Vous êtes sur la page 1sur 94

Governança em TI

Márcio Giovanni Oliveira Souza


Copyright © Universidade Tiradentes

Autor:
Márcio Giovanni Oliveira Souza Jr.
Revisor de Texto:
1ª revisão: Ancéjo Santana Resende
2ª revisão: Alfredo Luiz Menezes Portugal Castro
3ª revisão: Maria Amália Façanha Berger
Capa:
Rebecca Wanderley Nepomuceno Agra Silva
Folha de Rosto:
Walmir Oliveira Santos Júnior
Ilustrações:
Adelson Tavares de Santana
Walmir Oliveira Santos Júnior
Wandeth Graziaany Soto Tello Jaciuk
Editoração Eletrônica:
Alexandre Meneses Chagas
Ancelmo Santana dos Santos
Astolfo Marques Pinto Bandeira
Claudivan da Silva Santana
Edivan Santos Guimarães
Redação:
Pró-Reitoria Adjunta de Ensino a Distância
Av. Murilo Dantas, 300 - Farolândia - Prédio da Reitoria - Sala 40 - CEP: 49.032-490 - Aracaju - SE
Tel.: (79) 3218-2186
E-mail: infoproead@unit.br
Site: http://www.proead.unit.br

Impressão:
Gráfica da Universidade Tiradentes
Av. Murilo Dantas, 300 - Farolândia - CEP: 49032-490
Aracaju - Sergipe - e-mail: grafica@unit.br
Sumário

UNIDADE I - Introdução a Governança de TI ........................................ 10

TEMA I - Conceitos fundamentais sobre Governança .............................. 10

1.1 O que é Governança ............................................................................... 12


1.2 O que é Governança de TI ........................................................................ 13
1.3 Utilizando práticas de Governança de TI ....................................................... 14
1.3.1 Os principais objetivos de TI ............................................................... 16
1.4 Percepção das organizações sobre TI ........................................................... 17
1.4.1 Os principais desafios imediatos da área de TI ......................................... 18
Atividades do Tema I ................................................................................ 20

TEMA II - A Origem da Governança de TI ........................................... 21

2.1.1 Motivações Internas: Maximização dos Investimentos ..................................... 23


2.1.2 Motivações Externas: Exigências Legais – A Lei Sarbanes-Oxley ....................... 23
2.2 A Basiléia II ......................................................................................... 27
2.3 Verdades sobre Governança de TI .............................................................. 28
Atividades do Tema II ............................................................................... 30

UNIDADE II - Conhecendo os Principais Frameworks de Governança ........... 31

TEMA III - Conhecendo o COBIT.........................................................31

3.1 O que é COBIT ...................................................................................... 33


3.2 Os Domínios do COBIT ............................................................................. 34
3.3 Desenvolvimento do COBIT ....................................................................... 36
3.3.1 Objetivo: ...................................................................................... 36
3.4 Benefícios do COBIT ............................................................................... 37
3.4.1 Quanto aos Recursos e Processos em TI ................................................... 37
3.5 Ferramentas de Gerenciamento do COBIT ..................................................... 40
3.6 Observações finais ................................................................................. 41
3.6.1 Mais informações e referências desse TEMA ............................................. 41
Atividades do Tema III .............................................................................. 44

TEMA IV - Conhecendo o COSO ......................................................... 45

4.1 Entendendo o COSO8 .............................................................................. 47


4.2 O Trabalho do COSO ............................................................................... 48
4.2.1 Definição – COSO (Controle Interno na Organização) ................................... 48
4.2.2 Processo de Controles Internos ............................................................. 48
Atividades do Tema IV.................................................................................. 50

TEMA V - Conhecendo a implementação do ITIL ................................... 51

5.1 O Que é o ITIL ...................................................................................... 53


5.2 O que não é ITIL .................................................................................... 53
5.3 Conhecendo a estrutura do ITIL ................................................................. 54
5.3.1 Service Desk (Central de Serviços) ............................................................ 56
5.3.2 Service Support (Suporte a Serviços): .................................................... 56
5.3.3 Service Delivery (Entrega de Serviços): .................................................. 57
5.3.4 Os outros livros do ITIL ...................................................................... 58
5.5.1 Custos da implantação .......................................................................... 60
5.5.2 Implementação de um projeto ITIL........................................................ 61
5.5.3 Retorno de Investimento e redução de custos com o ITIL.............................. 61
5.6 Service Desk (Central de Serviços do ITIL) ..................................................... 61
5.4 Por que usar o ITIL ................................................................................. 59
5.6.1 Principais Tipos de Service Desk ........................................................... 63
5.6.2 Principais benefícios do Service Desk na visão do ITIL.................................. 65
5.7 Ferramentas de Apoio ............................................................................. 66
5.7.1 Ferramentas Operacionais ITIL ............................................................. 66
5.7.2 Configuração dos Ativos de TI .............................................................. 67
5.7.3 Disponibilidade e Uso dos Ativos de TI .................................................... 68
5.7.4 Controle e Distribuição Centralizados de Software ..................................... 68
5.7.5 Pesquisa de Satisfação do Atendimento .................................................. 69
5.7.6 Ferramentas Táticas de ITIL ................................................................ 70
5.8 Certificação ITIL .................................................................................... 70
5.8.1 Fazer o exame na V2 ou na V3? ............................................................ 71
5.9 O papel do CIO na Organização Aspectos Culturais Corporativos ........................... 72

RESUMO: ................................................................................... 79

Atividades do Tema V .................................................................... 80

TEMA VI - Norma NBR ISO/IEC 17799 ................................................. 83

6.1 Segurança da Informação ......................................................................... 85


6.2 Norma NBR ISO/IEC 17799 ........................................................................ 85
6.2.1 Estrutura da Norma NBR ISO/IEC 17799................................................... 86

Atividades do Tema VI.................................................................... 89

Referências Bibliográficas ............................................................... 91


Apresentação da Disciplina
Caro (a) Aluno (a),
Atualmente, é impossível imaginar uma empresa sem uma forte área de sistemas de
informações (TI), para manipular os dados operacionais e prover informações gerenciais
aos executivos para tomadas de decisões. A criação e manutenção de uma infra-estrutura de TI,
incluindo profissionais especializados requerem altos investimentos. Algumas vezes a alta direção
da empresa coloca restrições aos investimentos de TI por duvidarem dos reais benefícios da tecno-
logia. Entretanto, a ausência de investimentos em TI pode ser o fator chave para o fracasso de um
empreendimento em mercados cada vez mais competitivos. Por outro lado, alguns gestores de TI não
possuem habilidade para demonstrar os riscos associados ao negócio sem os corretos investimentos
em TI. Para melhorar o processo de análise de riscos e tomada de decisão é necessário um processo
estruturado para gerenciar e controlar as iniciativas de TI nas empresas, para garantir o retorno de
investimentos e adição de melhorias nos processos empresariais. Esse novo movimento é conhecido
como Governança em TI, ou “IT Governance”.
O termo “IT governance” é definido como uma estrutura de relações e processos que dirige e
controla uma organização a fim de atingir seu objetivo de adicionar valor ao negócio através do
gerenciamento balanceado do risco com o retorno do investimento de TI.
Para muitas organizações, a informação e a tecnologia que suportam o negócio representa o seu mais
valioso recurso. Além disso, num ambiente de negócios altamente competitivo e dinâmico é requerido
uma excelente habilidade gerencial, onde TI deve suportar as tomadas de decisão de forma rápida,
constante e com custos cada vez mais baixos.
Temos como objetivo no estudo dessa disciplina, fornecer informações necessárias para que
possam assimilar criticamente os conceitos que permitam a compreensão das teorias e que os mesmos
forneçam uma base suficiente para que sejam feitas análises críticas da realidade do mercado, buscando
entender e fazer uso das principais técnicas de Governança em Tecnologia da Informação.

Possibilitar atividades sistemáticas de uma organização humana, voltada para o meio


administrativo, visando benefícios específicos: com ênfase nas necessidades do cliente e
estratégias voltadas para o mercado.
Propiciar conhecimentos para efetivação de transações financeiras, cálculos e lançamentos
pertinentes à área contábil comercial.

CONTEÚDO PROGRAMÁTICO

UNIDADE I: Introdução a Governança de TI

Apresentação da Unidade

Estudaremos os conceitos fundamentais sobre Governança, a sua origem e aspectos que motivam
a sua implementação, abordando desde a Governança Corporativa até a de Tecnologia da Informação,
buscando o entendimento das estruturas de tomada de decisões e a busca constante em aliar a TI ao
negócio da empresa. Nessa Unidade também conheceremos a principais Leis que orientam e regem
estruturas de Governança e a sua aplicação.
Habilidades e Competências desenvolvidas na Unidade

Ter conhecimento dos conceitos de Governança e Corporativa e de TI;

Identificar os principais ativos da empresa;


Conhecer os principais desafios e objetivos de TI;
Compreender as Razões e Motivações para implementar a Governança de TI;
Entender a Lei Sarbanes-Oxley;
Conhecer o que é Six Sigma;
Conhecer o que é a Basiléia.

O que iremos aprender!

TEMA I: Conceitos fundamentais sobre Governança


TEMA II: A Origem da Governança de TI

TEMA I: Conceitos fundamentais sobre Governança;

Habilidades e Competências desenvolvidas no Tema

Ter conhecimento dos conceitos de Governança e Corporativa e de TI;


Identificar os principais ativos da empresa;
Conhecer os principais desafios e objetivos de TI;

O que iremos aprender!

O que é Governança;
O que é Governança de TI;
Utilizando práticas de Governança de TI;
Percepção das organizações sobre TI;
Os principais desafios imediatos da área de TI.

METODOLOGIA DE AVALIAÇÃO

No processo de avaliação serão realizadas provas escritas com perguntas objetivas


contextualizadas; atividades práticas em laboratório; atividades de pesquisa e avaliação de
relatório sobre pesquisa de campo.
As avaliações deverão ocorrer de modo presencial, através de provas escritas com questões objetivas
de acordo com o calendário da disciplina, disponível no quadro de avisos e durante o processo; através
de atividades regulares indicadas pelo professor-tutor como: atividades práticas dos softwares, objetos
do estudo, recursos didáticos utilizados, relatórios e fóruns de discussão. A pontuação das atividades
obedece ao seguinte critério:

30% - Interesse, participação e cumprimento de tarefas (encontros presenciais, atividades


teóricas e práticas de laboratório e exercícios);
70% - Prova.
Atividades e Exercícios
OBS.: Ao final de cada unida-
de, teremos exercícios e traba-
Visando contribuir para maior compreensão dos assuntos, as lhos que serão contabilizados
atividades que integram este módulo estão disponíveis no final de cada para a nota da unidade e que
deverão ser respondidos e
unidade. Formadas basicamente por exercícios com questões abertas,
entregues antes das provas.
textos complementares, reuniões de discussão nos chats, atividades de
pesquisa e exercícios com questões de múltipla escolha eles pretendem
auxiliar na consolidação do seu conhecimento e, ao mesmo tempo, servirem como parte da avaliação.

METODOLOGIA DE ENSINO

A metodologia a ser utilizada deverá contribuir para que o aluno tenha domínio de conteúdos
apresentados na ementa, buscando a relação teoria-prática no processo de formação acadêmica e profis-
sional.
As atividades didático/pedagógicas serão desenvolvidas através do auto-estudo, dos encontros presen-
ciais organizados em grupos de estudos, debates, pesquisa bibliográfica e atividades de pesquisa. Os recursos
didáticos e tecnológicos para tais fins compreendem: ambiente virtual de aprendizagem – material instrucion-
al on-line, projetor, vídeo, plantões de tutoria on-line, por meio do correio eletrônico, DDG 0800 284 7117 e
outros conforme as necessidades e possibilidades de ampliar a interação e diminuir a tendência ao isolamento.

Mantenha contato, em caso de dúvidas, com seu tutor.

Você tem alguma dúvida sobre o que acabamos de informar?

Para tirar suas dúvidas sobre o conteúdo, a tutoria, as avaliações, os encontros presenciais ou
o suporte técnico sobre como utilizar a ferramenta da Unit Virtual, é importante que você envie um
e-mail para infoproead@unit.br, telefone para o número 0800-284 7117 ou envie correspondência via
fax (79) 3218-2200 ou correio para o endereço do PROEAD/Campus Aracaju Farolândia - Av. Murilo
Dantas, 300 - Farolândia, CEP 49032-490 - Aracaju/SE.

Se a dúvida for sobre o conteúdo, lembre-se de fazer referência ao ponto da aula que trata do assunto.

Por exemplo:

Fiquei com uma dúvida na Unidade 01/Tema 01/página 02, na frase “ ....”, qual a dúvida?
No caso dos exercícios, também fazer referência à matéria, tema e página.
Isso para que possamos localizar e agilizar o atendimento, podendo, assim, solucionar suas dú-
vidas.

Então, bem-vindo (a) à disciplina História do Brasil República.


BIBLIOGRAFIA BÁSICA

Fernandes, Aguinaldo Aragon e Abreu, Vladimir Ferraz. Implantando a Governança de TI - da Estratégia


à Gestão de Processos e Serviços. Rio de Janeiro Brasport, 2006.
Este livro apresenta uma visão integrada e inovadora da Governança de TI que pode ser adaptada a
vários ambientes organizacionais.
A partir de um modelo genérico, os autores detalham as etapas de implementação da Governança de
TI, abrangendo o alinhamento estratégico da TI ao negócio, a elaboração do Portfolio de TI, as oper-
ações e serviços de TI, os modelos de relacionamento com usuários, clientes e fornecedores e, por fim,
a gestão de desempenho da TI.
São analisadas as características e benefícios de mais de 20 modelos de melhores práticas que podem ser
aplicados aos processos de TI, dentre eles CobiT, CMMI, ITIL, PMBOK, PRINCE2, BSC, BS 7799,
ISO 27001, ISO 12207, ISO 9001, eSCM-sp, SAS 70 etc., assim como as implicações de regulamentações
externas como a Sarbanes-Oxley e o Acordo da Basiléia II sobre as atividades de TI.
Outro ponto relevante do livro é um capítulo inteiramente dedicado ao outsourcing, que aborda os
principais elementos da Governança de TI que influenciam a gestão de serviços terceirizados e mostra
como os modelos de melhores práticas podem ser usados nesse contexto.

MAGALHÃES, Ivan Luizio e PINHEIRO, Walfrido Brito. Gerenciamento de Serviços de TI na Prática


- Uma abordagem com base na ITIL. São Paulo: Novatec, 2007.
Com o crescente aumento da dependência das organizações em relação à Tecnologia da Informação
(TI), a importância do Gerenciamento de Serviços de TI torna-se maior a cada dia. É uma excelente
oportunidade para a TI demonstrar seu valor e competência no sentido de alavancar e levar inovação
aos processos de negócio. Mas não é uma tarefa simples. Demanda clareza de foco e muita atenção da
área de TI.
Na opinião dos autores, a abordagem estruturada da ITIL, que reúne um conjunto de melhores práticas,
provê um abrangente e consistente método para a identificação de processos-chave e o alinhamento
dos Serviços de TI às necessidades da organização. Sua abordagem qualitativa para o uso econômico,
efetivo, eficaz e eficiente da infra-estrutura de TI, prepara a organização para a redução de custos em
função do aumento da eficiência na entrega e no suporte dos Serviços de TI, incrementando a capaci-
dade de geração de receita e a concentração de esforços em novos projetos alinhados à estratégia de
negócio da organização.
Este livro apresenta uma abordagem prática para a implementação do Gerenciamento de Serviços de
TI com base na ITIL (Information Technology Infrastructure Library), a partir da estruturação de um
sistema de gerenciamento apoiado na visão de processos industriais, tanto para a fase do projeto de
implantação quanto para a fase de operação dos processos e entrega dos resultados.

