TI. Para que as metas de TI sejam adequadas, deve haver direcionamento estratgico expresso na forma de requisitos de negcio (papel desempenhado pelo cliente e pelo usurio) e um entendimento claro sobre o que precisa ser entregue (papel desempenhado pelo provedor de TI). nesse ponto que acontece o alinhamento estratgico. Uma vez que as metas foram denidas, elas precisam ser monitoradas atravs de mtricas a m de assegurar que as expectativas esto sendo atendidas. Para que o cliente entenda as metas da TI, os objetivos e suas mtricas devem ser expressos em termos de negcio que possam ser facilmente compreendidos. O COBIT possui algumas matrizes que fornecem uma viso sobre como metas genricas de negcio se relacionam com metas especcas de processos da TI e com os critrios de informao.
Atividade 1
Complete as lacunas:
1
1. Os princpios bsicos da Governana so a ____________________, a ____________________ e a ____________________. 2. O COBIT contm muito sobre ____________________ deve ser feito e ____________________ deve ser feito e, por outro lado, contm pouco sobre ____________________ deve ser feito. 3. ____________________ direcionam os investimentos em ____________________ que so usados por ____________________ para entregar ____________________ que respondem aos ____________________.
Respostas
1. Os princpios bsicos da Governana so a responsabilidade, a prestao de contas e a transparncia. 2. O COBIT contm muito sobre o que deve ser e para que deve ser feito e, por outro lado, contm pouco sobre como deve ser feito.
so usados por processos de TI para entregar informaes empresariais que respondem aos requisitos de negcio.
Os recursos de TI
A empresa precisar implementar um conjunto de processos para atingir as metas de TI. Esses processos consumiro recursos humanos e infraestrutura tecnolgica. Esses recursos constituem a arquitetura de TI da empresa. Para atingir as metas a empresa precisar investir a m de que os recursos (pessoas e tecnologias) tenham as capacidades adequadas para acompanhar as capacidades do negcio, o que dever resultar nas sadas esperadas. Por exemplo, se uma empresa deseja acelerar o uxo dos processos de toda sua cadeia produtiva, a m de entregar mais produtos em menos tempo, ela poder precisar adquirir ferramentas de automatizao e integrao de sistemas (aquisio de um ERP , por exemplo) e treinar seus funcionrios sobre as funcionalidades dessa ferramenta.
PRISE
ERP (E N T E R RESOURCE PLANNING)
Figura 8.3: Recursos humanos da TI.
uma sigla que representa, em portugus, sistemas integrados de gesto empresarial. Esses sistemas se popularizaram na dcada de 1980 e tinham como bandeira a integrao de todos os sistemas de informao da organizao em um s. Normalmente esses sistemas possuem vrios mdulos (nanceiro, contbil, de recursos humanos, de fbrica, de vendas, de compras, de marketing, de relacionamento com o cliente, etc). Alguns exemplos de ERP muito usados pelas empresas brasileiras so o SAP, o Microsiga, o Datasul. Na dcada de 1990, algumas grandes empresas tambm optaram por entrar nesse segmento e hoje tambm possuem sistemas ERP consolidados no mercado, tais como a Oracle e a Microsoft. Hoje existem solues de ERP no mercado para praticamente todos os tipos e tamanhos de empresa. Alm disso, em raras excees, algumas empresas optam por desenvolver em casa o seu prprio ERP.
203
AULA
3. Requisitos de negcio direcionam os investimentos em recursos de TI que
No COBIT os recursos de TI so descritos como aplicaes, como informao, como infraestrutura tecnolgica ou como pessoas. Entende-se por aplicaes sistemas automatizados que processam a informao. Informao o resultado dos dados nas mais variadas formas aps serem processados. A infraestrutura tecnolgica toda forma de hardware, software, sistema operacional, sistemas de gerenciamento de banco de dados, equipamentos de redes e mdias alm do prprio ambiente que suporta a infraestrutura. esta
Figura 8.4: Informao globalizada.
infraestrutura tecnolgica que permite o processamento pelas aplicaes. As pessoas so necessrias para planejar, organi-
zar, adquirir, implementar, entregar, dar suporte, monitorar e avaliar as aplicaes e a tecnologia utilizadas para oferecer os servios. Os recursos humanos podem ser internos, terceirizados ou contratados sob demanda. Assim, repetindo, os recursos da TI segundo o COBIT so: Aplicaes. Informao. Infraestrutura. Pessoas.
Critrios de informao
Uma das caractersticas mais curiosas do COBIT sua abordagem baseada na informao e nos chamados critrios de informao. Voc deve estar se perguntando o que seriam (ou quais seriam) esses critrios. Bem, para satisfazer os objetivos de negcio, a informao precisa ser adequada a certos critrios de controle, aos quais o COBIT se refere como requisitos de negcio para a informao. Com base em losoas e em reas distintas como a qualidade, a segurana da informao e a rea nanceira, foram denidos sete critrios. So eles:
ou seja, garante que a informao processada de fato aquela que precisa ser processada para manter o negcio. Ecincia A ecincia diz respeito otimizao na utilizao de recursos para processar a informao, ou seja, garante que a informao seja processada em menos tempo, com menos pessoas etc. Condencialidade Garantia de que a informao sensvel ser protegida contra acessos no autorizados. Integridade Garantia de que a informao fornecida ser exata e completa. Disponibilidade Garantia de que a informao necessria estar disponvel no momento em que ela for necessria. Conformidade Garante que a informao atenda aos objetivos da legislao pertinente e aos arranjos contratuais. A conformidade trata de fatores externos, tais como normas, regulamentos e leis do setor, externos e internos, tais como contratos e outros arranjos estabelecidos com clientes, fornecedores e parceiros. Conabilidade Garante que a informao necessria ser gerada de maneira apropriada para que os responsveis pelo negcio possam desempenhar o seu papel e cumprir as suas responsabilidades.
205
AULA
A eccia lida com a relevncia e a pertinncia da informao,
Eccia
Atividade 2
1. Qual dos itens abaixo no um tipo de recurso de TI segundo o COBIT? a. ( ) Aplicaes. b. ( ) Informao. c. ( ) Relatrios. d. ( ) Pessoas. 2. So critrios de informao no COBIT? a. ( ) Ecincia e autorizao. b. ( ) Continuidade e disponibilidade. c. ( ) Integridade e quantidade. d. ( ) Disponibilidade e conabilidade. 3. Complete as lacunas: O atendimento conformidade regulatria pode ser uma exigncia externa, tal como uma ____________________ ou um ____________________ do setor ou uma exigncia interna, tal como um ____________________ estabelecido com um ____________________, ____________________ ou ____________________.
1
Respostas
1. Letra c. Os tipos de informao so as aplicaes, a informao, a infra-estrutura tecnologia e as pessoas. 2. Letra d. So sete os critrios: ecincia e a eccia; condencialidade, integridade e disponibilidade; conabilidade e conformidade regulatria. 3. O atendimento conformidade regulatria pode ser uma exigncia externa, tal como uma lei ou um regulamento do setor ou uma exigncia interna, tal como um contrato estabelecido com um terceiro, parceiro ou cliente.
reas de processos e indicadores

Uma dvida que voc pode estar guardando at agora : O que vem a ser exatamente uma rea de processo? fato que a estrutura do COBIT toda orientada a processos. Tudo nele foi escrito com base nos processos, assim como denimos nas primeiras aulas. Chamamos de reas de processo e no processos simplesmente, porque o COBIT no contm a descrio de nenhum processo a exemplo do que acontece na ITIL. Em cada rea so descritas informaes diversas, tais como a sua relevncia segundo as reas foco da Governana em TI (que sero estudadas ainda nesta aula), um resumo das metas de TI, das metas de processo e
Figura 8. 5: Indicadores de desempenho. 206 Governana: Gesto, Auditoria e Tecnologia da Informao
Note que as reas de processo possuem objetivos de controle bem denidos no COBIT. So um total de 34 reas de processo e 210 objetivos de controle divididos entre essas reas. Cada um desses objetivos de controle identicado por duas letras que se referem ao domnio (PO, AI, DS e ME) e dois nmeros separados por um ponto. Por exemplo, o objetivo de controle PO1.2 o objetivo nmero dois da rea nmero um do domnio de planejamento e organizao. A propsito, trata-se do objetivo gerenciamento de valor da TI (IT value management) da rea denir um plano estratgico da TI (Dene a strategic IT plan) do domnio PO (Plan and organise). Assim como o PO1.2, existem no COBIT outros 210 objetivos de controle. Voc acha que muita informao? De fato talvez seja, mas como ele foi construdo para servir de material de consulta no dia a dia e tambm para ser amigvel, o COBIT cumpre um papel importantssimo na Governana. Falaremos mais sobre cada uma das reas de processo nas prximas aulas. Por hora, precisamos ressaltar que, alm dos objetivos de controle considerados especcos, o COBIT' tambm possui objetivos genricos, ou seja, aqueles objetivos que devem ser atendidos por todos os 210 processos de todas as 34 reas de todos os quatro domnios (que tranquilo, pois ainda iremos estud-los nessa aula). Os objetivos de controle genricos so identicados por PCn (Process Control number). So seis os objetivos de controle genricos de todos os processos, a saber: PC1 Objetivos e metas de processo. PC2 Propriedade do processo. PC3 Repetitividade do processo. PC4 Papis e responsabilidades. PC5 Poltica, planos e procedimentos. PC6 Melhoria de desempenho do processo.
207
AULA
daremos em detalhes cada um destes itens em nossa prxima aula.
das atividades mais importantes, alm de um resumo das mtricas. Estu-
Perceba que isso algo muito parecido com o que j havamos visto no caso da ITIL. Ora, parecido justamente porque esses modelos de boas prticas, controles, normas etc. so sempre revisados para serem, at certo ponto, compatveis uns com os outros. Ento, o que os objetivos de controle genrico esto querendo dizer que todo processo precisa ter metas e objetivos; precisa ter um responsvel por ele; precisa ter bem denidos os seus papis e as suas responsabilidades; precisa ser adequadamente documentado e detalhado na forma de polticas, planos e procedimentos; precisa possuir mtricas para que tenha seu desempenho medido e para que possa melhorar continuamente; e precisa ser repetitvel. Opa! O que signica repetitvel? Esse realmente um termo novo no contexto das nossas aulas (mas no nem um pouco novo no contexto de boas prticas). Essa terminologia j vem sendo adotada principalmente na rea da qualidade. Um processo repetitvel quando ele pode ser repetido (bvio) para produzir os mesmos resultados, ou seja, quando um processo pode ser repetido 1.000 vezes e, sob as mesmas condies, produz o mesmo resultado 1.000 vezes. Outro termo s vezes mencionado a reprodutividade. Diz respeito ao fato de que o processo pode ser repetido por 1.000 pessoas diferentes e produzir o mesmo resultado sempre. O COBIT utiliza o termo repetitividade para ambos os casos. O.K. E quanto melhoria contnua? Ora, j sabemos a essa altura que o processo precisa ser medido e j vimos que as medies acontecem de acordo com os indicadores de desempenho. O COBIT traz um novo tipo de indicador, que o indicador de meta COBIT. Alm disso, ele tambm descreve os fatores crticos de sucesso. Os principais indicadores do COBIT so: Indicadores-chave de meta Os indicadores de meta medem o nvel de desempenho do processo no que diz respeito ao alcance de uma meta de mais alto nvel (metas de negcio referentes estratgia). Em ingls os indicadores de meta so conhecidos como KGIs (Key Goal Indicators). Indicadores-chave de desempenho Os indicadores de desempenho possuem o mesmo signicado que possuam na ITIL. Eles determinam mtricas para mensurar
tes operao). Em ingls, voc deve lembrar, os indicadores de desempenho so conhecidos com KPIs (Key Performance Indicators).
Fatores crticos de sucesso

Os fatores crticos de sucesso (Critical Success Factors) dizem respeito a algo sem o qual os processos no podero ser nem ecientes nem ecazes. Como a prpria expresso indica, so fatores crticos e, para eles, no existe meio termo. Ou so cumpridos ou o fracasso ser rpido e certo! importante que voc entenda a diferena entre os indicadores de meta e os indicadores de desempenho. Lembra-se da ideia de que um processo pode ser muito eciente sem ser ecaz e vice-versa? mais ou menos por a... Vamos analisar um exemplo concreto. Imagine um processo que tenha como meta (de processo) a deteco, anlise e gerenciamento dos acessos aos sistemas de TI. Por trs dessa meta podem existir metas de alto nvel bem claras, como evitar ataques de hackers (meta de TI) e manter a reputao da empresa perante aos seus clientes (meta de negcio). Pois bem, imagine ainda que esse processo est indo muito bem no que diz respeito deteco, anlise e gerenciamento dos acessos. Nesse caso, podemos dizer que o processo est atingindo os seus objetivos? A resposta : depende... E esse o ponto! A empresa pode no estar gozando de uma boa reputao perante os clientes por conta de produtos de m qualidade que foram vendidos ou os hackers em questo podem estar invadindo a empresa usando tcnicas de engenharia social, por exemplo. Tudo isso a despeito do fato de que os acessos esto todos sendo monitorados perfeitamente. Entendeu agora porque os processos precisam de dois tipos de indicadores? Os indicadores de desempenho esto ligados aos objetivos operacionais que o processo visa a atingir (no caso acima, monitorar todos os acessos). J os indicadores de meta esto ligados aos objetivos estratgicos que, atravs do processo, a empresa visa a atingir (no caso acima, preservar a imagem e impedir ataques de hackers). Os indicadores ajudaro a empresa a se manter sempre na direo correta.
209
AULA
operacionais inicialmente denidos (metas de processo referen-
at que ponto o processo est atingindo os objetivos ttico-
Com relao aos fatores crticos, devemos ressaltar que eles so denidos atravs do estudo dos objetivos da organizao e deles so derivados. Quando bem denidos, eles se tornam um ponto de referncia para tudo o que h na organizao. Ou seja, qualquer coisa pode acontecer, menos deixar de cumprir aquilo que um fator crtico de sucesso. Algumas empresas denem seus fatores crticos com base na sua misso, viso e valores.
Atividade 3
1. O que mede o indicador-chave de meta? a. ( b. ( c. ( d. ( ) Nveis de maturidade. ) Desempenho dos processos. ) Grau de controle. ) Alcance de objetivos.
1
2. O que mede o indicador-chave de desempenho? a. ( b. ( c. ( d. ( ) Nveis de maturidade. ) Desempenho dos processos. ) Grau de controle. ) Alcance de objetivos.
Respostas
1. Letra d. O indicador de meta est relacionado eccia do processo, ou seja, aos objetivos nais que precisam ser alcanados atravs do processo. 2. Letra b. O indicador de desempenho est relacionado ecincia do processo, ou seja, ao desempenho obtido ao executar suas atividades.
DOMNIOS DO COBIT
A maior parte do contedo do COBIT v4.1 composta pela descrio de 210 objetivos de controle divididos em 34 reas de processo. Essas 34 reas so, por sua vez, divididas em domnios que, de certa forma, tambm obedecem mesma losoa da melhoria contnua. Note que a TI dever perseguir a melhoria contnua de cada um dos 210 processos. Por outro lado, a melhoria de todos os processos dentro de um domnio (PO, AI, DS ou ME), tambm signicar um esforo
temos mais uma vez presente a losoa do famoso ciclo PDCA.
METAS E OBJETIVOS DE NEGCIO
INFORMAO
Ecincia, Efetividade, Conformidade regulatria e Conabilidade Integridade, Disponibilidade e Condencialidade
ME Monitorar e avaliar
PO Planejar e organizar
DS Entregar e dar suporte
AI Adquirir e implementar
Figura 8.6: Ciclo de processos segundo os domnios do COBIT.
Planejar e organizar (PO)

O domnio de planejamento e organizao (PO Plan and organise) cobre as estratgias e tticas da empresa e lida com questes sobre como a TI pode contribuir melhor para atingir as metas de negcio. A realizao da viso estratgica precisa ser planejada, comunicada e gerenciada sob diferentes perspectivas. Segundo o COBIT, os processos do domnio PO lidam diretamente com questes como: A TI e a estratgia do negcio esto alinhadas? A empresa est atingindo um timo uso de seus recursos? Todos na empresa entendem as metas e objetivos da TI? Os riscos para a TI so entendidos e gerenciados? A qualidade dos sistemas de TI adequada s necessidades de negcio?
211
AULA
contnua est presente de maneira recursiva e sistmica e que, no fundo,
maior de melhoria contnua. Observe que, nesse caso, a ideia da melhoria
Adquirir e implementar (AI)

Para realizar as estratgias de TI, as solues de TI precisam ser identicadas, desenvolvidas (ou adquiridas) e colocadas em produo. Alm disso, para atingir o mesmo objetivo, mudanas e manutenes precisam ser realizadas de forma planejada. Segundo o COBIT, so os processos do domnio de aquisio e implementao (AI Acquire and implement), que lidam com estes itens. Estes processos respondem a questes como: Os novos projetos so selecionados de forma a entregar produtos e servios que satisfaam s metas de negcio? Os novos projetos so selecionados de forma a entregar produtos e servios no tempo acordado e dentro do oramento? Os novos produtos e servios, quando em produo, atendero s funcionalidades inicialmente previstas pelo usurio? As mudanas no ambiente produo sero feitas sem impactos nos negcios em andamento?
Entregar e dar suporte (DS)

O domnio de entregar e dar suporte (DS Deliver and support) lida com a real efetivao dos servios. Isso inclui a entrega, o gerenciamento da segurana e da continuidade, o suporte ao usurio, o gerenciamento de dados e outras facilidades operacionais. Segundo o COBIT, os processos do domnio DS lidam diretamente com questes como: Os servios de TI esto sendo entregues de acordo com as prioridades do negcio? Os custos da TI esto sendo otimizados? A fora de trabalho capaz de usar os sistemas de TI de forma segura e produtiva? So garantidos os princpios de segurana da informao, tais como a condencialidade, a integridade e a disponibilidade?
Todos os processos de TI precisam ser avaliados regularmente segundo critrios de qualidade e conformidade regulatria. Os processos do domnio de monitoramente e avaliao (ME Monitor and evaluate) possuem atividades de gerenciamento do desempenho, monitoramento do controle interno, conformidade regulatria e Governana em TI. Segundo o COBIT, os processos desse domnio lidam diretamente com questes como: O desempenho da TI medido para detector problemas antes que seja tarde demais? O gerenciamento assegura que os controles internos so ecientes e ecazes? Os resultados da TI podem ser mapeados em metas de negcio? Existem controles adequados segurana da informao com relao a condencialidade, integridade e disponibilidade?
Atividade 4
Os domnios do COBIT so apresentados na forma de um ciclo que se assemelha ao ciclo PDCA. Que paralelo pode ser feito entre os quatro domnios e o ciclo?
2
Resposta
Embora parea muito bvio, deve-se atentar para o fato de que relacionamento no do tipo um-para-um simplesmente. O domnio PO possui processos cujas atividades tm mais a ver com o P (Plan) do PDCA. J os domnios AI e DS esto mais relacionados ao D (Do) do ciclo PDCA. O ME tem a ver tanto com o C (Check),
213
AULA
Monitorar e avaliar (ME)
quanto com o A (Act). Vale ressaltar que o A (Act) acontece propriamente no momento em que as informaes de negcio orientam a empresa a tomar decises sobre quais metas de negcio so as mais adequadas. Ou seja, no momento em que a informao orientar os requisitos de negcio que, por sua vez, direcionaro investimentos em recursos de TI, que sero utilizados pelos processos de TI. E o ciclo recomea.
CONCLUSO
No incio dessa aula dissemos que a evoluo do COBIT aconteceu ao longo dos anos de modo a deixar para trs o modelo baseado no controle e auditoria para passar a ser um modelo baseado em Governana. Mas o controle no necessrio? Claro que . No s necessrio como o COBIT estudado como um conjunto de controles para a rea de TI. Mas qual o mistrio anal? O COBIT ou no um conjunto de controles? A diferena sutil mais uma vez. Sutil, porm extremamente importante. O fato que o COBIT, principalmente da verso 4 em diante, passou a ter controles denidos e orientados pelas metas e objetivos de negcio. Percebeu agora a diferena? A TI continua sendo controlada e auditada, porm, o controle parte de objetivos diretamente ligados s metas da organizao. Essa a chave do alinhamento estratgico e a principal ideia dessa aula. Esperamos que voc tenha entendido que o COBIT um documento mais voltado para o negcio cujo contedo foi escrito para ser interpretado por pessoas com pers diferenciados, principalmente da rea executiva, que tm como misso garantir o alinhamento das metas da TI com as metas de negcio.
Ttulo: COBIT versus Governana em TI: Quanto ele importante? Objetivo: Se voc ainda tem dvidas sobre como concretizar a Governana de TI na sua empresa, saiba que voc no deve estar sozinho. Esse tipo de sentimento muito comum e praticamente todas as organizaes encontram diculdades na hora de colocar em prtica a teoria apresentada no COBIT. Os comentrios so sempre parecidos: A teoria relativamente simples, mas a prtica nem tanto. Pois bem, nesse frum vamos trocar ideias e discutir a prtica da Governana nas empresas!
Atividade online
2 Como as empresas tm implementado a Governana em TI? V sala de aula vir- 1 tual e resolva a atividade proposta pelo tutor. O objetivo da atividade , atravs de pesquisa e consulta bibliograa, estudar alguns casos reais de projetos de Governana.
RESUMO
O COBIT pode ser visto como um modelo com objetivos de controle para a TI voltados para o alinhamento estratgico e Governana. Os princpios da Governana herdados do COSO pelo COBIT so a responsabilidade, a prestao de contas e a transparncia. Os recursos da TI so classicados no COBIT como aplicaes, informao, infraestrutura tecnolgica e pessoas. Os critrios de informao so a ecincia, a eccia, a condencialidade, a integridade, a disponibilidade, a conabilidade e a conformidade regulatria. O COBIT possui um conjunto de 210 objetivos de controle divididos em 34 reas de processo. As 34 reas de processo do COBIT so agrupadas em quatro domnios que representam um ciclo semelhante ao ciclo PDCA.
215
AULA
Vamos discutir os assuntos desta aula no frum desta semana?
Requisitos de negcio direcionam investimento em recursos de TI. Recursos de TI so utilizados por processo de TI. Processos de TI entregam informao que atendem aos critrios de informao. A informao utilizada para gerar requisitos de negcio.

Na prxima aula vamos nos aprofundar ainda mais nos estudos do COBIT. Nesta aula vamos explicar o conceito de maturidade em reas de processo, falar das reas foco da Governana em TI segundo o COBIT e discutir a sua viso integrada, ou seja, como todos os conceitos que acabamos de estudar aqui, e outros que estudaremos, se integram na prtica. Tambm falaremos a respeito de outras publicaes complementares ao COBIT v4.1. Ns nos veremos na prxima aula! At breve.
Atividades Finais
1. A melhor definio para o COBIT seria: a. um conjunto de boas prticas para a TI que contm 34 objetivos de controle divididos em 04 domnios. b. um conjunto de controles para a TI que contm 210 objetivos de controle divididos em 34 domnios. c. um conjunto de boas prticas para a TI que contm 34 objetivos de controle divididos em 04 reas de processo. d. um conjunto de controles para a TI que contm 210 objetivos de controle divididos em 34 reas de processo.
a. Para melhorar o entendimento desses padres. b. Como um guia para a escolha ou no destes modelos. c. Para validar a correo de cada modelo. d.. Como uma segunda viso sobre os mesmos assuntos. 3. O COBIT v.4.1 promove um elo entre: a. Expectativas dos gestores e responsabilidades da TI. b. Expectativas de auditores e responsabilidade dos gestores. c.. Expectativas do pessoal de TI e responsabilidades dos auditores. d. Expectativas do pessoal de TI e responsabilidade dos gestores. 4. (Analista do MPE-SE FCC/2009) A correta correspondncia entre uma dimenso do modelo COBIT (cubo) e um de seus elementos dimensionais, respectivamente, a. Information Criteria e Fiduciary. b. IT Process e Quality. c. IT Process e People. d. IT Resources e Fiduciary. e. Information Criteria e Process. 5. Explique o que so os domnios, os objetivos de controle e as reas de processo do COBIT v.4.1.
6. Analise a afirmao: Fatores crticos de sucesso so mais adequados para auxiliar na implantao de controles gerenciais da TI durante mudanas organizacionais do que os indicadores de meta.
217
AULA
2. Como o COBIT pode ser usado em uma empresa em conjunto com outros padres e boas prticas tais como a ITIL v.3 e a ISO 27000?
7. (Analista Judicirio do TRT-15 FCC/2009) NO um domnio de governana no framework do COBIT: a. monitorao. b. requisitos e processos. c. aquisio e implementao. d. planejamento e organizao. e. entrega e suporte. 8. (Analista rea 2 BACEN FCC/2006) Com relao ao framework de auditoria de tecnologia da informao COBIT, a definio correta dos Key Performance Indicators : a. So aqueles que definem as medies que dizem gerncia se atingiram ou no seu objetivo final acordado com as reas de negcio. b. So aqueles que definem as questes ou aes mais importantes que a gerncia deve controlar sob os pontos de vista estratgico, tcnico, organizacional ou procedural. c. So aqueles que consistem no desenvolvimento de um mtodo de pontuao em que a organizao pode proceder auto-avaliao. d. So aqueles que definem medies que determinam quo bem os processos de tecnologia da informao esto desempenhando seu papel em alcanar os objetivos propostos. e. So aqueles que definem as mudanas necessrias ao desempenho dos processos de negcio, aps serem constatadas falhas que levaram a problemas nestes processos. 9. (Unio ESAF/2008) Com relao padronizao, medio e controle de processos, correto afirmar que uma organizao deve a. medir o conjunto de prticas, procedimentos e polticas organizacionais, garantindo que os objetivos do negcio sejam atingidos. b. medir os processos com nvel de maturidade mais baixos para definir a estratgia da organizao. c. implementar indicadores de desempenho visando medies que informam alta administrao o quanto os processos esto sendo bem executados, no sentido de viabilizar o atendimento dos objetivos de negcios. d. medir a diagonal principal da matriz de responsabilidades, com o objetivo de associar os papis s suas responsabilidades. e. ignorar sua situao atual e identificar pontos onde possvel a implantao de uma melhoria.
1. Alternativa d. O COBIT contm 210 objetivos de controle divididos em 34 reas de processo. As 34 reas de processo so divididas em 04 domnios. 2. Alternativa b. O COBIT abrange todas as reas que os outros modelos abordam. Ele servir como um guia mais estratgico a ser utilizado pelos gestores do negcio a fim de definir onde e por que a TI deve melhorar. Uma vez que essa deciso tenha sido tomada, podero entrar em cena (ou no) outros padres, normas e boas prticas. 3. Alternativa a. As expectativas dos gestores da empresa so o reflexo dos requisitos de negcio. O gerenciamento dos processos de TI responsabilidade da TI que deve ser cumprida para que as expectativas da alta direo sejam atendidas. 4. Alternativa a. Examinar o cubo do COBIT e lembrar que os critrios de informao foram baseados em trs reas: qualidade (quality), financeira (fiduciary) e segurana (security). 5. Os domnios so agrupamentos das reas de processo de acordo com as similaridades de seus objetivos. Na verso 4.1 do COBIT, eles so quatro (PO, AI, DS e ME) e normalmente so representados segundo um ciclo que se assemelha muito ao ciclo PDCA. As reas de processo da TI so reas para as quais devem existir processos bem definidos. So 34 reas divididas nos quatro domnios que abordam (ou pretendem abordar) todos os aspectos da TI. Os objetivos de controle representam as metas a serem alcanadas pelos processos de cada rea. Na verso 4.1 h 210 objetivos de controle divididos nas 34 reas de processo. 6. Afirmao falsa. Fatores crticos de sucesso so itens que devem ser atendidos para que as mudanas citadas possam ocorrer (condio sine qua non). Os indicadores de meta so mais adequados quando se quer mensurar resultados da execuo de processo. E o que se quer no proposto (implantao de controles gerenciais). 7. Alternativa b. So 04 domnios do COBIT e requisitos e processos no um deles. 8. Alternativa d. Decorre diretamente da definio de indicador-chave de desempenho. 9. Alternativa c. So os indicadores-chave os responsveis por tornar efetiva a padronizao, medio e controle de processos.
219
AULA
Repostas
Introduo ao COBIT v4.1 Parte 2
Meta da aula
Explicar os conceitos iniciais sobre o COBIT .
objetivos

1
identicar, listar e explicar os principais conceitos sobre o COBIT tais como: gesto por objetivos, metas e reas foco de governana;
listar os nveis de maturidade do COBIT e explicar por que eles so importantes.
Pr-requisitos
So pr-requisitos para esta aula: ter atingido os objetivos das primeiras aulas que tratam do planejamento estratgico, da Governana em TI e das duas verses da ITIL, a saber, a verso 2 e a verso 3. Alm disso, primordial ter entendido plenamente os conceitos des critos na aula de introduo ao COBIT .
AULA
| Introduo ao COBIT V4.1 Parte 2
INTRODUO
Na ltima aula ns comeamos a estudar o COBIT. Foram explicados vrios conceitos, mas, antes de entrarmos no estudo das reas de processo e dos objetivos de controle propriamente ditos, existem outros conceitos importantes a serem estudados. Estudaremos esses conceitos nessa aula.
A esta altura voc j conhece muita coisa sobre a losoa do COBIT , sobre a sua evoluo e sobre alguns de seus principais conceitos. Nesta aula vamos explicar outros conceitos importantes relacionados integrao de tudo que foi visto e aplicao do COBIT e de seus objetivos de controle na prtica.
VISO INTEGRADA DO COBIT

O modelo do
Infraestrutura
Requisitos de Negcio de de ade ade ade a ia lid a lid id id cia nc ncia grid ibi rm abil n fo c ci e e E E nd Int ispo on on C C D Co
COBIT pode ser aplicado de vrias maneiras diferentes dentro de uma empresa. Porm, qualquer que seja a aborda-
Pessoas
gem escolhida, o mais importante que todos os envolvidos em um projeto de implantao de processos visando Governana em TI tenham entendimento muito claro sobre os conceitos que estamos abordando.
Domnios
Processos de TI
Processos
Aplicaes
Informao
Atividades
Re
Figura 9.1: Cubo do COBIT.
cu
s rso
de
TI
em uma gura no formato de cubo. Essa gura famosa como o cubo da Governana do COBIT . Voc o conhece? Voc deve se lembrar das quatro entidades principais do ciclo bsico do COBIT : requisitos de negcio, recursos de TI, processos de TI e a prpria informao. Perceba que esta ltima aparece tanto na face superior do cubo, na forma dos sete critrios denidos pelo COBIT , quanto na face lateral, como um dos tipos de recursos de TI. Observe os seguintes fatos: em primeiro lugar, no COBIT os recursos de TI so agrupados em aplicaes, informao, infraestrutura e pessoas. Essa ideia representada pela face lateral da Figura 9.1. Em segundo lugar, os processos de TI so agrupados em quatro domnios (Planejar e organizar, Adquirir e implementar, Entregar e dar suporte, Monitorar e avaliar) e so efetivados na prtica na forma de atividades ordenadas. Essa ideia representada na face frontal do cubo. E, por ltimo, os requisitos de negcio so denidos a partir das informaes que devem atender aos critrios de eccia, ecincia, condencialidade, integridade, disponibilidade, conformidade regulatria e conabilidade. Isso representado na face superior do nosso cubo da Governana em TI. Alm de tudo isso, observando as arestas, podemos novamente nos lembrar dos princpios do ciclo bsico do COBIT , onde os requisitos de negcio vo direcionar investimentos em recursos de TI; os recursos de TI iro, por sua vez, ser utilizados pelos diversos processos de TI; os processos de TI entregaro informaes que devero atender aos critrios de informao; e, nalmente, a informao ser utilizada para gerar os requisitos de negcio. E o ciclo se repetir indenidamente, sempre visando melhoria contnua. Mas onde est a ideia de integrao neste cubo? O mais importante que o cubo traz uma informao visual de vrios dos principais conceitos do COBIT e uma maneira rpida de ter uma viso global de sua losoa. Depois, vale lembrar que o COBIT tambm herdou do COSO essa caracterstica de representar vrias informaes em uma mesma imagem. O COSO tambm tem o seu cubo da Governana, embora, neste caso, o foco dele no seja a Tecnologia da Informao.