Weill, Peter e Ross , Jeanne W. Governança de TI: Tecnologia da Informação. São Paulo: Makron Books,
2005.
Com base num estudo feito junto a 250 empresas de todo o mundo, Weill e Ross afirmam que o valor
de negócios de TI resulta diretamente de uma governança de TI eficaz ? da alocação, pela empresa,
da responsabilidade e dos direitos decisórios. Suas pesquisas revelam que empresas com governança
de TI superior tem lucros no mínimo 20% maiores do que as com má governança, considerados os
mesmos objetivos estratégicos. Mas somente 38% da alta gerência conseguem descrever com precisão
sua governaça de TI ? como, então, os demais gerentes poderão tomar boas decisões pela empresa a
esse respeito?
Em Governança de TI, os autores mostram como conceber e implementar um sistema de direitos de-
cisórios que endereçem tres questões fundamentais: Quais decisões devem ser tomadas para garantir um
uso e uma gestão apropriados da TI? Quem deve tomar estas decisões? Como tomá-las e monitorá-las?
Com suas ilustrações vividas de sistemas de governança usados pelas empresas de melhor desempenho
nos setores público e com fins lucrativos ? incluindo a Du Pont, a UPS, a UNICEF, a State Street Cor-
poration, a Motorola e a Panalpina.

BIBLIOGRAFIA COMPLEMENTAR

MANSUR, Ricardo. Governança de TI. São Paulo, Brasport, 2007.


ROSSETTI, José Paschoal e ANDRADE, Adriana. Governança Corporativa: Fundamentos, Desen-
volvimento e Tendências. São Paulo: Atlas, 2004.
UNIDADE I
Introdução a Governança
de TI

TEMA I
Conceitos fundamentais
sobre Governança
Competências e Habilidades
Ter conhecimento dos conceitos de Governança e Corporativa e de TI;
Identificar os principais ativos da empresa;
Conhecer os principais desafios e objetivos de TI;

O que iremos aprender


O que é Governança;
O que é Governança de TI;
Utilizando práticas de Governança de TI;
Percepção das organizações sobre TI;
Os principais desafios imediatos da área de TI.
12 Governança
Teorias da em TI
História

1.1 O que é Governança

Governança, ato de governar-se, segundo os dicionários, é a


palavra da moda. Governança de TI (Tecnologia da Informação) é uma
derivação de Governança Corporativa, termo que tem hoje grandes
aplicações no mundo empresarial. O conceito de governança corpora-
tiva surgiu nos Estados Unidos e na Inglaterra no final dos anos 90 e
está relacionado à forma como as empresas são dirigidas e controladas.
É a designação dos direitos de decisão em domínio de resoluções rel-
evantes. Isso significa que as empresas precisam saber quem toma as
decisões e quais os processos pelas quais essas decisões são tomadas.
Não vale para qualquer atitude adotada numa companhia, deliberações
sem grande relevância. Vale para decisões importantes, de grande valor
para as organizações (Weill, Peter e Ross , Jeanne W. 2006).
Também devemos levar em consideração que uma boa governança
corporativa é importante para os investidores profissionais. Grandes
instituições atribuem à governança corporativa o mesmo peso que aos
indicadores financeiros quando avaliam decisões de investimento. Estu-
dos comprovam que investidores profissionais se dispõem até mesmo
a pagar um grande ágio para investir em empresas com altos padrões
de governança. Um estudo da McKinsey constatou que investidores
profissionais se dispõem até mesmo a pagar um grande ágio para in-
vestir em empresas com altos padrões de governança, chegando a elevar
o valor do mercado dessas empresas entre 10% e 12% (Weill, Peter e
Ross , Jeanne W. 2006).
Em sua essência a governança corporativa tem como principal
objetivo recuperar e garantir a confiabilidade em uma determinada em-
presa para os seus acionistas. Tarefa esta difícil, pois como na vida real,
a confiança uma vez abalada, demora-se para se recuperar a confiabili-
dade em uma determinada pessoa. Assim também é com as empresas
(Cícero Lopes, 2006 – www.imasters.com.br).
Para que haja aderência da Governança ao negócio da empresa,
e à sua estratégia focamos seis ativos principais:
Ativos humanos: pessoas, habilidades, planos de carreira, treina-
mento, relatório, mentoring, competências, etc.
Ativos financeiros: dinheiro, investimentos, passivo, fluxo de
caixa, contas a receber, etc.
Ativos físicos: prédios, fábricas, equipamentos, manutenção,
segurança, utilização, etc.
Ativos de PI: Propriedade Intelectual (PI), incluindo o know-how
de produtos, serviços e processos devidamente patenteado, registrando
ou embutindo nas pessoas e nos sistemas da empresa.
Ativos de informação e TI: dados digitalizados, informações
e conhecimentos sobre clientes, desempenho de processos, finanças,
sistemas de informação e assim por diante.
Ativos de relacionamento: relacionamentos dentro da empresa,
marca e reputação junto a clientes, fornecedores, unidades de negócio,
órgãos reguladores, concorrentes, revendas autorizadas, etc.
A governança destes ativos ocorre por meio de um grande número
Teorias da História
Governança em TI 13

de mecanismos organizacionais (por exemplo, estruturas, processos,


comitês, procedimentos e auditorias). A maturidade na governança
desses ativos varia significativamente na maioria das empresas de hoje,
com os ativos financeiros e físicos sendo tipicamente os mais bem
governados, e os ativos de informação figurando entre os piores (Weill,
Peter e Ross , Jeanne W. 2006).
Controlar e monitorar estes ativos não é tarefa fácil, e necessita
de uma forte receptividade da direção da empresa. Dentro de todos
estes se destaca os “Ativos de informação e TI”, uma vez que as infor-
mações disponibilizadas pela tecnologia da informação sustentarão a
empresa, pois todos os controles, processos, procedimentos e métricas
partirão de TI.

É aí que entra a Governança de TI!

1.2 O que é Governança de TI

Para governar TI, podemos fazer uma analogia com uma boa gov-
ernança financeira e corporativa. Por exemplo, o CFO1(Chief Financial
Officer) - Diretor Financeiro, não assina todos os cheques nem autoriza
todos os pagamentos. Em vez disso, ele estabelece uma governança
financeira especificando quem pode tomar essas decisões e como. Em
seguida, ele examina a carteira de investimentos da empresa e administra
o fluxo de caixa e a exposição a riscos. Este Gestor acompanha uma
série de indicadores para administrar os ativos financeiros da empresa,
intervindo somente quando houver problemas ou oportunidades de
melhorias no processo. Princípios similares aplicam-se a quem pode
comprometer a empresa com um contrato ou parceria. Toda esta ana-
logia deve ser aplicada à GOVERNANÇA DE TI.
A Governança de TI ganha força no atual cenário de competi-
tividade do mundo dos negócios. Um mundo onde é cada vez maior a
necessidade de adoção pelas áreas de TI de mecanismos que permitam
estabelecer objetivos, avaliar resultados, examinar, de forma detalhada
e concreta se as metas foram alcançadas. A experiência mostra que
os antigos manuais de procedimentos utilizados pelas organizações já
não atendem mais aos requisitos das empresas. No passado, era uma
simples questão de gestão e organização. Arrumava-se a organização,
indicavam-se as funções e as questões eram resolvidas por gestão.
Hoje, não é mais possível resolver as coisas dessa maneira. O
turbulento ambiente empresarial, que se apóia na tecnologia, vive em
constante mutação e exige formas mais ágeis e flexíveis de gerencia-
mento. Os negócios estão em transformação. A Tecnologia da Infor-
mação, igualmente, está em processo de mudança. Por isso, ao invés
de se prescrever as decisões em manuais como se fazia no passado é
necessário designar poderes de decisão da melhor maneira possível. 1
Essas siglas vêm se estabelecendo no
mundo dos negócios – CEO (Chief
Internamente, a governança visa designar os direitos de decisão nas Executive Officer) é o diretor executivo,
questões de real valor tendo por fim atingir os objetivos de negócio. diretor geral ou presidente da empresa;
CFO (Chief Financial Officer) é o dire-
Em sua essência a governança determina quem toma decisões. tor financeiro; COO (Chief Operation
Mas para se tomar decisões é necessário que haja informações, controles, Officer) é o diretor operacional; o CIO
(Chief Information Officer) é o diretor ou
processos e procedimentos, todo um framework de responsabilidades gerente de TI.
14 Governança
Teorias da em TI
História

para estimular comportamentos desejáveis na utilização de TI.

Hoje quanto mais rápida e precisa for à informação, mais eficaz é a


gestão e o direcionamento da área de TI e do negócio para o sucesso.

O foco é permitir que as perspectivas de negócios, de infra-es-


trutura de pessoas e de operações sejam levadas em consideração no
momento de definição do que mais interessa à empresa, alinhando a
tecnologia da informação à sua estratégia.
Dentro destes conceitos, uma GOVERNANÇA DE TI eficaz
deve tratar de três questões:
Quais decisões devem ser tomadas para garantir a gestão e o
uso eficaz de TI?
Quem deve tomar essas decisões?
Como essas decisões serão tomadas e monitoradas?
Todos estes controles, também estimulam a transparência das
instituições para com os seus investidores, mostrando a real aplicação
dos valores e o retorno esperado e o alcançado até o momento.

1.3 Utilizando práticas de Governança de TI

Por que adotar práticas de Governança de TI? Para responder


esta pergunta o primeiro passo é o entendimento da visão da alta admin-
istração sobre a tecnologia. A seguir temos os problemas mais comuns
associados a TI (Mansur, 2007).
Provisão inadequada de serviços.
Falta de comunicação e entendimento
Gastos excessivos com infra-estrutura
Justificativas insuficientes ou pouco fundamentadas para os
custos.
Falta de sincronismo entre mudanças e objetivos de negócio.
Entrega dos projetos com atrasos e acima do orçamento.

Na Figura 1 temos um modelo que representa qual é a visão da alta


administração sobre TI. Este modelo mostra que no primeiro momento
de TI deve buscar a excelência operacional objetivando a previsibilidade
e a constância, para que no médio prazo alcance a condição de ser área
de suporte ao negócio.

Figura 01 – Percepção da alta administração sobre a área de TI


Fonte: MANSUR (2007)
Teorias da História
Governança em TI 15

É um fato que os gestores do negócio dão pouca importância


para a conquista da excelência operacional, pois na visão deles a otimi-
zação dos recursos é o mínimo que a área de TI deveria realizar.
Para os gestores do negócio, a área de TI deve oferecer uma
taxa de retorno melhor do que simplesmente funcionar com eficiência
e eficácia.
A demanda por uma taxa de retorno maior do que apenas a
excelência operacional fica clara quando observamos que TI apresenta
uma baixa percepção de importância para o negócio no cenário de
elevada percepção da capacidade de TI.
A percepção pelo negócio de que TI é um área de suporte
significa na realidade que ela é vista como um mal necessário e, por
conseqüência, um centro de custos.
A excelência operacional com estrutura otimizada de custos e
riscos é o primeiro passo que TI deve dar para aumentar a sua credibi-
lidade junto à alta administração e aos gestores do negócio.
O aumento da credibilidade e da evolução para ser parte inte-
grante do negócio está diretamente relacionado com a capacidade de
TI em demonstrar os resultados obtidos com as suas iniciativas.
Ao alcançar o nível de parte integrante do negócio TI passa a
ser vista como centro de investimentos, e as suas atividades ganham
importância, significância e valor dentro da empresa.
O ápice ocorre quando a empresa tem a visão de que TI é o
negócio e os investimentos na área são vistos como fundamentais para
gerar lucros. Nesse nível, o grau de maturidade de TI é grande, pois
questões como excelência operacional, alinhamento com os negócios
e resultados estão consolidados em um patamar elevado.
O uso das melhores práticas de gerenciamento de serviços, fo-
cados em Governança, direciona as principais questões em relação ao
posicionamento estratégico de TI na organização, como a excelência op-
eracional, otimização do uso dos recursos, previsibilidade, alinhamento
com o negócio, dentre outros. Os principais desafios dos gestores de
TI para conquistar a credibilidade e a excelência operacional são:
16 Governança
Teorias da em TI
História

Racionalizar a complexidade;
Incrementar a efetividade dos serviços;
Estender o ciclo de vida da tecnologia;
Remover gargalos;
Assegurar a aderência à evolução dos negócios.

Os gestores de TI têm como meta superar quatro grandes desafios


que assolam as empresas, independente do porte e atuação, são eles
(Mansur, 2007):
1. Na visão do negócio os recursos de TI são subutilizados,
complexos em excesso, e, em geral, são barreiras pela falta de flexibi-
lidade;
2. O prazo de entrega dos projetos de TI, que demandam, em
geral, por seis ou nove meses de implantação madura (sem bugs) em
cenário no qual as empresas trabalham com oportunidades de dois ou
três meses (Mansur, 2007);
3. O ciclo de vida da tecnologia é, sem sombra de dúvida, o desafio
dos gestores de TI, pois um ativo diretamente ligado à produção é de-
preciado em 60 meses, e os ativos de TI possuem média de 36 meses;
4. A necessidade de implementação de métricas (indicadores de
desempenho), processos e fluxos é um dos desafios mais relevantes
para a melhoria da área de TI.
Estes quatro desafios crescem cada vez mais em importância, pois
as vantagens competitivas das empresas estão cada vez mais relacionadas
ao uso da tecnologia e cada vez menos relacionadas com a posse dos
ativos de TI.
“Em termos de complexidade e facilidades, a meta ideal para TI
seria se tornar uma caneta. O uso da caneta é ensinado aos alunos logo
no início da vida, e após este treinamento estão aptos a utilizar os mais
diversos tipos e modelos de canetas ao longo da sua vida, sem treina-
mentos adicionais.” Mansur, 2007.
Integração, simplificação, excelência operacional, previsibilidade e
constância de propósitos são os valores que permitirão que TI alcance
a confiança dos gestores do negócio.

1.3.1 Os principais objetivos de TI

Em função dos desafios, o mercado entende que os principais


objetivos de TI são (Mansur, 2007):
1. Atuar com foco nos processos;
2. Atuar de forma preventiva e proativa;
3. Atuar com foco no cliente (usuário);
4. Apresentar soluções integradas e de gerenciamento centralizado,
mas com abrangência distribuída;
5. Apresentar a demonstração dos resultados obtidos de forma
clara;
6. Estar permanentemente alinhada com o negócio.

Esses seis pontos estão presentes nos mais diversos tipos e tama-
nhos de negócios e, em linha geral, constituem as expectativas da alta
Teorias da História
Governança em TI 17

administração sobre TI.


Podemos observar que os objetivos representam um forte equilí-
brio entre excelência operacional, otimização dos custos, alinhamento
com o negócio e agregação de valor.