223
AULA
visualizao de seus conceitos foi o agrupamento de vrias informaes
Uma forma que o COBIT encontrou para permitir a melhor
Em 1992, o COSO publicou seu modelo de controles internos integrados (COSO Report: Internal Control An Integrated Framework). Este modelo abordava 26 princpios do controle interno, entre eles, Integridade e valores ticos; Importncia do corpo de diretores; Tecnologia da Informao etc. O modelo do COSO tambm possua um cubo onde os 26 princpios eram associados a cinco componentes: Monitoramento, Informao e Comunicao, Atividades de controle, Avaliao de risco e Ambiente de controle (face frontal). Alm disso, os objetivos do controle interno esto divididos em Operacionais, Relatrio nanceiro e Conformidade regulatria (face superior), e os controles devem ser implementados em todas as reas de negcio, Unidades organizacionais e Atividades da empresa (face lateral). Voc pode obter mais informaes sobre o COSO no site http://www.coso.org/. Esse site foi acessado em 1 de novembro de 2009.
A expresso gerenciamento por objetivos (MBO Management by Objectives) foi popularizada por Peter Drucker na dcada de 1960. A essncia dessa expresso est no fato de que o controle e a auditoria devem se basear nos objetivos nais de cada ao, e no em procedimentos operacionais. Todos os envolvidos nos processos da empresa precisam estar cientes de como cada atividade contribui para o alcance de metas. Foi a partir dessa losoa que surgiu a ideia de que os objetivos devem ser especcos, mensurveis, possveis, relevantes e com prazo bem determinado. Esses parmetros deram origem ao acrnimo SMART (Specic, Measurable, Achievable, Relevant and Time bound).
OPE
E IA IO CEIRO MIDADLATR R AT AN ONFOR REGU REL FIN C
ES
ATIVIDADE 2
MONITORAMENTO
UNIDADE A
ATIVIDADE 1
INFORMAO E COMUNICAO
UNIDADE B
ATIVIDADES de CONTROLE
AVALIAO de RISCO AMBIENTE de CONTROLE
Figura 9.2: Cubo do COSO.
Controle e gesto por objetivos

Uma outra ideia central no contexto da Governana (e necessria para que voc entenda bem todos os conceitos) a do gerenciamento por objetivos em ingls, MBO (Management by Objectives).
PROJETOS
razovel de que os objetivos de negcio sero atingidos e de que os eventos indesejveis sero prevenidos ou corrigidos. Desse modo, quando dizemos que o COBIT um conjunto de objetivos de controle para a TI, estamos dizendo que ele auxilia a empresa a controlar as atividades de TI com foco em algo maior, que so as metas de negcio a serem alcanadas por meio dos processos. Embora voc possa pensar que isso seja bvio, esta tem sido a principal diculdade da maioria das empresas no que diz respeito efetivao do alinhamento estratgico da TI. Na verdade, a ideia at simples, mas a execuo dela no to simples. Voc j consegue perceber diferenas entre a ITIL e o COBIT? Uma das vrias diferenas que podemos encontrar no COBIT controles para processos que a ITIL nem mesmo cita ou, quando faz isso, no faz com o mesmo nvel de profundidade e relevncia. Como exemplo podemos citar processos como Denir um plano estratgico de TI (PO1), Determinar a direo tecnolgica (PO2), Gerenciar os recursos humanos de TI (PO7), Gerenciar projetos de TI (PO10), Gerenciar o ambiente fsico (DS12), Assegurar a conformidade com requisitos externos (ME3) e (ME4). Note que so processos mais ligados direo da TI e ao seu alinhamento com o negcio. Esta uma outra diferena: a ITIL no tem preocupaes relativas gesto executiva da TI e ao seu gerenciamento estratgico, muito embora ela contribua bastante para isso. Voc deve ter sempre em mente que, mesmo quando um processo aparece tanto no COBIT quanto na ITIL, isso acontece de forma muito diferente. O contedo do COBIT voltado para o controle, gerenciamento e medio de cada processo. Seu foco est na tomada de deciso estratgica e alinhamento da TI com as metas de negcio. J o contedo da ITIL mais voltado para a construo e execuo do processo em si, isto , l encontramos informaes sobre quais so as principais entradas do processo, quais so as suas principais atividades e quais so as suas principais sadas. A ITIL, por exemplo, dene claramente alguns indicadores de desempenho do processo, mas no trata dos indicadores de meta do processo. No que ansioso, pois voc ter ainda nesta aula mais uma oportunidade de entender essas diferenas no item em que abordaremos a aplicao do COBIT.
O conceito de projetos e operaes muito forte no mbito das boas prticas de gerenciamento de projetos, sobretudo no Guia PMBOK. Costuma-se dizer que tudo que acontece na empresa acontece na forma de projetos ou na forma de operaes. Projetos tm incio, meio e m bem denidos e geram um produto ou servio cujas caractersticas so singulares. J as operaes no tm necessariamente um m e geram resultados que no so necessariamente exclusivos, ou seja, existem para gerar o mesmo resultado continuamente.
225
AULA
ticas e estruturas organizacionais desenvolvidas para dar uma garantia
OPERAES e
Segundo o COBIT, controles so um conjunto de polticas, pr-
Meta de Negcio
Meta de TI
Meta de Processo
Meta de Atividade
Manter a reputao da empresa e liderana no mercado
Assegurar que os servios de TI podem resistir a ataques
Detectar e solucionar acesso no autorizado aos recursos de TI
Entender requisitos de segurana, vulnerabilidade e ameaas
Medida por meio de...
Nmero de incidentes que se tornaram pblicos
Nmero de incidentes de TI com impacto no negcio
Nmero de incidentes devido a acesso no autorizados
Frequncia de reviso dos eventos a serem monitorados
Figura 9.3: Relao entre metas de negcio e metas de TI.
A relao entre metas de negcio, metas de TI, metas de processo e metas de atividade simples. As metas de negcio so geradas conforme os requisitos de negcio, que por sua vez so motivados por fatores internos ou externos organizao (presses de mercado, necessidade de inovao tecnolgica, novos produtos substitutos, conformidade regulatria etc). So as metas de negcio que do origem s metas de TI (lembre-se de que a partir do plano estratgico da empresa que o PDTI desenvolvido). A partir disso, a empresa constri e implementa processos que daro origem s suas prprias metas. Os processos so compostos por atividades, e estas, por sua vez, possuem metas de atividade. Voc se lembra de quando perguntamos se voc reconheceria uma meta se a visse? Pois bem, a Figura 9.2 contm um exemplo completo de uma meta de negcio (estratgica) detalhada at o seu nvel de meta de atividade (operacional), assim como as mtricas que iro determinar o grau de alcance das metas.
Peter Druker nasceu na ustria em 1909. Atuou principalmente nas reas da economia e administrao, tendo se tornado conhecido mundialmente como pai da gesto moderna. Em seus livros, discutiu questes como a globalizao, a liderana e a motivao das pessoas nas empresas. Vrios deles, escritos h muitos anos, permanecem atuais at hoje e ainda so frequentemente citados como bibliograa de referncia. Druker atuou por mais de sete dcadas, e suas ideias e losoas inuenciaram enormemente a gesto moderna. Ele escreveu dezenas de livros e publicou centenas (ou milhares) de artigos. Dois de seus ltimos livros so The Daily Drucker: 366 Days of Insight and Motivation for Getting the Right Things Done (2004) e The Effective Executive in Action (2005).
Figura: P. Druker
Atividade
Um exemplo de rea de processo do COBIT Identicar solues automatizadas 1 (AI1 Identify automated solutions), cujo objetivo assegurar que a necessidade por novas aplicaes seja analisada antes da sua aquisio, para que os requisitos de negcio possam ser satisfeitos de forma eciente e ecaz. Crie uma meta de TI para essa rea de processo e diga como seus resultados seriam mensurados.
Resposta
A resposta pode variar. Do prprio texto do COBIT, extramos uma das metas que ele cita para esta rea. Meta: denir como os requisitos funcionais para aplicaes so transformados pela empresa em solues automatizadas efetivas e ecientes. Mtrica: nmero de projetos onde os benefcios pretendidos no foram obtidos devido a premissas incorretas sobre os requisitos.
227
AULA
Objetivos de controle
Voc pode ler este texto e tentar ainda imaginar o que existe de concreto no COBIT para auxiliar a controlar a TI. Voc pode perguntar algo como: Como so esses controles, anal? O COBIT possui uma descrio de vrios objetivos de controle relacionados a cada uma das 34 rea de processo. Ao todo so 210, como dissemos na aula passada. Vejamos um exemplo disso. Considere a rea de processo Denir
O termo BASELINE muito utilizado no mundo das boas prticas. Sua traduo ao p da letra seria linha de base. Uma baseline um retrato do estado atual de um sistema, de um processo ou de qualquer coisa cujas caractersticas possam ser modeladas e parametrizadas. A baseline contm as informaes necessrias sobre o estado atual para comparaes futuras. Podemos dizer, por exemplo, que um cronograma de planejamento contm a baseline de tempo do projeto. Durante a execuo do projeto, essa baseline ser comparada com a realidade para que possam ser tomadas medidas preventivas ou corretivas. Outro exemplo so as informaes de congurao de um sistema. Podemos extrair uma baseline dos valores de cada parmetro de congurao do sistema antes de uma mudana, para que, em caso de problema, o sistema possa pelo menos ser recongurado conforme seu estado anterior mudana.
um plano estratgico da TI (ou plano diretor de TI). Essa rea de processo a primeira do domnio de planejamento e organizao (PO), e por isso identicada por PO1 (vamos estudar todas as 34 reas de processo nas prximas duas aulas sobre o COBIT). Para essa rea de processo o COBIT descreve seis objetivos de controle. Ou seja, daqueles 210 objetivos de controle que mencionamos, seis pertencem ao processo Denir um plano estratgico da TI. So eles: PO1.1 - Gerenciamento de valor da TI O objetivo do PO1.1 (IT value management) garantir que o portflio da TI contm operaes e projetos que tenham motivao concreta no negcio. Tudo que a TI faz (ou seja, o seu portflio) deve possuir razo diretamente extrada do plano estratgico da empresa e retorno esperado bem denido para o investimento. PO1.2 - Alinhamento entre TI e negcio O objetivo do PO1.2 (Business-IT alignment) estabelecer um relacionamento bidirecional e um envolvimento recproco no qual a empresa se preocupe com as estratgias da TI e vice-versa. As necessidades imperativas da TI e as necessidades imperativas da empresa precisam ser mediadas, de forma que sempre se chegue a um consenso em que o principal beneciado seja o negcio. PO1.3 - Avaliao da capacidade e desempenho O objetivo do PO1.3 (Assessment of current capability and performance) avaliar tanto a capacidade quanto o desempenho da entrega de solues e servios pela TI, a m de estabelecer linhas de base (BASELINES) para comparao com os requisitos futuros, ou seja,
em que grau ela aconteceu. PO1.4 - IT Plano estratgico da TI O objetivo do PO1.4 (IT strategic plan) criar o plano em si, ou seja, aquele documento que dene como as metas da TI contribuiro para alcanar os objetivos estratgicos da empresa, a que custo e com qual nvel de risco. O plano estratgico da TI deve cobrir previso de oramento, fontes de nanciamento, estratgia de fornecimento, estratgia de aquisio e questes legais e regulatrias. O plano estratgico precisa ser sucientemente detalhado apenas para que seja possvel tomar decises tticas. Precisa ser revisado periodicamente ou a cada mudana no plano estratgico da organizao. PO1.5 - Planos tticos da TI O objetivo do PO1.5 (Tactical plans) criar um conjunto de planos tticos derivados do PDTI. Os planos tticos devem conter as mesmas informaes do plano estratgico de TI, mas em um nvel maior de detalhamento, j visando sua operacionalizao. PO1.6 - Gerenciamento de portflio de TI O objetivo do PO1.6 (Portfolio management) gerenciar ativamente o portflio da TI identicando, denindo, avaliando, priorizando, selecionando, iniciando, gerenciando e controlando
PROGRAMAS, PROJETOS e OPERAES da TI. Isso inclui claricar os obje-
tivos, assegurar que os programas, projetos e operaes levaro aos objetivos almejados, determinar o esforo necessrio para atingir os objetivos, denir responsabilidades para a prestao de contas sobre o desempenho, gerenciar os riscos, alocar recursos nos projetos e operaes selecionados etc. Assim, o processo que a empresa construir para denir o plano estratgico da TI dever possuir indicadores que permitam controlar os seis objetivos de controle mencionados e mensurar se eles esto sendo atendidos ou no. E como denir esses indicadores? Ora, o COBIT mais uma vez ajuda nessa tarefa, pois ele descreve os principais indicadores
Um PROJETO tudo o que tem incio, meio e m bem denidos em que a empresa investe esforo e recursos para gerar um resultado ou produto exclusivo. Um PROGRAMA um conjunto de projetos inter-relacionados. Por exemplo, um programa para levar o homem a Marte envolve vrios projetos inter-relacionados, desde a construo da plataforma de lanamento at o tipo de mistura gasosa que ser respirada pelos marcionautas. Um PORTFLIO um conjunto de projetos, programas e operaes no necessariamente inter-relacionados, ou seja, o portflio da TI, expresso muito usada no COBIT, envolve no s as operaes de TI (os processos), mas tambm os projetos de TI e tudo mais que for da alada da TI na empresa.
229
AULA
no futuro seja possvel determinar se houve evoluo e, se houve,
o foco conhecer e documentar o que se tem hoje, a m de que
de desempenho e indicadores de meta para os controles citados. No magnco? Nas prximas aulas estudaremos os principais controles e indicadores de cada processo. Observe que somente sobre a rea de processo PO1 (Denio do plano estratgico da TI) exemplicada acima, o COBIT fornece uma lista com seis objetivos de controle, assim como sua denio. Na verdade, veremos ainda nesta aula que o COBIT vai muito alm disso por exemplo, auxiliando a empresa a determinar o nvel de maturidade que atingiu na rea de processo e fornecendo os seus principais indicadores e mtricas.
Voc pode obter uma cpia em formato .pdf de vrios documentos sobre o COBIT, inclusive a sua verso 4.1, no endereo: http://www.isaca.org/Template.cfm?Section=COBIT6&Template=/TaggedPage/TaggedPageDisplay.cfm&TPLID=55&ContentID=7981. necessrio o cadastro no site e alguns contedos so pagos. Esse site foi acessado em 30 de dezembro de 2009.
reas foco da Governana em TI

Um dos conceitos-chave do COBIT o conceito de reas foco de Governana. Segundo esse modelo, como j dissemos, estas reas so cinco. Os objetivos e metas estaro direta ou indiretamente relacionados a uma dessas reas. O que so essas reas? Ora, vamos explic-las logo a seguir.
Alinhamento estratgico
Assegura o elo entre o negcio e os planos de TI e alinha as operaes de TI s operaes da empresa. H preocupao em denir, manter e validar as proposies de valor sobre os servios prestados pela TI e contrast-las com o retorno esperado pelo negcio.
Executa as aes que concretizam o valor esperado pelos servios ao longo do seu ciclo de vida e assegura que a TI entrega os benefcios prometidos, comprovando o valor esperado.
to en o am gic h in t Al stra E
o ent ram nce a nito Mo erfom P de
En de tre Va ga lo r
Gerenciamento de Recurso
Figura 9.6: reas foco da Governana.
Gerenciamento de riscos
Requer que os executivos tenham conscincia do nvel de risco que esto dispostos a aceitar, que sejam transparentes sobre os riscos signicativos para o negcio e que tenham denio clara de responsabilidades com relao ao gerenciamento de risco.
Medio de desempenho
Monitora a implementao da estratgia, o encerramento de projetos, o uso de recursos, o desempenho de processos e a entrega de servios, a m de determinar qual o desempenho que est sendo atingido pelos processos de TI. O desempenho medido com foco no alcance de metas.
Ger enc de iamen Risc t os o
Domnios Governana de TI
231
AULA
Entrega de valor
Gerenciamento de recursos
Assegura a otimizao e o gerenciamento adequado do investimento em recursos crticos de TI, ou seja, aplicaes, informaes, infraestrutura e pessoas.
Atividade 2
Qual a relao entre reas foco da Governana, reas de processo e objetivos de controle do COBIT?
1
Resposta
No COBIT, cada rea de processo (ou processo) possui objetivos de controle bem determinados. Ao todo so 34 processos e 210 objetivos de controle. Os processos (juntamente com todos os seus objetivos de controle) esto relacionados s reas de Governana porque, atingindo os objetivos de controle do processo, a empresa estar contribuindo mais para algumas reas de Governana. Obviamente, atingindo todos os 210 objetivos de controle, todas as cinco reas sero beneciadas. O COBIT indica com P (primary) quando um processo mais importante para uma rea de Governana e com S (secondary) quando ele menos importante. Esse mapeamento (P ou S) feito a partir de todos os 34 processos para as cinco reas de Governana.
A MATRIZ RACI
J dissemos que o COBIT herdou do COSO os princpios da Governana (responsabilidade, prestao de contas e transparncia). Desse modo, uma preocupao importante em todas as reas de processo a denio dos papis e de responsabilidades. No COBIT isso feito de forma simples e efetiva. Essas denies so feitas nas matrizes denominadas matriz RACI. So 34 matrizes, como no exemplo a seguir, em que so denidos os principais papis e responsabilidades para cada processo.
que tem o dever de prestar contas sobre os resultados (Accountable); pessoa que deve ser consultada (Consulted) e pessoa que deve ser informada (Informed).
Augusto Ribeiro Gerente de Projeto
Hlio de Souza Desenvolvedor
Atividade
Descrio do sistema Diagrama de caso de uso Diagrama de atividades Desenho das telas Descritivo das telas Diagrama de sequncia Diagrama de classes Denies das tabelas Diagrama de relacionamento Mdulo movimentao Mdulo base Requisitos de implantao Testes Homologao Treinamento Figura 9.7: Matriz RACI para um projeto de software.
A I I I I I I A ... ... ... ... ... ... ...
R A A A A A A R ... ... ... ... ... ... ...
Ferreira Neto Consultor
I R R R R R R C ... ... ... ... ... ... ...
Arthur Gomes Consultor
I R R R R R R I ... ... ... ... ... ... ...
Na Figura 9.7 temos um exemplo de uma matriz RACI para um projeto de desenvolvimento de software. As matrizes desse tipo podem ser utilizadas em vrias ocasies em que se quer melhorar a denio de responsabilidade e a comunicao. Elas so muito usadas na rea de gerenciamento de servios de TI e Governana para denir quem responsvel pelo qu. Vale ressaltar que a matriz RACI uma ferramenta utilizada tambm em outras reas, como no gerenciamento de projetos, pelo mesmo motivo, ou seja, determinar quem far o que no projeto.
Valter Meireles Testador
I I I C I I I I ... ... ... ... ... ... ...
233
AULA
signicados de: pessoa responsvel pela execuo (Responsible); pessoa
O termo RACI um acrnimo em ingls para as palavras com
COMPONENTES DA REA DE PROCESSO

Bem, alm dos conceitos bsicos do COBIT, que so apresentados logo nos captulos introdutrios, algumas informaes so apresentadas para cada rea de processo. Antes de entrar no prximo item, vamos apenas explicar como as reas de processo so apresentadas no COBIT, tudo para garantir que voc absorva melhor os conceitos que esto por vir. Ento vejamos. A primeira informao apresentada para cada rea de processo a prpria descrio sumarizada do processo que pertence quela rea. Alm disso, feito o mapeamento do processo com relao aos critrios de informao, com relao aos recursos de TI e com relao s reas de Governana. Em outras palavras, o COBIT diz se o processo direta ou indiretamente importante para um ou mais critrios da informao. Do mesmo modo, indica se o processo depende direta ou indiretamente de um ou mais tipos de recursos de TI. E, nalmente, indica se o processo direta ou indiretamente relevante para algumas das reas de Governana, sempre utilizando P (primary) ou S (secondary) em todos os casos. Voc se lembra dos sete critrios da informao, dos quatro tipos de recursos crticos de TI e das cinco reas foco da Governana? Caso contrrio, revise esse assunto. Alm disso, o COBIT ainda descreve os objetivos de controle do processo da rea em estudo, tal qual exemplicamos acima para o processo PO1 (Plano estratgico da TI) e seus objetivos de controle (do PO1.1 ao PO1.6). Ou seja, todas as 34 reas de processo tm seus objetivos de controle explicados. Tambm so listadas as principais entradas, as principais sadas, uma matriz RACI, as metas (de negcio, de TI, de processo e de atividade) e as mtricas do processo. E no nal da descrio da rea de processo, o modelo de maturidade para o processo descrito. Note que, de todas essas informaes, apenas a expresso modelo de maturidade deve ser uma informao nova para voc. E esse exatamente o objetivo do prximo tpico.
NVEL 5 Otimizado
NVEL 4 Gerencivel e Mensurvel NVEL 3 Processos Denidos NVEL 2 Repetitivo Intuitivo NVEL 1 Inicial/ Por demanda NVEL 0 Inexistente
Figura 9.8: Nveis de maturidade.
Apesar de j termos apresentado muitos conceitos, ainda resta um ltimo a ser estudado antes de entrarmos na anlise das reas de processo, o que acontecer em nossa prxima aula. Vamos a ele ento.
Nveis de maturidade
A TI da sua empresa madura? Voc conhece ou j ouviu falar do conceito de nveis de maturidade? Os nveis de maturidade representam, obviamente, a maturidade que a empresa atingiu em uma rea de processo. Assim, como o COBIT lida com 34 reas de processo, voc j deve imaginar que haver 34 modelos de maturidade. E isso mesmo. Na verdade, o modelo um s, baseado no CMM (Capability Maturity Model) j conhecido dos prossionais da rea de desenvolvimento de software desde a dcada de 1980. Desse modelo o COBIT aproveitou os nveis de maturidade, que so cinco (seis, se considerarmos o nvel 0):
235
AULA
APLICAO DO COBIT
Nvel 0 - Inexistente Este nvel caracterizado pela ausncia completa do processo e at mesmo da conscincia de que deveria haver um processo para a rea. A empresa nem mesmo reconhece que existe algo com que se preocupar. Nvel 1 Inicial Neste nvel j existe a conscincia da necessidade de construir e implementar o processo. Porm, no h padronizao e documentao. Em vez disso, h iniciativas que tendem a ser aplicadas de forma reativa e individual, caso a caso, conforme as necessidades que apaream. Nvel 2 Repetitivo Neste estgio o processo foi sucientemente documentado para que possa ser repetido, ou seja, pessoas diferentes executam o mesmo processo e podem obter o mesmo resultado. Porm, ainda h alto grau de conana de que o conhecimento algo pessoal que dicilmente pode ser explicitado. Portanto, h uma alta probabilidade de que aconteam erros, e por isso a empresa ainda no se benecia da previsibilidade do processo. Nvel 3 Denido Neste estgio os procedimentos esto documentados, padronizados e so comunicados por meio de treinamentos. Seguir o processo mandatrio. A empresa j se benecia de resultados previsveis do processo (ou cujas variaes permanecem dentro de limites esperados). Porm ainda podem ser notados desvios em que o processo abandonado, principalmente em momentos de crise ou de grande presso. Nvel 4 Gerenciado e mensurvel Aqui so tomadas medidas por meio de procedimentos formais. Os processos esto sob constante melhoria e fornecem boas prticas dentro da empresa. Automao e ferramentas ainda so usadas de maneira limitada ou fragmentada.
com base em resultados de anlise de desempenho e modelos de maturidade padro de mercado. O portflio da TI gerenciado em um ambiente onde o uxo de trabalho acontece de forma automtica. A TI ecaz e eciente e fornece ferramentas para que outros departamentos tambm o sejam. Isso quer dizer que para cada processo denido e implantado pela empresa dever ser dado um grau de maturidade, de acordo com o atendimento ou no de alguns requisitos.
O CMM (Capability Maturity Model) foi criado pelo SEI (Software Engineering Institute) da Universidade de Carnegie Mellon (http://www.cmu.edu) na dcada de 1980. Inicialmente seu objetivo era denir um modelo de determinao de capacidades de processos e maturidade de organizaes no desenvolvimento de software; por isso, ele se chamava CMM-SW. A primeira verso do CMM-SW foi publicada em 1989, com o nome de Managing the Software Process (Gerenciando o processo de software). Esse modelo tornou-se to popular que no ano 2000 foram lanadas novas verses do CMM, agora no mais voltadas para a rea de software, mas para produtos, servios e aquisies. Essas verses se chamam CMM-I (CMM - Integration). Voc pode obter mais informaes em http://www.sei.cmu.edu/cmmi. Acesso em 01 de novembro de 2009.
Voc poderia se perguntar: " possvel a empresa ter nvel alto de maturidade em uma rea de processo e nvel baixo em outra?" Sim, claro que sim. Tambm pode pensar: "Ento possvel a empresa, por exemplo, estar no nvel 5 (Otimizado) em 33 reas de processo e, em apenas uma delas, estar no nvel 2..." No, claro que no. Obviamente a empresa no amadurece de uma vez s todos os seus processos, por isso so esperadas algumas diferenas de maturidade entre as reas. Por outro lado, muito difcil elevar tanto os nveis de maturidade em vrias reas deixando outras em um nvel muito baixo. Isso porque os problemas de uma rea normalmente afetam as outras, impedindo seu amadurecimento. importante ressaltar que os nveis de maturidade do COBIT so descritos com base em informaes de mercado, ou seja, quando
237
AULA
Aqui os processos atingiram o nirvana. Eles foram renados
Nvel 5 Otimizado
uma empresa determina que o seu nvel de maturidade em um processo 1, 2, 3, 4 ou 5 ela ter certeza de que essa informao tem um peso mundial. Isto , o COBIT um meio para a empresa determinar as suas capacidades com relao aos processos de TI e se comparar com outras empresas do mundo inteiro, pois um padro globalmente aceito e reconhecido.
APLICAO DO COBIT
E como o COBIT aplicado na prtica? Voc saberia responder? simples. Pelo COBIT possvel saber em que nvel de maturidade a empresa se encontra em cada uma das reas de processo. Imagine que uma consultoria tenha avaliado uma empresa e determinado, com base no que est escrito no prprio texto do COBIT, que seu nvel de maturidade na rea PO1 (Denir o plano estratgico da TI) 2. Do mesmo modo, que seu nvel de maturidade na rea PO2 (Denir a arquitetura da informao) 3, e que o nvel de maturidade na rea PO3 (Determinar a direo tecnolgica) 2. E assim por diante, at os processos do domnio de monitoramento e avaliao (ME). Por exemplo, ela disse que a empresa nvel 3 na rea ME3 (Assegurar a conformidade com requisitos externos) e nvel 2 na rea ME4 (Fornecer a Governana de TI). Enm, um grau de maturidade de 1 a 5 para cada uma das 34 reas de processo. Como a empresa de consultoria chegou at essas informaes? Voc acha que o COBIT tambm ajudou? Sim, claro que ajudou. Para cada rea o COBIT descreve o cenrio corporativo que caracteriza os nveis, desde o inexistente (tambm chamado de catico) at o otimizado. Ele faz isso 34 vezes, descrevendo todos os seis nveis, no de maneira genrica, como zemos no item acima, mas de maneira especca para a rea em questo. Bem, e depois, o que vem? Depois que a empresa sabe qual o seu nvel de maturidade, ela precisar decidir aonde ela quer chegar, ou seja, que nvel de maturidade ela almeja em cada rea. Perceba que, j nesse momento, importantssimo que os requisitos de negcio estejam claros, pois todo o investimento em recursos para aumentar o nvel de maturidade dos processos precisar estar ligado a alguma necessidade organizacional. De forma mais simples, a partir desse ponto que
se, por alguma razo, ela concluir que eles so sucientes para sustentar o negcio hoje e no futuro prximo. E se a empresa tomar a deciso de amadurecer? Uma vez que a empresa tenha tomado essa deciso para uma ou mais reas, ela precisar denir quais caminhos seguir. Nesse momento recomendada a utilizao de outros modelos de boas prticas e at mesmo normas ou padres. Juntamente com os controles do COBIT, a empresa pode encontrar informaes adicionais necessrias nesses outros modelos. Lembre-se de que o COBIT contm muitas informaes sobre o que fazer e sobre por que fazer, mas no contm tantas informaes sobre o como fazer. Assim, exemplicando, se o grau no domnio PO10 (Gerenciar projetos de TI) foi 2 (Repetitivo) e a empresa deseja elevar esse grau de maturidade para 3 (Denido), ela poder utilizar o Guia PMBOK juntamente com o COBIT para melhorar o processo dessa rea. Do mesmo modo, a empresa pode ter chegado mesma concluso (de que precisa amadurecer) com relao ao gerenciamento de problemas (DS10 do COBIT). Nesse caso, ela pode utilizar a ITIL em conjunto com o COBIT, pois sabemos que ela possui uma descrio do processo de gerenciamento de problemas muito bem detalhado. O COBIT necessrio porque a ITIL no indica as metas de negcio que esse processo ajuda a alcanar nem quais seriam as mtricas ideais para o controle dessas metas. Tambm no diz nada com relao ao que seria um processo de gerenciamento de problemas com nvel de maturidade inicial, repetitivo, denido, gerenciado ou otimizado.
Atividade
3
2
Uma empresa decidiu melhorar todos os seus processos de TI. Qual o primeiro passo a ser tomado e como os nveis de maturidade das reas de processo do COBIT so usados nesse momento?
239
AULA
aceitar os nveis de maturidade que ela determinou, mesmo que baixos,
comea o alinhamento estratgico da TI. A empresa pode simplesmente
Resposta
Trata-se de um desejo de mudana (mudana para melhor, obviamente). O planejamento de qualquer mudana sempre possui trs etapas (macro). Denir onde se est, denir aonde se quer chegar e denir como se chegar ao destino pretendido. Assim, a primeira etapa denir em que nvel esto os processos atuais da empresa, pois somente com essa informao a empresa poder tomar decises e seguir adiante. Os nveis de maturidade do COBIT auxiliam tanto na determinao do nvel de maturidade atual quanto, em um momento posterior, na determinao do que deve ser feito para atingir nveis de maturidade mais elevados (aonde se quer chegar). A etapa "como chegar l" tambm pode se beneciar do COBIT, mas neste caso, dependendo do processo que se quer amadurecer, tambm indicada a utilizao de outras formas do conhecimento, normas, padres etc.
CONCLUSO
Agora voc deve se lembrar de que na aula passada ns estudamos denies importantes sobre o COBIT, como recursos de TI, critrios da informao, indicadores de desempenho e de metas, domnios, reas de processo e objetivos de controle. Nesta aula ns terminamos a fase de apresentao de conceitos, com denies importantes como a das reas de Governana, matriz RACI e os nveis de maturidade. Voc deve conseguir explicar todos esses conceitos isoladamente e, por outro lado, deve entender como eles se integram do ponto de vista da aplicao do COBIT como guia para a implementao de processos de TI visando Governana.
INFORMAES SOBRE O FRUM Vamos discutir os assuntos desta aula no frum desta semana? Ttulo: COBIT versus Governana em TI: Quo importante ele ? Objetivo: Se voc ainda tem dvidas sobre como concretizar a Governana de TI na sua empresa, saiba que voc no deve estar sozinho. Esse tipo de sentimento muito comum e praticamente todas as organizaes encontram diculdades na hora de colocar em prtica a teoria apresentada no COBIT. Os comentrios so sempre parecidos: a teoria relativamente simples, mas a prtica nem tanto. Pois bem, neste frum vamos trocar ideias e discutir a prtica da Governana nas empresas!
Atividade online
C Como as empresas tm implementado a Governana em TI? V sala de 1 2 aula virtual e resolva a atividade proposta pelo tutor. O objetivo da atividade , por meio de pesquisa e consulta bibliograa, estudar alguns casos reais de projetos de Governana.
RESUMO
O controle por objetivos do COBIT uma ideia que comeou a ser desenvolvida em meados dos anos 1950 e 1960 por Peter Druker na sua abordagem MBO (Management by Objectives). O COBIT possui um conjunto de 210 objetivos de controle divididos em 34 reas de processo. As 34 reas de processo do COBIT so agrupadas em quatro domnios, que representam um ciclo semelhante ao ciclo PDCA. As reas foco da Governana em TI so cinco: Alinhamento estratgico, Entrega de valor, Gerenciamento de riscos, Medio de desempenho e Gerenciamento de recursos. Cada rea de processo contm uma matriz RACI que define pessoas responsveis pela execuo (responsible), pessoas que tm o dever de prestar contas sobre resultados (accountable), pessoas que devem ser consultadas (consulted) e pessoas que devem ser informadas (informed). O COBIT utiliza um esquema de nveis de maturidade baseado no modelo CMM (Capability Maturity Model), conhecido por prossionais da rea de desenvolvimento de software. Os nveis de maturidade das reas de processo do COBIT so: inexistente (nvel 0), inicial (nvel 1), repetitivo (nvel 2), denido (nvel 3), gerenciado (nvel 4) e otimizado (nvel 5).
241
AULA

Na prxima aula comearemos a estudar as reas de processo com seus objetivos de controle. Especicamente nessa aula iremos tratar do domnio de planejamento e organizao (PO Plan and organise), em que estudaremos dez processos, e do domnio de aquisio e implementao (AI Acquire and implement), em que estudaremos sete processos. Ns nos veremos na prxima aula! At breve.
Atividades Finais
1) O COBIT v4.1 ajuda a empresa no atendimento a requisitos regulatrios: a) Fornecendo objetivos de controle impostos pelos rgos regulatrios. b) Demonstrando controles adequados sobre as atividades de TI. c) Denindo objetivos de controle que satisfaam a maior parte dos regulamentos e leis de TI conhecidos. d) Denindo prticas de controle precisas para atender maior parte dos regulamentos e leis de TI conhecidos. 2) Os modelos de maturidade do COBIT v4.1 fornecem uma maneira de identicar: a) Mtricas e um mtodo para acompanhar metas. b) Objetivos de melhoria e um mtodo para acompanhar o progresso. c) Controles e um mtodo para acompanhar prticas de controle. d) Critrios de informao e um mtodo para acompanhar controles. 3) Qual item contm uma ideia coerente com a misso do COBIT v4.1? a) Fornecer servios de consultoria global em Governana em TI. b) Produzir normas e padres mundiais para a TI. c) Certicar empresas e prossionais na rea de Governana em TI. d) Criar objetivos de controle internacionalmente reconhecidos.
a) Entregar o servio com oramento abaixo do previsto. b) Entregar mais do que foi acordado, com custo e risco baixos. c) Usar sistemas terceirizados para reduzir custos. d) Entregar o que foi acordado com custo aceitvel e risco gerenciado. 5) (Analista Judicirio do TRT-15 FCC/2009) As diretrizes gerenciais do COBIT para indicar onde um processo se encontra e onde se deseja chegar estabelecem o uso da ferramenta denominada a) Modelo de maturidade. b) Fatores crticos de sucesso. c) Objetivos de controle detalhados. d) Indicadores-chaves de desempenho. e) Indicadores-chaves de metas. 6) Analise a armao: O alinhamento estratgico uma rea foco da Governana em TI que visa a garantir que haver uma capacidade tima da TI para que ela atenda s estratgias e tticas da empresa.
Respostas
1) Alternativa c. O COBIT compatvel com regulamentos e leis mundiais que afetam a rea de TI em todo o mundo, tais como a Lei Sarbanes-Oxley, por exemplo. Ele dene objetivos de controle e no prticas de controle. 2) Alternativa b. A empresa pode denir onde ela est e aonde quer chegar com relao ao processo (objetivo de melhoria) e, aps (ou durante) a execuo de aes de melhoria o modelo pode ser usado para mensurar em que nvel a empresa se encontra (aonde j chegou). 3) Alternativa d. Decorre diretamente da prpria misso do COBIT. 4) Alternativa d. Entregar mais do que foi acordado no visto como uma boa prtica, pois envolve recursos da empresa (que poderiam ser alocados em outros servios) sem o devido retorno. O custo deve ser aceitvel e no necessariamente baixo. O risco precisa ser gerenciado e no necessariamente baixo. 5) Alternativa a. O enunciado trs a denio de modelo de maturidade. 6) Armao falsa. A rea de Governana em questo o Gerenciamento de recursos.
243
AULA
4) Qual das seguintes frases melhor descreve a ideia de entrega de valor?
COBIT v4.1 Planejando, organizando, adquirindo e implementando
10
Meta da aula
Explicar as reas de processo do domnio de planejamento e organizao e do domnio de aquisio e implementao do COBIT v4.1 e os seus respectivos objetivos de controle.
objetivos

1
reconhecer e explicar os objetivos de controle do domnio Planejar e organizar do COBIT ; reconhecer e explicar os objetivos de controle do domnio Adquirir e implementar do COBIT .
AULA
Pr-requisitos
So pr-requisitos para esta aula ter atingido os objetivos das primeiras aulas que tratam do Planejamento Estratgico e da Governana em TI. Alm disso, primordial ter entendido plenamente os conceitos descri tos nas duas aula anteriores de introduo ao COBIT .
| COBIT v4.1 Planejando, organizando, adquirindo e

implementando
INTRODUO
Dissemos nas ltimas aulas que o COBIT possui contedo que pode ser acessado e utilizado no dia a dia pelos gestores de TI. Nessa aula vamos comear a estudar esse contedo, que est distribudo ao longo das reas de processo e dos objetivos de controle. Bom estudo!
Voc sabe quantos so os processos de TI que devem ser abordados em uma empresa para que todas as suas reas sejam cobertas? Veja bem... Estamos falando de todas as reas da TI! Voc deve imaginar que tentar abordar, em um nico documento, tudo que todas as empresas em todos os setores e em todos os pases do mundo fazem com relao Tecnologia da Informao um objetivo um tanto quanto megalomanaco. No bem por a... Talvez o objetivo realmente fosse inatingvel se tivssemos a preocupao de descrever exatamente como cada processo precisa ser implementado. Porm, quando a ideia listar as caractersticas principais dos processos na forma de objetivos de controle, j no estamos falando de algo to absurdo assim. Muito pelo contrrio! E isso que o COBIT faz ao longo de seus quatro domnios de processos. Dois desses domnios sero estudados nesta aula. O objetivo desta e da prxima aula listar e explicar as reas de processo e seus objetivos de controle. Ressaltamos que o COBIT foi escrito em um formato cuja estrutura se repete em todas as reas de controle, para facilitar a consulta e o entendimento das informaes. Nestas duas aulas iremos seguir o mesmo princpio. Apesar da repetio do formato, o contedo obviamente diferente em cada processo. Assim, voc precisa ter como meta sintetizar a ideia principal de cada rea de processo a partir das informaes apresentadas, ou seja, responder pergunta: para que serve o processo dessa rea mesmo? Nesta aula iremos estudar os domnios Planejar e organizar (PO) e Adquirir e implementar (AI). Ao todo, eles renem 17 processos, sendo dez mais ligados ao planejamento e denio de diretrizes dos servios (PO) e sete que visam
aquisio, construo ou desenvolvimento do servio seguidos da operacionalizao no ambiente produtivo da empresa (AI). Porm, precisamos antes relembrar a relao existente entre as metas de negcio, metas de TI, metas de processo e de atividades, conforme vimos na Aula 9. Caso voc tenha dvidas, revise esse assunto naquela aula. Voc deve entender que o COBIT possui, para cada rea de processo, uma gura semelhante Figura 10.1. Nela voc poder encontrar, alm das metas de processo e de seus indicadores, as metas e indicadores de TI e as metas e indicadores das atividades.
Meta de TI
Meta de Processo
Meta de Atividade
Assegurar que os servios de TI podem resistir a ataques
Detectar e solucionar acesso no autorizado aos recursos de TI
Entender requisitos de segurana, vulnerabilidade e ameaas
medida por meio de ...
Nmero de incidentes de TI com impacto no negcio
Nmero de incidentes devidos a acessos no autorizados
Frequncia de reviso dos eventos a serem monitorados
Figura 10.1: Relao entre metas de TI, de processo e de atividades.
Nesta e na prxima aula ns daremos pelo menos um exemplo de meta de processo e um indicador para medir o alcance da meta mencionada. Porm tenha sempre em mente que os exemplos de metas de processo no so os nicos possveis e que, alm disso, ainda poderiam ser dados exemplos de metas de TI e de metas de atividades, conforme o relacionamento indicado na (Figura 10.1). Observe ainda que isso vale tambm para os respectivos indicadores. O.K., agora sim vamos em frente!
247
AULA
10

implementando
Segundo o COBIT, controle o conjunto de polticas, procedimentos, prticas e estruturas organizacionais desenvolvidas para dar garantia razovel de que os objetivos de negcio sero atingidos e de que os eventos indesejveis sero prevenidos ou detectados e corrigidos. Um objetivo de controle dene o resultado desejado ou o propsito a ser atingido atravs do controle. O COBIT v4.1 descreve 210 objetivos de controle na forma de requisitos de alto nvel a serem considerados pelos gestores para que haja controle efetivo de cada processo de TI. Eles aparecem sempre na segunda seo de cada rea de processo, na forma de declaraes de aes genricas sobre as prticas mnimas para assegurar que o processo est sob controle. Assim, como j dissemos, no COBIT v4.1, PO, AI, DS e ME indicam os domnios; PO1, PO2, ..., AI1, ..., ME3, ME4, indicam os processos (ou reas de processo); e PO1.1, PO1.2, PO1.3, ..., PO10.14, AI1.1, ..., ME1.1, ..., ME4.7 indicam os objetivos de controle. Ressaltamos que os objetivos de controle so descritos genericamente e no na forma de indicadores de meta ou de desempenho em uma seo especca da rea de processo (Control Objectives). Os indicadores do processo aparecem logo abaixo, na seo de diretrizes para o gerenciamento (Management Guidelines).
PLANEJAR E ORGANIZAR (PO PLAN AND ORGANISE)

Os processos do domnio de planejamento e organizao (PO Plan and organise) cobrem as diretrizes, estratgias e tticas da empresa, alm de lidar com questes sobre como a TI pode contribuir melhor para atingir as metas de negcio. A realizao da viso estratgica precisa ser planejada, comunicada e gerenciada sob diferentes perspectivas. Os processos desse domnio lidam diretamente com questes como determinao e comunicao das estratgias e diretrizes da TI; denio da arquitetura da informao e das direes tecnolgicas; gerenciamento de recursos humanos; gerenciamento de projetos de TI e gerenciamento da qualidade em geral, entre outros.
Figura 10.2: Planejamento de TI.
OPERAES e PROJETOS. O conceito de projetos e operaes muito forte no mbito das boas prticas de gerenciamento de projetos, sobretudo no Guia PMBOK. Costuma-se dizer que tudo que acontece na empresa acontece na forma de projetos ou na forma de operaes. Projetos tm t incio, meio e m bem denidos e geram um produto ou o servio cujas caractersticas so singulares. J as operaes no tm necessariamente um m e geram resultados que q no so necessariamente exclusivos, ou seja, existem para gerar o mesmo resultado continuamente.
Voc se lembra de quais so as cinco reas foco da Governana? Relembrando: alinhamento estratgico, entrega
Voc deve ter em mente que esse processo visa a responder a perguntas como: o que a TI quer, no curto, mdio e longo prazo est de acordo com o que a empresa quer? Quantos projetos do portflio da TI esto diretamente relacionados a um objetivo estratgico da organizao? Esse processo tem como objetivo principal a criao de um plano diretor de TI que permita gerenciar os recursos de TI de acordo com as prioridades da empresa. O PDTI deve deixar claro quais so as estratgias da TI e como elas se reetem no seu portflio, alm de ser detalhado o suciente para orientar a construo de planos tticos. Esse processo deve comunicar e documentar, por meio do plano, limitaes, capacidades, ameaas, oportunidades, riscos identicados e necessidades da TI. Os objetivos de controle desse processo so: PO1.1 Gerenciamento de valor da TI. PO1.2 Alinhamento entre a TI e o negcio. PO1.3 Avaliao de capacidade e desempenho. PO1.4 Planejamento estratgico da TI. PO1.5 Planejamento ttico da TI. PO1.6 Gerenciamento do portflio da TI. Observe que, no nvel otimizado, esse processo garante a existncia de um plano estratgico de TI vivo na organizao; o plano revisado periodicamente de forma integrada ao plano estratgico da empresa; todas as metas do PDTI foram obtidas a partir das metas de negcio; as informaes sobre riscos estratgicos so continuamente revisadas etc. "Um exemplo de meta desse processo : "Denir como os requisitos de negcio so mapeados em servios oferecidos pela TI". Um indicador de desempenho dessa meta obtido atravs da medio do percentual de servios fornecidos pela TI que podem ser diretamente mapeados no plano estratgico da organizao". Com relao s reas foco da Governana, esse processo essencial para que haja alinhamento estratgico.
249
AULA
PO1 Denir um plano estratgico de TI (Dene a strategic IT plan)
10

implementando
DATA MINING, ou minerao de dados, uma tcnica relacionada seleo da informao, haja vista que a quantidade de dados disponveis aumenta a cada dia em uma proporo absurda. As tcnicas e ferramentas de data mining visam a separar dados teis de dados inteis para a descoberta de informaes. J o data warehouse, ou armazm de dados, , de forma bem resumida, um banco de dados customizado para aumentar a capacidade de sumarizar grandes volumes de dados. A principal ferramenta utilizada para trabalhar com data warehouse o OLAP (Online Analytical Processing). O OLAP foi desenvolvido para utilizar esquemas especiais de armazenamento de dados, permitindo menor tempo de processamento na gerao de informao. O data mining e o data warehouse so conceitos que fazem parte da BI, que bem mais abrangente. A BI (Business Intelligence) ou inteligncia de negcio est relacionada a coleta, seleo, organizao, armazenamento, anlise, compartilhamento, monitoramento, controle, descarte e tudo o mais referente ao gerenciamento da informao e do conhecimento, com o objetivo de dar suporte gesto mais inteligente do negcio.
PO2 Denir a arquitetura da informao (Dene the information architecture)

Esse processo responde a questes como: existem sistemas automatizados efetivos que do suporte a BI (Business Inteligence), data mining ou data warehouse? Como os dados que circulam pela organizao so armazenados, protegidos, compartilhados, analisados e descartados? Existem dados duplicados? Esse processo visa a otimizar o uso da informao atravs da definio de um dicionrio corporativo com regras de sintaxe e denio de um esquema para a classicao da informao e de seus nveis de segurana. Um dos objetivos nais desse processo assegurar que as informaes so geradas a partir da anlise de dados conveis. Na prtica, esse processo ir lidar com questes como a construo e a manuteno de uma base de dados para BI (Business Intelligence),
MINING DATA
Figura 10.3: Inteligncia de negcio.
e data warehouse. Os seus objetivos de controle so: PO2.1 Denio do modelo de arquitetura da informao. PO2.2 Criao do dicionrio de dados. PO2.3 Denio do esquema para classicao dos dados. PO2.4 Gerenciamento da integridade. O mximo de desempenho desse processo atingido quando
o pessoal de TI possui as competncias e habilidades necessrias para desenvolver e manter uma arquitetura da informao que reita as necessidades do negcio. Um exemplo de meta para esse processo pode ser: garantir o efetivo gerenciamento da informao na empresa. Essa meta pode ser medida pela quantidade de dados e informaes na empresa para os quais possvel determinar origem, responsvel, utilidade ou valor para o negcio. Com relao s reas foco da Governana, esse processo prioritrio para o alinhamento estratgico e para o gerenciamento de recursos.
Que fabricante escolher? Que tipo de hardware, software, plataforma, sistema operacional, marca ou fabricante adotar? Que novos padres tecnolgicos e regulamentaes podem afetar o negcio? Na prtica, esse processo ir lidar com esse tipo de questes. A empresa precisa denir expectativas claras e realistas sobre o que a tecnologia pode oferecer em termos de produtos e servios. Uma boa prtica comunicar essas expectativas atravs de um plano que contenha informaes sobre a arquitetura de sistemas, planejamento de aquisies, padres em uso etc. Os principais objetivos de controle so: PO3.1 Planejamento da direo tecnolgica. PO3.2 Planejamento da infraestrutura tecnolgica. PO3.3 Monitoramento das tendncias. PO3.4 Acompanhamento de padres tecnolgicos. PO3.5 Atuao do comit de arquitetura da TI. Esse processo atinge o nvel mximo de maturidade quando: a empresa consegue se adequar rapidamente s tecnologias emergentes; a direo tecnolgica dada por padres da indstria mundialmente aceitos e no por tecnologias proprietrias; o impacto de mudanas tecnolgicas analisado com a participao dos responsveis pelo negcio; existe um processo formal de aprovao de mudanas de diretrizes tecnolgicas; a empresa possui um plano de infraestrutura tecnolgica que reete as necessidades de negcio e que pode ser modicado para reetir mudanas de cenrio etc. Uma meta para esse processo : desenvolver e implementar um plano de infraestrutura tecnolgica. O sucesso dessa meta pode ser medido pelo nmero de plataformas tecnolgicas em uso na organizao que esto em acordo com o plano implementado. Esse processo essencial para a Governana principalmente por causa do gerenciamento de recursos.
251
AULA
PO3 Determinar direo tecnolgica (Determine technological direction)
10

implementando
PO4 Denir processos de TI, sua organizao e seus relacionamentos (Dene the IT processes, organisation and relationships)
Existem funes, processos ou unidades organizacionais que no esto sendo contempladas pelo PDTI e que deveriam estar? Existem atividades tpicas da rea de TI que no so contempladas na empresa? Um provedor de TI denido: pelo seu pessoal (staff); por suas habilidades e capacidades; por suas funes, papis e responsabilidades; por denies de alada, autoridade, coordenao, superviso, gerncia e direo; por seus procedimentos, processos, polticas e planos; por seus sistemas de gerenciamento da qualidade e do risco etc. Esse processo deve produzir essas denies e estabelecer critrios de relacionamento na rea. Os objetivos de controle so: PO4.1 Criar o modelo de processo de TI. PO4.2 Atuao do comit de estratgia de TI. PO4.3 Atuao do comit de controle de TI. PO4.4 Alocao das funes de TI na organizao. PO4.5 Denio da estrutura organizacional da TI. PO4.6 Denio de papis e responsabilidades. PO4.7 Responsabilidade pela garantia da qualidade. PO4.8 Responsabilidade pela gesto do risco e segurana. PO4.9 Propriedade dos dados e sistemas. PO4.10 Superviso. PO4.11 Segregao de tarefas. PO4.12 Gerenciamento do pessoal de TI. PO4.13 Gerenciamento de pessoas-chave. PO4.14 Denio de polticas e procedimentos de contratao. PO4.15 Gerenciamento dos relacionamentos. O processo desta rea atinge o nvel mximo de amadurecimento quando: a estrutura do provedor de TI exvel; as boas prticas da indstria so utilizadas em todos os aspectos; a tecnologia extensivamente utilizada para dar suporte quando a estrutura de TI complexa e geogracamente distribuda etc.
Uma meta para esse processo : "Denir claramente os papis, responsabilidades e donos dos processos de TI, assim como os relacionamentos com as partes interessadas". Uma das formas de medir o alcance desta meta determinar o percentual de clientes, usurios e patrocinadores satisfeitos com a efetividade e presteza com que a TI atende s solicitaes de servio (do ingls responsiveness). Esse processo prioritrio para o gerenciamento de riscos e para o gerenciamento de recursos da Governana.
PO5 Gerenciar o investimento em TI (Manage the IT investment)

Algumas questes importantes para voc considerar nesta rea so: como mensurar o ROI da TI? Quanto a TI gera de retorno em termos de resultados de negcio? Como medir o custo unitrio por servio prestado pela TI? Qual melhor forma de agregao de custos? Como os investimentos em TI so balanceados no que diz respeito a custo, benefcio e priorizao dentro do oramento?
Custo de Hardware
Custo de Software
Arquitetura de dados
Outros custos
TCO
Suporte e manuteno Treinamento de usurios
Tempo de implantao
Riscos de tecnologia
Figura 10.4: Custo total de propriedade.
253
AULA
10

implementando
Enm, esse processo exige envolvimento dos responsveis pelo negcio e dos responsveis pela TI e visa a fornecer transparncia e responsabilidade sobre o TCO (Total Cost of Ownership) de TI e a realizao do ROI (Return of Investment) almejado. So objetivos de controle: PO5.1 Criao de um modelo de gerenciamento nanceiro. PO5.2 Priorizao dentro do oramento de TI. PO5.3 Oramentao do portflio de TI. PO5.4 Gerenciamento de custos. O5.5 Gerenciamento de benefcios. Note que esse processo est totalmente amadurecido quando: tcnicas formais de anlise de custo e benefcio, seleo de projetos e oramentao so utilizadas; o processo de gerenciamento de investimentos continuamente melhorado com base em lies aprendidas em investimentos anteriores; as decises de investimento levam em considerao as tendncias do mercado; a anlise de custo-benefcio feita levando em considerao o ciclo de vida do produto ou servio etc. "Uma meta muito bvia desse processo : Otimizar os custos de TI e maximizar os seus benefcios". Uma forma de medir o alcance dessa meta determinar o percentual de investimentos em projetos, operaes e processos de TI que entregaram os resultados inicialmente denidos". Com relao Governana, esse processo essencial para que haja entrega de valor, ou seja, para que os resultados almejados de fato aconteam e para que isso ocorra dentro do custo inicialmente esperado.
O TCO (Total Cost of Ownership) ou custo total de propriedade uma estimativa que procura considerar os custos totais (diretos e indiretos) relacionados propriedade de um ativo. O TCO envolve no somente as questes relacionadas aquisio, mas manuteno e at mesmo desativao ou o descarte do ativo. Envolve tambm os custos de treinamento de usurios e operadores, custos de falha ou paradas para manuteno, riscos de incidentes ou acidentes (e possveis consequncias), custos de armazenamento fsico, teste, garantia de qualidade, atualizao etc. um parmetro importante para que a empresa decida sobre a aquisio de um ou outro ativo. Por exemplo, vale mais pena utilizar um computador pessoal com sistema baseado em Linux ou com sistema Windows na sua empresa? Fcil! As licenas de uso do Linux so gratuitas e as do Windows so pagas. O.K., mas preciso considerar o TCO de ambos os sistemas, isto , os custos de treinamento no uso do sistema, a integrao com os sistemas servidores da empresa, o suporte do fabricante, as questes de segurana da informao etc. Muitas empresas, aps reetirem sobre esta situao, ainda preferem utilizar sistemas operacionais proprietrios.
Voc deve entender que esse processo est diretamente ligado a questes como: quantas pessoas na empresa conhecem e entendem as polticas adotadas pela TI? At que ponto o insucesso em atingir as metas de TI tem prejudicado a empresa em atingir as suas prprias metas? Quantas interrupes no negcio foram causadas por interrupes na TI? Observe que todos na empresa devem estar cientes da misso, dos objetivos dos servios, polticas e procedimentos da TI. Essa comunicao dar o suporte necessrio para que a TI atinja os seus objetivos, assegurando que haver conscincia e entendimento dos riscos, objetivos e diretrizes de negcio. Seus objetivos de controle so: PO6.1 Poltica de TI e ambiente de controle. PO6.2 Riscos de TI e modelo de controle. PO6.3 Gerenciamento das polticas de TI. PO6.4 Execuo de procedimentos, polticas e padres. PO6.5 Comunicao dos objetivos e diretrizes de TI. Esse processo atinge seu estgio mximo de otimizao quando: o controle est alinhado com a estratgia de negcio; a viso da empresa periodicamente revista, atualizada e reforada; a tecnologia utilizada para otimizar a comunicao atravs de ferramentas automatizadas etc. "Uma meta a ser alcanada por esse processo : Desenvolver um conjunto compreensvel de polticas de TI e comunic-lo efetivamente na organizao". O alcance dessa meta pode ser medido atravs da determinao do percentual de clientes, usurios, patrocinadores etc., que conhecem e entendem as polticas da TI". Esse processo est diretamente relacionado ao alinhamento estratgico e ao gerenciamento do risco da Governana em TI.
PO7 Gerenciar recursos humanos de TI (Manage IT human resources)