1.4 Percepção das organizações sobre TI

Segundo Mansur (2007), TI ainda é uma caixa preta nas empresas,


principalmente em função das suas dificuldades na demonstração de
resultados. Isto abre espaço para que a alta administração crie uma visão
negativa baseada em alguns casos pontuais de atendimento, no relatório
anual de custos e investimentos, na crescente demanda por recursos,
no grau de satisfação dos usuários, dentre outros.
O inadequado g erenciamento de comunicações de
TI criou na direção das empresas as seguintes imagens:

Provisão inadequada de serviços.

A inexistência de SLAs2, definidos e comunicados para a empresa,


faz com que cada usuário ache que o seu serviço é mais impor-
tante e deve ser atendido imediatamente. No entanto, os recursos
existentes não permitem este tipo de atendimento e todas as vezes
que o nível de recursos foi aumentado a insatisfação dos usuários
também aumentou, pois os recursos continuam insuficientes para
atender todos ao mesmo tempo. Resumindo, a empresa ficou com a
impressão de que TI não sabe qual é a real necessidade de recursos.

Falta de comunicação e entendimento.

Em geral os usuários ficam sem respostas em virtude da


falta de fluxos de informação bem definidos. O help desk é
mais conhecido com “help esquece”. Além do usuário não
ter a resposta no momento em que ele precisa a falta de con-
hecimento das necessidades do negócio por TI fez crescer
a visão que não existe comunicação entre usuários e TI.

Gastos excessivos com infra-estrutura / Justificativas in-


suficientes ou pouco fundamentadas para os custos.

Toda vez que se analisa um gasto sem ver o benefício fica a im-
pressão de que o custo foi excessivo. Esta percepção está relacionada
com a ausência de uma correta demonstração de resultados para a alta
administração da empresa. Quando não se têm relatórios de como estão
a disponibilidade, o nível de atendimento, o uso dos recursos de TI, etc.,
os gestores do negócio apenas vêem na sua frente os gastos. Em geral, 2
SLA – Service Level Agreements
os resultados de um projeto são disponibilizados por um simples e-mail (os acordos de nível de serviço). São
acordos/contratos que a área de TI
para a diretoria e apenas na sua fase final de implantação. Qual foi o estabelece com os seus clientes (inter-
nos ou externos) e/ou com seus for-
esforço de trabalho do time? Quem era o time do projeto? Quais eram necedores, buscando o alinhamento
as metas? Qual resultado foi obtido? Qual resultado será alcançado nos das regras de prestação dos serviços
(prazos de atendimento e resolução,
próximos meses? Estes e muitos pontos ficam totalmente esquecidos qualidade, especificação, etc.).
18 Governança
Teorias da em TI
História

durante grande parte do tempo e só no final do ano, na hora de aprovar


o orçamento do ano seguinte, é que a alta administração lembra que
os números de TI são grandes. No entanto, nenhum dos gestores sabe
dizer com clareza o que foi realizado com recursos investidos em TI.
Esta falha no gerenciamento das comunicações faz com que as justifi-
cativas de TI parecem sempre insuficientes ou pouco fundamentadas.

Falta de sincronismo entre as mudanças e os objetivos


de negócio.

A falta de alinhamento com o negócio provoca esta sensação. Por


exemplo, realizar manutenção na energia elétrica no fechamento
contábil ou da folha de pagamentos, ou a inflexibilidade de TI de
mudar os planos de manutenção, atualização, etc. no momento de
uma nova e inesperada oportunidade de negócio são exemplos
comuns que ilustram por que os executivos têm esta percepção
sobre TI. Um calendário anual de manutenções previstas, nego-
ciado com a empresa, seria uma solução muito simples e fácil para
alguns dos problemas de sincronismo.

Entrega de projetos com atrasos e acima do orçamento.

Esta percepção é talvez a mais comum e abrangente no mercado.


TI sempre alega que os usuários mudaram os requisitos dos pro-
jetos e por isso o prazo e o orçamento não foram cumpridos, mas
onde estão estas informações? A alta administração teve como
acompanhar o projeto e ser informada com antecipação? Os
projetos são longos o suficiente para que o ambiente de negócios
e requisitos mudem por evolução natural? TI realiza esforços
para aumentar a produtividade e reduzir o tempo de entrega dos
projetos? O grande ponto em questão aqui é a demonstração
de resultados, o calcanhar de Aquiles de TI. É cada vez mais
importante que sejam disponibilizados na linguagem da alta
gerência relatórios sobre o andamento dos projetos. Em projetos
de milhões de dólares é normal o efeito dissonância cognitiva,
aumentando a insegurança e a ansiedade. A demonstração dos
resultados é o melhor remédio para controlar este efeito.

1.4 Os principais desafios imediatos da área de TI

E m f u n ç ão d a p e r c e p ç ão d a al t a g e r ê n c i a s obr e
TI, redução constante dos orçamentos, dependência que os
negócios têm em relação à tecnologia, existem alguns desafi-
os que devem ser enfrentados imediatamente (Mansur, 2007):

Incrementar a efetividade dos serviços.

O nível de serviços de TI deve ser clarificado e comunicado com


SLAs e respectivos custos. Ainda existem erros operacionais,
Teorias da História
Governança em TI 19

ausência de fluxos de informações, etc. que podem e devem ser


eliminados. Ações que resultem na redução da quantidade de cha-
mados abertos, como a proatividade no gerenciamento, produzem
resultados significativos no discurso fazer mais com menos.

Estender o ciclo de vida da tecnologia.

Um ciclo normal de uma ferramenta industrial é de cinco anos,


e muitas chegam a atingir o dobro do tempo. Quando se fala
que a vida útil de um computador é de 18 meses, este discurso
soa com desconfiança no ouvido dos executivos. Hoje em dia, o
poder de processamento dos PCs é elevado o suficiente para que
um computador de quatro a cinco anos de vida atenda as neces-
sidades dos usuários em geral. Também é necessário que a troca
de ativos não seja apenas focada em aspectos subjetivos, mas que
os custos sejam o grande fator motivacional, ou seja, toda vez que
a manutenção de um bem for mais cara que o seu valor residual,
este é o momento para a troca do ativo.

Remover gargalos.

O ambiente de tecnologia muitas vezes impacta negativamente


o ambiente de negócios. As dificuldades para implantar um sis-
tema ou promover a integração entre parceiros de negócios, ou,
ainda exigências exageradas de segurança, são exemplos de como
TI pode fazer a empresa perder oportunidades importantes de
negócio. Os gargalos também podem vir na esfera de ausência de
recursos na infra-estrutura de TI, como por exemplo o proces-
samento de um novo sistema que vise melhorar a produtividade
da empresa, mas não existam recursos suficientes para tal. Este,
no entanto, é um caso bem simples, onde basta realizar o inves-
timento no ativo que representa o gargalo que o problema estará
resolvido. Entretanto, quando o gargalo vem de normas, procedi-
mentos, pessoas, etc. o problema é bem mais grave. Normas de
segurança são importantes e salutares, mas a avaliação do impacto
dos riscos é fundamental, ou seja, TI necessita fazer a análise de
risco focando no negócio e não na tecnologia. TI ainda tem que
galgar significativos passos na direção de ajustar a sua capacidade
de reação com as necessidades da empresa.

Racionalizar a complexidade.

Ao ambiente de TI só muito recentemente ganhou um contorno


de padrões fortes pela criação dos fóruns de tecnologia, na qual
usuários, fornecedores e desenvolvedores estão presente discutin-
do normas e padrões. O ambiente híbrido, no entanto, acabou se
tornando a configuração mais comum nas empresas, uma vez que
o entendimento das necessidades envolvia produtos de fabricantes
diferentes, gateways de comunicação, conversores, tradutores de
protocolos, interpretadores de linguagem, etc. tudo isto acabou
20 Governança
Teorias da em TI
História

criando uma parafernália que fez do ambiente de tecnologia algo


complexo. A complexidade custa caro, dificulta a gestão e TI
tem agora como missão a adoção de padrões para simplificar o
ambiente e eliminar gateways, conversores, etc. TI sempre será
um ambiente com alguma complexidade, mas deve se evitar que
o ambiente seja o mais complexo que o necessário.

Assegurar a aderência à evolução dos negócios.

Os negócios são dinâmicos, mudando rapidamente regras, par-


ceiros, condições da economia, com isto, a empresa ajusta os
fluxos e processos de negócios todo o tempo. Como os processos
de negócio estão apoiados em TI, pode ser necessário realizar
ajustes nos aplicativos e infra-estrutura em função das mudanças.
O alinhamento aos negócios só será pleno quando TI conseguir
acompanhar estas mudanças dinamicamente.

Atividades do Tema I

01-Qual o principal objetivo da governança corporativa?

@
02 – Para que haja aderência ao negócio e suas estratégias são citadas
seis ativos principais. Descreva os elementos essenciais de cada ativo:

03- Segundo Mansur quais os problemas mais comuns associados a


TI?

04- Quais são os quatro grandes desafios que assolam as empresas na


visão dos gestores de TI?

05 – Em geral, qual a percepção das organizações sobre TI?


TEMA II
A Origem da Governança

Competências e Habilidades
Compreender as Razões e Motivações para implementar a Governança de TI;
Entender a Lei Sarbanes-Oxley;
Conhecer o que é Six Sigma;
Conhecer o que é a Basiléia.

O que iremos aprender


Governança de TI - Razões e Motivações;
A Basiléia II;
Verdades sobre Governança de TI.
Teorias da História
Governança em TI 23

2.1 Governança de TI - Razões e Motivações

2.1.1 Motivações Internas: Maximização dos Investimentos

A adoção acelerada de processos de gestão de infra-estrutura nas


empresas, dentro do conceito de Governança de TI, tem como principal
motivação, internamente, a cobrança crescente sobre as responsáveis
pelas operações de tecnologia da informação quanto à maximização do
uso dos investimentos já realizados. O apelo faz sentido. Nos últimos
anos, os investimentos em TI cresceram de maneira dramática. Em
2003, os gastos mundiais com infra-estrutura de TI atingiram US$ 1
trilhão. Nos Estados Unidos e Europa, segundo o instituto de pesqui-
sas Gartner Group, as empresas investem, em média, cerca de 4% de
sua receita em TI. No Brasil, a média de investimento foi de 4,9% do
faturamento líquido das empresas, contra 1,23% registrado em 1988,
informa um levantamento efetuado pela Fundação Getúlio Vargas. Por
trás de tamanha dedicação na aplicação dos recursos financeiros em TI
está a preocupação das empresas em melhorarem seus processos opera-
cionais, reduzirem custos, aumentarem a eficiência de seus funcionários,
aperfeiçoarem a relação com fornecedores, parceiros e clientes.
Além dos ganhos diretos com a adoção de melhores práticas e
conforme estudamos no Item 1.1, investidores se dispõem até mesmo
a pagar um grande ágio para investir em empresas com altos padrões
de governança.

2.1.2 Motivações Externas: Exigências Legais – A Lei


Sarbanes-Oxley

As necessidades da governança de TI originam-se pelas demandas


de controle, transparência e monitoração das organizações.
As origens destas demandas datam do começo dos anos 90, mas
o crescimento exuberante da economia mundial acabou mascarando a
sua necessidade, e por conseqüência atrasando por alguns anos a sua
sedimentação nas empresas.
Com as crises do México, Ásia e Rússia na segunda metade dos
anos 90, os investidores mudaram de comportamento passando a exigir
dos CEOs, um maior acerto nas previsões orçamentárias.
Na ótica dos investidores, quando a empresa tinha um lucro menor
do que a previsão, o CEO foi incompetente na gestão da empresa, e
quando ocorria o inverso, ele, investidor, foi enganado, pois poderia ter
investido muito mais naquela empresa.
Esta nova atitude alavancou as necessidades de governança cor-
porativa, a partir de 1998. No entanto a lucratividade e crescimento da
economia ainda eram grandes o suficiente, para impedir que o tema
governança alcançasse o nível de essencial nas organizações.
O status de desejável já era por si só um enorme avanço, mas não
forte o suficiente para implantar mudanças estruturais nas empresas.
Novos fatos deveriam ocorrer para que as organizações entend-
essem que o tema governança, era questão de “vida e morte” na con-
tinuidade dos negócios.
24 Governança
Teorias da em TI
História

Diante da necessidade de pelo menos um fato relevante, o mer-


cado apresentou uma seqüência de fatos que tiraram da gaveta dos
executivos os projetos de governança.
Estes fatos foram fortes o suficiente para que o assunto fosse
classificado do nível de normas e regulamentações e em um segundo
momento fosse elevado para lei.
Os dois primeiros fatos vieram praticamente juntos, que foi a
explosão da bolha da internet e o bug do milênio.
O bug do milênio demandou investimentos de TI, poucas vezes
registrados na história, baseado em um discurso “terrorista”. A prática
mostrou que a maioria dos investimentos era desnecessária, uma vez
que empresas com orçamentos muito menores administraram os riscos
sem interrupção dos serviços. O segredo destas empresas, é que elas
conheciam o seu parque de ativos de tecnologia, e a gestão dos riscos
foi feita em função de conhecimento e impactos. Ao ser aprofundada, a
questão dos investimentos realizados, foi estimado que 70% dos valores
gastos nos projetos do bug, foram destinados, apenas para identificar
os ativos de TI e os seus relacionamentos.
Ou seja, foram gastos milhões de dólares, apenas para que os
CIOs soubessem, o que tinham em casa e estavam gerenciando. O
mercado concluiu, que se o CIO sequer sabia o que tinha em casa, o
nível de serviços, considerado pobre pelo mercado, era conseqüência
de falhas gerenciais.
A desconfiança nos investimentos realizados em TI provocou
um maior rigor nas auditorias em TI, que haviam perdido o fôlego nos
anos anteriores, por falta de informações.
Segundo Mansur, 2007, o COBIT, por ter métricas claras, acabou
sendo a metodologia adotada pelos auditores, e a governança de TI
ganhou impulso para “salvar” a carreira dos CIOs. Os CIOs que antes
do bug, estavam em vôo livre na direção da alta administração, tiveram
o seu plano de vôo abortado, voltando ao guarda chuva do CFO, que
detinha a auditoria, controles e métricas.
A auditoria além de medir, via COBIT, buscava também melhorar
o desempenho da área de TI, e neste momento apareceu a oportuni-
dade para os CIOs de introduzirem a dupla ITIL x COBIT para medir
e melhorar. Estudaremos os Frameworks3 COBIT e ITIL no TEMA
III e TEMA V, respectivamente.
O segundo fato marcante, foi a bolha de internet, que mostrou
orçamentos inflados, superestimativas de faturamento e lucros pelas
empresas da nova economia. Os investidores, reagiram aos prejuízos,
com normas e regulamentações para reduzir os riscos dos investimentos,
empréstimos, etc, resultando na norma conhecida como a Basiléia II,
estudada no TEMA II Item 2.2. Este novo contorno de regulamen-
tação visou melhorar a gestão dos riscos e o mecanismo encontrado
para tal, foi a governança corporativa.
Mesmo com todo esse movimento em busca da governança, o
mercado ainda assim apresentou novas distorções de informações, como
os fatos ocorridos em 2002 nos Estados Unidos, que evidenciaram uma
Framework (leque de diretrizes =
3 série de escândalos corporativos (Tyco, Global Crossing, Qwest, Merck,
melhores práticas) Halliburton, Lucent, Vivendi, Xerox e Parmalat entre outras), que colo-
Teorias da História
Governança em TI 25

cou na ordem do dia questões como ética nos negócios, transparência,


governança corporativa, conflitos de interesse entre acionistas e gestores
das corporações, conflitos de interesse entre acionistas minoritários e os
controladores, conflitos de interesse entre as corporações e a sociedade
– Stakeholders4. Por fim, colocaram em xeque os sistemas de gestão até
então vigentes e que prejudicaram milhares de investidores.
Estes casos mostraram que apesar da força das normas e regula-
mentações, este ainda não era o instrumental com força suficiente para
combater a doença.
A lei Sarbanes–Oxley (SOX), então foi aprovada, e passou a re-
sponsabilizar o CEO e CFO pelas informações das empresas. Repre-
sentando a maior reforma sobre a regulamentação das empresas depois
do “New Deal”, nome dado a um conjunto de medidas elaboradas nos
anos 30 para tentar sanar a situação financeira dos Estados Unidos após
a quebra da bolsa em 1929
A lei prevê inclusive penas de multas ou prisão para os executivos
da companhia no caso de apresentação de informações incorretas
ou imprecisas. Apesar de sua abrangência restrita, a SOX passou, no
entanto a ser referência para todas as grandes empresas que hoje já
demonstram preocupação com a aderência aos padrões de governança
(Mansur, 2007).
Neste momento, a governança deixou a condição de desejável
e foi elevada para o status de essencial aos negócios da empresa. Os
controles, monitoração e transparência estão agora disponíveis como
ferramentas de gestão das organizações.
Como os negócios demandaram recursos de TI, e as informações
estavam na sua maioria no formato digital, a área passou a ter um papel
vital na governança.
A auditoria, que trabalhava com as métricas do COBIT, compar-
ava os resultados tanto no âmbito interno como externo da empresa,
mas isto ainda era pouco, e os CIOs passaram a adotar o ITIL e as
suas melhores práticas para melhorar os processos de TI, aumentando
a qualidade e reduzindo os custos.
Ao combinar ITIL, COBIT, ISO, Six Sigma e outros frameworks,
o CIO trouxe para si a responsabilidade de criar os ciclos de melhoria
de TI, baseando-se em metodologias consagradas no mercado.
Conforme afirma Ricardo Mansur (2007), esta oportunidade, não
apenas estabilizou a rota de “queda” da carreira do CIO, como ainda
ajudou no sentido de criar novas expectativas e permitir um crescimento
futuro na carreira deles.