Provavelmente as questes abordadas neste processo so bvias para voc! Por exemplo: h a necessidade de contratao de pessoal ou de treinamento das equipes existentes? As perspectivas para os prossio-
255
AULA
PO6 Comunicar objetivos e direo do gerenciamento (Communicate management aims and direction)
10

implementando
nais que trabalham na rea de TI da empresa so motivadoras? Quantas pessoas na organizao esto satisfeitas com o conhecimento e com as habilidades do pessoal de TI? Esse processo visa adoo de prticas de recrutamento, treinamento, avaliao de desempenho, promoo e encerramento das atividades dos prossionais do provedor de TI. Esse um processo crtico, uma vez que as pessoas so um ativo importante em qualquer organizao e a Governana em TI depende muito da capacidade e da motivao das pessoas. PO7.1 Recrutamento e reteno de pessoal. PO7.2 Gerenciamento de competncias pessoais. PO7.3 Alocao de pessoal. PO7.4 Treinamento de pessoal. PO7.5 Gerenciamento da dependncia de indivduos. PO7.6 Autorizao de pessoal. PO7.7 Avaliao de desempenho. PO7.8 Mudana de cargo ou encerramento de atividades. Perceba que esse processo considerado amadurecido quando: existe um plano formal de gerenciamento de recursos humanos; o gerenciamento de recursos humanos integrado ao planejamento tecnolgico, assegurando tima utilizao dos recursos humanos; existem procedimentos compatveis com as normas mundiais da categoria para compensao, reviso de desempenho, transferncia de conhecimento, treinamento e aconselhamento etc. A principal meta desse processo : desenvolver prticas prossionais de gerenciamento de recursos humanos. O seu alcance pode ser medido atravs do percentual de prossionais que possuem o perl determinado (competncias e habilidades) para cumprir as estratgias da TI. Quanto Governana em TI, esse processo essencial tanto para o alinhamento estratgico quanto para o gerenciamento de recursos.
PO8 Gerenciar qualidade (Manage quality)

Que questes voc acha que so importantes aqui? Ora, alguns exemplos so: como a melhoria contnua pode ser implementada pela TI? Que norma ou padro de qualidade pode ser utilizado? O que os usurios entendem por qualidade no servio prestado pela TI? Um sistema de gerenciamento da qualidade deve ser desenvolvido e mantido para garantia e controle da qualidade atravs de procedimentos bem claros de denio e atendimento de requisitos. A melhoria continua ser obtida atravs do monitoramento contnuo, anlise de variaes, comunicao de resultados e entendimento das expectativas, necessidades e desejos das partes interessadas. Seus objetivos de controle so: PO8.1 Sistema de gerenciamento da qualidade. PO8.2 Prticas padro de qualidade em TI. PO8.3 Padres de desenvolvimento e aquisies em TI. PO8.4 Foco no cliente. PO8.5 Melhoria contnua. PO8.6 Reviso, monitoramento e medidas da qualidade. O nvel mximo de desempenho desse processo obtido quando: o sistema de gerenciamento da qualidade integrado a todas as atividades de TI; o gerenciamento da qualidade obtido de forma exvel e adaptvel a mudanas no ambiente de prestao dos servios; a avaliao do nvel de satisfao um processo contnuo e gera anlise de causa-raiz e aes corretivas ou preventivas de melhoria etc. "Uma meta a ser atingida por esse processo : Determinar um padro de qualidade e uma cultura de melhoria contnua nos processos de TI". O alcance dessa meta pode ser medido, por exemplo, pelo percentual de projetos ou de processos revisados pelos responsveis pelo gerenciamento da qualidade visando melhoria". O gerenciamento da qualidade essencial para o alinhamento estratgico da Governana em TI.
Figura 10.5: Qualidade e melhoria.
257
AULA
10

implementando
PO9 Avaliar e gerenciar riscos da TI (Assess and manage IT risks)

Pense em algumas perguntas que poderiam ser feitas aqui... Algumas questes bvias seriam: o que pode impedir que a TI atinja as suas metas? Se a TI atingir as suas metas, o que pode impedir que, mesmo assim, a empresa no atinja as metas de negcio? Como os objetivos da TI so cobertos pelo gerenciamento do risco na empresa? Existem respostas de contingncia? Esse processo visa a documentar os riscos comuns que afetam a TI e denir um nvel de risco aceitvel pelos donos do negcio, assim como as aes de resposta ao risco. Os resultados desse processo devem ser entendidos pelos interessados e, sempre que possvel, precisam ser expressos em termos nanceiros. Seus objetivos de controle so: PO9.1 Gerenciamento de riscos em TI. PO9.2 Denio do contexto do risco. PO9.3 Identicao de eventos. PO9.4 Avaliao do risco. PO9.5 Respostas ao risco. PO9.6 Manuteno e monitoramento do plano de ao. O mximo de amadurecimento aqui acontece quando: a identicao, anlise e comunicao dos riscos feita de forma eciente e ecaz na empresa; o gerenciamento do risco uma atividade desempenhada de forma interdepartamental, e no somente na TI; o gerenciamento do risco integrado a todas as atividades de TI; o processo detecta decises de investimento em TI que so tomadas sem levar em considerao os riscos envolvidos; os riscos residuais e riscos secundrios so determinados e gerenciados etc. "Uma meta a ser alcanada pelo PO9 : Estabelecer um plano de ao para os riscos da TI". O seu alcance pode ser medido atravs do nmero de incidentes causados por riscos no identicados previamente pelo processo". Quanto s reas foco da Governana, esse processo primariamente importante para o alinhamento estratgico e, obviamente, essencial para o gerenciamento de risco.
PO10 Gerenciar projetos (Manage projects)

Algumas questes-chave que voc deve perguntar aqui so: quantos projetos foram iniciados sem passar por um processo de anlise e seleo? Quantos projetos terminaram sem estourar o oramento ou o prazo? Quantos projetos foram cancelados porque no conseguiram atingir os seus objetivos? Esse processo visa denio de uma metodologia de gerenciamento de projetos de TI. Essa metodologia deve dar suporte ao gerente desde a seleo e priorizao dos projetos at o seu encerramento, passando pela elaborao de um plano de gerenciamento de projeto e a sua correta aplicao no controle o monitoramento. So objetivos de controle desta rea: PO10.1 Gerenciamento de programas. PO10.2 Gerenciamento de projetos. PO10.3 Metodologia de gerenciamento de projeto. PO10.4 Comunicao com as partes interessadas. PO10.5 Denio do escopo. PO10.6 Iniciao do projeto. PO10.7 Planejamento integrado do projeto. PO10.8 Gerenciamento de recursos do projeto. PO10.9 Gerenciamento do risco do projeto. PO10.10 Planejamento da qualidade do projeto. PO10.11 Controle de mudanas no projeto. PO10.12 Planejamento de mtodos de garantia do projeto. PO10.13 Controle e monitoramento do desempenho. PO10.14 Encerramento do projeto. Esse processo atinge o nvel mximo de maturidade quando: existe uma metodologia de gerenciamento de projetos de TI envolvendo todo o seu ciclo de vida, que faz parte da cultura da empresa; h iniciativas contnuas para identicar e institucionalizar as melhores prticas de gerenciamento de projetos; existe uma entidade organizacional responsvel por projetos e programas de TI etc.
NVEL 5 Otimizado
Figura 10.6: Escritrios de projetos.
259
AULA
10

implementando
Uma meta desse processo : "Estabelecer mecanismos ecientes e ecazes de controle de escopo, tempo e custo dos projetos". Essa meta pode ser medida atravs do percentual de projetos que terminam no prazo e dentro do oramento tendo cumprido todos os requisitos inicialmente estabelecidos. Esse processo mais um que primrio no que diz respeito a alcanar o alinhamento estratgico, ou seja, sem atingir os seus objetivos dicilmente a empresa conseguir alinhar a TI e o negcio.
O COBIT utiliza em seu texto a expresso escritrio de projetos, ou PMO (Project Management Ofce), dentro do PO10. O escritrio de projetos uma estrutura dentro da empresa cujas funes variam muito em cada caso, dependendo do nvel de maturidade que a empresa possui com relao ao gerenciamento de projetos. Um PMO pode exercer funes que vo do simples apoio aos gerentes de projeto, auxiliando-os em suas atividades, at o gerenciamento de todo o portflio da organizao, exercendo atividades estratgicas diretamente ligadas direo do negcio. Os tipos de PMO tambm variam muito. Alguns possuem estrutura menor e so compostos por duas ou trs pessoas; outros possuem estrutura maior, com dezenas de funcionrios. Alguns nascem dentro de um departamento e tratam dos projetos de uma nica rea; outros lidam com projetos de vrios departamentos. O PO10, quando cita o escritrio de projetos, est se referindo a um PMO de TI, que exemplo muito comum no mercado atual em todo o mundo.
Atividade 1
Com relao s reas foco da Governana, quais processos so prioritrios ao mesmo tempo para o alinhamento estratgico e para o gerenciamento de riscos? Explique. Alguma rea foco da Governana em TI no foi citada? Explique.
1
Resposta
Somente o PO6 e o PO9 esto relacionados como prioritrios para ambos os casos. As concluses so diversas. O objetivo aqui iniciar um raciocnio integrado sobre o COBIT. Uma concluso, por exemplo, notar que o PO6 (que trata da comunicao de objetivos, metas e diretrizes) primordial para o alinhamento estratgico. Como sabemos, a realidade do mercado outra. Muitos at possuem uma denio de misso, viso etc., mas poucos a comunicam efetivamente pela organizao. O alinhamento entre a TI e o negcio, segundo o COBIT, depende totalmente disso. Com relao segunda questo, a medio de desempenho no foi citada. Isso porque esse no o foco dos processos do domnio PO. Mesmo assim, vale ressaltar que a medio de desempenho aparece, sim, vrias vezes como uma rea de Governana em TI secundria para alguns dos processos do domnio de planejamento e organizao (s listamos o mapeamento das reas da Governana que so primrias para o processo). Os controles do COBIT so estrategicamente interligados, de forma que raro um processo possuir objetivos com reexos somente em uma rea. Na verdade, isso s acontece com um processo: o processo DS13 (Gerenciar operaes), que veremos na prxima aula.
ADQUIRIR E IMPLEMENTAR (AI AQUIRE AND IMPLEMENT)

Os processos do domnio de aquisio e implementao (AI Aquire and implement) lidam com as atividades que visam realizao das estratgias de TI construdas atravs dos processos do domnio PO, ou seja, as solues de TI precisam ser identicadas; os recursos necessrios precisam ser adquiridos externamente ou construdos internamente; os servios desejados precisam ser colocados em produo etc.
Figura 10.7: Integrao entre processos.
261
AULA
10

implementando
AI1 Identicar solues automatizadas (Identify automated solutions)

Voc sabe como a empresa analisar a viabilidade de atender s expectativas, aos desejos e at mesmo s necessidades dos usurios? Como os requisitos de negcio sero considerados pelos usurios durante a especicao das aplicaes e servios? Bem, esse processo deve lidar com esse tipo de dvida. A necessidade de novas aplicaes precisa ser analisada sob diversos aspectos, tais como: desejos e expectativas dos interessados, existncia de solues alternativas, reviso da tecnologia envolvida, anlise de custo-benefcio, anlise de viabilidade e deciso nal de fazer ou comprar. De uma forma ou de outra, tanto a aquisio externa quanto a construo interna da soluo devem atender aos princpios da ecincia operacional e, principalmente, da eccia estratgica. Os objetivos de controle aqui so: AI1.1 Denio dos requisitos tcnicos e funcionais. AI1.2 Relatrios de anlise de risco. AI1.3 Estudo de viabilidade e denio de alternativas. AI1.4 Deciso e aprovao de requisitos e de viabilidade. Observe que o nvel mximo desse processo atingido quando: a metodologia para aquisio ou implementao exvel e atende a projetos de todos os portes; as oportunidades de utilizao de tecnologias estratgicas so identicadas e aproveitadas; a empresa a identica e atua em situaes em que aplicaes so aprovadas sem a devida anlise de viabilidade e custo-benefcio etc. Um exemplo de meta desse processo pode ser: "Identicar solues que atendam aos requisitos dos usurios e tomar decises de fazer ou comprar. Essa meta possui vrios indicadores, tais como o percentual de interessados (usurios, clientes, patrocinadores etc.) satisfeitos com os estudos de viabilidade realizados pela TI. Com relao s reas foco da Governana, esse processo est diretamente ligado entrega de valor e ao alinhamento estratgico.
Tenha em mente que esse processo garante que a empresa no car sem resposta para questes como: o que garante que uma soluo foi construda conforme as especicaes? Como as aplicaes sero auditadas? Como garantir a qualidade no processo de desenvolvimento de software? Como gerenciar solicitaes de usurios por novos servios? Aqui o termo "aquisio" usado de forma abrangente, ou seja, referese tanto aquisio externa (comprar de terceiros), quanto aquisio interna (desenvolver com meios prprios). Aplicaes cujas viabilidades foram aprovadas precisam se concretizar. Esse processo deve cobrir o desenho das aplicaes e as atualizaes visando implementao de novas funcionalidades. Os seus objetivos de controle so: AI2.1 Desenho de alto nvel. AI2.2 Desenho detalhado. AI2.3 Controle e auditoria de aplicaes. AI2.4 Disponibilidade e segurana das aplicaes. AI2.5 Congurao e implementao do software adquirido. AI2.6 Atualizaes maiores de sistemas em produo. AI2.7 Desenvolvimento de software aplicativo. AI2.8 Garantia de qualidade de software. AI2.9 Gerenciamento de requisitos de aplicaes. AI2.10 Manuteno de software aplicativo. Veja que o nvel mximo de desempenho almejado por esse processo atingido quando: toda a aquisio e a manuteno de software acontecem de acordo com o processo; quando a metodologia de aquisio e manuteno possibilita desenvolvimento e entrega respondendo rapidamente s necessidades do negcio etc. "Uma meta desse processo : Adquirir e manter aplicaes que atendam os requisitos de negcio a um custo vivel". O alcance dessa meta pode ser medido atravs do percentual de projetos de desenvolvimento que terminam no prazo e dentro do oramento e pela quantidade de esforo necessrio para manter as aplicaes em uso na organizao".
263
AULA
AI2 Adquirir e manter softwares aplicativos (Acquire and maintain application software)
10

implementando
Com relao s reas foco da Governana em TI, esse processo prioritrio para a entrega de valor e para o alinhamento estratgico.
AI3 Adquirir e manter infraestrutura tecnolgica (Acquire and maintain technology infrastructure)
Quantos processos crticos de negcio so suportados por plataformas obsoletas? Existe um plano de atualizao da infraestrutura tecnolgica? Quanto da infraestrutura tecnolgica est operando em plataformas que no esto de acordo com as diretrizes tecnolgicas da organizao? As empresas tambm precisam possuir um processo para adquirir e atualizar a sua infraestrutura tecnolgica. Isso requer procedimentos alinhados com as estratgias e direes tecnolgicas, alm da existncia de ambientes dedicados de teste e desenvolvimento. Esse processo garante que a infraestrutura tenha capacidade para suportar as aplicaes de negcio. AI3.1 Plano de aquisio de infraestrutura tecnolgica. AI3.2 Proteo e disponibilidade da infraestrutura. AI3.3 Manuteno da infraestrutura. AI3.4 Viabilidade do ambiente de testes. Esse processo atinge o mximo de maturidade quando a organizao conhece as novas plataformas, tecnologias e ferramentas de mercado; o TCO reduzido atravs da racionalizao e padronizao dos componentes da infraestrutura; o processo auxilia na identicao de meios para otimizar o desempenho atravs da terceirizao etc. Uma meta desse processo : "Fornecer plataforma apropriada para suportar as aplicaes de negcio." O seu alcance pode ser medido pelo nmero de componentes da infraestrutura que no esto de acordo com a arquitetura e com os padres tecnolgicos denidos pela empresa. Esse processo crtico para o gerenciamento de recursos dentro das reas de Governana em TI.
AI4 Habilitar operao e uso (Enable operation and use)

Como as informaes sobre as aplicaes sero compartilhadas entre os prossionais da rea de TI? Como os usurios sero treinados
para utilizar adequadamente a infraestrutura e os sistemas? Qual o percentual de aplicaes para as quais h treinamento inclusive para a equipe de suporte? Esse processo lida principalmente com conhecimento e informao sobre os sistemas. Ele requer a elaborao de documentao para as equipes, manuais para usurios e treinamento a m de assegurar o uso adequado da infraestrutura. Os objetivos de controle so: AI4.1 Planejamento das solues operacionais. AI4.2 Transferncia de conhecimento para a empresa. AI4.3 Transferncia de conhecimento para os usurios nais. AI4.4 Transferncia de conhecimento para o provedor de TI. Note que o nvel otimizado desse processo atingido quando: a documentao constantemente atualizada; quando ela mantida eletronicamente, possibilitando rpido acesso e enriquecimento atravs de contribuies; as atualizao reetem as mudanas organizacionais ou operacionais; os programas de treinamento e capacitao so integrados s necessidades da empresa e s necessidades da TI etc. Um exemplo de meta do AI4 pode ser: "Transferir e compartilhar o conhecimento necessrio para o uso correto dos sistemas e aplicaes". Ela pode ser mensurada, por exemFigura 10.8: Adquirir e implementar.
plo, por meio do nmero de incidentes causados pela falta de documentao sobre os procedimentos ou pela falta de treinamento da equipe. Esse processo um dos que so diretamente responsveis pela entrega de valor da Governana em TI.
AI5 Comprar recursos de TI (Procure IT resources)

Os recursos de TI incluem pessoas, hardware, software e servios; todos precisam ser comprados de alguma maneira. Pois bem. Que maneira seria essa? Quais so os melhores fornecedores de determinado equipamento ou servio? Como mensurar a qualidade de um fornecedor? Como e onde posso contratar mo de obra terceirizada?
265
AULA
10

implementando
necessrio que existam procedimentos de aquisio, de seleo de fornecedores, de construo de arranjos contratuais, e da compra em si. O objetivo que a organizao disponha de todos os recursos de que precisa quando eles forem necessrios. Os objetivos de controle desse processo so: AI5.1 Controle de aquisies. AI5.2 Gerenciamento de contratos. AI5.3 Seleo de fornecedores. AI5.4 Aquisio de recursos de TI. Note que o nvel timo atingido quando: a empresa refora a necessidade de seguir as polticas e os procedimentos de aquisio da TI; so tomadas medidas sobre os contratos e sobre o gerenciamento de aquisies que so relevantes para decises futuras de aquisio; existe bom relacionamento com parceiros e fornecedores e a qualidade desse relacionamento medida periodicamente e de forma estratgica; a TI comunica a importncia estratgica de haver processos adequados de aquisio e gerenciamento de contratos etc. Uma meta importante desse processo : "Reduzir o risco nas aquisies da TI." Ela pode ser medida atravs do percentual de aquisies realizado de acordo com as polticas e procedimentos formais de aquisio da organizao. A principal contribuio desse processo para a Governana em TI com relao ao gerenciamento de recursos.
AI6 Gerenciar mudanas (Manage changes)

Como priorizar as mudanas necessrias no ambiente operacional? Como lidar com as solicitaes de alteraes emergenciais na infraestrutura ou em sistemas de produo? Como minimizar o risco do impacto de mudanas mal realizadas? Enm, todas as mudanas (mesmo as emergenciais) dentro do ambiente de produo precisam ser gerenciadas de acordo com procedimentos formais. Mesmo mudanas em procedimentos, processos, parmetros de congurao de servios ou sistemas devem ser registrados e autorizados antes de sua implementao. Isso assegura a mitigao de riscos inerentes a mudanas que possam causar impacto na estabilidade do ambiente de produo. Seguem os objetivos de controle:
AI6.1 Denio de padres e procedimentos de mudanas.

AI6.2 Avaliao de impacto, priorizao e autorizao. AI6.3 Mudanas emergenciais. AI6.4 Relatrio e acompanhamento de mudanas. AI6.5 Encerramento e documentao de mudanas. O nvel otimizado desse processo obtido quando: as trilhas de auditoria permitem detectar erros causados por mudanas mal executadas; o retrabalho devido a mudanas mnimo; as operaes de retrocesso, quando necessrias, acontecem com o mnimo impacto; o gerenciamento de mudanas na TI integrado ao gerenciamento de mudanas de negcio para assegurar aumento de produtividade e criao de oportunidade para a organizao etc. Uma das metas do AI6 : "Avaliar o impacto das mudanas na infraestrutura e nas aplicaes de TI." O seu alcance pode ser medido atravs da quantidade de mudanas que resultaram em retrocesso e pela reduo do esforo necessrio para implementar as mudanas. Esse processo essencial para a entrega de valor na Governana em TI.
AI7 Instalar e acreditar solues e mudanas (Install and accredit solutions and changes)
Qual a melhor forma de colocar uma nova soluo em produo, anal? Bem, para no fugir regra, bvio esta altura que, em primeiro lugar, vem a construo dos processos que atendam aos objetivos de controle de todas as reas citadas. Depois car fcil... Esse processo ir lidar especicamente com a operacionalizao do servio (aps a sua identicao, anlise de viabilidade, construo ou aquisio etc.). Tal operacionalizao requer testes em um ambiente dedicado e com dados relevantes, denio de instrues de migrao, planejamento de entrega, incio da produo, alm de revises psimplantao. Isso assegura que os sistemas operacionais esto alinhados com as expectativas. Ento, estes so os objetivos de controle descritos no COBIT para esta rea: AI7.1 Treinamento. AI7.2 Planejamento de testes. AI7.3 Planejamento de implementao.
267
AULA
10

implementando
AI7.4 Ambiente de testes. AI7.5 Converso de dados e sistemas. AI7.6 Testes de mudanas. AI7.7 Testes de aceitao nal. AI7.8 Incio da produo. AI7.9 Reviso ps-implantao. Observe que esse processo atingir o nvel otimizado (nvel mximo de maturidade segundo o COBIT ) quando: no existem incidentes ou acidentes aps a operacionalizao de sistemas; as revises ps-implementao so padronizadas e as mudanas necessrias so mnimas; a empresa utiliza as lies aprendidas para assegurar a melhoria contnua do processo; testes de carga (novos sistemas) e testes de regresso (sistemas modicados) so aplicados consistentemente etc. Uma meta desse processo : "Vericar e conrmar que aplicaes e sistemas esto plenamente de acordo com os propsitos da organizao". Um dos indicadores de desempenho dessa meta a quantidade de retrabalho causado por testes inadequados de aceitao das solues. Esse processo primrio para a entrega de valor da Governana em TI.
Figura 10.9: Gerenciar mudanas.
Atividade
2
2
Qual a diferena entre os processos do domnio AI (Adquirir e implementar) e os processos do domnio PO (Planejar e organizar)?
Resposta
Os processos do domnio AI possuem foco mais voltado para a operacionalizao dos servios. Isso notado quando observamos que os sete processos deste domnio reetem preocupaes de analisar a viabilidade, adquirir e manter softwares aplicativos e infraestrutura, documentar e compartilhar informaes de uso e manuteno, efetivar a compra dos recursos necessrios, gerenciar as mudanas, testar o servio e torn-lo operacional, ou seja, de forma muito simplicada, podemos dizer que se trata das etapas do ciclo que vo da solicitao pelo usurio ou cliente at a sua operacionalizao. E para que servem os processos do domnio PO? Ora, tudo que acontece em outros processos acontece segundo as sadas dos processos de planejamento e organizao, ou seja, segundo as diretrizes, metas, planos e metodologias gerados quando aqueles processos so conduzidos pela empresa.
CONCLUSO
Os processos vistos nesta aula se encaixam nos dois primeiros domnios citados do COBIT. Voc se lembra de como o relacionamento entre o ciclo PDCA e os domnios PO e AI? O domnio PO possui processos cujas atividades tm mais a ver com o P (Plan) do PDCA. O domnio AI, por sua vez, est mais relacionado ao D (Do) do ciclo PDCA. importante que, a partir disso, voc entenda que o amadurecimento dos processos de aquisio e implementao depende do amadurecimento dos processos de planejamento e organizao. Alm disso, outro fato importante que o alinhamento estratgico, que apenas uma das cinco reas foco da Governana, depende de vrios processos. Por outro lado, um processo pode ser importante para mais de uma rea foco da Governana em TI. Tudo isso, de certa forma, responde questo sobre por que difcil evoluir uma rea deixando outra em segundo plano. Embora tenhamos dito que os processos do COBIT foram construdos de forma integrada, na verdade, na prtica, os processos esto de fato integrados. O COBIT apenas reete a realidade daquelas empresas onde as coisas funcionam direito.
269
AULA
10

implementando
Finalmente, ressaltamos que, alm de ter atingido as metas denidas pela empresa para cada objetivo de controle, comum ao nvel mximo de maturidade de todos os processos: seguir efetivamente a losoa da melhoria contnua; gerar documentao e registros necessrios dentro da prpria metodologia do processo; e, obviamente, garantir que as metas de TI so obtidas de acordo com as metas de negcio.
INFORMAES SOBRE O FRUM Vamos discutir os assuntos desta aula no frum desta semana? Ttulo: O COBIT como um "guarda-chuva" para a Governana em TI. Objetivo: muito comum encontrarmos no mercado empresas que iniciaram seus projetos de melhoria no gerenciamento de servios de TI pela ITIL, pela ISO 27000 etc. Algumas delas nem tiveram conhecimento do que o COBIT e para que ele serve. Voc deve se lembrar de que o COBIT deve ser um guarda-chuva para a Governana em TI e, por isso, deve ser abordado antes de qualquer outro modelo ou norma. Voc concorda com isso? Por qu?
Atividade online
O COBIT no possui uma descrio detalhada sobre como implementar o 1 2 processo (entradas, atividades, procedimentos, regras, sadas etc.). Pelo menos no esta a sua principal preocupao, haja vista que ele um documento estratgico e, portanto, menos detalhado. Nesta aula vimos os processos dos domnios PO e AI. O objetivo desta atividade pesquisar como os processos da ITIL v3 so mapeados no COBIT, ou seja, que processo da ITIL v3 tem a ver com qual rea do COBIT (e vice-versa).
RESUMO
Os dez processos do domnio Planejar e organizar (PO) cobrem questes como: determinao e comunicao das estratgias e diretrizes da TI; denio da arquitetura da informao e das direes tecnolgicas; gerenciamento de recursos humanos; gerenciamento de projetos de TI; gerenciamento da qualidade geral etc.
Os sete processos do domnio Adquirir e implementar (AI) lidam diretamente com questes como: identicao das solues de TI; aquisio externa ou construo interna dos recursos necessrios; colocao dos servios desejados em produo etc. O COBIT mapeia os 34 processos de cada rea de processo com relao s cinco reas foco da Governana. Alguns processos so mais importantes para o alinhamento estratgico, outros so mais importantes para o gerenciamento de riscos, j outros para o gerenciamento de recursos e assim por diante. Todo processo possui objetivos de controle a serem perseguidos com o intuito de promover o seu amadurecimento. O nvel mximo de amadurecimento de cada processo acontece quando todos os objetivos de controle so atingidos e quando o processo exvel para se adaptar s mudanas no cenrio do negcio. O fato de um processo atingir o nvel mximo de amadurecimento segundo o COBIT (que o nvel otimizado) no signica que o processo no possa mais melhorar. Pelo contrrio, a principal caracterstica desse nvel a busca incessante pela melhoria contnua utilizando as boas prticas consagradas do mercado.