O que é Six Sigma?

Sigma é uma unidade estatística de medida que reflete quão


bom é o desempenho de um processo;
Quando o número de defeitos em um processo ou produto
diminui, o rendimento e o valor sigma aumentam;
Por definição, Six Sigma é medida estatística quantitativa sig-
nificando menos que 4 defeitos por milhão de oportunidades; 4
Stakeholders (Acionistas, contro-
A medida Six Sigma significa que os produtos e processos satis- ladores, gestores, funcionários, etc.)
26 Governança
Teorias da em TI
História

fazem o cliente 99,99966% do tempo.

A visão clássica de qualidade A visão Six Sigma de Qualidade


99% Bom 99,99966% Bom

5.000 Operações Cirúrgicas in- 1.7 Operações Cirúrgicas incor


corretas por semana retas por Semana
2 Pousos Curtos ou Longos nos 1 Pousos Curto ou Longo nos
maiores Aeroportos diariamente maiores Aeroportos a cada 5 ano
200.000 Prescrições de Remédios 68 Prescrições de Remédios erra-
erradas a cada ano das a cada ano

HTTP://www.isixsigma.com
A combinação destas metodologias (ITIL x COBIT x Six Sigma,
ISO, etc.) é forte o suficiente para atender a gestão de riscos, deman-
dada pelo mercado, e também para criar um novo ciclo de crescimento
de TI.
Segundo Mansur, 2007, as métricas claras e objetivas permitirão
medir a real contribuição da área em relação a sua contribuição nos
lucros, redução dos custos, melhoria dos serviços e principalmente
transmitir aos investidores de que agora temos no “pé da empresa o
sapato de número correto”.
O ITIL, trata a gestão de riscos de diversas formas, por exemplo,
como quando endereça questões que vão além do SLA médio, como a
redução da sua variabilidade, o resultado final é um aumento na confi-
ança nos serviços de TI. O aumento de confiança traduz-se em redução
de riscos, pois o grau de certeza de que uma determinada atividade, que
tem TI como meio de execução, seja realizada, tornou-se maior.
Daqui para frente, a expectativa é que a SOX se torne universal,
de uma forma ou de outra, e os principais mercados mundiais serão
pautados nos princípios de transparência, controle, monitoração e
demonstração de resultados.
No Brasil, o tema da governança corporativa avança, forçado
inclusive pela crescente pressão do mercado.
Já em 1995 foi fundado o Instituto Brasileiro de Governança Cor-
porativa (IBGC), focado especificamente nesta questão e responsável
por uma definição de governança corporativa amplamente utilizada
- “o sistema pelo qual as sociedades são dirigidas e monitoradas, en-
volvendo os relacionamentos entre Acionistas/Cotistas, Conselho de
Administração, Diretoria, Auditoria Independente e Conselho Fiscal”.
Fonte: http://www.ibgc.org.br/
Alerta ainda o Instituto para a necessidade de utilização das boas
práticas de governança como meio de “aumentar o valor das empresas,
facilitar o acesso ao capital e contribuir para a sua perenidade”.
Não são poucos os fatos que comprovam tal teoria. Só como
exemplo, podemos citar a criação em 2001 pela Bovespa do Novo
Mercado - “um segmento de listagem, destinado à negociação de ações
emitidas por empresas que se comprometem, voluntariamente, com a
adoção de práticas de governança corporativa” -, a valorização acima
Teorias da História
Governança em TI 27

da média dessas ações no mercado e o anúncio do lançamento para o


primeiro semestre deste ano do segmento Bovespa Mais, com o obje-
tivo de incentivar a ida de pequenas e médias empresas “firmemente
comprometidas com o seu crescimento, com boas práticas de govern-
ança corporativa e com a busca da liquidez das suas ações no mercado
secundário” à bolsa. Fonte: http://www.ibgc.org.br/
Praticar a governança corporativa significa muito mais do que
trabalhar a imagem externa das organizações. As empresas que adotam
como linhas mestras a transparência, a prestação de contas e a eqüidade
são capazes de atrair não só os acionistas, mas também, consumidores
e fornecedores. Conseguem também formar um quadro de pessoal de
maior qualidade, atraindo, desenvolvendo e retendo talentos. (Mansur
2005)

2.2 A Basiléia II

Com a criação pelo Bank of International Settlements (BIS), o


Banco Central dos Bancos Centrais que regula o setor no mundo inteiro,
de um Novo Acordo de Capitais, o Basiléia II, as instituições financeiras
começaram a se preocupar com a eficiência de seus controles internos
e da gestão de riscos operacionais.
As recomendações do Comitê de Supervisão da Basiléia, que
criou o Novo Acordo da Basiléia, publicado em Junho de 2004 pelo
documento “Convergência Internacional de Mensuração e Padrões de
Capital: Uma estrutura Revisada (Basiléia II)”, tratam do estabelecimento
de critérios mais adequados ao nível de riscos associados às operações
conduzidas pelas instituições financeiras para fins de requerimento de
capital regulamentar, exigindo que as perdas operacionais previstas se-
jam deduzidas da base de capital, impondo que as instituições tenham
a mensuração, gestão e controle do Risco Operacional. Este último,
conforme descrito pelo Comitê da Basiléia em 2001, é o risco de per-
das diretas e indiretas, resultante de falhas em processos internos ou
de eventos externos5, tais como fraudes, relações trabalhistas, danos a
ativos, interrupção do negócio e falhas de 17 sistemas, execução e gestão
de processo. Na prática, o novo acordo atinge os bancos da seguinte
maneira: a instituição que não possuir controles internos eficientes e
uma metodologia de avaliação de riscos implementada será obrigada a
manter uma quantidade maior de recursos próprios em sua estrutura
patrimonial, enquanto que, instituições que investirem nesses itens terão
que reter menor volume de recursos, o que tem um impacto determi-
nante na competitividade dos bancos.
Do ponto de vista da área de TI, será necessário a adoção de uma
gestão de riscos operacionais para garantir total segurança e confiden-
cialidade dos dados dos clientes, sem o comprometimento da instituição.
Além de oferecer uma infra-estrutura de sistemas que assegure a integri-
dade da base de dados e dos relatórios gerenciais, sendo preciso adaptar
sistemas e procedimentos dos bancos relacionados à análise e medição
do risco operacional. Para permitir uma estratégia de gerenciamento
do risco o Basiléia II exige a captação, arquivamento e estruturação de
dados históricos relacionados com a instituição nos últimos cinco anos,
28 Governança
Teorias da em TI
História

consolidando na base de dados todas as informações sobre fraudes,


lavagem de dinheiro, padrões de operações e comportamentos suspeitos,
garantindo a existência de um ambiente adequado de controles.

2.3 Verdades sobre Governança de TI

O que é Governança de TI? Esta é uma questão que muitos


CIOs estão fazendo. Isto ocorre devido à diversidade de ferramentas
e conceitos que surgem no mercado, gerando dúvidas e definições
incorretas sobre o tema.
Os grandes equívocos que ocorrem freqüentemente são de defin-
ição, onde se conceitua a Governança de TI (GTI) como um painel de
indicadores, ou como um processo de gestão de portfólio dos projetos
estratégicos.
Existem algumas frentes defensoras do conceito de que com
a implementação de alguns processos baseados em apenas uma das
melhores práticas (como Balanced Scoredcards - BSC, COBIT, ou
ITIL) por si só, garantem a Governança, entretanto este conceito está
incorreto.
A premissa mais importante da Governança de TI é o alinhamento
entre as diretrizes e objetivos estratégicos da organização com as ações
de TI. A definição do professor da FGV João R. Peres demonstra este
conceito de forma abrangente, atribuindo os papéis e as responsabili-
dades conforme abaixo:
“Governança de TI é um conjunto de práticas, padrões e relacionamentos
estruturados, assumidos por executivos, gestores, técnicos e usuários de TI de uma
organização, com a finalidade de garantir controles efetivos, ampliar os processos
de segurança, minimizar os riscos, ampliar o desempenho, otimizar a aplicação de
recursos, reduzir os custos, suportar as melhores decisões e conseqüentemente alinhar
TI aos negócios.”. Fonte: (Carlos Augusto da Costa Carvalho, 2006 – www.
imasters.com.br)

Figura 02 – Ambiente de impacto para a adoção de melhores práticas.


Fonte: ITIL The Key to Managing IT Services - Fundamentos
Está definição deixa clara a importância da Governança de TI em
organizações que almejam atender a crescente demanda por aumento de
qualidade de produtos e processos, a alta competitividade do mercado
Teorias da História
Governança em TI 29

globalizado e a busca por menores custos e maiores lucros.


Outra definição que se encaixa em Governança de TI é de con-
siderá-la como a “Gestão da Gestão”, demonstrando seu papel prin-
cipal que é de auxiliar o CIO (Governante de TI) a avaliar os rumos a
serem tomados para o alcance dos objetivos da organização, onde um
direcionamento errado pode levar a empresa ao fracasso em pouco
tempo.
Devemos levar em consideração que casos de sucesso de um pro-
grama de Governança aplicados a uma empresa não dão a garantia do
mesmo sucesso à outra. Estes casos são muito instrutivos e importantes
para auxiliar nos caminhos da elaboração de um programa próprio.
A implementação efetiva da Governança de TI só é possível
com o desenvolvimento de um framework (modelo) organizacional
específico. Para tanto, devem ser utilizadas, em conjunto, as melhores
práticas existentes como o BSC, PMBok, COBIT, ITIL, CMMI5 e
ISO 17.799, de onde devem ser extraídos os pontos que atinjam os
objetivos do programa de Governança. Na figura 03, podemos ver
o uso das melhores práticas conforme a necessidade da empresa e a
sua fase de maturidade. Além disso, é imprescindível levar em conta
os aspectos culturais e estruturais da empresa, devido à mudança dos
paradigmas existentes.
O grande desafio do Governante de TI é o de transformar os
processos em “engrenagens” que funcionem de forma sincronizada a
ponto de demonstrar que a TI não é apenas uma área de suporte ao
negócio e sim parte fundamental da estratégia das organizações. (Carlos
Augusto da Costa Carvalho, 2006 – www.imasters.com.br)

Fluxo da Melhoria Contínua em TI

5
O CMMI tem como foco o desenvolvi-
mento e a manutenção de software. E
tem como objetivo disponibilizar
Figura 03 - Usando os Frameworks conforme a necessidade do processo. modelos para melhorar os processos
e habilidades das empresas no desen-
Fonte: ITIL The Key to Managing IT Services - Fundamentos volvimento, compra ou manutenção de
produtos e serviços.
30 Governança
Teorias da em TI
História

Atividades do Tema II

@
01 - Fale sobre a lei Sarbanes–Oxley (SOX)?

02 - Cite duas definições de Governança de TI?

03 - Fale sobre o Six Sigma?

04 – Cite os principais frameworks com foco em governança do


Mercado?

05 – Baseado na pergunta dois, que trata das definições de Govern-


ança, qual é a premissa mais importante da Governança de TI?
UNIDADE II
Conhecendo os Principais
Frameworks de Governança

TEMA III
Conhecendo o COBIT
Competências e Habilidades
Compreender o COBIT;
Conhecer a origem do COBIT;
Entender a aplicação, os objetivos e benefícios do COBIT.
Conhecer os quatro domínios do COBIT;
Entender os Recursos e Processos do COBIT;
Conhecer os conceitos de Service Desk, Service Support e Service Delivery;
Entender a aplicação das ferramentas operacionais do ITIL;
Entender o processo de certificação do ITIL;
Compreender o papel do CIO na Organização; Conhecer os conceitos de
Segurança da Informação;
Conhecer Histórico da Norma NBR ISO/IEC 17799;
Compreender a estrutura da Norma NBR ISO/IEC 17799;

O que iremos aprender


O que é COBIT;
Os Domínios do COBIT;
Desenvolvimento do COBIT;
Benefícios do COBIT;
Ferramentas de Gerenciamento do COBIT.
Teorias da História
Governança em TI 33

Apresentação da Unidade

Estudaremos nessa Unidade os principais framework de


governança de TI, buscando o entendimento de cada um deles e técni-
cas básicas de implementação desses frameworks dentro das empresas.
Conheceremos também onde se aplica cada framework e as interações
entre eles.

3.1 O que é COBIT

No TEMA II estudamos a SOX. Nele foram abordados assuntos


como: sua definição, seus efeitos na Organização e os impactos provo-
cados na TI. Comentamos também sobre os frameworks e, dentre eles,
foi citado o COBIT, que estudaremos nesse TEMA.
O termo COBIT vem do inglês: Control Objectives for Informa-
tion and related Technology.
É um framework, ou seja, um leque de diretrizes que tem como
base: a metodologia COSO6, estudaremos o COSO no TEMA IV.
Framework = leque de diretrizes = melhores práticas
O COBIT é um guia para a gestão de TI recomendado pelo ISACF
(Information Systems Audit and Control Foundation, www.isaca.org). O CO-
BIT inclui recursos tais como um sumário executivo, um framework,
controle de objetivos, mapas de auditoria, um conjunto de ferramentas
de implementação e um guia com técnicas de gerenciamento. As práticas
de gestão do COBIT são recomendadas pelos peritos em gestão de TI
que ajudam a otimizar os investimentos em TI e fornecem métricas
para avaliação dos resultados. O COBIT independe das plataformas
de TI adotadas nas empresas.
O COBIT é orientado ao negócio. Fornece informações detal-
hadas para gerenciar processos baseados em objetivos de negócios. O
COBIT é projetado para auxiliar três funções distintas:
1. Gerentes que necessitam avaliar o risco e controlar os investi-
mentos de TI em uma organização.
2. Usuários que precisam ter garantias de que os serviços de TI
que dependem os seus produtos e serviços para os clientes internos e
externos estão sendo bem gerenciados.
3. Auditores que podem se apoiar nas recomendações do COBIT
para avaliar o nível da gestão de TI e aconselhar o controle interno da
organização.