Na prxima aula estudaremos os dois ltimos domnios do COBIT: o domnio de entrega e suporte (DS Deliver and support), em que estudaremos 13 processos, e o domnio de monitoramento e avaliao (ME Monitor and evaluate), em que estudaremos quatro processos. No que parado! Utilize o que voc aprendeu e at a prxima aula!
271
AULA
10

implementando
Atividades Finais
1) O relacionamento entre o PO3 (Determinar direo tecnolgica) e o AI3 (Adquirir e manter infraestrutura tecnolgica) est no fato de que: a. Os objetivos de controle do AI3 seguem as denies do PO3. b. Os objetivos de controle do PO3 seguem as denies do AI3. c. Ambos abordam o acompanhamento de tendncias tecnolgicas. d. Ambos abordam questes sobre manuteno da infraestrutura. 2) Com relao ao PO5 (Gerenciar o investimento em TI) e ao AI5 (Comprar recursos de TI) INCORRETO armar que: a. O AI5 lida com o gerenciamento de contratos de fornecedores. b. O PO5 lida com questes de oramento, custo e benefcio. c. O processo PO5 responsvel por planejar as aquisies. d. O processo AI5 responsvel por efetivar as aquisies. 3) Com relao ao PO10 (Gerenciar projetos) e ao AI6 (Gerenciar mudanas) podemos armar que: a. O AI6 lida somente com mudanas em sistemas aplicativos. b. O AI6 no aborda mudanas no ambiente operacional. c. O PO10 no aborda projetos de desenvolvimento de software. d. O PO10 diz respeito criao de metodologia. 4) Um coordenador de TI arma que, para atender s metas denidas pelos indicadores da rea de processo Gerenciamento da qualidade (PO8) do COBIT, necessrio e suciente implementar o processo Gerenciamento do nvel de servio do livro Desenho do servio da ITIL v3. Julgue e explique esta armao. 5) (Analista do MPE-SE FCC/2009) Uma das reas de processo do domnio PO ( Planejamento e Organizao ), no modelo COBIT, a. Ensure Systems Security. b. Obtain Independent Assurance. c. Assist and Advise Customers. d. Assess Risks. e. Manage Changes. 6) Costumamos dizer que o COBIT mais abrangente que outros modelos e conjuntos de boas prticas. Com relao ITIL, cite um exemplo de rea (do domnio PO ou AI) que descreve um processo no contemplado pela ITIL. 7) (Analista Judicirio do STJ CESPE/2008) Quanto ao modelo COBIT, julgue os seguintes itens. a. No domnio adquirir e implementar (acquire and implement), h o processo adquirir e manter infraestrutura de tecnologia (acquire and maintain technology infrastructure), que tem como objetivos: desenvolver e executar um plano de garantia de qualidade de software; desenvolver e manter uma estratgia e um plano para a manuteno dos softwares aplicativos.
b. Considere que, no que diz respeito ao processo avaliar e gerenciar riscos de TI (assess and manage IT risks), uma organizao apresente as seguintes caractersticas: existe uma abordagem para avaliar riscos; para cada projeto, implementar a avaliao de riscos depende de deciso do gerente do projeto; a gerncia de riscos aplicada apenas aos principais projetos ou em resposta a problemas. Nessa situao, o nvel de maturidade da referida organizao, em relao a tal processo, gerenciado e mensurvel (managed and measurable).
Resposta
1) Alternativa a. As aquisies resultantes dos processos do domnio AI seguem o planejamento resultante dos processos do domnio PO. Somente o PO3 acompanha tendncias de tecnologias e padres e somente o AI3 lida com questes de manuteno da infraestrutura. 2) Alternativa c. errado armar que o PO5 planeja as aquisies. Na verdade, ele aprova oramentos, analisa a relao custo-benefcio de aquisies e prioriza investimentos. Porm, as compras necessrias (quando aprovadas dentro do oramento), so conduzidas pelo AI5. Conduzir as compras signica planejar (denir quando ser comprado, quem ser o fornecedor etc.), executar (fechar a compra, receber o equipamento ou servio etc.), controlar (acionar a garantia etc.) e encerrar (entregar para a implementao e operacionalizao). 3) Alternativa d. A empresa precisa ter metodologia para gerenciar projetos. O processo PO10 possui objetivos de controle direcionados para esse m, ou seja, a criao de uma metodologia de gerenciamento de projetos de TI na organizao. 4) A armao est errada. O objetivo do PO8 denir indicadores para a adoo (ou no) de sistemas, losoas e mtodos da qualidade dentro do mbito da TI, tais como a ISO 9000 e Seis Sigma etc. O processo Gerenciamento do nvel de servio da ITIL lida com o estabelecimento de acordos entre as partes envolvidas para a determinao e atendimento de requisitos, desejos e expectativas com relao aos servios. Obviamente, como tudo no COBIT, uma coisa acaba ajudando a outra. 5) Alternativa a. Ressalte-se que os nomes das reas esto em ingls (prtica comum) e que o correto seria Assess and manage IT risks. 6) A resposta pode variar. Um exemplo marcante o do PO7, que lida com o gerenciamento de recursos humanos no que diz respeito contratao, reteno, motivao, treinamento e avaliao de pessoas. A ITIL no d muita ateno a essa questo, embora o assunto seja citado supercialmente nos textos que abordam a central de servios. 7.a) Falso. O processo mencionado lida com questes da infraestrutura. o processo Adquirir e manter softwares aplicativos (Acquire and maintain application software), do mesmo domnio, que lida com as questes citadas. 7.b) Falso. No nvel gerenciado e mensurado (nvel quatro) no existe cabimento em avaliar riscos dependendo da deciso do gerente (de forma subjetiva) e muito menos em aplicar o processo apenas aos principais projetos (falta de escalabilidade do processo) ou em resposta a problemas (reativo ao invs de proativo).
273
AULA
10
COBIT v4.1 Entregando, dando suporte, monitorando e avaliando processos de TI
11
Meta da aula
Explicar as reas de processo do domnio de entrega e suporte e do domnio de monitoramento e controle do COBIT v4.1 e os seus respectivos objetivos de controle.
objetivos

1
reconhecer e explicar os objetivos de controle do domnio Entregar e dar suporte do COBIT v4.1; reconhecer e explicar os objetivos de controle do domnio Monitorar e avaliar do COBIT v4.1.
AULA
Pr-requisitos
pr-requisito para esta aula ter atingido os objetivos das primeiras aulas que tratam do Planejamento Estratgico e da Governana em TI, alm disso, primordial ter entendido plenamente os conceitos descritos nas duas aula anteriores de introduo ao COBIT .
| COBIT v4.1 Entregando, dando suporte, monitorando e

avaliando processos de TI
INTRODUO
Se voc tivesse que escolher um modelo, padro ou conjunto de boas prticas para a Governana em TI qual seria ele? No nenhum absurdo dizer que, na atualida de, o COBIT o principal documento que trata dessa rea. Nessa aula vamos nalizar o estudo desse importante modelo de controles para Governana em TI. Bom estudo!
Chegamos nossa ltima aula sobre o COBIT ! Na aula anterior, estudamos dois domnios cujos processos esto mais voltados para o planejamento e para a construo dos servios de TI. Nesta aula iremos estudar 13 processos mais ligados aos servios que sustentam a operao e a produo diria da TI e quatro processos que visam avaliao do desempenho de todos os outros processos. Voc deve perceber que o conjunto de reas de processo que estudaremos nessa aula o mais diretamente coberto pelos processos da ITIL . Porm, lembre-se sempre de que, embora ambos tratem do mesmo assunto em diversas situaes, a ITIL e o COBIT possuem focos bem diferentes, como j ressaltamos em outras aulas. Por isso, o teor do texto revela informaes que so diferentes no que diz respeito sua importncia (mais estratgica, no caso do COBIT ; mais operacional, no caso da ITIL ) e servem empresa em momentos diferentes da criao do processo (mais no momento de denio de objetivos e metas, no caso do COBIT ; mais no momento de colocar o processo em produo, no caso da ITIL ). Alm disso, voc deve se lembrar tambm do o fato de que ser mais voltado para a estratgia ou para a operao no quer dizer estar restrito a estes nveis. O COBIT no evita lidar com questes relacionadas execuo do processo em si, at porque o domnio de entrega e suporte que estudaremos nesta aula diretamente voltado para processos j em operao. Como j dissemos vrias vezes, o correto utilizar o COBIT primeiro para auxiliar na denio do desenho do processo e de seus objetivos em outro modelo para auxiliar na sua operacionalizao. No domnio DS, o contedo da ITIL quase totalmente mapeado pelo COBIT .

aqui o Monitorar e avaliar (ME). Pois bem, vamos em frente.
ENTREGAR E DAR SUPORTE (DS DELIVER AND SUPPORT)

Este domnio trata de processos que visam sustentao do dia a dia da empresa atravs da manuteno dos processos existentes. Os processos do domnio de entrega e suporte (DS Deliver and support) cobrem o gerenciamento da segurana e da continuidade das operaes; o suporte ao usurio atravs da central de servio; o gerenciamento de incidentes e de problemas; o gerenciamento de servios terceirizados etc.
Figura 11.1: Suporte de TI.
DS1 Denir e gerenciar nveis de servio (Dene and manage service levels)
Voc se lembra dos processos da ITIL ? Pois o objetivo dessa rea orientar a empresa no sentido de construir um processo como o Gerenciamento do nvel de servio da ITIL . Qual o nvel de servio esperado pelo cliente e pelo usurio para um determinado servio? Existem acordos formalizados com os usurios, com outros departamentos e com terceiros? Os acordos esto sendo cumpridos? Usurios e clientes esto satisfeitos? Os objetivos de controle desse processo so: DS1.1 Modelo de gerenciamento do nvel de servio. DS1.2 Denio de servios. DS1.3 Acordo de nvel de servio. DS1.4 Acordos de nvel operacional. DS1.5 Monitoramento e relatrio do nvel de servio alcanado. DS1.6 Reviso dos contratos e acordos de nvel de servio. Este processo atinge o mximo nvel de maturidade quando: os acordos de nvel de servio so continuamente revisados; a satisfao do cliente, usurio etc. continuamente medida e analisada; os requisitos de nvel de servio atendem aos objetivos e metas da empresa e no a outros critrios subjetivos etc.

277
AULA
o domnio Entregar e dar suporte (DS). O outro domnio que estudaremos
11
Enm, voc j deve ter percebido que um dos domnios ainda no estudados

Uma das metas importantes desse processo : "Estabelecer um entendimento comum sobre os requisitos de qualidade para os servios prestados pela TI." Um indicador para medir o alcance dessa meta a quantidade de servios entregues que atendem aos nveis previamente acordados. Alinhamento estratgico, entrega de valor, medio de desempenho e gerenciamento de recursos so reas foco da Governana para as quais esse processo primordial.
DS2 Gerenciar servios de terceiros (Manage third-party services)

Voc deve saber que cada vez mais comum no mercado o processo de terceirizao, principalmente na rea de TI. Portanto, devem existir procedimentos formais para lidar com fornecedores terceirizados de produtos ou de servios ou parceiros de negcio. Esses processos iro lidar com questes como: o que se espera do fornecedor? At que ponto a m qualidade na prestao de servios por terceiros pode afetar o negcio? Como diminuir o risco relacionado aos nossos parceiros de negcio? Os seus objetivos de controle so: DS2.1 Identicao do relacionamento com fornecedores. DS2.2 Gerenciamento do relacionamento com fornecedores. DS2.3 Gerenciamento do risco de fornecedores. DS2.4 Monitoramento do desempenho de fornecedores. Pode-se dizer que este processo atingiu o nvel otimizado, segundo o modelo de maturidade, quando: os contratos estabelecidos com terceiros so revisados periodicamente; o relacionamento com terceiros e parceiros alvo de auditorias da qualidade e eles tm a oportunidade de melhorar seus servios atravs do retorno obtido com as auditorias; parceiros e empresas terceirizadas so recompensados ou premiados pelo atendimento a requisitos de qualidade previamente estabelecidos etc. Uma das metas desse processo : "Assegurar que os servios entregues por terceiros esto de acordo com padres internos e externos." Uma das formas de medir essa meta atravs da determinao da quantidade de fornecedores e parceiros para os quais existem acordos claramente denidos e atravs da quantidade de fornecedores e parceiros que atendem a esses acordos.
DS3 Gerenciar desempenho e capacidade (Manage performance and capacity)

Mais uma vez, o COBIT menciona um processo que totalmente coberto pela ITIL . Em ambos os casos, claro, o objetivo o mesmo, isto , garantir que a TI tenha recursos sucientes para dar suporte a servios essenciais para o negcio tanto hoje quanto no futuro. Os principais objetivos de controle so: DS3.1 Planejamento de desempenho e capacidade. DS3.2 Capacidade e desempenho atual. DS3.3 Capacidade e desempenho futuro. DS3.4 Disponibilidade de recursos de TI. DS3.5 Monitoramento e relatrio. Este processo considerado maduro quando: as necessidades de desempenho e capacidade so plenamente compatveis com as previses de demanda de negcio; a capacidade operacional da TI revisada regularmente para assegurar a sua otimizao a um custo aceitvel para a empresa; so realizadas anlises de tendncia a m de prever problemas causados por aumento do volume de negcios etc. Um indicador importante desse processo : "Minimizar perodos de paralisao dos servios (downtime) e otimizar a utilizao de recursos." Essa meta pode ser medida atravs do nmero de horas de inatividade por usurio devido ao planejamento inadequado dos recursos. A rea foco de Governana mais diretamente afetada por esse processo o gerenciamento de recursos.

DS4 Assegurar continuidade do servio ( Ensure continuous service)

Trata-se do processo gerenciamento da continuidade que estudamos tanto na ITIL v2 quanto na ITIL v3. Note que, quando falamos de continuidade do negcio, estamos nos referindo a uma paralisao notvel de vrias unidades de negcio (ou de toda a empresa) pela falta de um ou mais servios essenciais prestados pela TI.
Figura 11.2: Continuidade.

279
AULA
haja entrega de valor e gerenciamento de riscos.
11
Com relao Governana, esse processo essencial para que

Assim, muitos costumam citar que esse processo lida com questes como terremotos, tsunamis, incndios etc. Claro que so apenas exemplos. O que a empresa deve se perguntar : que evento pode afetar a continuidade do negcio? Ser que um concorrente pode subornar um estagirio para que ele apague informaes de todos os servidores no nosso data center? Bem, dependendo do pas em que a empresa opera (e do data center onde ela instalou os servidores), essa hiptese bem mais provvel que a do tsunami etc. E pode, sim, levar paralisao da empresa! Os objetivos de controle so: DS4.1 Modelo de continuidade da TI. DS4.2 Planos de continuidade da TI. DS4.3 Recursos crticos de TI. DS4.4 Manuteno do plano de continuidade da TI. DS4.5 Teste do plano de continuidade da TI. DS4.6 Treinamento do plano de continuidade da TI. DS4.7 Distribuio do plano de continuidade da TI. DS4.8 Recuperao dos servios de TI. DS4.9 Local externo de armazenamento de backup. DS4.10 Reviso ps-recuperao. Este processo atinge o nvel cinco (otimizado) quando: o plano de continuidade da TI est perfeitamente integrado ao plano de continuidade do negcio; so realizados testes sistmicos do plano e os resultados desses testes so utilizados para atualizar o plano; a TI pode garantir que no haver paralisao completa dos servios devido a um ponto nico de falha na ocorrncia de incidentes graves ou de fora maior etc. Uma meta muito bvia deste processo : "Elaborar, aprovar, comunicar e testar um plano de continuidade de negcios." O alcance dessa meta pode ser medido atravs da quantidade de processos crticos de negcio dependentes da TI que so cobertos pelo plano. As reas da Governana em TI mais importantes para esse processo so a entrega de valor e o gerenciamento de risco.
DS5 Garantir a segurana de sistemas (Ensure systems security)

Bem, claro que a expresso segurana da informao no nem um pouco nova para voc (pelo menos no deveria ser...). Voc se
processo que garanta esses princpios atravs de aes concretas. So objetivos de controle: DS5.1 Gerenciamento da segurana de TI. DS5.2 Plano de segurana de TI. DS5.3 Gerenciamento de identidade. DS5.4 Gerenciamento de contas de usurios. DS5.5 Monitoramento, vigilncia e teste da segurana. DS5.6 Denio de incidente de segurana. DS5.7 Proteo da tecnologia de segurana. DS5.8 Gerenciamento de chaves de criptograa. DS5.9 Preveno, deteco e correo de software malicioso. DS5.10 Segurana de rede. DS5.11 Compartilhamento de dados sensveis. Este processo atende a todos os objetivos de controle, ou seja, est maduro quando: a empresa entende que a responsabilidade pela segurana da informao no s da TI; incidentes de segurana so prontamente detectados, registrados e respondidos de acordo com procedimentos padronizados; avaliaes peridicas so realizadas a m de assegurar a efetividade dos planos tticos de segurana e da prpria poltica de segurana; os processos e tecnologias relacionados segurana da informao so implementados sistemicamente, isto , atravs de toda a organizao e em todas as suas unidades de negcio etc. Algumas metas desse processo so: "Permitir acesso aos dados sigilosos apenas para pessoas autorizadas e diminuir as vulnerabilidades dos sistemas." Essas metas podem ser medidas atravs de indicadores como o nmero de acessos indevidos (ou tentativas) ou pela quantidade de reas de negcio que seguem rigorosamente os procedimentos de segurana da informao. Este , obviamente, um processo primrio para a garantia do gerenciamento do risco dentro da Governana em TI.
281
AULA
integridade, disponibilidade etc.)? Pois bem, a empresa deve possuir um
11
lembra dos princpios da segurana da informao (condencialidade,

DS6 Identificar e alocar custos (Identify and allocate costs)

Mais um processo para lidar com as questes nanceiras da TI. Porm, observe que esse processo est ligado realizao do custo propriamente dito. Como uma empresa pode saber onde os recursos de TI esto sendo gastos de fato? Isso implica a existncia de um processo para capturar, alocar e relatar os custos para os usurios dos servios. Um mecanismo justo de alocao de custos permitir empresa tomar mais decises baseadas em fatos com relao ao uso dos servios de TI. Seus objetivos de controle so: DS6.1 Denio de servios. DS6.2 Prestao de contas de TI. DS6.3 Modelagem e cobrana de custos. DS6.4 Manuteno do modelo de custos. Este processo estar maduro quando os custos dos servios prestados pela TI so identicados, capturados, somados e comunicados a diretores, gerentes, chefes de unidades de negcio, clientes e usurios; os custos dos acordos de nvel de servio, dos requisitos capacidade e continuidade so identicados e comunicados; a otimizao do ROI um processo contnuo; quando a empresa sabe qual o TCO da TI etc. Uma das metas desse processo : "Denir mecanismos claros de quanticao dos custos dos servios de TI e identic-los adequadamente." Uma forma de medir se a empresa est caminhando para atingir essa meta determinar o percentual de variaes entre os oramentos previstos e os custos de fato realizados. O gerenciamento de recursos a rea foco da Governana mais importante para esse processo (e vice-versa).
Figura 11.3: Alocar custos.
DS7 Educar e treinar usurios (Educate and train users)

Embora esta seja uma preocupao em muitas empresas, somente aquelas com bons processos conseguem efetiv-la. O COBIT recomenda
resultados oriundos do uso da tecnologia e, por outro lado, minimiza os riscos relacionados ao uso incorreto de ferramentas e tcnicas. Seguem os objetivos de controle do processo: DS7.1 Identicao das necessidades de educao e treinamento. DS7.2 Realizao de educao e treinamento. DS7.3 Avaliao do treinamento recebido. Podemos dizer que este processo atingiu seu nvel mximo de maturidade quando: os treinamentos resultam em melhoria comprovada no desempenho individual; existem programas de desenvolvimento de carreira na organizao que esto atrelados a programas de treinamento e capacitao; as tcnicas de treinamento so continuamente aperfeioadas atravs de modelos e padres de boas prticas etc. Algumas metas desse processo so: "Estabelecer mtodos de treinamento, capacitao e transferncia de conhecimento e aumentar a conscincia sobre os riscos e sobre as responsabilidades que envolvem o uso dos sistemas e aplicativos na empresa." Uma forma de medir essa meta determinar o nmero de chamadas de usurios e clientes que poderiam ser evitadas com treinamento. Outro indicador a quantidade de prossionais (em todos os nveis) que receberam treinamento na organizao. Esse processo um daqueles que so primrios para a entrega de valor dentro das reas foco da Governana em TI.
Figura 11.4: Educar.
DS8 Gerenciar a central de servios e incidentes (Manage service desk and incidents)
Provavelmente voc deve estar pensando: Bem, esta rea a que mais lembra a ITIL . Se pensou, pensou com razo! A ideia da central de servios e do processo de gerenciamento de incidentes est toda aqui. Vale ressaltar que, quando estudamos esses assuntos, a central de servio no era um processo da ITIL . Porm, o COBIT menciona a expresso gerenciar a central de servios... como algo que faz parte do processo de gerenciamento de incidentes.

283
AULA
sistemas de TI. Um programa efetivo de treinamento potencializa os
11
que haja processos para a educao de usurios com relao ao uso dos

Bem, apenas um detalhe acerca de pontos de vista. Nada que possa atrapalhar o nosso entendimento nesta altura do curso, no mesmo? Seus objetivos de controle so: DS8.1 Central de servio. DS8.2 Registro de solicitaes do usurio. DS8.3 Escalonamento de incidentes. DS8.4 Encerramento de incidentes. DS8.5 Anlise e relatrio de tendncias. Este processo considerado amadurecido quando: as mtricas com relao ao nmero de incidentes por rea de negcio, tipo de sistemas, perl de usurio etc. so continuamente colhidas, divulgadas e analisadas; os incidentes de TI (aqueles para os quais h soluo de contorno) so rapidamente resolvidos mesmo em momentos de crise; existem ferramentas automatizadas para dar suporte ao trabalho executado pela central de servio; os usurios entendem o papel da central de servio e o aprovam etc. Uma meta importante desse processo, conforme j vimos na prpria ITIL , : "Registrar, documentar, analisar, escalar e solucionar incidentes de acordo com os acordos estabelecidos." Ela pode ser medida, por exemplo, atravs do sucesso da central de servios em resolver incidentes no primeiro contato, ou seja, no atendimento de primeiro nvel. Esse processo tambm essencial para a entrega de valor dentro da Governana em TI.
DS9 Gerenciar a congurao (Manage the conguration)

Ora, este processo tal e qual era o Gerenciamento da congurao da ITIL (mas que passou a ser chamado de Gerenciamento da congurao e de ativos na verso 3). Ele inclui a coleta inicial de informaes sobre a congurao de ativos, o estabelecimento de linhas de base (baselines), a vericao e auditagem de informaes de congurao e a atualizao da base de dados de gerenciamento da congurao (BDGC) conforme as necessidades. Pode no parecer, mas principalmente atravs do gerenciamento da congurao que muitas empresas de ponta tm aumentado a disponibilidade de seus sistemas, minimizando incidentes na produo (ou resolvendo-os rapidamente). Seus objetivos de controle so:
DS9.3 Reviso da integridade da congurao. A empresa atinge o nvel mximo de maturidade com relao a este processo, quando: os ativos de TI podem ser gerenciados pelo processo, ou seja, todas as informaes relevantes sobre ativos esto registradas, assim como os relacionamentos existentes entre os ativos; ocorrem auditorias de linhas de base (baselines) da congurao e os resultados das auditorias orientam reparos, decises sobre servios, acionamento de garantia e atualizaes de hardware ou de software etc. Uma meta deste processo : "Estabelecer e gerenciar um repositrio de equipamentos e peas sobressalentes necessrios manuteno da operao." Uma forma de medir o sucesso dessa meta determinar a quantidade de itens da infraestrutura que podem ser repostos em um tempo aceitvel para o negcio atravs do processo. Outra meta : "Revisar o estado da infraestrutura de TI e comparar com os registros de itens da congurao na base de dados de gerenciamento." Uma forma de medir o sucesso dessa meta determinar a quantidade de desvios encontrados na infraestrutura em produo com relao aos registros contidos na base de dados de gerenciamento. A entrega de valor e o gerenciamento de recursos so as reas mais importantes para esse processo dentro das reas foco da Governana em TI.
DS10 Gerenciar problemas (Manage problems)

Voc se lembra de qual a diferena entre problema e incidente? Isso foi visto nos primrdios do nosso curso, digo, em nossas primeiras aulas. Logo depois foi dito que, como se trata de coisas diferentes, essencial ter processos diferentes para lidar com ambos. O COBIT , sabiamente, tambm segue esse princpio. So objetivos de controle desta rea: DS10.1 Identicao e classicao de problemas. DS10.2 Resoluo e rastreamento de problemas. DS10.3 Encerramento de problemas. DS10.4 Integrao do gerenciamento da congurao, de incidentes e de problemas. O nvel otimizado atingido quando: o gerenciamento de probleCEC I E R J E X T E N S O E M G O V E R N A N A
285
AULA
DS9.2 Identicao e manuteno dos itens de congurao.
11
DS9.1 Linhas de base de congurao.

mas acontece de forma proativa; a identicao, investigao e resoluo de problemas acontecem de forma automatizada e integrada ao gerenciamento da congurao; as metas com relao a esse processo so revistas continuamente para atender s necessidades de negcio etc. Na prtica, a principal meta desse processo : "Investigar a causaraiz de problemas oriundos da prestao de servios de TI." Algumas formas de medir se a empresa est caminhando em direo a essa meta medir o percentual de problemas recorrentes, medir o nmero de problemas por unidades de negcio, rea ou pers de usurio etc. e procurar melhorar o seu desempenho. A entrega de valor a rea foco da Governana mais dependente dele.
DS11 Gerenciar dados (Manage data)

Bem, aqui podemos dizer que o COBIT traz algo novo com relao ITIL . O.K., sem problemas. Anal, no e nunca foi objetivo do COBIT ser completamente mapeado pela ITIL ou por qualquer outro modelo, norma, padro ou conjunto de boas prticas. Na verdade, a ideia aqui muito simples. Com que tipo de dados a empresa lida? Em que tipo de mdia eles so armazenados? Existem procedimentos seguros de backup, recuperao e descarte? Enm, na verdade, alguns processos da ITIL

acabam, sim, tendo reexo nos objetivos aqui descritos. At mesmo a questo da segurana da informao tem a ver com os objetivos de controle desse processo. E por que no eliminar esse processo, j que ele coberto por outras reas? Ora, porque informao tudo hoje em dia e informao gerada a partir de dados. Sem dados, no h informao. Logo, o COBIT recomenda que exista um processo formal com objetivos claros
Figura 11.5: Dados.
para lidar com os dados da organizao, apenas para no correr o risco de que a empresa no se esquea disso. Nesse processo, os objetivos de controle so:
DS11.3 Sistema de gerenciamento de mdia. DS11.4 Descarte. DS11.5 Backup e restaurao. DS11.6 Requisitos de segurana para o gerenciamento de dados. Este processo considerado timo na organizao quando: a necessidade de gerenciamento de dados entendida dentro da organizao e todas as aes so efetivamente tomadas por todos; a responsabilidade pela gerao, manuseio, utilizao, proteo, compartilhamento e descarte dos dados prvia e claramente denida na empresa; ferramentas automatizadas so utilizadas para dar suporte ao gerenciamento dos dados etc. A principal meta desse processo : "Manter a completeza, segurana, exatido, validade e acessibilidade dos dados." Essa meta de processo pode ser medida atravs de indicadores como o percentual de sucesso obtido em eventos que necessitam de restaurao de dados, pela quantidade de incidentes causados pela inexistncia de redundncia de dados e pela quantidade de incidentes causados pela perda ou acesso indevido a dados. As reas foco da Governana primrias para o processo so a entrega de valor, o gerenciamento de riscos e o gerenciamento de recursos.
DS12 Gerenciar o ambiente fsico (Manage the physical environment)

Em muitos ambientes, quando ouvimos a expresso segurana da informao, subentendemos que se est falando de segurana de dados, segurana fsica etc. Assim, poderamos dizer que este processo tambm possui algum grau de sobreposio. Na verdade, voc ver a seguir que o seu foco outro e no foi tratado ainda nos processos do COBIT que ns j vimos. Os seus objetivos de controle so: DS12.1 Seleo de local. DS12.2 Medidas de segurana fsica. DS12.3 Acesso fsico.
287
AULA
DS11.2 Acordos para armazenamento e reteno de dados.
11
DS11.1 Requisitos de negcio para o gerenciamento de dados.