O COBIT está dividido em quatro domínios:

I. Planejamento e organização.
II. Aquisição e implementação.
III. Entrega e suporte.
IV. Monitoração.
6
COSO – The Comitee of Sponsoring
A figura 04 ilustra a estrutura do COBIT com os quatro domínios, Organizations (Comitê das Organiza-
onde claramente está ligado aos processos de negócio da organização. ções Patrocinadoras). É um Framework
que se tornou padrão para o gerencia-
Os mapas de controle fornecidos pelo COBIT auxiliam os auditores e mento de controles e risco.
34 Governança
Teorias da em TI
História

gerentes a manter controles suficientes para garantir o acompanhamento


das iniciativas de TI e recomendar a implementação de novas práticas,
se necessário. O ponto central é o gerenciamento da informação com
os recursos de TI para garantir o negócio da organização.

Figura 04: Os quatro domínios do COBIT


http://www.isaca.org

3.2 Os Domínios do COBIT

Cada domínio cobre um conjunto de processos para garantir a


completa gestão de TI, somando 34 processos:
Teorias da História
Governança em TI 35

Planejamento e Organização

1. Define o plano estratégico de TI


2. Define a arquitetura da informação
3. Determina a direção tecnológica
4. Define a organização de TI e seus relacionamentos
5. Gerencia os investimentos de TI
6. Gerencia a comunicação das direções de TI
7. Gerencia os recursos humanos
8. Assegura o alinhamento de TI com os requerimentos externos
9. Avalia os riscos
10. Gerencia os projetos
11. Gerencia a qualidade

Aquisição e implementação

1. Identifica as soluções de automação


2. Adquire e mantém os softwares
3. Adquire e mantém a infra-estrutura tecnológica
4. Desenvolve e mantém os procedimentos
5. Instala e certifica softwares
6. Gerencia as mudanças

Entrega e suporte

1. Define e mantém os acordos de níveis de serviços (SLA)


2. Gerencia os serviços de terceiros
3. Gerencia a performance e capacidade do ambiente
4. Assegura a continuidade dos serviços
5. Assegura a segurança dos serviços
6. Identifica e aloca custos
7. Treina os usuários
8. Assiste e aconselha os usuários
9. Gerencia a configuração
10. Gerencia os problemas e incidentes
11. Gerencia os dados
12. Gerencia a infra-estrutura
13. Gerencia as operações

Monitoração

1. Monitora os processos
2. Analisa a adequação dos controles internos
3. Prove auditorias independentes
36 Governança
Teorias da em TI
História

4. Prove segurança independente

Figura 05 - Visão dos Domínios do COBIT


Fonte: ITIL The Key to Managing IT Services - Fundamento

3.3 Desenvolvimento do COBIT

A primeira publicação foi em 1996 enfocando o controle e análise


dos sistemas de informação. Sua segunda edição em 1998 ampliou a base
de recursos adicionando o guia prático de implementação e execução.
A edição atual, já coordenada pelo IT Governance Institute, introduz
as recomendações de gerenciamento de ambientes de TI dentro do
modelo de maturidade de governança.
O COBIT recebe um conjunto de contribuições de várias em-
presas e organismos internacionais, entre eles:
• Padrões técnicos da ISO;
• Os códigos de conduta emitidos pelo Conselho de Europa,
ISACA;
• Critérios de qualificação para TI e processos: ITSEC, TCSEC,
ISO 9000;
• Padrões profissionais para controle internos e auditoria: COSO,
IFAC, CICA, ISACA;
• Práticas e exigências dos fóruns da indústria e das plataformas
recomendadas pelos governos;
• Exigências das indústrias emergentes como operação bancária,
comércio eletrônico e engenharia de software.
Teorias da História
Governança em TI 37

3.3.1 Objetivo:

O propósito de sua criação é apoiar os gestores e os profissionais


no controle e gerenciamento dos processos de TI de forma lógica e
estruturada, tendo como foco: o relacionamento entre os objetivos de
negócio com os objetivos de TI.
Vale destacar que o COBIT é um modelo utilizado internac-
ionalmente como um instrumento (de fomento) da Governança de TI,
contendo práticas e técnicas de controle e gerenciamento, a fim de: aux-
iliar na preparação para auditorias, acompanhamento/monitoramento,
a avaliação dos processos de TI e , finalmente, auxiliar no alcance de
metas na organização.

3.4 Benefícios do COBIT

Na era da dependência eletrônica dos negócios e da tecnologia,


as organizações devem demonstrar controles crescentes em segurança.
Cada organização deve compreender seu próprio desempenho e deve
medir seu progresso. O benchmarking com outras organizações deve fazer
parte da estratégia da empresa para conseguir a melhor competitividade
em TI. As recomendações de gerenciamento do COBIT com orien-
tação no modelo de maturidade em governança, auxiliam os gerentes
de TI no cumprimento de seus objetivos alinhados com os objetivos
da organização.
Os guidelines de gerenciamento do COBIT focam na gerência por
desempenho usando os princípios do balanced scorecard. Seus indicadores
chaves identificam e medem os resultados dos processos, avaliando
seu desempenho e alinhamento com os objetivos dos negócios da
organização.

3.4.1 Quanto aos Recursos e Processos em TI

Com o foco nos negócios, o COBIT vem a apoiar de forma


significativa a área de TI. Suas diretrizes pertencem a um conjunto de
318 controles, distribuídos em 34 processos, cada qual visando, segundo
a COBIT, um Objetivo de Controle. Conforme vimos no Item 3.2 Os
Domínios do COBIT.

Seus Recursos:

framework;
mapas de auditoria;
sumário executivo;
control objectives - Objetivos de Controle (propósito a
ser alcançado ou o resultado a ser atingido);
guia - técnicas de gerenciamento e
ferramentas - quanto à implementação do modelo.

Não necessariamente nesta ordem, mas estes são os recursos


que podem auxiliar na implantação de um modelo na TI e permitir
38 Governança
Teorias da em TI
História

uma análise mais precisa quanto aos processos e resultados. Importante


ressaltar que a área em questão deve manter os olhos no alinhamento
dos negócios e, ao mesmo tempo, ficar atento ao gerenciamento de
riscos.
Vale frisar ainda que, quando falamos em controles voltados ao
COBIT, estamos falando de:

procedimentos;
práticas;
regras de negócios (organização) e
políticas

A soma destes ingredientes serve de preparo as exigências da


boa governança em TI quanto às expectativas do mercado, legislação,
automação, a organização em si, aos acionistas, aos clientes internos,
auditores, etc.
No entanto, a TI através do COBIT, deverá fornecer todas as
informações (sólidas) e métricas necessárias quando solicitadas - com
base no KGI7 (Key Goal Indicators), ROI (Return on Investment), KPI (Key
Performance Indicator) para que a organização possa monitorar a sua per-
formance e resultado das suas metas com o menor risco possível. Este
é um ponto primordial. Vale analisar que talvez, haja a necessidade da
interação entre a área financeira da empresa e a TI.
O Modelo de Governança do COBIT é constituído por compo-
nentes associados, que tornam TI um habilitador do negócio. Compo-
nentes do modelo:
● Fatores Críticos de Sucesso (CSFs - Critical Success Factors)
- O que há de mais importante a ser feito para permitir que uma tarefa
ou processo sejam concluídos;
● Indicadores de Meta (KGIs - Key Goal Indicators) - São os
parâmetros utilizados para reconhecer se o Processo alcançou as metas
definidas (associadas aos objetivos);
● Indicadores de Desempenho (KPIs - Key Performance Indica-
tors) - Definem quão bem é o desempenho do Processo, em direção
ao que foi definido como objetivo.
● O Management Guidelines inclui modelos de maturidade (MM)
– Estudado no Item 3.5 Ferramentas de Gerenciamento do COBIT.
Um Processo deve alcançar os objetivos de negócio definidos nos
Indicadores de Metas (KGIs). Um habilitador, resultante da combinação
dos recursos de TI necessários e dos Fatores Críticos de Sucesso (CSFs)
definidos para alcançar os referidos objetivos, fornece a informação
segundo os Critérios de Informação necessários e é monitorado por
Indicadores de Desempenho (KPIs).
Os Critérios de Informação podem ser: Eficácia, Eficiência,
Confidencialidade, Integridade, Disponibilidade, Conformidade e
Confiabilidade (Weill, Peter e Ross , Jeanne W. 2006).
7
KGI (Key Goal Indicators) Indica-
dores de Meta.
O Management Guidelines também fornece os fatores críticos
ROI (Return on Investment) Cálculo de sucesso (FCSs), os KGIs (key goal indicators) e os KPIs (key per-
de Retorno sobre o investimento.
KPI (Key Performance Indicator) formance indicators) que podem ser úteis quando do esforço para se
Indicadores de Desempenho. alcançar um certo nível de maturidade. Os fatores críticos de sucesso
Teorias da História
Governança em TI 39

são os elementos mais importantes que uma organização deve ter como
meta para contribuir com o processo de TI no cumprimento de seus
objetivos. KGIs são elementos de negócios indicando “o quê” deve ser
cumprido. Eles representam os objetivos do processo de TI. Os KPIs
são orientados a processo, focando no “como”, e indicando quão bem
os processos de TI permitem que o objetivo seja alcançado. Os FCSs,
KPIs e KGIs para o processo “Definição e Gerenciamento de Níveis
de serviço” estão resumidos abaixo:

Fatores Críticos de Sucesso KGIs KPIs


- Os níveis de serviço são ex- - Declaração pela unidade es- - Tempo de tratamento de um
pressos nos termos de negócio tratégica dos negócios que os pedido de mudança nos níveis
do usuário final, sempre que pos- níveis de serviço estão alinhados de serviço.
sível. com os objetivos de negócio. - Freqüência de levantamento da
- Análise das causas deve ser - Concordância do cliente que satisfação do cliente.
executada sempre que o nível de o nível de serviço atende as ex- - Tempo de tratamento de as-
serviço acordado não seja aten- pectativas. suntos relacionados a níveis de
dido. - Níveis de serviço compatíveis serviço.
- Habilidades e ferramentas estão com os custos orçados. - Impacto da quantidade de
disponíveis para fornecer infor- - Porcentagem de todos os recursos financeiros adicionais
mações sobre o nível de serviço processos críticos de negócios para o atendimento do nível de
periodicamente dependentes de TI cobertos serviço definido.
- A dependência em TI de proces- pelos SLAs.
sos críticos de negócio está defi- - Porcentagem de SLAs revistas
nida e coberta pelas SLAs. no período acordado.
- As responsabilidades de TI estão - Porcentagem de serviços de TI
ligadas aos níveis de serviço. que atendem SLAs.
- A área de TI pode identificar as
fontes de variação de custos.
- Esclarecimentos detalhados e
consistentes sobre as variações de
custo estão disponíveis.
- Um sistema para o acompanha-
mento de mudanças individuais
está disponível.

Existe um relacionamento de causa-e-efeito importante entre


KGIs e KPIs. KGIs, tais como a “Concordância do cliente que o nível
de serviço atende as expectativas”, sem KPIs, tais como o “Tempo de
tratamento para um pedido de mudança nos níveis de serviço”, não
comunica como o resultado será obtido. E KPIs sem KGIs pode levar
a investimentos significativos sem uma medida apropriada indicando
se a estratégia SLM escolhida é efetiva. Alguns KPIs terão obviamente
um grande impacto em KGIs específicos, comparados com outros. É
importante identificar os KGIs mais importantes para um determinado
ambiente e monitorar de perto os KPIs que mais contribuem com eles.
40 Governança
Teorias da em TI
História

3.5 Ferramentas de Gerenciamento do COBIT

Um modelo de maturidade é um método de avaliação que per-


mite a uma organização graduar a sua maturidade para um determinado
processo, de não-existente (0) até otimizado (5) e assim avaliar-se quanto
as melhores práticas e padrões do mercado. Dessa forma, as deficiências
podem ser identificadas e ações específicas podem ser definidas para
se atingir as posições desejadas.
Pode-se mover para um nível mais alto quando todas as condições
descritas em um determinado nível de maturidade são cumpridas.
O modelo de maturidade para o processo “Definição e Geren-
ciamento de Níveis de serviço” está resumido abaixo:
0. Inexistente: falta absoluta de elementos reconhecíveis do
processo.
1. Inicial (“ad hoc”): reconhece-se, de forma despadronizada,
o interesse em tratar da necessidade, ainda que caso a caso.
2. Repetitivo mas intuitivo: procedimentos similares seguidos
por pessoas distintas, para o mesmo tipo de atividade.
3. Processos definidos: procedimentos padronizados e docu-
mentados, comunicados por meio de treinamento.
4. Processos gerenciáveis e medidos: é possível monitorar e
medir a conformidade com os procedimentos.
5. Processos otimizados: processo automatizado e baseado
nas melhores práticas.
A Maturidade deve ser avaliada em cada um dos Processos. O
nível ótimo correspondente é determinado individualmente, de acordo
com a natureza da instituição, ameaças e oportunidades viabilizadas por
TI.
O COBIT fornece orientações, específicas para cada processo,
do que deve ser trabalhado para atingir determinado nível de Maturi-
dade.
Essa abordagem é derivada do modelo de maturidade para
desenvolvimento de software, Capability Maturity Model for Software
(SW-CMM), proposto pelo Software Engineering Institute (SEI). A
partir desses níveis, foi desenvolvido para cada um dos 34 processos
do COBIT um roteiro:
Onde a organização está hoje;
O atual estágio de desenvolvimento da indústria (best-in-class);
O atual estágio dos padrões internacionais;
Aonde a organização quer chegar;
Os fatores críticos de sucesso definem os desafios mais impor-
tantes ou ações de gerenciamento que devem ser adotadas para colocar
sobre controle a gestão de TI. São definidas as ações mais importantes
do ponto de vista do que fazer a nível estratégico, técnico, organiza-
cional e de processo.
Os indicadores de objetivos definem como serão mensurados os
progressos das ações para atingir os objetivos da organização, usual-
mente expressos nos seguintes termos:
Disponibilidade das informações necessárias para suportar as
necessidades de negócios;
Teorias da História
Governança em TI 41

Riscos de falta de integridade e confidencialidade das infor-


mações;
Eficiência nos custos dos processos e operações;
Confirmação de confiabilidade, efetividade e conformidade
das informações.
Indicadores de desempenho definem medidas para determinar
como os processos de TI estão sendo executados e se eles permitem
atingir os objetivos planejados; são os indicadores que definem se os
objetivos serão atingidos ou não; são os indicadores que avaliam as boas
práticas e habilidades de TI.

3.6 Observações finais

O COBIT procura ocupar o espaço entre a Gestão de Riscos


voltada para o Negócio (atendida, por exemplo, pelo COSO - Comitee
of Sponsoring Organizations, estudado no TEMA IV), a Gestão de
Serviços em TI (atendida por meio do ITIL, estudado no TEMA V) e
a Gestão da Segurança da Informação (por exemplo, tratada pela NBR
ISO/IEC 17799, estudada no TEMA VI). Esses modelos de gestão
consistem de boas práticas específicas segundo sua área foco, e possuem
funções complementares.
Dessa forma, o COBIT permite alinhar os objetivos dessas áreas
de conhecimento às estratégias e princípios de governança corporativa,
garantindo, assim, que os processos e atividades desempenhadas pelas
respectivas áreas e funções corporativas concorram de forma sistemática
para o alcance dos objetivos do negócio e para a redução dos riscos
operacionais.
O COBIT assegura aos usuários a existência de controles, inclusive
tornando-os responsáveis por parte desses controles, e auxilia o trabalho
dos auditores de sistemas e de segurança da informação. Interessante
saber que, qualquer organização pode utilizar as boas práticas do CO-
BIT, pois independe do tipo de negócio, infra-estrutura, sistemas ou
tecnologia utilizada.
E vale lembrar que, o papel do COBIT não é determinar como os
processos devem ser estruturados, mas utilizá-lo da melhor forma, a fim
de, estruturar e gerar as informações que a empresa realmente necessita,
levando em consideração, conforme já citado, o relacionamento entre os
objetivos de negócio da organização e os objetivos da área em questão
(a TI), atingindo assim, suas metas com base na governança.
Portanto, seu papel é descobrir a solução do desalinhamento
entre TI e Negócio diante das principais regulamentações (normas
regulatórias) existentes no mercado, por exemplo: a Basiléia e a SOX.
Agora, cabe ao próprio gestor ou profissional da área conhecer
as necessidades da empresa e utilizar o COBIT a favor.
Talvez aqui esteja a grande dica: conhecer as reais necessidades,
para só então, integrar os recursos oferecidos pelo COBIT.

3.6.1 Mais informações e referências desse TEMA

Muitas informações do COBIT são padrões abertos e disponíveis


42 Governança
Teorias da em TI
História

gratuitamente para download no site do IT Governance Institue’s


http://www.itgovernance.org ou no site do Information System Audit &
Control Association http://www.isaca.org
Exemplos Práticos - Uso e Certificação do COBIT

A força do COBIT

Trabalho em equipe

O gerente sênior Fábio Braz comanda cerca de 500 funcionários


na área de infra-estrutura e operações da empresa de call center Contax.
Formando em engenharia eletrônica, Braz fez parte da primeira turma
de pós-graduação em governança de TI do Instituto de Pesquisas Tec-
nológicas do Estado de São Paulo (IPT) e tem a certificação em ITIL.
A Cobit Foudation surgiu em 2006, antes de ele conseguir a vaga na
Contax. “Ao buscar essas certificações, dá para avaliar se as práticas
estão de acordo com o que está sendo feito em empresas do mundo
todo”, afirma Braz.
Ele lembra que o Cobit é muito eficiente para eliminar vícios
de gestão da TI. “No entanto, por indicar onde e como a empresa está
pisando na bola, a implementação deve ser feita de forma gradual para
não assustar a área de negócios.” Mas é impossível implementar 100%
do Cobit”, diz Braz conta que já treinou outros 12 gerentes da Contax
que farão a prova.

OPÇÃO PARA OS NOVATOS

Para quem acaba de sair da faculdade, a certificação em Cobit é


um bom diferencial no currículo. O primeiro contato de Daniel Pacheco,
24 anos, com o Cobit foi na faculdade de engenharia da computação da
Universidade Federal de Itajubá, em Minas Gerais. O interesse aumentou
quando ele fez um intercâmbio com a Universidade de Dresden, na
Alemanha. Na volta, recém-formado, foi contratado como auditor de
sistemas da informação da consultoria Ernest & Young. Pacheco tirou
a certificação do Cobit Foundation no final do mês de outubro.
Segundo ele, a certificação é um critério conceituado no mercado,
que permite aplicar a mesma rigorosidade em diferentes países. “O certi-
ficado é um diferencial que o profissional terá em outras oportunidades
que surgirem”, afirma. De acordo com o auditor, a Ernest & Young
dá incentivos em forma de cursos no programa de universidade cor-
porativa, além de benefícios atrelados ao desempenho do profissional,
como reembolso de treinamentos e certificaçãoes, Após conseguir o
certificado em Cobit, Pacheco irá ainda este ano tenatr CISA (Certified
Information Systems Auditor), que tem como coco os profissionais da
área de auditoria.

COMO CHEGAR LÁ

O órgão oficial que representa o Cobit é a Isaca (Information


Teorias da História
Governança em TI 43

Systems Audit and Control Association), responsável por atualizar as


versões e emitir os certificados pelo mundo. Apesar de a Isaca não di-
vulgar um número oficial de profissionais com a certificação em Cobit,
mais de mil pessoas já passaram nas provas realizadas pelas consultorias
certificadas. No Brasil, são as empresas IT Partners, Big Five consulting
e World Pass que oferecem o curso e o teste.
“Tem empresas que ainda estão aprendendo a adotar o Cobit, mas
em três anos será requisito básico para área de auditoria de TI”, afirma
Agnaldo Aragon Fernandes, sócio-fundador da Aragon Consultores
Associados e autor do livro Implantando a Governança de TI – da
Estratégia à Gestão dos Processos e Serviços. Diferentemente do que
acontece com outras certificações, não há uma estimativa corrente no
mercado de remuneração para profissionais certificados em Cobit. Mas,
para um consultor independente, por exemplo, é um retorno garantido.
“Um profissional consegue passar de 80 para 100 ou 120 reais por hora
de trabalho”, afirma.
Apesar de todo o material do Cobit estar disponível na Internet,
o investimento num curso preparatório (veja tabela) é importante para
quem não está em dia com o inglês, já que o material e a prova são nessa
língua. Os cursos também apresentam projetos realizados em outras
companhias, além de permitir a troca de figurinhas com profissionais
de TI de outras empresas.
Segundo André Pitkowski, diretor da Isaca, a procura dos cur-
sos por parte das corporações que realizam treinamentos internos.
Pitkowski, que coordenou a adoção de normas de TI no Grupo Pão de
Açúcar, afirma que substituir cursos é uma boa estratégia para empresas
que querem promover profissionais com muito conhecimento técnico,
mas que ficam devendo na visão de gerenciamento.
“O Brasil é o segundo país do mundo em número de profission-
ais certificados em Cobit”, afirma Pitkowski. Segundo ele, já existem
grandes projetos no Brasil, como o da Visanet, que certificou 80 profis-
sionais da sua equipe de TI. O consultor conta que a Isaca acaba de
escolher o país para traduzir a prova de Cobit para o português. Alguns
cursos de pós-graduação e MBA com foco em gestão de TI, como os
IPT, FIAP, Mauá e FGV, já incluem o Cobit.

CURSOS DE COBIT
Veja os três cursos que são credenciados pela Isaca no Brasil.

Carga Horária (HORAS) Preço (R$)(1) Onde Encontrar

BIG 5 CONSULTING 16 2.300,00 www.b5c.com.br


IT PARTNERS 16 2.350,00 www.itpartners.com.br
WORLD PASS 16 + 8 de revisão 1.700,00 www.worldpass.com.br
(1) Inclui o treinamento e aprova
Fonte: Revista INFO Exame, nº 261, Novembro de 2007. pág. 71
44 Governança
Teorias da em TI
História

Exemplos Práticos

Um projeto de Governança não acontece do dia para a noite e


consiste em um procedimento perene de melhorias contínuas, inovação
e busca por melhores práticas. Na Nossa Caixa, o projeto de governança
de TI nasceu em 2004, a partir de um plano mais amplo de governança
corporativa, que pressupõe o alinhamento estratégico com os interesses
da corporação.
A partir do mapeamento dos 34 processos do COBIT, a Nossa
Caixa fez a análise do que estava faltando para, então formular os
projetos. “Costumo dizer que o COBIT é o grande guarda-chuva, sob
o qual estão todos os projetos e metodologias. Temos CMMi para
desenvolvimento de software, ITIL para serviços e PMBOK para pro-
jetos; mas quem faz a regência de tudo é o COBIT”, conta o gerente
de divisão de planejamento de tecnologia do banco, Carlos Eduardo
Pereira Lago.
Fonte: Revista Information Week – Ano 9 – N º 187

Atividades do Tema III

@
01 – O que vem a ser COBIT?

02 – Descreva as três funções da empresa que se beneficiam com o


uso do COBIT:

03 – Qual o objetivo do COBIT?

04 – Quais os recursos utilizados pelo COBIT?

05 – Tomando como base a análise Crítica no final da Unidade II, faça


um resumo do COBIT?
TEMA IV
Conhecendo o COSO
Competências e Habilidades
Conhecer os conceitos de controle interno;
Entender a origem do COSO;
Compreender os objetivos principais dos controles internos;
Entender a relação do COSO com outros Framework;
Entender a aplicação, os objetivos e benefícios Segurança da Informação,
interagindo com outros Frameworks;
Compreender a estrutura da Norma ISO/IEC 27000 e sua relação com
a ISO 17799;

O que iremos aprender


Entendendo o COSO;
O Trabalho do COSO.
Teorias da História
Governança em TI 47

4.1 Entendendo o COSO8

Muito se tem falado sobre controles internos. O que é um controle


interno? É um normativo? É um sistema? Afinal, para que serve um
controle interno? É uma ferramenta para auxiliar as operações de uma
empresa ou para atrapalhar? É um instrumento que só é útil à auditoria
ou a toda empresa?
Estas perguntas eram respondidas de diferentes maneiras, con-
forme a quem se perguntava. Gerentes tinham uma opinião sobre con-
trole interno que não era a mesma dos auditores internos, que por sua
vez tinham uma visão diferente dos funcionários da controladoria. A
falta de um denominador comum ajudava a aumentar a confusão sobre
o papel e significado dos controles internos para a empresa (Mansur,
2007).
Em 1985, foi criada, nos Estados Unidos, a National Commission
on Fraudulent Financial Reporting (Comissão Nacional sobre Fraudes em
Relatórios Financeiros), uma iniciativa independente, para estudar as
causas da ocorrência de fraudes em relatórios financeiros/contábeis.
Esta comissão era composta por representantes das principais associ-
ações de classe de profissionais ligados à área financeira. Seu primeiro
objeto de estudo foram os controles internos. Em 1992 publicaram o
trabalho “Internal Control - Integrated Framework” (Controles Internos – Um
Modelo Integrado). Esta publicação tornou-se referência mundial para
o estudo e aplicação dos controles internos, e é a base que fundamenta
o presente texto.
Posteriormente a Comissão transformou-se em Comitê, que pas-
sou a ser conhecido como COSO – The Comitee of Sponsoring Organizations
(Comitê das Organizações Patrocinadoras). O COSO é uma entidade
sem fins lucrativos, dedicada à melhoria dos relatórios financeiros através
da ética, efetividade dos controles internos e governança corporativa.
É patrocinado por cinco das principais associações de classe de profis-
sionais ligados à área financeira nos Estados Unidos, a saber:

AICPA American Institute of Certified Public Instituto Americano de Contadores Públicos


Accounts Certificados
AAA American Accounting Association Associação Americana de Contadores
FEI Financial Executives Internacional Executivos Financeiros Internacional
IIA The Insititute of Internal Auditors Instituto dos Auditores Internos
IMA Institute of Management Accountants Instituto dos Contadores Gerenciais

O Comitê trabalha com independência, em relação a suas enti-


dades patrocinadoras. Seus integrantes são representantes da indústria,
dos contadores, das empresas de investimento e da Bolsa de Valores
de Nova York. O primeiro presidente foi James C. Treadway, de onde
veio o nome “Treadway Comission”.

8
Coso. Disponível em: http://www.au-
ditoriainterna.com.br/coso.htm. Acesso
em: 20/12/2007
48 Governança
Teorias da em TI
História

4.2 O Trabalho do COSO

4.2.1 Definição – COSO (Controle Interno na Organização)

Para os integrantes do COSO, o ponto de partida é a definição


de controle interno. O que é e para que servem os controles internos?
O grupo chegou à seguinte definição:

“Controle Interno é um processo, desenvolvido para garantir, com razoável


certeza, que sejam atingidos os objetivos da empresa, nas seguintes categorias:
Eficiência e efetividade operacional (objetivos de desempenho ou
estratégia): esta categoria está relacionada com os objetivos básicos da entidade,
inclusive com os objetivos e metas de desempenho e rentabilidade, bem como da
segurança e qualidade dos ativos;
Confiança nos registros contábeis/financeiros (objetivos de informação):
todas as transações devem ser registradas, todos os registros devem refletir transações
reais, consignadas pelos valores e enquadramentos corretos;
Conformidade (objetivos de conformidade) com leis e normativos
aplicáveis à entidade e sua área de atuação.”. Fonte: “Internal Control
- Integrated Framework” - http://www.coso.org;

De acordo com a definição acima, o objetivo principal dos con-


troles internos é auxiliar a entidade atingir seus objetivos. Controle
interno é um elemento que compõe o processo de gestão.
O controle interno é responsabilidade de todos e proporciona
uma garantia razoável, nunca uma garantia absoluta. Controle interno
efetivo auxilia a entidade na consecução de seus objetivos, mas não
garante que eles serão atingidos, por vários motivos:
custo/benefício: todo controle tem um custo, que deve ser inferior
à perda decorrente da consumação do risco controlado;
conluio entre empregados: da mesma maneira que as pessoas
são responsáveis pelos controles, estas pessoas podem valer-se de seus
conhecimentos e competências para burlar os controles, com objetivos
ilícitos.
eventos externos: eventos externos estão além do controle de
qualquer organização. Exemplo disso foram os acontecimentos do dia
11/09/20019, nos Estados Unidos. Quem poderia prever ou controlar
os fatos ocorridos?

4.2.2 Processo de Controles Internos

Como vimos, controle interno é um processo. Este processo


é constituído de 5 elementos, que estão inter-relacionados entre si, e
presentes em todo o controle interno.

Os 5 elementos são:
9
Ataque ao Word Trade Center, que
chegou a extinguir empresas em virtude
da destruição dos seus principais ativos 1. Ambiente de Controle
(conhecimento, informações, recursos 2. Avaliação e Gerenciamento dos Riscos
humanos e equipamentos).
Teorias da História
Governança em TI 49

3. Atividade de Controle
4. Informação e Comunicação
5. Monitoramento
Fonte: Understanding Internal Controls, - http://www.oc.ca.gov/audit.

Análise Crítica

Conforme estudamos, o COSO é um Framework que se tornou


padrão para o gerenciamento de controles e riscos. Mas podemos consid-
erar que a estrutura de trabalho é muito genérica, com visão de auditoria.
Por isso, muita gente usa o COBIT (Control Objectives foi Information
and Related Technology) para aplicar o COSO. Estudamos o COBIT
no TEMA III. Na prática, o que acontece é que empresas adotam o
COSO de forma geral, para controles internos, principalmente financei-
ros, associados ou não a controladoria. A área de TI, por sua vez, adota
o COBIT e/ou ITIL, como guarda-chuva para diversas metodologias e
melhores práticas indicadas para tecnologia da informação.