DS12.4 Proteo contra fatores ambientais. DS12.5 Gerenciamento de facilidades fsicas. Este processo est maduro quando, a quantidade de interrupo do servio por questes de acesso fsico indevido reduzida a zero; a avaliao e a reviso das questes de gerenciamento do ambiente fsico acontecem regularmente; quando existem padres na empresa para a seleo (ou construo) de local de armazenamento e instalao dos ativos; quando existem procedimentos para monitorao, proteo e permisso de acesso aos ambientes; quando h mecanismos de proteo contra incndio, inundaes e alagamentos; quando h mecanismos de controle da umidade, temperatura mxima (ou mnima) etc. A principal meta desse processo, obviamente, : "Oferecer e gerenciar ambiente fsico apropriado para a prestao de servios de TI." Essa meta medida pelo nmero de incidentes causados por explorao das vulnerabilidades no ambiente fsico de prestao dos servios ou por acessos fsicos indevidos a equipamentos e outros ativos da TI. Para a Governana, esse processo essencial para o gerenciamento de riscos.
DS13 Gerenciar operaes (Manage operations)

Voc deve se lembrar de que, em aulas anteriores, explicamos que tudo que acontece na empresa acontece ou na forma de operaes ou na forma de projetos. Logo, assim como existe uma rea no COBIT que trata do gerenciamento de projetos, existe tambm uma rea que dene os objetivos de controle para o processo de gerenciamento de operaes. Os seus objetivos de controle so: DS13.1 Instrues e procedimentos operacionais. DS13.2 Agendamento de trabalho. DS13.3 Monitoramento da infraestrutura de TI. DS13.4 Documentos sensveis e dispositivos de sada. DS13.5 Manuteno preventiva de hardware. O nvel cinco desse processo atingido quando: a empresa possui um suporte operacional efetivo, eciente e sucientemente exvel a ponto de garantir o nvel de servio acordado mesmo em momentos de crise; os procedimentos operacionais so documentados e divulgados e
so sucientemente robustos a ponto de oferecer um ambiente estvel etc. Uma meta desse processo : "Denir procedimentos operacionais alinhados aos requisitos de negcio conforme o plano estratgico e atendendo aos nveis de servio acordados sem, entretanto, ultrapassar o limite da relao custo-benefcio que pode ser suportado pela organizao." Essa meta pode ser medida atravs da determinao da quantidade de horas de interrupo causadas por incidentes devido a falhas nos procedimentos operacionais ou do percentual de trabalho agendado que no cumpriu o cronograma estabelecido. O gerenciamento de recursos a principal rea foco de Governana afetada por esse processo.
Figura 11.6: Operaes.
Atividade
1
1
Na ltima aula discutimos as diferenas entre os processos das reas PO5 e AI5. Nesta aula vimos mais um processo que lida com as questes nanceiras da TI: o DS6. Qual a diferena entre este processo e aqueles dois j estudados?
Resposta
O PO5 trata de questes de planejamento do investimento em TI. O AI5 responsvel por efetivar as compras de acordo com as decises de investimento. O DS6, visto nesta aula, est relacionado aos custos diretos e indiretos da prestao de servios e sua cobrana (real ou nocional). So, portanto, trs enfoques completamente diferentes.
289
AULA
revisada; processos operacionais automatizados
11
a base de dados de conhecimento continuamente

MONITORAR E AVALIAR (ME MONITOR AND EVALUATE)

Uma das caractersticas mais importantes de toda abordagem por processo a sua relao com a melhoria contnua, ou seja, na medida em que o processo se repete a empresa tem a oportunidade de melhor-lo. O COBIT essencial nesse contexto, pois dene os indicadores que iro guiar a melhoria em cada processo. Porm, isso no ser possvel se os prprios mtodos de controle e avaliao de resultados dos processos forem falhos. Assim, para garantir a efetividade da aplicao dos controles do COBIT , ele prprio dene, no domnio de monitoramento e avaliao (ME Monitor and evaluate), processos para: avaliao de desempenho dos processos; monitoramento do controle interno dos processos; avaliao da efetividade dos processos em fornecer a Governana em TI; garantia da conformidade regulatria dos processos etc. Note que a ideia mesmo recursiva. Trata-se de processos para controle e monitoramento de processos, inclusive dos prprios processos de controle e monitoramento. Vale
Figura 11.7: Monitoramento.

lembrar ainda que nesses processos que cam claros os princpios da Governana (responsabilidade, prestao de
contas e transparncia) que, como dissemos uma vez, foram herdados dos controles existentes no COSO. Tudo certo? Bem, se no, siga adiante e voc logo entender tudo...
ME1 Monitorar e avaliar o desempenho de TI (Monitor and evaluate IT performance)

Este processo visa medio da efetividade dos resultados obtidos pelos outros processos. O seu foco responder a questes como: existem mecanismos sistemticos para relatar desempenho dos processos de TI? Os processos contribuem da melhor forma possvel para atingir as metas de negcio? Seguindo essa linha, os objetivos de controle so: ME1.1 Abordagem do monitoramento. ME1.2 Denio e coleta de dados de monitoramento. ME1.3 Metodologia de monitoramento.
ME1.6 Aes corretivas. O maior indcio de que este processo est maduro o grau de satisfao dos executivos de negcio com os relatrios de desempenho apresentado; outro fator importante a existncia de prticas de melhoria contnua baseados em boas prticas de mercado para otimizar os mecanismos de medio de desempenho; so realizadas comparaes formais dos resultados da empresa com os resultados dos principais competidores; metas de negcio so utilizadas para medir o desempenho dos processos da TI etc. Uma meta importante desse processo : "Denir um conjunto de objetivos mensurveis e de processos-chave para a TI"; outra meta : "Identicar e implementar aes de melhoria nos processos de TI." Essas metas podem ser medidas atravs de indicadores como a quantidade de processos crticos que so formalmente monitorados e pelo nmero de objetivos de desempenho que so atingidos. Esse processo , obviamente, essencial para a rea medio de desempenho da Governana em TI.
ME2 Monitorar e avaliar o controle interno (Monitor and evaluate internal control)
Uma pergunta importante a ser feita no momento : at que ponto os mecanismos de avaliao da empresa so adequados, ou seja, o controle interno efetivo ou disfara os problemas? Assim, o processo desta rea inclui monitoramento de todas as excees ao controle, a anlise dos sistemas de autoavaliao e o monitoramento de terceiros (no contemplado no processo AI1). Veja os objetivos de controle desse processo: ME2.1 Monitoramento do modelo interno de controle. ME2.2 Reviso de supervisores. ME2.3 Excees ao controle. ME2.4 Controle de autoavaliao. ME2.5 Garantia do controle interno. ME2.6 Controle interno de terceiros. ME2.7 Aes corretivas.
291
AULA
ME1.5 Relatrios para diretores e executivos do negcio.
11
ME1.4 Avaliao de desempenho.

Este processo visto como um processo que atingiu sua maturidade plena quando h um processo de melhoria contnua dos mecanismos de controle interno e autoavaliao baseado em lies aprendidas e boas prticas da indstria; a empresa utiliza tcnicas e ferramentas integradas que permitem a avaliao dos controles mais crticos da TI etc. Uma meta desse processo : "Identicar aes de melhoria no processo de controle (interno) dos processos de TI." Um indicador importante o nmero de iniciativas de melhoria no controle tomadas pela empresa. Outro indicador a frequncia de incidentes relacionados ao controle (relatrios no compatveis com a realidade, demonstrao de resultados em desacordo com a realidade etc.). O gerenciamento de riscos e a entrega de valor so as principais reas foco de Governana.
ME3 Assegurar conformidade com requisitos externos (Ensure compliance with external requirements)
Esta rea segue os princpios da responsabilidade, transparncia e prestao de contas que foram herdados do COSO, ou seja, o processo visa a assegurar que h conformidade com leis, normas, padres, regulamentos e contratos vigentes que afetam as operaes da empresa. Os objetivos de controle desse processo so: ME3.1 Identicao de requisitos legais, regulamentares ou contratuais. ME3.2 Otimizao da resposta a requisitos externos. ME3.3 Avaliao da conformidade com requisitos externos. ME3.4 Garantia de conformidade. ME3.5 Relatrio integrado. O processo ME3 atinge o nvel de maturidade mximo quando: a empresa atende a todas as questes mandatrias que afetam os servios que ela presta a um custo razovel para o negcio; existe um uxo de documentos na empresa que permite a identicao e o compartilhamento das informaes regulatrias aplicveis; a empresa toma partido e participa de discusses externas sobre normas, padres e regulamentos em suas reas de negcio; todos na empresa entendem os riscos da no conformidade etc.
e aos projetos da TI e garantir a sua conformidade." O melhor indicador para essa meta o nmero de incidentes causados por no conformidade regulatria. O alinhamento estratgico e o gerenciamento de riscos so as reas foco da Governana em TI principais para esse processo.
ME4 Fornecer Governana de TI (Provide IT Governance)

O processo de controle aqui se preocupa com o fato de que a empresa possui um modelo de Governana em TI e que ele est sendo usado de forma efetiva para atingir os resultados atravs das cinco reas foco de Governana: alinhamento estratgico, entrega de valor, gerenciamento de riscos, medio de desempenho e gerenciamento de recursos. Seguem os objetivos de controle descritos no COBIT para essa rea: ME4.1 Estabelecimento de um modelo de Governana. ME4.2 Alinhamento estratgico. ME4.3 Entrega de valor. ME4.4 Gerenciamento de recursos. ME4.5 Gerenciamento de risco. ME4.6 Medio de desempenho. ME4.7 Garantia independente. Este processo atinge o nvel de mximo de maturidade quando a empresa entende o que Governana em TI e consegue assegurar a existncia de processos que garantam a Governana em TI de forma integrada s necessidades da empresa. Note que isso no signica que a empresa tenha atingido o nvel cinco de maturidade em todos os seus processos, mas, sim, que o nvel de maturidade obtido o necessrio para sustent-la de forma estvel. Algumas metas desse processo so: integrar a Governana em TI com os objetivos da empresa; responder s preocupaes e aos questionamentos da alta direo quanto a estratgias, riscos e desempenho da TI; fornecer uma garantia de atendimento dos planos, polticas e procedimentos da TI dentro da empresa.
Figura 11.8: Tudo se encaixa na Governana
293
AULA
leis, regulamentos, normas, padres e contratos aplicveis s operaes
11
A meta mais importante deste processo : "Identicar todas as

Alguns dos indicadores desse processo so: frequncia com que relatrios de desempenho da TI so encaminhados pela alta direo para usurios, clientes e acionistas; frequncia com que os relatrios sobre a maturidade dos processos da TI so encaminhados por ela (a TI) para a alta direo etc. Obviamente esse processo representa o "guarda-chuva" da Governana em TI, ou seja, o mais abrangente no que diz respeito s reas foco afetadas, que, nesse caso, so todas as cinco.
Atividade 2
Quais so as diferenas entre os quatro processos de monitoramento e controle do domnio ME do COBIT ?
2
Resposta
O COBIT possui um processo que visa medio do desempenho dos outros processos em si, ou seja, ele cumpriria o papel de controle conforme estamos acostumados. Alm disso, existe um processo para avaliar o controle, ou seja, garantir que as medies obtidas so realsticas, e tomar aes de melhoria ou de correo necessrias. Um terceiro processo lida com controle e monitoramento especicamente das questes de conformidade regulatria, atendimento a padres e normas mandatrios, leis e contratos. O quarto processo visa a garantir que o objetivo geral do COBIT , que garantir que h Governana em TI na empresa. Este ltimo processo possui objetivos de controle relacionados s cinco reas foco da Governana em TI: alinhamento estratgico, entrega de valor, gerenciamento de riscos, gerenciamento de recursos e medio de desempenho.

Os processos vistos nesta aula se encaixam nos dois ltimos domnios do COBIT . Os processos de entrega e suporte so os que possuem maior mapeamento com os processos da ITIL . Apesar disso, importante que voc entenda que o uso da ITIL para a implementao do processo aps qualquer avaliao feita com o COBIT no algo mandatrio. apenas um dos caminhos. Embora usar a ITIL seja, sim, o caminho mais comum (e mais seguro...), outras formas de implementar o processo a partir do COBIT podem ser adotadas na organizao. O mais importante, quando o foco a Governana em TI, usar o COBIT , pois ele o nico modelo de objetivos de controle que tem esse foco, ou, pelo menos, o nico que conseguiu obter visibilidade e aceitao mundiais. Por isso dizemos que os processos do COBIT interagem entre si para formar o "guarda-chuva" da Governana.

INFORMAES SOBRE FRUM Vamos discutir os assuntos desta aula no frum desta semana? Ttulo: O COBIT e outros modelos, normas e padres. Objetivo: Acabamos de terminar nesta aula o estudo do COBIT . Na prxima aula iremos estudar, de forma breve, outros modelos que tambm so utilizados dentro das empresas para melhorar a prestao de servios de TI e com foco na Governana de TI. Porm, como so muitos modelos, ns iniciaremos desde j uma discusso sobre o que o mercado tem utilizado, alm do COBITe da ITIL, para a elevao do grau de maturidade nas diversas reas de processo da TI. O objetivo permitir que cada um possa trazer exemplos vividos sobre a adoo de normas, padres e boas prticas da indstria que deram certo (ou no) na sua prpria empresa.
Atividade online
A Assim como zemos na aula passada, vamos agora fazer o mapeamento 2 1 dos processos dos domnios DS e ME para os processos da ITIL v3 (ou viceversa). Aps o trmino da atividade, voc observar que haver uma correspondncia muito maior com o domnio DS. Por que voc acha que isso acontece?
295
AULA
11
CONCLUSO

RESUMO
Os 13 processos da rea de processos Entregar e dar suporte (DS) cobrem questes como o gerenciamento da segurana e da continuidade das operaes; o suporte ao usurio atravs da central de servio; o gerenciamento de incidentes e de problemas; o gerenciamento de servios terceirizados etc. Os quatro processos da rea de processos Monitorar e avaliar (ME) lidam diretamente com questes como a avaliao regular do desempenho dos processos; o monitoramento das atividades de controle interno; a avaliao da efetividade dos processos em fornecer a Governana em TI; a garantia da conformidade regulatria etc. Os 13 processos do domnio de entrega e suporte (DS) possuem correspondncia muito grande com os livros da ITIL . Isso porque esse domnio mais focado em questes operacionais, e vimos que a ITIL

mais voltada para a operao da TI, embora isso no signique que ela se limite somente a essa rea. Os quatro processos do domnio monitoramento e avaliao (ME) possuem objetivos que visam a controlar e monitorar processos, ou seja, trazem uma ideia recursiva de controle, inclusive pelo fato de que so aplicados a si mesmos. Os quatro processos do domnio monitoramento e avaliao (ME) remetem aos princpios da Governana (responsabilidade, prestao de contas e transparncia) herdados do COSO.

Na prxima aula vamos estudar outros exemplos de conjuntos de boas prticas e normas que, alm da ITIL e do COBIT, tm sido muito importantes no contexto da Governana em TI e tm sido muito utilizados em vrias empresas. Como exemplo, citamos a ISO 27000, o eSCM-SP e o eSCM-CL.
At a prxima aula!
1) Os processos de qual domnio do COBIT so os que possuem maior abrangncia quando mapeados pela ITIL? a) Planejar e organizar. b) Adquirir e implementar. c) Entregar e dar suporte. d) Monitorar e controlar. 2) Ao utilizar uma aplicao terceirizada, os dados de uma transao so corrompidos e o usurio no consegue mais, a partir da interface da aplicao, obter informaes sobre o estado do procedimento que ele tentou realizar. Qual processo responsvel por receber a reclamao do usurio sobre tal situao? a) Gerenciamento de terceiros. b) Gerenciamento da central de servio e de incidentes. c) Gerenciamento de problemas. d) Gerenciamento de dados. 3) A rea de processo que trata do armazenamento de mdias crticas de backup em local externo e seguro a de: a) Gerenciamento da continuidade do servio. b) Gerenciamento da segurana de sistemas. c) Gerenciamento do ambiente fsico. d) Gerenciamento de dados. 4) Julgue a afirmao: Ao contrrio do que acontece na ITIL, questes de disponibilidade dos servios de TI no so abordadas pelo COBIT 5) (Analista do MPE-SE FCC/2009) Uma das reas de processo do domnio DS (Entrega e Suporte), no modelo COBIT, a) Definir a Arquitetura da Informao. b) Monitorar o Processo. c) Comunicar a Direo e as Metas Gerenciais. d) Desenvolver e Manter Procedimentos. e) Identificar e Alocar Custos. 6) Julgue a seguinte afirmao: O processo Fornecer a governana de TI (ME4) tem como objetivo a concretizao de fato das aes visando implementao do que chamamos de Governana em TI. 7) (Analista de Controle Interno SAD-PE FGV/2009) Governana de TI um conjunto de prticas, padres e relacionamentos estruturados, assumidos por executivos, gestores, tcnicos e usurios de TI de uma organizao, com a finalidade de garantir controles efetivos, ampliar os processos de segurana, minimizar os riscos, ampliar o desempenho, otimizar a aplicao de recursos, reduzir os custos, suportar as melhores decises e consequentemente alinhar TI aos negcios.
297
AULA
11
Atividades Finais

No que diz respeito aos objetivos de controle no framework Cobit 4.1, o processo Gerenciar Service Desk e Incidentes inclui o seguinte procedimento: a) a criao e operao de um sistema de captura, alocao e reporte dos custos da TI para os usurios de servios. b) a definio e execuo de uma estratgia para um treinamento efetivo, medio de resultados e anlise de incidentes. c) a implementao da funo da central de servios com registro, escalao, tendncias, anlise de causas raiz e resoluo de incidentes. d) a avaliao dos servios instalados que minimizam a probabilidade e o impacto de interrupes de servio sobre funes e processos de negcio. e) a monitorao e o reporte em tempo para os stakeholders sobre o cumprimento dos nveis de servios, que habilitam o alinhamento entre os servios da TI o os requisitos sobre o negcio.
RESPOSTAS
1) Alternativa c. Conforme discutido nesta aula. 2) Alternativa b. O processo de gerenciamento de incidentes, ou gerenciamento central de servio e de incidentes, sempre o que recebe as solicitaes e as requisies dos usurios. 3) Alternativa a. Ter procedimentos documentados para armazenamento de dados em mdias de backup tarefa do Gerenciamento de dados. Porm, decidir que dados so crticos a ponto de serem armazenados em locais externos tarefa do Gerenciamento da continuidade. Muitas reas do COBIT possuem objetivos que se confundem e, por isso, necessrio entender claramente o foco de cada uma. 4) A afirmao falsa. Na verdade, os processos de gerenciamento da capacidade e de gerenciamento da disponibilidade da ITIL so tratados em uma nica rea do COBIT, a saber, Gerenciar desempenho e capacidade (DS3). O DS3 possui um objetivo de controle relacionado disponibilidade. 5) Alternativa E. Conforme visto na teoria. 6) A afirmao falsa. O ME4 um processo de monitoramento e controle, e no um processo que visa execuo, ou seja, no capaz de produzir resultados concretos por si s. Desse modo, embora ele no seja nem mais nem menos importante, no haveria sentido algum implementar o ME4 (ou qualquer outro processo do domnio ME) sem implementar outros processos do COBIT. E, obviamente, as aes concretas visando Governana em TI so tomadas atravs de todos os outros processos. 7)Alternativa c. Observe que o enunciado traz uma boa definio de Governana em TI. A resposta bvia, pois somente a alternativa c traz algo relacionado ao processo Gerenciar Service Desk e Incidentes.
Outros modelos e normas de Governana
12
Meta da aula
Apresentar os conceitos bsicos sobre a ISO 20000, a ISO 27000, a ISO 385000, o eSCM-SP e o eSCM-CL e exemplicar como tudo pode se encaixar dentro de um projeto de Governana emTI.
objetivos

1
reconhecer e explicar o que e para que servem a ISO 20000, a ISO 27000, a ISO 38500, o eSCM-SP e o eSCM-CL; reconhecer e explicar como os diversos modelos de boas prticas, normas e padres podem ser aplicados em um projeto.
AULA
Pr-requisito
pr-requisito para esta aula ter completado os objetivos de todas as aulas anteriores.
| Outros modelos e normas de Governana
INTRODUO
O que Governana, anal? A esta altura acreditamos que voc j consegue responder a esta questo. Nesta aula iremos estudar algumas outras normas e boas prticas que tm auxiliado muitas empresas a melhorar os seus processos em diversas reas da TI. Ao nal da aula, vamos discutir um pouco as questes de projeto. tima aula!
Voc deve lembrar que, logo no incio deste curso, dissemos que Governana era um conceito bem amplo e que no se resumia somente ao COBIT e ITIL. Algumas vezes ns comentamos esse fato e dissemos que vrios outros modelos, conjuntos de boas prticas e mesmo normas de TI podem auxiliar a empresa a melhorar suas reas de processo a m de amadurecer rumo plenitude da Governana em TI. Nesta aula iremos estudar alguns dos exemplos que mais tm sido utilizados no mercado. Porm, tenha em mente que ns no nos aprofundaremos da mesma forma que zemos com relao ITIL v2, ITIL v3 ou ao COBIT v4.1. Isso porque a maioria destes modelos tambm possui dezenas de processos ou controles e seria invivel abord-los todos em um mesmo curso (ainda mais em uma nica aula). Porm acreditamos que, com tudo que foi visto at agora, mais o que veremos nesta aula (mesmo que resumidamente), voc ter uma viso completa sobre como participar ou at mesmo gerenciar um projeto de Governana em TI.
A ISO 20000 (GERNCIA DE SERVIOS DE TI)

A famlia ISO 20000 um conjunto de normas mundiais baseadas nas normas britnicas da famlia BS 15000 (British Standards). A ISO 20001 conhecida como a norma de requisitos de gerenciamento de servios de TI da ISO.
organizao. No toa que seu nome em ingls information technology service management.
Processos de entrega
Gerenciamento da capacidade Gerenciamento da disponibilidade e da continuidade Gerenciamento do nvel do servio Fornecer relatrio do servio Gerenciamento da segurana da informao Oramento e prestao de contas
Processos de controle
Gerenciamento de congurao Gerenciamento de mudana
Processos de liberao
Gerenciamento de liberao
Processos de resoluo
Gerenciamento de incidente Gerenciamento de problemas
Processos de relacionamento
Gerenciamento do relacionamento com o negcio Gerenciamento de fornecedores
Figura 12.1: Processo da ISO 20000.Baseado na norma ISO 20000:2005.
E de onde surgiu a ISO 20000? Ora, surgiu como surgem todas as normas ISO: a partir de um consenso mundial em torno de um determinado assunto. No caso da ISO 20000, ela um consenso em torno das boas prticas da ITIL v2, que foram modicadas e adaptadas para se tornar requisitos de uma norma mundial. Segue abaixo um pouco sobre o histrico desta norma. Em 2000, a ITIL foi revisada, dando origem ITIL v2, que acabou ganhando notoriedade mundial. O bero da ITIL, como sabemos, foi o Reino Unido. Por isso, no demorou muito at que aquele pas transformasse a ITIL v2 em uma norma nacional. Assim, em 2003, o Reino Unido publicou a BS 15000, que era a ITIL v2 na forma de requisitos, ou seja, certas empresas na Inglaterra precisavam aderir a essa norma e atender a todos os requisitos. J sabemos que isso signica desenvolver, implantar e gerenciar vrios processos de TI. A partir da estava aberto o caminho para que a comunidade mundial, devido adoo das prticas da ITIL v2 como padro de fato em vrios pases, criasse uma norma que seguisse a linha da BS 15000. Isso aconteceu em 15 de dezembro de 2005, quando a ISO 20000 foi publicada. Podemos dizer que a ISO 20000 a prpria BS 15000 com algumas adaptaes para o contexto mundial.
301
AULA
o gerenciamento de servios de TI com base em processos bem denidos na
12
Essa norma possui exatamente o mesmo objetivo que a ITIL, ou seja, melhorar
E qual a diferena entre uma empresa que utiliza as boas prticas da ITIL e uma empresa que possui a certicao ISO 20000? Bem, se voc se lembra da diferena entre norma e boa prtica, voc sabe bem qual a resposta... Se no se lembra, voc precisa revisar esse assunto imediatamente!
No endereo http://www.isoiec20000certication.com/ voc poder obter informaes sobre a ISO 20000 e sobre o nmero de organizaes certicadas no mundo. L voc poder ver que o total de empresas certicadas no mundo de 399, sendo que apenas 4 empresas esto no Brasil. Japo e China so os pases com maior nmero de certicados (68 e 54, respectivamente). O Reino Unido, onde a norma nasceu, possui 39 empresas certicadas ISO 20000. Pgina acessada em 30 de dezembro de 2009.
Uma das grandes diferenas (ou inovaes) da ISO 20000 com relao ITIL v2 foi o fato de que a norma inclui processos como o de gerenciamento de fornecedores e o de gerenciamento do relacionamento, algo para o que a ITIL v2 no dava a devida ateno. Na verdade, muitas das ideias que surgiram nas discusses desta norma direcionaram as modicaes que viriam a ser realizadas mais tarde na ITIL v3. importante que voc saiba que as empresas no tm notado grandes retornos com relao certicao ISO 20000. Passados quatro anos desde a publicao da norma, h menos de 400 empresas certicadas no mundo todo. Muito pouco, quando comparado penetrao que a ISO 27000, por exemplo, alcanou no mesmo perodo.
A ISO 27000 (SEGURANA DA INFORMAO)

Por falar nisso, o que podemos dizer da famlia de normas ISO 27000? Assim como o embrio da ISO 20000 foi concebido na Inglaterra na forma de boas prticas, a ISO 27000 tambm nasceu na Inglaterra. Porm, j nasceu na forma de uma norma britnica denominada BS 7799.
Cdigo de prticas
BS 7799-1 1995
Especicao dos requisitos
ISO 17799 2000
ISO 17799 2005
ISO 27002 2005
BS 7799-2 1998
BS 7799-2 2002
ISO 27001 2005
ISO 27001 2005
Figura 12.2: Evoluo da ISO 27001. 302 Governana: Gesto, Auditoria e Tecnologia da Informao
As normas BS 7799 foram publicadas em meados da dcada de 1990. Os ingleses usavam a losoa de publicar vrias normas dentro de uma mesma famlia para tratar de um tema. Assim, a BS 7799-1 lidava com o cdigo de prticas, a BS 7799-2 continha a especicao de requisitos e assim por diante. A Figura 12.2 esquematiza como se deu a evoluo das vrias normas, tanto de especicao de requisitos quanto do cdigo de prticas, at chegar famlia ISO 27000, que utilizada atualmente. Observe que, em alguns anos, os prossionais da rea tinham que conviver com requisitos de uma norma e cdigo de prticas de outra. Isso porque o avano na normatizao no aconteceu concomitantemente. Por exemplo: em 2000 a ISO lanou a ISO 17799 contendo o cdigo de prticas do SGSI (Sistema de Gerenciamento de Segurana da Informao), mas sugeria que o mundo continuasse usando a BS 7799 como especicao de requisitos do SGSI. Em 2005, por sua vez, ela lanou uma norma contendo as especicaes do SGSI, a ISO 27001, mas apenas revisou os cdigos de prticas da ISO 17799. Porm, ainda no mesmo ano, a 27002 substituiu a ISO 17799 e nalmente tivemos uma famlia de normas mundiais para a segurana da informao: a famlia ISO 27000! A confuso em torno do assunto to grande que, at hoje, possvel encontrar editais de licitao, editais de concurso pblico ou requisies de proposta que ainda mencionam a ISO 17799 ou que mencionam tanto a ISO 17799 quanto a ISO 27002. Neste ltimo caso, o erro maior, pois a 27000 substitui a 17799 (embora, na prtica, o seu contedo seja o mesmo...).
Domnios e objetivos de controle da ISO 27001

Mas voc deve estar se perguntando para que serve a ISO 27000 e qual o seu contedo. Bem, vamos falar da norma 27001, que contm os requisitos de auditoria. essa norma que concentra as informaes mais importantes desta famlia e ela que o auditor lder tem em mos (no mnimo...) durante a auditoria de certicao da empresa. somente no anexo A da norma ISO 27001 que encontramos o contedo mais diretamente voltado para os prossionais da rea de segurana que devem efetivar aes para a melhoria dos processos. Todo esse contedo apresentado na forma de objetivos de controle
303
AULA
12
e de controles do SGSI (Sistema de Gerenciamento da Segurana da Informao). Os objetivos so divididos em 11 reas (alguns chamam as reas de domnios da norma): A.5 Poltica de segurana. A.6 Segurana da informao organizacional. A.7 Gerenciamento de ativos. A.8 Segurana de recursos humanos. A.9 Segurana fsica e do ambiente. A.10 Gerenciamento das operaes e comunicaes. A.11 Controle de acesso. A.12 Aquisio, desenvolvimento e manuteno de sistemas de informao. A.13 Gerenciamento de incidentes de segurana da informao. A.14 Gesto da continuidade do negcio. A.15 Conformidade. Cada rea (ou domnio) dividida em subreas (ou subdomnios). Dentro de cada subrea encontramos os objetivos de controle e os controles propriamente ditos. Como dissemos no incio da aula, no vamos nos aprofundar na norma e vamos car por aqui... Brincadeira! Vamos dar pelo menos um exemplo para que que claro... Vejamos por exemplo o domnio A.7 (Gesto de ativos). Na norma, ele se divide em A.7.1 (Responsabilidade pelos ativos) e A.7.2 (Classicao da informao) da seguinte forma:
A.7.1 Responsabilidade pelos ativos

O objetivo de controle geral alcanar e manter a proteo adequada dos ativos da organizao. O A.7.1 possui trs objetivos de controle especcos: Inventrio dos ativos (A.7.1.1), cujo controle visa a assegurar que todo ativo identicado e um inventrio de ativos importantes estruturado e mantido; Proprietrio dos ativos (A.7.1.2), cujo controle visa a garantir que todas as informaes e ativos associados aos recursos de processamento da informao possuem um proprietrio designado por uma parte denida da organizao; e Uso aceitvel dos ativos (A.7.1.3), cujo controle visa a assegurar que existem regras identica-
das, documentadas e implementadas para que seja permitido o uso de informaes e ativos associados ao processamento da informao.
A.7.2 Classicao da informao