Exemplos Práticos

CIOs já estão envolvidos com a lei Sarbanes-Oxley

LUCIANA COEN

Desde 30 de julho de 2002 empresas que possuem ações nas


bolsas norte-americanas NYSE (New York Stock Exchange) e Nasdaq
estão trabalhando na adequação de seus departamentos financeiros para
tornarem-se mais transparentes. Os grandes impulsionadores deste
movimento foram dois deputados, Paul Sarbanes e Michael Oxley, que
conseguiram aprovar no congresso norte-americano a chamada Lei
de Responsabilidade Fiscal Sarbanes-Oxley, conforme estudamos do
TEMA II Item 2.1.2.
Depois de receber uma pré-auditoria da Ernest & Young, Paulo
Nascimento, da Alcan, alocou cinco funcionários de sua área em tempo
integral para trabalhar no projeto de Sarbanes-Oxley, sob supervisão do
gerente de aplicações de negócios José Carrasco. A equipe, juntamente
com a consultoria brasileira ITXL, fez um levantamento de vulnerabi-
lidades, classificando-as em verde (adequada), amarelo (que exige mel-
horias) e vermelho (precisa ser implementada), com base em 26 pontos
do COSO. “Um dos nossos pontos vulneráveis, por exemplo, era o
gerenciamento de configurações”, afirma Nascimento. A empresa não
possuía controle adequado de implementações de sistemas, upgrades e
mudanças. Atualmente, este ponto já está remediado. “Além de resolv-
ermos o processo, a lei também exige que tenhamos a evidência de que
há controle”, explica o CIO. O uso do COSO é imprescindível para a
análise dos processos e identificação das necessidades de melhorias e
correções.
Até 30 de setembro, quando a auditoria PriceWaterhouseCoop-
ers virá auditar a filial, todos os processos estarão adequados à lei, sem
qualquer investimento em novos softwares. A Alcan decidiu manter o
50 Governança
Teorias da em TI
História

Risk Navigator, uma ferramenta já existente na companhia para gestão


de riscos de processos. Outros sistemas utilizados na empresa, como
o Lotus Notes, estão passando por uma reavaliação para melhoria de
processos e sua documentação.
Há alguns pontos no projeto da Alcan que estão transformando
a obrigatoriedade na adequação à lei em vantagem competitiva para a
companhia. O principal deles é a visão de que melhores processos de-
vem ser implementados não apenas para auditores, mas para melhorar
a qualidade dos serviços de TI. Os 30 funcionários de TI da empresa
têm esta visão e estão empenhados de uma forma ou de outra no Sar-
banes-Oxley. “A lei foi muito bem divulgada e comunicada internamente.
Por isso, este é um projeto em que não estamos enfrentando mudanças
culturais”, diz Nascimento.

@
Atividades do Tema IV

01 – O que vem a ser COSO?

02 – Por que a implementação de controles internos não garante em


100% a inexistência de problemas?

03 – Quais os cinco elementos que constituem o controle interno?

04 – Explique a relação COBIT x COSO?


TEMA V
Conhecendo a implementação
do ITIL
Competências e Habilidades
Conhecer a origem do ITIL;
Compreender a estrutura do ITIL;
Entender a aplicação, os objetivos e benefícios do ITIL.
Conhecer os conceitos de Service Desk, Service Support e Service Delivery;
Entender a aplicação das ferramentas operacionais do ITIL;
Entender o processo de certificação do ITIL;
Compreender o papel do CIO na Organização;

O que iremos aprender


O Que é o ITIL;
O que não é ITIL;
Conhecendo a estrutura do ITIL;
Por que usar o ITIL;
Service Desk (Central de Serviços do ITIL);
Ferramentas de Apoio;
Teorias da História
Governança em TI 53

5.1 O Que é o ITIL

O nome vem do inglês Information Technology Infrastructure Library


ou Biblioteca de Infra-estrutura de TI, nada mais é que um conjunto
de melhores práticas para a operação de serviços da Tecnologia da
Informação.
A biblioteca foi desenvolvida na década de 80 pela agência de
tecnologia inglesa - Central Computer and Telecommunications (CCTA), e
em sua primeira versão consistia em 30 livros. Em seu conteúdo, eram
abordadas as melhores práticas acumuladas através dos anos, interna e
externamente, com empresas de todo o mundo.
Bem como outras agências, a CCTA consolidou suas práticas no
“Office of Government Commerce”, ou OGC (o que explica a marca
que aparece em todos os livros do ITIL), com isso, o governo inglês
adotou como missão por em prática todos aqueles documentos em
prol da excelência das operações do seu setor público, melhorando a
eficiência dos seus investimentos e entrega dos seus programas e pro-
jetos de TI.
A sigla ITIL (Information Technology Infrastructure Library, ou Biblio-
teca de Infra-Estrutura de TI) já é bastante conhecida hoje. Entretanto,
muita gente ainda não sabe o verdadeiro significado dela. O erro mais
comum é chamar ITIL de metodologia. Precisamos entender que o
ITIL não é “receita de bolo”, cada empresa pode e deve adaptar o uso
das práticas ao seu contexto e momento.
A idéia não era criar um produto que pudesse ser comercializado,
o seu objetivo era apenas conceber um guia para orientar o governo
frente à falta de padrões e regras vivenciadas até então em seus projetos
de TI.
Implementado com sucesso comprovado, rapidamente se per-
cebeu que o compartilhamento desse conjunto de melhores práticas
poderia aumentar a eficiência não só no setor público, mas quando
aplicado no setor privado também.
O copyright dos livros pertence ao governo e a coroa inglesa, bem
como os nomes ITIL e Information Technology Infrastructure Library, e para
cada revisão ou inclusão de novos textos há uma comissão que avalia o
seu conteúdo garantindo a qualidade do conteúdo. Além dos membros
do governo, empresas fornecedoras e outras empresas privadas de todo
mundo contribuíram (e continuam contribuindo) com a criação dos
textos inclusos nos livros.
Com o passar dos anos a credibilidade do ITIL cresceu e se con-
solidou como padrão para a indústria de TI, isso fez com contribuísse
com o ISO/IEC 20000 Service Management Standard10 o primeiro
padrão internacional para gestão de serviços de TI, e é base para o
British standard BS15000. Fonte: (http://blogs.technet.com/rodias/
default.aspx)

5.2 O que não é ITIL


10
http://www.itil-itsm-world.com/
itsm-kit.htm
Para entendermos melhor o que é o ITIL, é interessante começar http://www.iso.org/iso/en/comm-
centre/pressreleases/archives/2005/
dizendo o que ele não é. Já vimos que ITIL não é metodologia, e sim Ref985.html
54 Governança
Teorias da em TI
História

uma estrutura flexível que pode ser adaptada às necessidades de cada


companhia. ITIL também não é um manual de instruções. Por exemplo,
os livros sugerem em que momento se deve começar a escalonar um
incidente dentro da TI. Como fazer isso, fica a cargo de cada organi-
zação. Por último, o ITIL não contém mapas detalhados de processos
de TI, mas fornece os fundamentos e informações necessários para
criá-los e melhorá-los.
Na Unidade I, nós já estudamos os ganhos para as empresas que
adotam boas práticas de governança de TI, mas porque deveríamos utilizar
o ITIL? A adoção das práticas do ITIL pode trazer vários benefícios ao fun-
cionamento da área de TI e à sua relação com a empresa. Alguns deles são:

● Redução no tempo de execução dos serviços e de solução de


problemas;
● Aumento dos níveis de satisfação dos usuários e clientes;
● Redução de custos operacionais;
● Melhor controle e gestão do setor.

Como outros modelos de gestão, no entanto, não espere que o


ITIL traga a resposta a todos os problemas. A implantação das mel-
hores práticas pode custar tempo, dinheiro e acima de tudo, exige um
certo grau de maturidade – ainda que, em tese, possa ser adotado em
empresas de qualquer porte.
“As empresas de grande porte já estão maduras, mas as de médio
e pequeno porte ainda não chegaram nesse estágio. Ainda há muito a se
caminhar” – diz o coordenador do Instituto Infnet e Gerente da Atos
Origin, Francis Berenger.
Fonte: http://www.timaster.com.br Acesso em 10/01/2008.

5.3 Conhecendo a estrutura do ITIL

O ITIL preocupa-se, basicamente, com a entrega e o suporte aos


serviços de forma apropriada e aderente aos requisitos do negócio, e é o
modelo de referência para gerenciamento dos serviços de TI mais aceito
mundialmente. Em geral, os serviços de TI são fornecidos através da
infra-estrutura de hardware, software, procedimentos, documentação,
base de conhecimento, comunicações e pessoas.
O ITIL descreve os processos que são necessários para dar suporte
à utilização e ao gerenciamento dessa infra-estrutura. Outro princípio
fundamental do ITIL é o fornecimento de qualidade de serviço aos
clientes de TI com custos justificáveis, isto é, relacionar os custos
dos serviços de tecnologia e como estes trazem valor estratégico ao
negócio.
Do conjunto original de conteúdo do ITIL foram concebidos sete
livros focando em implementações e gestão de serviços e ativos de uma
operação de TI. Podemos ver essa estrutura na Figura 06.

Esses livros são:

1. Planning to Implement Service Management


Teorias da História
Governança em TI 55

2. Service Support
3. Service Delivery
4. ICT Infrastructure Management
5. Applications Management
6. Security Management
7. The Business Perspective

Figura 06 – Estrutura da biblioteca do ITIL


Fonte: http://www.itsmf.com.br11

As disciplinas de Gerenciamento de Serviços (Service Manage-


ment) que estão no centro da biblioteca do ITIL estão divididas em
dois grupos distintos: Service Support e Service Delivery.
O IT Service Support (Suporte a Serviços) e o IT Service Delivery
(Entrega de Serviços) descrevem os processos chaves para melhorar a
qualidade dos Serviços de TI. As competências podem ser agrupadas
em operacionais e táticas. Os Serviços de Suporte estão focados na
operação do dia a dia e no suporte aos serviços de TI enquanto os
Serviços de Entrega consideram processos de planejamento de longo
prazo.
Conforme figura 07, os processos estão separados de acordo com
a necessidade de suporte ou entrega de serviço, tendo o Service Desk
(ponto único de entrada de chamados) uma função que permeia todos
os processos.

O itSMF – IT Service Management


11

Forum, é o único fórum independente,


reconhecido internacionalmente,
dedicado ao desenvolvimento e mel-
hores práticas em gerenciamento de
serviços de TI.
56 Governança
Teorias da em TI
História

Figura 07 – Estrutura do Service Desk (ponto único de entrada de chamados)

Cada um dos sete livros contém uma série de tópicos referentes


ao título em questão, mas estudaremos a seguir os dois mais utilizados
pelas empresas atualmente, o Service Support e Service Delivery e a sua
integração com o Service Desk.

5.3.1 Service Desk (Central de Serviços)

Aborda de maneira detalhada como implementar e gerenciar o


Service Desk (há uma clara intensão em se aposentar o termo Help-
desk), o ponto central de contatos e requisições de serviços. A Central
de Serviços não é um processo, trata-se de uma função.
Estudaremos de forma mais abrangente a Central de Serviços no
Item 5.6 Service Desk e 5.7.1 Ferramentas Operacionais ITIL.

5.3.2 Service Support (Suporte a Serviços):

O livro traz as referências mais difundidas de toda biblioteca, nele


se encontram todos os tópicos de identificação e registro dos ativos de
TI (os configuration items12), além de processos que nos mostram como
gerenciamos mudanças, problemas, incidentes. Os tópicos que estão
incluídos no livro do Service Support são:
● Incident Management (Gerenciamento de Incidentes): Como o
nome já sugere, o tópico aborda como tratar incidentes – falhas que
acontecem dentro de uma operação, como reestabelecer a operação o
quanto antes e como gerenciar essas ocorrências.
● Problem Management (Gerenciamento de Problemas): A Gestão
de Problemas tem a meta de identificar as causas dos incidentes e cor-
rigir os erros de forma preventiva. O processo define as atividades e
responsabilidades para solucionar os erros e reduzir o tempo necessário
12
CI - configuration items, são todos os
ativos de tecnologia que devem ser ger- para resolver os problemas dentro dos níveis de serviços acordados.
enciados em um processo de govern-
ança. Por exemplo: CI - Computador
● Change Management (Gerenciamento de Mudanças): A Gestão
do usuário José: Hardware, Software, de Mudanças discute processos e procedimentos que serão utilizados
Segurança (antivírus, políticas de se-
gurança), Aplicativos (ERP, Intranet), para um rápido e eficiente controle de todas as mudanças proposta na
Interligação com a Rede de Dados.
Teorias da História
Governança em TI 57

infra-estrutura, de modo a evitar impactos no negócio da empresa.


● Release Management (Gerenciamento de Liberações): A meta
deste processo é assegurar que somente versões autorizadas e corretas
estejam disponibilizadas, e que apenas softwares licenciados sejam in-
stalados. O processo assegura que todos os aspectos (técnicos ou não)
sejam atendidos.
● Configuration Management (Gerenciamento da Configuração):
Tem a meta de controlar a infra-estrutura de TI assegurando o uso de
hardware e software homologados. O processo define as atividades de
controle e relacionamento dos itens de configuração que compõem a
infra-estrutura de TI.

5.3.3 Service Delivery (Entrega de Serviços):

Uma vez planejado, é hora de fazer a entrega dos serviços ofereci-


dos. O livro de Service Delivery contém também práticas amplamente
aplicadas pelas empresas com nível de maturidade diferenciado no
mercado, ele cobre aspectos que contemplam não só a entrega como a
manutenção dos serviços.
● Availability Management (Gerenciamento da Disponibilidade): A
meta deste processo é aperfeiçoar a infra-estrutura, serviços e suporte
de TI para que a disponibilidade (com custos aceitáveis) permita que o
negócio alcance os seus objetivos. O processo define com o negócio os
requisitos da infra-estrutura, serviços e suporte de TI, para endereçar
as necessidades da oferta e demanda da disponibilidade de TI.
● Capacity Management (Gerenciamento da Capacidade): Como
prever futuras necessidades de TI da empresa? A Gestão de Capacidade
contém métodos para evitar surpresas quando se trata de crescimento
ou mudanças. O processo define as atividades de gestão e previsão
dos recursos de TI através da monitoração, análise e planejamento das
métricas e condições operacionais.
● IT Service Continuity Management (Gerenciamento da Continuidade
dos Serviços de TI): Após um desastre ou outra interrupção no negócio
ocorrido devido a falhas nos serviços providos por TI, o tópico traz
práticas de como gerenciar a continuidade de negócios com os níveis
de acordo estabelecidos. Além de definir um ciclo contínuo de avaliação
de riscos, medidas de contorno, revisão dos cenários e planos de con-
tingência para garantir a aderência contínua ao Plano de Continuidade
do Negócio.
● Service Level Management (Gerenciamento do Nível do Serviço):
A Gestão de Nível de Serviço estabelece, monitora e reporta o com-
portamento da operação. O tópico também traz práticas para mitigar
baixa performance de serviços.
● Financial Management for IT Services (Gerenciamento Financeiro
para Serviços de TI): Tem como meta dar transparência aos custos de
TI. Visão geral de como administrar recursos financeiros, como pro-
visão, contabilidade e cobrança dos serviços de TI.
Ao usar o ITIL, a organização se torna capaz de melhorar a quali-
dade, eficiência e eficácia na prestação de serviços, além de diminuir a
exposição ao risco operacional. Os processos ITIL precisam ser im-
58 Governança
Teorias da em TI
História

plementados para cada organização, pois correspondem a um modelo


(apresentado na Figura 08) e não uma regra rígida a ser seguida.