O objetivo geral assegurar que a informao receba um nvel adequado de proteo. O A.7.2 possui dois objetivos de controle especcos: Recomendaes para classicao (A.7.2.1), cujo objetivo assegurar que a informao seja classicada em termos do seu valor, requisitos legais e sensibilidade para a organizao; e Rtulos e tratamento da informao (A.7.2.2), cujo objetivo garantir que haja um conjunto apropriado de procedimentos para rotular e tratar a informao de acordo com o esquema de classicao adotado pela organizao. Note que a norma contm vrios objetivos de controle gerais, e cada um deles subdividido em objetivos de controles especcos. Cada objetivo, por sua vez, possui uma descrio do controle associado. Agora sim, vamos parar por aqui, pois existem outros 37 objetivos de controle gerais (so 39 ao todo) e mais 133 objetivos de controle especcos (ao todo so 139!). Voc h de convir que assunto suciente para outro curso... Observe que o formato da norma ISO 27001 se assemelha ao formato do COBIT (reas de processo, objetivos de controle, controles etc.). Na verdade, esta apresentao facilita estudar e consultar a norma no dia a dia. Alm disso, vale lembrar que a norma ISO 27002, que contm o cdigo de prticas, possui um detalhamento maior dos 139 objetivos de controle e pode ser muito til na implementao dos controles e estudo sobre o assunto.
Se, por um lado, o nmero de empresas certicadas ISO 20000 no passa de 400, o nmero de empresas certicadas ISO 27000 de quase 6.000. S o Japo, que tambm lder em empresas certicadas nessa norma, possui 3.321 organizaes certicadas. A ndia, segunda colocada, possui 482 empresas. O Brasil o 21 pas em nmero de certicaes, com 23 empresas certicadas, perdendo na Amrica Latina apenas para o Mxico (com 27) e cando frente de pases como Frana, Canad e Portugal, com 12, 5 e 3 certicaes, respectivamente. Voc pode obter estes e outros nmeros sobre a ISO 27001 no endereo http://www.iso27001certicates.com/. Pgina acessada em 30 de dezembro de 2009.
305
AULA
12
As normas ISO possuem direitos de cpia, uso e distribuio. Elas devem ser compradas a partir do endereo http://www.iso.org/iso/iso_catalogue.htm ou outro local autorizado. Por exemplo, somente a ISO 20000-1, que possui a especicao de requisitos para o gerenciamento de servios de TI em 24 pginas, custa aproximadamente US$ 86. J a ISO 27000-2, que contm o cdigo de prticas para implementao do SGSI em 44 pginas, custa aproximadamente US$ 130. Pgina acessada em 30 de dezembro de 2009.
Atividade 1
Como a ISO 20000 e a ISO 27000 se encaixam no contexto da Governana em TI?
1
Resposta
Primeiro deve-se observar que ambas so normas. A empresa precisa decidir se ela quer partir para a obteno da certicao que um processo muito desgastante (e cujo retorno nem sempre acontece) ou se ela quer apenas conhecer o contedo da norma e aplic-lo sem compromisso. No caso da ISO 20000, a aplicao sem compromisso pode ser feita utilizando a ITIL v3, pois, como vimos, exatamente para isso que as boas prticas servem. Na verdade, o nico compromisso com a melhoria dos processos de TI. Com relao ISO 27000, no existe um conjunto de prticas para a segurana da informao e, por isso, muito comum as empresas buscarem amadurecimento nos processos de segurana da informao por meio de consultorias especializadas na ISO 27000. Porm, isso pode ser feito sem que a empresa opte pela certicao formal, o que implicaria um compromisso (e investimento) maior de atender a todos os requisitos, o que nem sempre um atrativo para as empresas. Por m, ambas podem auxiliar no contexto da Governana melhorando processos em reas especcas da TI.
Voc sabe a diferena entre a ISO 20001, a ISO 20002 e a famlia ISO 20000? A ISO, quando padroniza um tema, geralmente o faz atravs de vrias normas reunidas em uma famlia. Assim, a famlia ISO 20000 possui vrias normas. A ISO 20001 contm os requisitos propriamente ditos; a ISO 20002 contm os cdigos de prticas (aes que devem ser conduzidas para atender aos requisitos). Vale ressaltar que a famlia ISO 20000 possui uma norma bsica, chamada ISO 20000, que contm um vocabulrio de termos sobre o gerenciamento de servios de TI (denio de incidente, de problema, de ativo etc.). No confunda a norma ISO 20000 com a famlia ISO 20000! O mesmo acontece com a famlia ISO 27000 e vrias outras famlias de normas ISO. Ou seja, existe a ISO 27000 (vocabulrio de termos usados nas normas da famlia), a ISO 27001 (especicao de requisitos de segurana da informao), a ISO 27002 (cdigo de prticas) etc. Normalmente as trs primeiras normas da famlia so o vocabulrio de termos, as especicaes de requisitos e o cdigo de prticas. Porm, a famlia pode ter mais de dez normas, tratando de questes especcas sobre o tema padronizado.
Um prossional pode ser certicado ISO 20000, ISO 27000 etc.? Bem, a rigor, no. A empresa pode ser certicada, mas o prossional no. Porm, existem diversas certicaes de auditores ISO. Assim, existe, por exemplo, a gura do auditor lder em uma norma (auditor lder ISO 20000, auditor lder ISO 27000 etc.). Os auditores lderes, entre outras coisas, so responsveis por conduzir auditorias de certicao (ou re-certicao) que conferem a uma empresa o ttulo de empresa certicada. Para se tornar um auditor lder o prossional precisa realizar treinamentos em uma das entidades credenciadas pela ISO e passar em uma ou mais provas. Normalmente o processo leva de 30 dias a 90 dias e tem um custo relativamente alto, alm de exigir alguns pr-requisitos do candidato a auditor. Algumas empresas que possuem tais treinamentos e esto autorizadas a formar auditores lderes das normas ISO so a BSI Brasil (http://www.bsibrasil.com.br/), o Bureau Veritas Brasil (http://www.bureauveritas.com.br/) e a Fundao Vanzolini (http://www.vanzolini.org.br/).
O eSCM
O eSCM (eSourcing Capability Maturity Model) um conjunto de boas prticas de terceirizao e fornecimento de servios desenvolvido pelo SEI (Software Engineering Institute) da Universidade de Carnegie Mellon. O SEI tambm foi responsvel por criar e desenvolver o CMM-I, que mencionamos em aulas anteriores. Por isso, ele herda os conceitos de maturidade e capacidade largamente utilizados no mundo da Governana (inclusive pelo COBIT, como vimos).
Figura 12.3: A fora da terceirizao.
307
AULA
12
E qual o objetivo desse outro conjunto de boas prticas? Perceba que a ITIL j possua um processo que lidava com a questo da terceirizao de servios. Bem, devido grande demanda por terceirizao (ou, de acordo com outros termos, outsourcing, body shop etc.), o SEI desenvolveu um conjunto completo de prticas voltadas somente para a terceirizao de servios. A primeira verso foi desenvolvida para as empresas que forneciam servios ou produtos. Esse conjunto de prticas foi denominado eSCM-SP (eSCM for Service Provider). Logo depois o SEI publicou um conjunto de prticas voltadas para o contratante do servio. Essa nova publicao foi denominada eSCM-CL (eSCM for Client Organizations). Assim como a ITIL possui o ITSMF para desenvolver as melhores prticas, cuidar das publicaes, homologar centros de treinamento, acreditar certicaes, o SEI criou o ITSQC (Information Technology Services Qualication Center) para cuidar dessas questes com relao ao eSCM. O Brasil representado no ITSQC pelo Instituto Luiz Coimbra de Ps-Graduao e Pesquisa de Engenharia (COPPE) da UFRJ.
O eSCM-SP (eSCM FOR SERVICE PROVIDER)

A primeira verso do eSCM-SP foi publicada em 2001. Atualmente est na verso 2.1 publicada em 2006. E qual seria o objetivo do eSCM-SP? Basicamente: Fornecer ao provedor de servios orientao para melhorar a sua capacidade ao longo do ciclo de fornecimento (sourcing); Prover aos clientes meios objetivos para avaliar a capacidade de um fornecedor.
Figura 12.4: Governana consequncia de vrios eventos.
O eSCM-SP tambm dene um ciclo de vida do servio, porm, ele dividido em 4 etapas
e no 5: operao (ongoing), iniciao (initiation), entrega (delivery) e concluso (completion). Note que existe uma diferena com relao ao ciclo de vida do servio da ITIL. Ora, mas e da!? So modelos desenvolvidos por entidades distintas, no mesmo? Voc s precisa entender as semelhanas e diferenas entre ambos e saber quando aplic-los. No
caso, as semelhanas so maiores que as diferenas. A fase denominada produo (ongoing) acontece enquanto o servio est em produo, ou seja, durante a vida do servio. nesta etapa que o valor esperado agregado (ou no) operao da empresa. As fases de iniciao (initiation), entrega (delivery) e concluso (completion) acontecem tanto para um novo servio que est sendo entregue quanto para servios em operao cujas caractersticas esto sendo modicadas.
Nveis de capacidade e processos do eSCM-SP

O eSCM for Service Provider tambm possui um modelo de maturidade baseado em cinco nveis de capacidade dos processos. Os nveis de so: Nvel 1: Provendo servios. Nvel 2: Atendendo requisitos consistentemente. Nvel 3: Gerenciando o desempenho organizacional. Nvel 4: Fornecendo valor proativamente. Nvel 5: Sustentando a excelncia. Atingir um determinado nvel de maturidade exige que alguns processos especcos possuam determinado nvel de capacidade. Se no cou claro, que tranquilo. Ainda vamos explicar isso melhor. O eSCM-SP v2.1 possui dez reas (indicadas logo abaixo) e dentro destas reas existem ao todo 84 objetivos que podem ser alcanados atravs de boas prticas. A empresa no precisa implementar todas as prticas de uma vez, mas existe um nmero pr-denido para cada nvel de maturidade. No s um nmero, mas a indicao de quais so, exatamente, as prticas que devem ser adotadas para que a empresa atinja o nvel de maturidade desejado. Enm, vamos deixar um pouco mais claro. As dez reas de processo so: Gerenciamento do conhecimento (produo). Gerenciamento de recursos humanos (produo). Gerenciar desempenho (produo). Gerenciar relacionamento (produo). Gerenciar tecnologia (produo).
309
AULA
12
Gerenciar ameaas (produo). Gerenciar contratos (iniciao). Desenho do servio & desenvolvimento (iniciao). Transferncia do servio (iniciao ou concluso). Entrega de servio (entrega). Voc deve ter observado que cada rea est relacionada a uma ou mais etapas do ciclo de vida do fornecimento (iniciao, entrega, concluso e produo). Alm disso, cada objetivo estar relacionado a um nvel de maturidade (1, 2, 3, 4 ou 5). Veja os exemplos das reas Gerenciar tecnologia e Gerenciar contratos. Estas reas possuem seis e onze objetivos, respectivamente. Observe que as prticas de gerenciamento da tecnologia so mais ligadas produo no ciclo de vida do fornecimento. Por outro lado, as prticas de gerenciamento de contratos so mais ligadas iniciao. Gerenciar tecnologia (produo) Adquirir tecnologia - nvel 2. Adquirir licenas de uso - nvel 2. Controlar a tecnologia - nvel 2. Integrar a tecnolgica - nvel 2. Otimizar o uso da tecnologia - nvel 3. Introduzir proativamente a tecnologia - nvel 4. Gerenciar contratos (iniciao) Negociar - nvel 3. Precicar - nvel 2. Conrmar a viabilidade - nvel 2. Obter informaes de mercado - nvel 3. Elaborar um plano de negociaes - nvel 2. Coletar requisitos - nvel 2. Rever requisitos - nvel 2. Responder aos requisitos - nvel 2. Denir papis contratuais - nvel 2. Elaborar contratos - nvel 2. Aditivar contratos - nvel 2.'
Observe que para uma empresa atingir o nvel de maturidade 2 entre os 84 objetivos, todos aqueles relacionados ao nvel 2 (so 48 dos 84) precisam ser implementados no mnimo com nvel de capacidade 2. Caso a empresa decida atingir o nvel de maturidade 3, todos os 48 processos necessrios ao nvel de maturidade 2 precisam amadurecer e atingir o nvel de capacidade 3. Alm disso, os processos necessrios ao nvel 3 (neste caso seriam mais 26) precisariam ser implementados com nvel de capacidade 3. Assim, no nal, a empresa teria ao todo 74 processos implementados (48 mais 26) com nvel de capacidade 3, o que valeria a ela o nvel de maturidade 3 em terceirizao de servios. Voc percebeu que o nvel de maturidade atingido pela empresa e o nvel de capacidade atingido pelo processo? Segundo o eSCM-SP, o fornecedor de servios amadurece na medida em que os seus processos adquirem mais capacidade.
O eSCM-CL (eSCM FOR CLIENT ORGANIZATIONS)

A primeira verso do eSCM-CL foi publicado em 2003. Atualmente ele est na verso 1.1, publicada em 2006 juntamente com o eSCM-SP. Seus objetivos so basicamente os mesmos do conjunto de boas prticas para o fornecedor, mas assumindo o ponto de vista da empresa contratante: Ajudar as organizaes clientes a estabelecer, gerenciar e sustentar melhoria contnua nas suas relaes de contratao; Ajudar as organizaes clientes a criar competncias e avaliar capacidades na gesto das atividades de contratao. O eSCM-CL possui as mesmas fases de produo (ongoing), iniciao (initiation), entrega (delivery) e concluso (completion). Alm disso, introduz mais uma fase de anlise (analysis). Portanto, o eSCM for Client Organizations possui um ciclo de vida do fornecimento baseado em cinco fases.
Nveis de capacidade e processos do eSCM-CL

O eSCM for Client Organizations tambm possui um modelo de maturidade baseado em cinco nveis de capacidade dos processos. So eles:
311
AULA
12
Nvel 1: Desempenhando a contratao. Nvel 2: Gerenciando a contratao consistentemente. Nvel 3: Gerenciando o desempenho da contratao. Nvel 4: Melhorando o valor proativamente. Nvel 5: Sustentando a excelncia. O eSCM-CL v1.1 possui 17 reas (indicadas logo abaixo). Dentro dessas reas existem ao todo 95 objetivos que podem ser alcanados atravs de boas prticas. As reas so: Gerenciamento da estratgia de fornecimento (produo). Gerenciamento da governana (produo). Gerenciamento do relacionamento (produo). Gerenciamento de valor (produo). Gerenciamento de mudana organizacional (produo). Gerenciamento de pessoas (produo). Gerenciamento do conhecimento (produo). Gerenciamento da tecnologia (produo). Gerenciamento de ameaas (produo). Gerenciamento de oportunidades (anlise). Abordagem de fornecimento (anlise). Planejamento do fornecimento (iniciao). Avaliao do fornecedor de servio (iniciao). Acordos de fornecimento (iniciao). Transferncia do servio (iniciao). Gerenciamento de servios fornecidos (entrega). Concluso do fornecimento (concluso). Por simplicidade, como dissemos, no vamos exemplicar as prticas e objetivos do eSCM-CL. Ressaltamos que, tanto com relao ao eSCM-SP quanto com relao ao eSCM-CL, zemos vrias referncias s boas prticas e usamos tambm a expresso ter uma prtica implementada. No contexto do eSCM do SEI, boa prtica signica tudo que j dissemos sobre o assunto e, alm disso, encerra em si a ideia dos objetivos que a empresa precisa atingir em uma determinada rea. O objetivo ser atingido quando processos que garantam a efetivao das prticas sugeridas forem implementados na organizao. No nal das contas, uma ideia semelhante dos objetivos de controle do COBIT, com a diferena que o
COBIT diz quais so os objetivos a serem atingidos e o eSCM foca mais as prticas a serem adotadas. Assim, o eSCM possui reas de processo com boas prticas e o COBIT possui reas de processo com objetivos de controle. Obviamente, desnecessrio dizer a esta altura que, com relao ao contedo em si, o COBIT (objetivos de controle para a TI) e o eSCM (boas prticas para terceirizao) so muito diferentes. Precisamos ainda garantir que tenha cado clara para voc a diferena sutil que h entre os nveis de maturidade da empresa e os nveis de capacidade do processo. Lembre-se de que a empresa amadurece na medida em que seus processos adquirem maior capacidade.
Atividade 2
Como o COBIT e o eSCM se encaixam dentro do contexto da Governana em TI?
1
Resposta
Ainda vale a mesma regra. Primeiro usamos o COBIT para denir o nvel de maturidade das 34 reas de processo da TI. De acordo com as diretrizes estratgicas da empresa, algumas reas merecero maior destaque. As reas de processo AI2 (Adquirir e manter softwares aplicativos), AI3 (Adquirir e manter infraestrutura tecnolgica) e DS2 (Gerenciar servios de terceiros), por exemplo, tm muito a se beneciar do contedo do eSCM, pois so reas diretamente ligadas terceirizao. A avaliao inicial por meio do COBIT pode determinar que os objetivos destas reas no esto sendo atingidos e a empresa pode, em seguida, utilizar o eSCM para construir novos processos (ou alterar os existentes), a m de melhorar os ndices obtidos pelos indicadores de meta e de desempenho do COBIT.
313
AULA
12
A ISO 38500 (Governana em TI)

Voc sabia que existe uma norma ISO para a Governana em TI? Isso mesmo! A ISO 38500 (Standard for Corporate Governance of Information Technology) uma norma publicada em 2008. E voc sabe qual foi a sua origem? Neste caso, a origem no foi uma norma inglesa, mas sim a norma australiana AS 8015 (Australian Standard). Segundo a ISO, a norma 38500 pode ser aplicada em organizaes de todos os tipos e tamanhos. O padro fornece um modelo para efetivar a Governana em TI
Figura 12.5: Todos pela Governana.
auxiliando os responsveis pelo negcio a entender e
cumprir obrigaes legais, regulatrias e ticas com relao ao uso da Tecnologia da Informao. O modelo sugerido possui denies, princpios e um modelo baseado em seis princpios para a boa Governana da TI: Responsabilidade. Conformidade. Estratgia. Aquisio. Desempenho. Comportamento humano. O propsito do padro promover o uso ecaz, eciente e aceitvel da TI em toda a organizao: Assegurando aos responsveis pelo negcio que, se o padro for seguido, eles podem conar na Governana em TI da empresa. Guiando diretores atravs dos controles que devem existir sobre o uso da TI por toda a empresa. Fornecendo as bases para a avaliao da Governana em TI. Esta norma no possui a descrio de processos e boas prticas como na ITIL ou objetivos de controle como no COBIT. Porm ela possui em seu texto vrias denies e conceitos gerais sobre Governana que podem servir para eliminar discusses que s vezes cam no campo da subjetividade e da abstrao em torno do assunto. Desse modo, a
ISO 38500 cumpre papel importante, pois responde, de uma vez por todas, pergunta: O que Governana em TI e quais os requisitos para atingi-la?
A ISO 38500:2008 relativamente nova e no uma famlia de normas. Trata-se de apenas um documento (uma norma). No existem empresas certicadas ISO 38500 e, por hora, no este o seu objetivo. A norma ISO 38500 pode ser obtida no endereo http://www.iso.org/iso/ iso_catalogue.htm ou outro local autorizado, a um custo de aproximadamente US$ 86.
Por ltimo ressaltamos que vrios autores e estudiosos tm se preocupado em listar os princpios que regem a Governana Empresarial.
PROJETO DE GOVERNANA
Neste curso tivemos a preocupao de abordar as publicaes mais conhecidas do mundo da Governana em TI (a ITIL e o COBIT) e, atravs de outros exemplos menos conhecidos, deixar claro para voc como esse campo vasto. Existem, literalmente, dezenas (ou centenas) de outras normas, padres ou boas prticas que poderiam fazer parte deste curso. Obviamente, no haveria espao nem tempo para abordar tudo com os detalhes necessrios. Voc pode estar pensando que existem tantas boas prticas e normas que, no nal das contas, resolvemos um problema e criamos outro. O que devemos adotar na empresa, anal, e como fazer isso? Uma norma mundial como a ISO 38500, por exemplo, a ltima palavra sobre o assunto? Com relao segunda pergunta, embora a ISO tenha um alcance mundial, nem todos os pases so representados nas discusses e nem todos do a mesma importncia a uma norma ou a adotam com a mesma rapidez. E, alm disso, nem mesmo normas discutidas ao longo de anos por prossionais do mundo inteiro so infalveis. Embora elas sejam uma compilao de tudo que j foi falado e escrito sobre um assunto, elas no so a ltima palavra.
315
AULA
12
Por isso imprescindvel que voc entenda a losoa fundamental por trs da Governana em TI e que aplique seus conceitos e princpios. Em outras palavras, entenda primeiro o que Governana e depois pense em aplicar COBIT, ITIL, ISO 27000, eSCM etc. O padro ou conjunto de boas prticas servir apenas como fonte de conhecimento para acelerar seu trabalho. Para ser bem-sucedido, independentemente do caminho escolhido (isto , da norma ou boa prtica), voc precisa saber para onde a empresa est indo e por que ela est indo. A partir disso, o resto car mais fcil. Governana em TI a preocupao com a melhoria contnua sob todas as formas de relacionamento entre a TI e o negcio, envolvendo os nveis estratgico, ttico e operacional, no curto, mdio e longo prazos de todos os seus projetos, operaes e processos, obedecendo a princpios tcnicos, ticos, morais e legais.
O processo de criao de uma norma envolve discusso em congressos, seminrios e workshops ao longo de vrios anos. Hoje, 162 pases, como Afeganisto, Cuba, Etipia, Honduras, Coria, Chile, Japo, Mauritnia, Sua, Ucrnia e Alemanha so representados junto ISO. Os Estados Unidos, por exemplo, so representados atravs da ANSI (American National Standards Institute). O Brasil representado pela ABNT (Associao Brasileira de Normas Tcnicas). Estes rgos enviam prossionais para os eventos da ISO que visam a discutir normas que viro a se tornar padres mundiais. Outra funo das entidades que representam os pases na ISO fazer adaptaes nacionais s normas. Isso necessrio quando as normas afetam a indstria, o meio ambiente, as relaes trabalhistas etc., pois essas reas possuem especicidades que variam de pas para pas. No endereo http://www.iso.org/iso/about/iso_members.htm h uma lista de todos os pases membros. Pgina acessada em 30 de dezembro de 2009.
Com relao questo sobre o que devemos adotar na empresa e como fazer isso, vamos dar um exemplo resumido sobre quais seriam os passos de um projeto nessa rea, conforme tem sido praticado no mercado.
Diviso do projeto em fases

Uma regra de ouro em qualquer projeto a sua diviso em fases, etapas ou atividades menores para melhor gerenciamento. Normalmente os projetos de Governana, por envolver grandes mudanas na empresa, acabam se tornando complexos, e muito fcil perder o controle sobre a sua execuo e no alcanar os objetivos pretendidos.
Um caminho comum dividir o projeto em duas fases, no mnimo: Fase de pr-projeto (ou projeto bsico) Nesta fase so denidos os objetivos do projeto de acordo com as metas de negcio; o nvel de maturidade da organizao em prestar servios de TI determinado; a empresa decide quais reas devem ser melhoradas, em que ordem isso deve acontecer e at que ponto melhorar; a empresa tambm escolhe, nesse momento, quais padres, normas e boas prticas relevantes sero utilizados. Normalmente o principal produto da fase de pr-projeto um esboo do plano de projeto embasado na anlise do ambiente atual da organizao. Em alguns casos, a fase de prprojeto envolve tambm a capacitao atravs da realizao de treinamentos, palestras etc. para garantir envolvimento e comprometimento de todos os interessados, direta ou indiretamente, no projeto. Fase de projeto Na fase de projeto, as mudanas reais iro acontecer. Ou seja, na fase anterior foi decidido aonde se quer chegar e que caminho percorrer para chegar aonde se deseja. Nesta fase, percorrido o caminho em si. Assim, o sucesso desta fase depende muito das escolhas feitas na fase anterior. O resultado nal obtido nesta fase a mudana organizacional, seja na forma de novos processos implantados, seja na forma de mudanas e melhorias em processos j em andamento na empresa. na fase de projeto que os recursos so consumidos em maior quantidade, por isso imprescindvel uma anlise do tipo go-no go (seguir ou no seguir...) entre o nal da fase de pr-projeto e o incio da fase de projeto. Isso impede que a empresa inicie um projeto complexo da maneira errada e note o erro apenas quando for tarde demais para voltar atrs sem assumir prejuzos altos.
317
AULA
12
Voc deve observar que ambas as fases do projeto de Governana possuem obviamente incio, meio e m. O que chamamos de meio da fase normalmente composto por pelo menos uma etapa de planejamento e uma de execuo. Assim, cada fase obedecer, no mnimo, a um ciclo de vida de projeto genrico, com as
Figura 12.6: Ciclo genrico de projeto.
Inicia
ar Planej
Execu
tar
Fechar
etapas de iniciao, planejamento, execuo e fechamento.
A fase de pr-projeto
Para tornar o gerenciamento do projeto mais simples (ou menos complexo) e para aumentar suas chances de sucesso, um bom pr-projeto essencial.
Iniciar
O incio da fase de pr-projeto envolve as escolhas e decises da organizao e a busca por resposta para questes como: a empresa sabe o que Governana em TI e o que se pode esperar dela? Por que a empresa precisa de Governana em TI? Existem boas prticas (ITIL, eSCM etc.) ou normas (ISO 27000, ISO 38500 etc.) que a empresa precisar adotar por causa de algum fator estratgico interno ou externo? De que quantidade de recursos a empresa dispe para o projeto e como ela espera recuperar esse investimento?
Planejar
O planejamento envolve a denio de como a execuo do projeto acontecer. Um dos maiores objetivos do pr-projeto o mapeamento da organizao, e o planejamento deve programar como isso ser feito. Sero realizadas entrevistas formais, individuais e presenciais? Quem ser entrevistado e quantas entrevistas sero feitas? A empresa contar com a participao de consultoria externa ou o projeto contar apenas com recursos humanos de dentro da empresa? Haver necessidade
de treinamento dos envolvidos no projeto? Nesse momento o COBIT, a ISO 38500 e o prprio COSO podem ajudar a tomar tais decises e, na etapa seguinte, podero ajudar a executar as entrevistas, a capacitao etc.
Executar
Observe que o resultado concreto a ser entregue ao nal desta fase a documentao do que dever ser feito na prxima. Assim, a sua execuo envolve principalmente a elaborao de um plano de projeto para a prxima fase, com as estimativas de custo e durao para atender ao escopo pretendido. Esse resultado servir como base para as decises que a organizao precisar tomar sobre o projeto. Em alguns casos, geralmente quando a empresa tem como certa a realizao do projeto em si, a etapa de execuo envolver tambm a realizao da capacitao das equipes (atravs de treinamentos formais) e a conscientizao das pessoas dentro da organizao (atravs de palestras, reunies ou treinamentos). As avaliaes sobre o cenrio atual da organizao tambm acontecem nesse momento (por meio de entrevistas com pessoas-chave etc.). Tambm necessrio conhecer os projetos e operaes de TI em andamento na empresa e documentar os processos da TI. Dependendo de vrios fatores, desde o porte da empresa at a forma com que o pr-projeto conduzido, esse trabalho pode levar at seis meses. Como o caminho mais comum atualmente adotar o COBIT para a denio de objetivos de controle, esta etapa normalmente envolve a determinao do grau de maturidade das 34 reas de processo de TI, conforme estudamos nas aulas anteriores.
Encerrar
A etapa de encerramento da fase de pr-projeto envolve principalmente a anlise dos resultados obtidos e a deciso de comear ou no (go-no go) a fase seguinte (o projeto em si). Note que, dependendo do cenrio atual da organizao, os custos do projeto podem inviabilizar o escopo ideal e a
319
AULA
12
empresa pode optar por amadurecer os processos de apenas algumas de suas reas. Embora seja bvio pensar que o certo seria melhorar todas as reas e todos os processos, o conceito de eccia estratgica (fazer o que deve ser feito) nos remete novamente seguinte realidade: nem sempre possvel fazer o ideal, e a deciso sobre o que fazer e o que no fazer pode ser a diferena entre fechar as portas ou permanecer no mercado. Assim, em alguns casos, a resposta para a questo colocada pelo go - no go : no go!
A fase de projeto
Todas as etapas do projeto acontecero de acordo com o que foi denido na fase de pr-projeto. Lembre-se de que o sucesso do projeto, portanto, depende muito de um bom pr-projeto.
Iniciar
A iniciao do projeto, neste caso, envolve a anlise do esboo do plano de projeto elaborado na fase anterior e a vericao do cenrio atual. H mudanas de cenrio que justiquem alterar o plano? H reas que se tornaram mais relevantes? Existem outras prticas de TI que passaram a merecer mais ateno no cenrio mundial? Novas verses do COBIT, da ITIL etc. foram publicadas? Desde capacitao e treinamento, houve alterao no quadro de pessoal? No cenrio de TI necessrio considerar essas questes, pois, como sabemos, ele bastante dinmico.
Planejar
Na fase de pr-projeto foi elaborado um esboo de plano. Esse esboo deve ser revisado e mais bem detalhado, a m de gerar um plano de projeto que contemple tudo que importante para a boa execuo do projeto em si. A equipe, o cliente, o usurio e demais interessados devem conhecer e concordar com o escopo do que ser feito; um cronograma deve conter as datas de incio e m das atividades do projeto; um oramento e uma previso de desembolso devem ser produzidos
para que se tenha controle efetivo sobre as nanas do projeto; os requisitos de qualidade e critrios de aceitao devem ser explicitados; os principais riscos devem ser identicados e analisados; as necessidades de aquisio externa (se for o caso) devem ser documentadas etc.
Executar
A execuo desta fase envolve a construo ou melhoria dos processos. Nesta etapa todo o conhecimento sobre boas prticas e normas de TI til. Se a empresa quer melhorar o gerenciamento de incidente, de problemas, quer criar uma central de servios etc., a ITIL uma das opes mais indicadas. Se a empresa v como crtico o seu nvel de maturidade em segurana da informao, as normas da famlia ISO 27000 contm informaes riqussimas. Caso a empresa queira adotar uma losoa de terceirizao ou mesmo melhorar o controle sobre servios terceirizados (muito importante para rgos do governo), as prticas do eSCM-SP e eSCM-CL podem ser muito teis. Se a empresa decide que o gerenciamento de projetos de TI precisa melhorar, conhecer o PMBOK ou o PRINCE2 (ou ambos), certamente ser o melhor caminho para construir uma boa metodologia de gerenciamento de projetos. Enm, nesta fase a mudana acontecer e ela poder acontecer de vrias formas. Quanto maior for o conhecimento sobre o que o mercado possui para auxiliar a TI, maior ser a probabilidade de sucesso.
Encerrar
O encerramento pode signicar vrias coisas. Um projeto pode ser encerrado porque a empresa chega concluso de que ele no atingir os objetivos estabelecidos inicialmente (a pior forma de encerramento). Ou, por outro lado, porque os objetivos foram todos atingidos. Assim, para ter uma ideia clara de quando o projeto termina, imprescindvel dizer aonde ele que chegar... Ou seja, quais so os objetivos.
321
AULA
12
Portanto, antes de iniciar o projeto, tenha certeza de que os documentos de iniciao contm frases como: Este projeto visa a implementar processos nas reas X, Y e Z, garantindo pelo menos que os objetivos de controle segundo o COBIT sejam atendidos at o nvel 3. Ou ainda: Este projeto visa a
Sabemos que h casos em que um projeto entrega o produto ou resultado conforme os requisitos estabelecidos pelas partes interessadas, mas durante a utilizao do produto ele no traz o retorno esperado. Nesse caso podemos dizer que o projeto foi malsucedido? Para responder a essa pergunta necessrio entender o conceito de sucesso operacional do projeto e SUCESSO DO PROJETO. Dizemos que sucesso operacional entregar o produto nal do projeto atendendo aos objetivos de escopo, tempo e custo e aos requisitos de qualidade preestabelecidos. Porm, o sucesso do projeto em si depende do ciclo de vida do produto, ou seja, de sua utilizao pela organizao contratante. No exemplo acima, houve sucesso operacional, mas no sucesso do projeto em si. Note que o conceito de sucesso de projeto est diretamente ligado eccia estratgica, e o conceito de sucesso operacional est diretamente ligado ecincia operacional.
melhorar os processos das reas A, B e C de forma que o nvel de maturidade atual, que N1, N2, e N3, atinja os nveis L1, L2, e L3, respectivamente, conforme os controles estabelecidos pelo COBIT. A, sim, car claro quando o projeto deve terminar.
O controle das fases do projeto

Em ambas as fases, o controle do projeto deve estar ativo em todos os momentos e em todas as etapas. Os responsveis pelo projeto devem responder, a todo instante, a questes como: o projeto est alinhado estrategicamente com os objetivos da organizao? Os documentos de iniciao do projeto consideram os critrios de seleo do projeto e as metas organizacionais que ele ir ajudar a alcanar? Houve tempo adequado para planejar o projeto abordando todas as reas necessrias? A execuo do projeto est se desviando do plano inicialmente elaborado? As mudanas necessrias esto sendo analisadas de maneira adequada para que no se perca o controle sobre o que est sendo feito? Os responsveis pela aceitao dos resultados nais de cada fase foram ouvidos durante a iniciao da fase? Os riscos que podem afetar os objetivos foram determinados? Novos riscos surgiram durante a execuo? Enm, controlar e monitorar um projeto envolve todo o esforo dos gerentes e da prpria equipe de projeto em garantir que o trabalho de planejamento no ter sido em vo e que as aes corretivas e preventivas necessrias sero tomadas em tempo hbil. No caso especco da Governana em TI, vrias questes de controle so importantes. O projeto envolve criao e implantao de novos processos de TI? Quais os resultados esperados dos processos, uma vez que eles estejam em produo? Neste caso, note que o SUCESSO DO PROJETO depende dos resultados iniciais do processo criado (ou modicado), uma vez que ele esteja em produo. Por isso, em alguns casos, o controle
do projeto visando melhoria contnua e captura de lies aprendidas pode inclusive extrapolar os limites do projeto e permanecer ativo aps o seu encerramento.
Atividade 3
Nesta seo descrevemos, de forma resumida, os passos a serem seguidos na conduo de um projeto de Governana em TI. Em que os conceitos apresentados foram baseados?
2
Resposta
Os conceitos foram baseados nas boas prticas de gerenciamento de projetos do PMBOK e do PRINCE2. Embora estejamos lidando com a Governana em TI, existe muito em comum com relao arte de gerenciar projetos, independentemente da rea, que pode ser aplicado em qualquer contexto. Foi isso que zemos aqui dentro do contexto de um projeto de Governana em TI. Observe que, em alguns casos, o PMBOK (ou o PRINCE2) poder ser usado de maneira recursiva e ajudar duas vezes a empresa. Por um lado, as boas prticas de gerenciamento de projetos serviro para conduzir todo o esforo em implementar processos adequados para as reas da TI, conforme discutido nesta seo. Por outro lado, se uma das reas de processo a ser melhorada a prpria rea de gerenciamento de projetos de TI (PO10 do COBIT), as boas prticas de projeto acabam sendo utilizadas novamente para construir a metodologia dentro da organizao.
CONCLUSO
Lembre-se sempre de que as boas prticas, normas e padres de TI no fazem o trabalho por si ss! Voc deve se esforar por se manter
323
AULA
12
atualizado e conhecer o que escrito sobre o assunto e, principalmente, o que se torna consenso no mercado mundial. Porm, no caia na armadilha de achar que tudo importante! Quando tudo importante, na verdade, nada o . Governana em TI saber o que melhor para a empresa e denir quando, como e onde fazer as mudanas. Boas prticas de TI devem ser conhecidas, para que voc no precise reinventar a roda. Normas devem ser seguidas para que sua empresa no se coloque em uma posio de inferioridade perante os concorrentes. Padres devem ser adotados para que a sua organizao possa competir em mercados diferenciados. O novo cenrio internacional tambm obriga a TI a pensar em obrigaes legais, regulatrias e ticas, alm da eterna busca por ecincia operacional e eccia estratgica. A Governana em TI se ocupa da melhoria contnua sob todas as formas de relacionamento entre o portflio da TI e o negcio, em todos os nveis, no curto, mdio e longo prazos. Nesse cenrio, em que tudo parece ser importante, o essencial garantir a existncia de uma boa Governana em TI que decida, entre o tudo e o nada, o que de fato ser feito em prol da organizao sem assumir riscos desnecessrios e a um custo que possa ser absorvido pelo negcio.
INFORMAES SOBRE FRUM Vamos discutir os assuntos desta aula no frum desta semana? Ttulo: O projeto de Governana em TI. Objetivo: Acabamos de estudar, de forma resumida, um projeto de Governana em TI. Hoje em dia, quando usamos a palavra projeto, no mais possvel dissoci-la das prticas do Guia PMBOK e do PRINCE2, embora este ltimo ainda seja pouco conhecido e utilizado no Brasil. Vamos discutir neste frum um pouco mais a questo do projeto de Governana. Voc j participou de um projeto de governana? Os objetivos de escopo, tempo e custo foram claramente denidos no incio do projeto? Alm da ITIL e do COBIT, o que mais fez parte do escopo do projeto? O projeto foi bem-sucedido? As boas prticas de gerenciamento de projetos foram utilizadas? Enm, vamos discutir estas e outras questes no frum desta semana.
Atividade online
V Vamos elaborar um esboo de plano de projeto que poderia ser o resultado 1 2 da fase de pr-projeto de um projeto de Governana em TI na sua organizao. Nesta atividade vamos poder compartilhar modelos de plano e outros artefatos voltados para projetos de Governana em TI.
A ISO 20000 uma famlia de normas publicadas em 2005 derivadas das normas britnicas BS 15000 (que so de 2003). Ambas so diretamente baseadas na ITIL v2 (publicada em 2000). Ou seja, so as boas prticas da ITIL que evoluram e foram transformadas em requisitos de um padro. A ISO 27000 uma famlia de normas publicadas em 2005 com objetivos de controle reunidos em 11 reas relacionadas segurana da informao. So 33 objetivos gerais de controle que renem 139 objetivos especcos. O eSCM-SP e o eSCM-CL so conjuntos de boas prticas para a terceirizao escritos pelo SEI, mesmo instituto que desenvolveu o CMM-SW e, mais tarde o CMM-I, que deu origem aos modelos de maturidade to utilizados pela Governana. O eSCM-SP um conjunto de boas prticas de terceirizao para a organizao fornecedora (service provider). Sua primeira verso foi escrita em 2001. A verso atual, a 2.1, de 2006. O eSCM-CL um conjunto de boas prticas de terceirizao para a organizao contratante (client organization). Sua primeira verso foi escrita em 2003. A verso atual, a 1.1, de 2006. A ISO 38500 uma norma recentemente publicada (em 2008) sobre a Governana em TI com denies, princpios e diretrizes sobre o tema que pretendem se tornar padro mundial sobre o tema os setores da indstria. Um projeto de Governana em TI um projeto como outro qualquer. O mais importante entender o que Governana e conduzir o trabalho utilizando boas prticas de gerenciamento de projetos. As normas, padres e boas prticas relacionadas Tecnologia da Informao s iro ajudar a organizao se ela souber onde, como, quando e por que aplic-los.
325
AULA
12
RESUMO

Chegamos ao final do nosso curso. Esperamos que voc tenha aproveitado o seu contedo e que tenha entendido os conceitos. Esperamos ver voc em outros nossos prximos cursos!
Atividades Finais
1) As normas ISO 27000, ISO 27001 e ISO 27002 possuem, respectivamente: a. Vocabulrio, cdigo de prticas e especicao de requisitos. b. Vocabulrio, especicao de requisitos e cdigo de prticas. c. Especicao de requisitos, cdigo de prticas, e vocabulrio. d. Cdigo de prticas, especicao de requisitos e vocabulrio. 2) Na ISO 27001, poltica de segurana, segurana da informao organizacional, gerenciamento de ativos e segurana de recursos humanos so: a. Objetivos de controle genricos. b. Objetivos de controle especcos. c. reas da segurana da informao. d. Controles da segurana da informao. 3) A norma ISO 38500 inaugura uma nova srie de princpios que devem reger a Governana em TI. Qual das alternativas abaixo contm somente princpios indicados na norma: a. Desempenho, conformidade e comportamento humano. b. Imparcialidade, estratgia e aquisio. c. Conabilidade, estratgia e aquisio. d. Responsabilidade, estratgia e integridade. 4) Qual a diferena entre sucesso do projeto e sucesso operacional do projeto? D um exemplo.
a. Gerencia a comunicao das direes de TI; Assegura o alinhamento de TI com os requisitos externos; Gerencia Dados; Monitora processos e Prov Auditorias independentes. b. Identica as solues de automao e Prov Auditorias independentes. c. Identica as solues de automao; Monitora processos e Gerencia Mudanas. d. Adquire e mantm os softwares; Assegura segurana dos servios; Monitora processos e Gerencia Mudanas. e. Adquire e mantm os softwares; Assegura segurana dos servios e Prov Auditorias independentes. 6) (Analista Tcnico de TI SUSEP ESAF/2006) O relacionamento entre o COBIT e a ISO/ IEC 17799 permite que se faa um mapeamento entre as estratgias de negcios do COBIT e a aplicao das prticas da ISO/ IEC 17799. Com relao a esse relacionamento, correto armar que o processo a. DS1 dene e mantm os acordos de nveis de servio do COBIT est relacionado prtica Segurana de arquivos do sistema da ISO/IEC 17799:2000. b. DS5 assegura segurana dos dados do COBIT est relacionado prtica Gerenciamento da Rede da ISO/IEC 17799:2000. c. DS11 gerencia os dados do COBIT est relacionado prtica Requisitos do negcio para controle de acesso da ISO/IEC 17799:2000. d. AI5 instala e certica software do COBIT est relacionado prtica Treinamento dos usurios da ISO/IEC 17799:2000. e. AI3 adquire e mantm a infraestrutura Tecnolgica do COBIT est relacionado prtica Responsabilidades do usurio da ISO/IEC 17799:2000. 7) As prticas descritas no eSCM utilizam modelos de capacidade e de maturidade semelhantes ao modelo de maturidade do COBIT. Como o nvel de maturidade obtido, por exemplo, pelo DS2 do COBIT pode ser mapeado em um nvel de capacidade do eSCM-SP?
Respostas
1) Alternativa b. importante lembrar que ISO 20000 pode se referir a uma norma (vocabulrio) ou a um conjunto de normas. preciso especificar. 2) Alternativa c. No anexo A a ISO 27001 se refere ao A.5 (poltica), A.6 (segurana organizacional), A.7 (ativos) e A.8 (recursos humanos) como reas da segurana da informao. 3) Alternativa a. Uma das dificuldades na aplicao de uma norma costuma ser a sua interpretao. importante conhecer os princpios que regem a norma, pois quando a interpretao estiver difcil ou duvidosa os princpios clarificaro os conceitos. Seis princpios so descritos na ISO 38500: responsabilidade, estratgia, aquisio, desempenho, conformidade e comportamento humano.
327
AULA
5) (Analista Tcnico de TI SUSEP ESAF/2006) A prtica Conformidade com requisitos legais da ISO/IEC 17799 est relacionada, no COBIT, com os processos
12
4) Sucesso operacional entregar um produto na data acordada, atendendo aos requisitos do cliente e sem estourar o oramento previsto. O sucesso do projeto depende da utilizao do produto e dos resultados que sero alcanados atravs dele durante a sua vida til. 5) Alternativa a. Para responder a esta questo necessrio conhecer bem a ISO 17799 (ou ISO 27001). Observe que as outras alternativas trazem itens como identificao de solues automatizadas e aquisio de software que no tm tanto a ver com a conformidade. A alternativa correta traz processos do domnio monitorar e avaliar (ME), e outros processos importantes que so citados na ISO 27001 (antiga ISO 17799). Observe ainda que a questo - de 2006 - menciona a ISO 17799 em vez da ISO 27000 (que j havia sido publicada desde 2005). 6) Alternativa d. Esta questo tambm exige conhecimento mais profundo da norma que define o SGSI segundo a ISO. Observe que freqente a necessidade de se fazer o mapeamento entre o COBIT e a ISO 17799 conforme vimos ao longo do curso. Caso tenha se interessado, voc pode obter uma cpia das normas ISO 27001 (requisitos) e ISO 27002 (cdigo de prticas) e estudar o seu relacionamento com os controles do COBIT. uma tima forma de aprender mais sobre a boa Governana. 7) O nvel de maturidade do COBIT definido para um processo de acordo com o modelo de maturidade. O eSCM-SP possui 84 boas prticas para terceirizao e possvel pensar em um processo para cada boa prtica. Neste caso, cada processo pode receber um nvel de capacidade. Uma abordagem ver o DS2 do COBIT como um processo e as 84 prticas do eSCM-SP como subprocessos. Lendo o modelo de maturidade do COBIT para o DS2 fica fcil identificar quais boas prticas so essenciais para cada nvel e, portanto, quais dos 84 processos devem ser priorizados dependendo do nvel que a empresa queira atingir. Perceba que o nvel de maturidade do processo pode ser obtido desta forma (segundo o COBIT), ou pode ser obtido do prprio eSCM-SP, que diz exatamente quais prticas tm a ver com quais nveis de maturidade. Esta segunda abordagem til quando a empresa est pensando somente nas questes da terceirizao e que usar somente o eSCM-SP de maneira isolada (embora esta no seja a abordagem ideal, pois vai de encontro ideia da Governana em TI).
Governana em TI
CEDERJ
Referncias
329
Aula 1
FERNANDES, A. A., ABREU, V. F. Implantando a governana de TI. 2. ed. Brasil: Brasport, 2008. IEEE. Institute of Electrical and Electronic Engineers. Disponvel em: <http://www.ieee. org/portal/site>. Acesso em: 01 nov. 2009. ISO. International Organization for Standardization. Disponvel em: <http://www.iso. org/iso/home.htm>. Acesso em: 01 nov. 2009. LAURINDO, F. J. B. Gesto da tecnologia da informao. So Paulo: Atlas, 2008. MAGALHES, I. L., PINHEIRO, W. B. Gerenciamento de servios de TI na prtica. So Paulo: Novatec, 2007. REZENDE, D. A. Planejamento de sistemas de informao e informtica. 3. ed. So Paulo: Atlas, 2008. WEILL, P.; ROSS, W. J. Governana de TI. 2. ed. So Paulo: Makron Books, 2006.
Aula 2
FERNANDES, A. A., ABREU, V. F. Implantando a governana de TI. 2. ed. Porto Alegre: Brasport, 2008. ITGI - IT Governance Institute. Disponvel em: <http://www.itgi.org>. Acesso em: 01 nov. 2009. LAURINDO, F. J. B. Gesto da tecnologia da informao. So Paulo: Atlas, 2008. MAGALHES, I. L., PINHEIRO, W. B. Gerenciamento de Servios de TI na Prtica. So Paulo: Novatec, 2007. REZENDE, D. A. Planejamento de sistemas de informao e informtica. 3. ed. So Paulo: Atlas, 2008. WEILL, P.; ROSS, W. J. Governana de TI. 2. ed. So Paulo: Makron Books, 2006.
Aula 3
FERNANDES, A. A.; ABREU, V. F. Implantando a governana de TI. 2. ed. Porto Alegre: Brasport, 2008. ITSMF. IT Service Management Forum. Disponvel em: <http://www.itsmf.com.br>. Acesso em: 01 nov. 2009.
330
CEDERJ
LAURINDO, F. J. B. Gesto da tecnologia da informao. So Paulo: Atlas, 2008. MAGALHES, I. L.; PINHEIRO, W. B. Gerenciamento de servios de TI na prtica. So Paulo: Novatec, 2007. REZENDE, D. A. Planejamento de sistemas de informao e informtica. 3. ed. So Paulo: Atlas, 2008. WEILL, P.; ROSS, W. J. Governana de TI. 2. ed. So Paulo: Makron Books, 2006.
Aula 4
FERNANDES, A. A.; ABREU, V. F. Implantando a governana de TI. 2. ed. Porto Alegre: Brasport, 2008. LAURINDO, F. J. B. Gesto da tecnologia da informao. So Paulo: Atlas, 2008. MAGALHES, I. L.; PINHEIRO, W. B. Gerenciamento de servios de TI na prtica. So Paulo: Novatec, 2007. REZENDE, D. A. Planejamento de sistemas de informao e informtica. 3. ed. So Paulo: Atlas, 2008. WEILL, P.; ROSS, W. J. Governana de TI. 2. ed. So Paulo: Makron Books, 2006.
Aula 5
FERNANDES, A. A., ABREU, V. F. Implantando a governana de TI. 2. ed. Brasil: Brasport, 2008. LAURINDO, F. J. B. Gesto da tecnologia da informao. So Paulo: Atlas, 2008. MAGALHES, I. L., PINHEIRO, W. B. Gerenciamento de servios de TI na prtica. So Paulo: Novatec, 2007. REZENDE, D. A. Planejamento de sistemas de informao e informtica. 3. ed. So Paulo: Atlas, 2008. WEILL, P.; ROSS, W. J. Governana de TI. 2. ed. So Paulo: Makron Books, 2006.
CEDERJ
331
Aula 6
FERNANDES, A.A.; ABREU, V.F. Implantando a governana de TI. 2. ed. Brasil: Brasport, 2008. LAURINDO, F.J.B. Gesto da tecnologia da informao. So Paulo: Atlas, 2008. MAGALHES, I.L., PINHEIRO, W.B. Gerenciamento de servios de TI na prtica. So Paulo: Novatec, 2007. REZENDE, D. A. Planejamento de sistemas de informao e informtica. 3. ed. So Paulo: Atlas, 2008. WEILL, P.; ROSS, W.J. Governana de TI. 2. ed. So Paulo: Makron Books, 2006.
Aula 7
FERNANDES, A.A.; ABREU, V.F. Implantando a governana de TI. 2. ed. Brasil: Brasport, 2008. LAURINDO, F.J.B. Gesto da tecnologia da informao. So Paulo: Atlas, 2008. MAGALHES, I.L., PINHEIRO, W.B. Gerenciamento de servios de TI na prtica. So Paulo: Novatec, 2007. REZENDE, D. A. Planejamento de sistemas de informao e informtica. 3. ed. So Paulo: Atlas, 2008. WEILL, P.; ROSS, W.J. Governana de TI. 2. ed. So Paulo: Makron Books, 2006.
Aula 8
COSO - Committee of Sponsoring Organizations. Disponvel em: <http://www.coso. org/>. Acesso em: 01 nov. 2009. FERNANDES, A. A.; ABREU, V. F. Implantando a governana de TI. 2. ed. Rio de Janeiro: Brasport, 2008. INFORMATION Systems Audit and Control Association. ISACA: serviing it governance prossionais. Disponvel em: <http://www.isaca.org/>. Acesso em: 01 nov. 2009. IT - Governance Institute. Disponvel em: <http://www.itgi.org/>. Acesso em: 01 nov. 2009.
332
CEDERJ
IT GOVERNANCE INSTITUTE. Control Objectives for Information and related Technology. COBIT guides. 4.1. Illinois, USA, 2007. LAURINDO, F. J. B. Gesto da tecnologia da informao. So Paulo: Atlas, 2008. MAGALHES, I. L.; PINHEIRO, W. B. Gerenciamento de servios de TI na prtica. So Paulo: Novatec, 2007. PROJECT MANAGEMENT INSTITUTE (PMI). Project management of Knowledment. PMBOK guides. 4. ed. [S.l.], 2008. PROJECT MANAGEMENT INSTITUTE (PMI). IT Infrastructure Library, Ofce of Government Commerce. ITIL guides. 2. ed. [S.l.], 200O. PROJECT MANAGEMENT INSTITUTE (PMI). IT Infrastructure Library, Ofce of Government Commerce. ITIL guides. 2. ed. [S.l.], 2007. REZENDE, D. A. Planejamento de sistemas de informao e informtica. 3. ed. So Paulo: Atlas, 2008. WEILL, P.; ROSS, W. J. Governana de TI. 2. ed. So Paulo: Makron Books, 2006.
Aula 9
COBIT v.4.1 Control Objectives for Information and related Technology. Illinois: IT Governance Institute, 2007. COMMITTEE of Sponsoring Organizations. Disponvel em: <http://www.coso.org/>. Acesso em: 01 nov. 2009. FERNANDES, A. A.; ABREU, V. F. Implantando a governana de TI. 2. ed. Porto Alegre: Brasport, 2008. ISACA. Information Systems Audit and Control Association. Disponvel em: http:// www.isaca.org/. Acesso em 01 de novembro de 2009. ITGI IT Governance Institute. Disponvel em: <http://www.itgi.org/>. Acesso em: 01 nov. 2009. LAURINDO, F. J. B. Gesto da tecnologia da informao. So Paulo: Atlas, 2008. MAGALHES, I. L.; PINHEIRO, W. B. Gerenciamento de servios de TI na prtica. So Paulo: Novatec, 2007.
CEDERJ
333
PROJECT MANAGEMENT INSTITUTE (PMI). IT Infrastructure Library, Ofce of Government Commerce. ITIL guides. 2. ed. [S.l.], 2000. PROJECT MANAGEMENT INSTITUTE (PMI). IT Infrastructure Library, Ofce of Government Commerce. ITIL guides. 2. ed. [S.l.], 2007. PROJECT MANAGEMENT INSTITUTE (PMI). Project management of Knowledment. PMBOK guides. 4. ed. [S.l.], 2008. REZENDE, D. A. Planejamento de sistemas de informao e informtica. 3. ed. So Paulo: Atlas, 2008. WEILL, P.; ROSS, W. J. Governana de TI. 2. ed. So Paulo: Makron Books, 2006.
Aula 10
COBIT 4.1. Control objectives for information and related technology. Illinois: IT Governance Institute, 2007. COSO.- Committee of sponsoring organizations. Disponvel em: <http://www.coso. org/>. Acesso em: 01 nov. 2009. FERNANDES, A. A., ABREU, V. F. Implantando a governana de TI. 2. ed. Porto Alegre: Brasport, 2008. ISACA. Information systems audit and control association. Disponvel em: <http:// www.isaca.org/>. Acesso em: 01 nov. 2009. ITGI. IT Governance Institute. Disponvel em: <http://www.itgi.org/>. Acesso em: 01 nov. 2009. LAURINDO, F. J. B. Gesto da tecnologia da informao. So Paulo: Atlas, 2008. MAGALHES, I. L., PINHEIRO, W. B. Gerenciamento de servios de TI na prtica. So Paulo: Novatec, 2007. REZENDE, D. A. Planejamento de sistemas de informao e informtica. 3. ed. So Paulo: Atlas, 2008. WEILL, P.; ROSS, W. J. Governana de TI. 2. ed. So Paulo: Makron Books, 2006.
334
CEDERJ
Aula 11
COBIT 4.1. Control objectives for information and related technology. Illinois: IT Governance Institute, 2007. COSO.- Committee of sponsoring organizations. Disponvel em: <http://www.coso. org/>. Acesso em: 01 nov. 2009. FERNANDES, A. A., ABREU, V. F. Implantando a governana de TI. 2. ed. Porto Alegre: Brasport, 2008. ISACA. Information systems audit and control association. Disponvel em: <http:// www.isaca.org/>. Acesso em: 01 nov. 2009. ITGI. IT Governance Institute. Disponvel em: <http://www.itgi.org/>. Acesso em: 01 nov. 2009. LAURINDO, F. J. B. Gesto da tecnologia da informao. So Paulo: Atlas, 2008. MAGALHES, I. L., PINHEIRO, W. B. Gerenciamento de servios de TI na prtica. So Paulo: Novatec, 2007. REZENDE, D. A. Planejamento de sistemas de informao e informtica. 3. ed. So Paulo: Atlas, 2008. WEILL, P.; ROSS, W. J. Governana de TI. 2. ed. So Paulo: Makron Books, 2006.
Aula 12
FERNANDES, A. A., ABREU, V. F. Implantando a Governana de TI. 2. ed. Porto Alegre: Brasport, 2008. LAURINDO, F. J. B. Gesto da Tecnologia da Informao. So Paulo: Atlas, 2008. MAGALHES, I. L., PINHEIRO, W. B. Gerenciamento de servios de TI na prtica. So Paulo: Novatec, 2007. REZENDE, D. A. Planejamento de sistemas de informao e informtica. 3. ed. So Paulo: Atlas, 2008. WEILL, P.; ROSS, W. J. Governana de TI. 2. ed. So Paulo: Makron Books, 2006. COBIT v.4.1 Control Objectives for Information and related Technology, IT Governance Institute, Illinois (USA), 2007.
CEDERJ
335
ISACA - Information Systems Audit and Control Association. Disponvel em: http:// www.isaca.org/. Acesso em 01 de novembro de 2009. ITGI - IT Governance Institute. Disponvel em: http://www.itgi.org/. Acesso em 01 de novembro de 2009. COSO - Committee of Sponsoring Organizations. Disponvel em: http://www.coso. org/. Acessado em 30 de dezembro de 2009. ISO International Organization for Standardization. Disponvel em: http://www.iso. org/. Acessado em 30 de dezembro de 2009. PMBOK - Project Management Base of Knowledgement, PMI, USA, 2008. Disponvel em http://www.pmi.org/. Acessado em 30 de dezembro de 2009.
336
CEDERJ

Publicarnoapagargovernanadetipeloprofessorluisclaudiopublicar 120711234424 Phpapp02

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Publicarnoapagargovernanadetipeloprofessorluisclaudiopublicar 120711234424 Phpapp02

Transféré par

Droits d'auteur :

Formats disponibles

Governana em Tecnologia da Informao

Volume nico Luis Claudio dos Santos Lcia Blondet Baruque

Fundao Cecierj / Extenso

Lcia Blondet Baruque

Luis Claudio dos Santos Lcia Blondet Baruque

Fbio Rapello Alencar

Alexandre Rodrigues Alves

Ronaldo d'Aguiar Silva

CDD: 004 2010/1

Governo do Estado do Rio de Janeiro

Governador Srgio Cabral Filho

Secretrio de Estado de Cincia e Tecnologia Alexandre Cardoso

UERJ - UNIVERSIDADE DO ESTADO DO RIO DE JANEIRO Reitor: Ricardo Vieiralves

UFF - UNIVERSIDADE FEDERAL FLUMINENSE Reitor: Roberto de Souza Salles

Governana em Tecnologia da Informao

Prefcio ........................................................................................................ 7 Introduo ............................................................................................... 11

Aula 1 Conceitos relacionados Governana .......................................... 21

Aula 2 Governana em TI .......................................................................... 51

Aula 3 ITIL: histrico, evoluo e conceitos............................................. 75

Aula 4 O suporte a servio de TI na ITIL v2. .......................................... 101

Aula 5 A entrega de servios de TI na ITIL v2. ...................................... 125

Aula 6 ITIL v3 evoluo focada no ciclo de vida do servio de TI

Aula 7 ITIL v3 evoluo focada no ciclo de vida do servio de TI

Aula 8 Introduo ao COBIT v4.1 Parte 1 ........................................... 193

Aula 9 Introduo ao COBIT v4.1 Parte 2. ......................................... 221

Aula 10 COBIT v4.1 Planejando, organizando, adquirindo e

Aula 11 COBIT v4.1 Entregando, dando suporte, monitorando e

Aula 12 Outros modelos e normas de Governana................................. 299

Referncias ............................................................................................ 329

Governana em Tecnologia da Informao

Governana em Tecnologia da Informao

| Conceitos relacionados Governana em TI

Governana: Gesto, Auditoria e Tecnologia da Informao e Comunicao

Aguinaldo Aragon Fernandes

Voc sabe o que Governana?

Figura 1: Os trs pilares da Governana.

O papel da Governana em TI na governana da empresa

Governana: Gesto, Auditoria e Tecnologia da Informao

Governana: Gesto, Auditoria e Tecnologia da Informao

Bons estudos e conte conosco!

INFORMAES SOBRE O CURSO

Governana: Gesto, Auditoria e Tecnologia da Informao

Masako Oya Masuda

Mirian Araujo Carlos Crapez

Lcia Blondet Baruque

Cssia Blondet Baruque

Luis Claudio dos Santos

Governana: Gesto, Auditoria e Tecnologia da Informao

Conceitos relacionados Governana

Explicar os conceitos iniciais relacionados Governana em TI.

Ao nal desta aula, voc dever ser capaz de:

Governana em Tecnologia da Informao

| Conceitos relacionados Governana em TI

CONCEITOS INICIAIS A evoluo da TI nas organizaes

Governana: Gesto, Auditoria e Tecnologia da Informao

Figura 1.1: A TI nos anos 1950.

Figura 1.2: A TI nos anos 1990.

Essa era se caracterizou pelo foco na ecincia operacional

Processamento de dados (anos 1950 a 1970)

Governana em Tecnologia da Informao

| Conceitos relacionados Governana em TI

Governana: Gesto, Auditoria e Tecnologia da Informao

no sendo, portanto, necessrio utilizar TIC quando quisermos fazer