Figura 08 – Nova visão da estrutura da biblioteca do ITIL


Fonte: http://www.timaster.com.br

5.3.4 Os outros livros do ITIL

● Planning to Implement Service Management: O livro oferece dire-


cionamentos para a implementação de serviços. Planejamento é o foco
desse livro que explica os passos necessários para identificar como uma
organização pode alcançar e usufruir os benefícios da ITIL.
● ICT Infrastructure Management: este livro aborda os processos,
organização e ferramentas necessários para prover uma infra-instrutora
estável de TI e de Comunicações.
● Application Management: Mesmo não sendo o ponto forte do
ITIL, a biblioteca traz também um livro de melhores práticas que
aborda o ciclo de vida de desenvolvimento de software, dando ênfase
aos requisitos, definições e implementações
● Security Management: este livro tem conexões com vários outros
domínios da ITIL, explicando como gerenciar melhor os níveis de
segurança da infra-estrutura de TI.
● The Business Perspective: Voltados para Gerentes de Negócios,
o livro traz um conteúdo que ajuda essa classe de profissionais como
planejar e alinhar os projetos de TI aos negócios da empresa. Ele ainda
cobre o relacionamento gerencial, parcerias e outsourcing, melhoria
contínua de qualidade, comunicação, entre outros tópicos.
Teorias da História
Governança em TI 59

5.4 Por que usar o ITIL

Figura xx – Cinco razões para usar o ITIL


Fonte: ITIL The Key to Managing IT Services - Fundamentos
1. É orientado a qualidade de serviços;
2. Possui uma abordagem integrada e coordenada a oferta de
serviços;
3. Tem sido crescentemente adotado em nível mundial;
4. Permite a organização comparar-se a outras no que se refere a gestão
de serviços de TI (benchmarking);
5. É adaptável a qualquer tipo de organização através de um modelo
consistente e claramente orientado a processos.

Análise Crítica:

Conforme já vimos nos Itens anteriores, o ITIL é uma coleção


de livros, mas apenas ler esse conjunto de livros e aplicar o seu con-
teúdo em seu dia-a-dia não irá fazer com que os serviços das empresas
se transformem. Muito além de lê-los, é imprescindível absorver os
conceitos e a essência por traz daqueles milhares de parágrafos, e o
mais importante de tudo... estar de acordo com esses conceitos, o que
significa abandonar alguns paradigmas!

O ITIL não diz exatamente o que devemos fazer, mas de maneira bem
assertiva, ele sugere e nos mostra os caminhos para um bom planejamento
e entrega de serviços com qualidade, ou seja, ele definitivamente não é um
manual de instruções, mas sim um conjunto de conceitos e boas práticas.

Análise Crítica:

Como posso melhorar o desempenho dos negócios da


minha empresa com o ITIL?

Uma empresa com uma área de TI bem organizada não só traz


como benefício uma infra-estrutura e entrega de serviços mais ajustados,
60 Governança
Teorias da em TI
História

mas também ajuda as pessoas a desenvolver suas tarefas relacionadas ao


negócio da empresa de maneira mais eficiente. A TI de uma empresa
não só pode, como deve influenciar positivamente no desempenho dos
funcionários.
Não é raro encontrarmos casos de empresas que conseguem au-
mentos consideráveis de produtividade dos seus funcionários através
de simples processos de reestruturação do seu Service Desk.
A implementação do ITIL não precisa ser necessariamente re-
alizada por completo, ou seja, a empresa pode estabelecer níveis de
maturidade para essas implementações. Uma reestruturação de um
Service Desk é um bom exemplo de começo, através dele, podemos
fazer com que a empresa já introduza processo de Gerenciamento de
Incidentes, evoluindo para Gerenciamento de Problemas, Mudanças,
etc. A idéia é justamente que essa implementação não seja feita de forma
massiva, e sim aos poucos, pois esse tipo de mudança vai, muitas vezes,
contra o modo com que as pessoas executam suas tarefas, o gera um
impacto na cultura da empresa e consequentemente surgem focos de
resistências às mudanças.
Portanto, uma dica, iniciar em doses homeopáticas, mas com
metas bem definidas!
Muitas vezes, temos que parar para analisar quantos processos do
ITIL serão implementados na nossa empresa, em alguns casos talvez
não seja interessante implementar o processo A ou B e sim C ou D, ou
até mais. Nada impede que esses processo sejam adaptados para que
se encaixem a cultura da empresa. De novo, o ITIL não é um manual
de instruções, e sim um conjunto de melhores práticas.
Em suma, o ITIL nos provê uma abordagem sistemática e profis-
sional do gerenciamento dos serviços e da infra-estrutura de TI, ofer-
ecendo muitos benefícios, como por exemplo:
Redução de custos de TI;
Melhoria dos Serviços de TI através da utilização de melhores
práticas comprovadas pelo mercado;
Melhoria da satisfação dos usuários através de uma abordagem
mais profissional da entrega de serviços;
Padrões e direcionamentos;
Melhoria da produtividade;
Melhoria no relacionamento e contratação dos fornecedores
de serviços, utilizando as especificações do ITIL como padrão de com-
paração em entrega de serviços.

5.5.1 Custos da implantação

É muito difícil estimar o custo da implantação de um projeto de


ITIL, pois como vimos, o custo depende diretamente do escopo da
implantação (o que será implantado e em que período).
Implantar o ITIL envolve a aquisição dos livros, na forma física
ou em formato eletrônico. Além disso, há também os custos de treina-
mento. A duração dos cursos varia de acordo com o nível de certificação
ou conhecimento demandado, geralmente um curso para a certificação
Foundation dura dois a três dias, e os mais complexos como os da série
Teorias da História
Governança em TI 61

Practioner podem durar mais de uma semana.


Além desses custos de material e treinamento, há também outros
intangíveis, em princípio os de re-engenharia de alguns processos para
que os mesmos se adequem ao ITIL, procedimentos operacionais,
ajustes no helpdesk, etc. Em muitos casos as empresas preferem con-
tratar consultorias especializadas na implantação, elevando assim o seu
custo, mas reduzindo o tempo de aprendizado.

5.5.2 Implementação de um projeto ITIL

Sempre é bom lembrar que o ITIL não é um projeto, é um proc-


esso de mudança cultural para a melhoria na gestão de serviços de TI.
Devemos levar em consideração que a peça chave é vender essa idéia
para as partes envolvidas e interessadas nesse processo, pois uma vez
definida a estratégia, o time deve se comprometer a seguir esse novo
método para entregar os serviços.
Em processos de implementação ITIL os resultados costumam
aparecer em meses, e em certos casos já podem ser observados em
semanas – isso partindo do pré-suposto que a equipe interna já está
treinada.
A quebra de paradigmas é sem dúvida o grande obstáculo nas
implementações.

5.5.3 Retorno de Investimento e redução de custos com o ITIL

Há relatos de corporações que obtiveram redução de custos im-


pressionantes com a total implementação do ITIL.
Empresas de consultoria em ITIL reportam casos impressio-
nantes de empresas que obtiveram economia de aproximadamente
US$ 500 milhões em quatro anos, reduzindo o número de chamados e
otimizando procedimentos operacionais. Outras, como a Nationwide
Insurance, que reduziram quedas em sistemas na ordem de 40%, tendo
o ROI (Retorno sobre o investimento) de 3 anos em um investimento
de US$ 4,3 milhões.
Esses e outros casos de sucesso podem ser explorados no docu-
mento público Benefits of ITIL da Pink Elephant13, que relata como
empresas de grande porte e órgãos públicos obtiveram sucesso na
implementação do ITIL. Fonte: Rodrigo Dias http://blogs.technet.
com/rodias/archive/tags/ITIL/default.aspx

5.6 Service Desk (Central de Serviços do ITIL)

A demanda crescente dos usuários em relação a TI e a globalização


das empresas fazem com que a entrega de serviços alta qualidade e de
classe mundial torne-se muitas vezes a diferença entre o fracasso e o
sucesso de um empreendimento.
A compreensão da necessidade dos usuários e do negócio é fun- 13
Benefits of ITIL da Pink Elephant.
damental para o desenvolvimento e a entrega dos serviços. Devemos http://www.pinkelephant.com/NR/
rdonlyres/
62 Governança
Teorias da em TI
História

Figura 09 – Service Desk Centralizado


Fonte: ITIL The Key to Managing IT Services - Fundamentos

A resposta rápida as questões, reclamações e problemas dos


usuários deve ser o objetivo primário do atendimento para que a quali-
dade final dos serviços possa ser atingida. A melhor forma de controlar
as demandas pelos serviços de suporte é o processo de Service Desk
Centralizado, conforme Figura 09.
Em muitas organizações a pressão pela redução dos custos e
o aumento da qualidade dos serviços de TI leva o departamento de
suporte a atuar de forma reativa, pois normalmente esses fatores
são proporcionais, conforme podemos ver na Figura 10. Exigindo da
equipes que esse processo seja otimizado para atender exatamente as
necessidades da empresa.
Abaixo estão algumas das situações comumente encontradas em
diversas organizações:

Falta de uma estrutura de suporte adequada;


Baixa confiança/percepção do usuário;
Sistemas (aplicações) de suporte inadequados;
Pouco gerenciamento dos recursos de suporte;
Equipes sempre “apagando incêndios”
Problemas repetitivos;
Interrupções contínuas;
Alta dependência de “pessoas chaves”
Perda de foco;
Mudanças não coordenadas e não registradas;
Incapacidade de mudar de acordo com as necessidades do
negócio;
Falta de clareza sobre os custos e necessidade de recursos
Inconsistência nas respostas e irregularidades os tempos de
Teorias da História
Governança em TI 63

atendimento;
Falta de informações gerenciais.

Figura 10 – Relação Custo x Qualidade dos Serviços


Fonte: MANSUR (2007)

5.6.1 Principais Tipos de Service Desk

Call Center: Ênfase no atendimento de um grande número de


chamadas telefônicas.
Help Desk: Função primária de gerenciar, coordenar e resolver
incidentes no menor tempo possível garantindo que nenhuma solicitação
é perdida, esquecida ou ignorada.
Service Desk: Amplia o alcance dos serviços e possui uma abord-
agem global, permitindo que os processos de negócio sejam integrados
a infra-estrutura da Gestão dos Serviços de TI.
Não trata apenas de incidentes e da solução de questões, mas tam-
bém proporciona interfaces com outras atividades tais como: solicitações
de mudanças pelo usuário, contratos de manutenção, licenciamento de
softwares e diversos outros processos.
Muitos Call Centers evoluem naturalmente para Service Desks
e estendem os seus serviços para atender os usuários e o negócio de
forma mais ampla.
Todas as três funções têm as seguintes características e comum:

Representam o provedor de serviços;


Focam na satisfação e percepção do usuário;
Dependem de outros processos, pessoas e tecnologias.

A interação do Service Desk com o usuário poderá ocorrer


através de diversos meios. Os serviços podem ser melhorados e esten-
didos aos usuários expandido-se os métodos de registro, atualização e
consulta. Conforme podemos ver na Figura 11.
64 Governança
Teorias da em TI
História

Figura 11 – Interação com os usuários do Service Desk


Fonte: ITIL The Key to Managing IT Services - Fundamentos
Isto pode ser conseguido através do uso de e-mail, intranets e de
aplicações Internet: web, Chat, webcams, etc. Estes métodos podem ser
utilizados para atividades que não são críticas para os negócios, o que
pode incluir o registro de solicitações não urgentes, tais como:
Compra de produtos
Perguntas sobre aplicativos em geral
Solicitações sobre mudanças de layout, instalações e melhorias
em geral
Requisição de suprimentos
Para a equipe de suporte os benefícios incluem:
Diminuição de interrupções desnecessárias;
Melhor gerenciamento do trabalho

Podemos ver nas figuras 12 e 13 os modelos básicos de Service


Desk Local e Centralizado com os respectivos níveis de atendimento.

Figura 12 – Service Desk Local


Fonte: ITIL The Key to Managing IT Services - Fundamentos
Teorias da História
Governança em TI 65

Figura 13 – Service Desk Centralizado


Fonte: ITIL The Key to Managing IT Services - Fundamentos

5.6.2 Principais benefícios do Service Desk na visão do ITIL

O uso do Service Desk traz vários benefícios para as empresas.


Podemos destacar os seguintes benefícios operacionais:
Melhoria na qualidade dos serviços;
Acessibilidade (ponto único de contato/informações/comu-
nicação)
Qualidade e velocidade no atendimento;
Melhoria da comunicação e trabalho em equipe;
Maior produtividade e uso dos recursos de suporte;
Controle e gerenciamento da infra-estrutura;
Além dos benefícios operacionais, o Service Desk traz benefí-
cios de caráter gerencial, como podemos ver na figura 14.

Figura 14 – Benefícios Gerenciais do Service Desk


Fonte: ITIL The Key to Managing IT Services - Fundamentos
66 Governança
Teorias da em TI
História

Dentre os vários benefícios advindos do uso de um Service Desk


destaca-se a geração de informações gerenciais que permitem:
Acompanhar a qualidade dos serviços oferecidos
Conhecer a percepção do usuário sobre os serviços que re-
cebem;
Otimizar o gerenciamento dos recursos de TI
As informações geradas pelo Service Desk devem incluir:
Utilização dos recursos humanos;
Deficiência nos serviços;
Desempenho dos serviços;
Necessidade de treinamento dos usuários;
Custos.

5.7 Ferramentas de Apoio

Para a implantação das melhores práticas foram desenvolvidas


algumas ferramentas de apoio. Existem as ferramentas certificadas
que, além de obedecerem às melhores práticas, também têm os seus
processos aderentes ao ITIL.
O mercado demanda neste momento por ferramentas que facili-
tem a implementação das competências operacionais do ITIL e que
podem ser classificadas nas seguintes categorias:
• Service Desk
• Gerenciamento e controle de ativos de TI.
• Gerenciamento, distribuição e instalação de software centrali-
zado.
• Gerenciamento de redes corporativas.
• Gerenciamento de pesquisas de satisfação.
As competências táticas têm uma menor gama de ferramentas,
mas com pequenos ajustes o BI, ERP, BSC, planilhas, etc. podem ser
utilizados para facilitar a implementação da metodologia em termos
da gestão de TI.

5.7.1 Ferramentas Operacionais ITIL

As ferramentas operacionais têm como base o Service Desk,


também estudado no Item 5.6. A figura 15 apresenta o seu diagrama
funcional:

Figura 15 – Diagrama de funções de um Service Desk típico


Fonte: MANSUR (2007)
Teorias da História
Governança em TI 67

O diagrama mostrado nas figura 15 também facilita o entendi-


mento do comportamento das ferramentas, desde a abertura de um
chamado até o fechamento do incidente, com as atualizações na base
de conhecimento.

Na figura 16 são destacados os três “Ps” (pessoas, processos e


produtos) definindo a implantação e na figura 11 do Item 5.6.1 Prin-
cipais Tipos de Service Desk, é mostrado o fluxo de comunicações do
Service Desk.

Figura 16 – Estrutura lógica genérica do Service Desk


Fonte: MANSUR (2007)

A ferramenta de Service Desk deve oferecer recursos para:

Centralizar o recebimento de chamadas através de múltiplos canais;


Classificar, priorizar e escalonar;
Identificar os pontos de falhas;
Fornecer feedbacks e follow-ups
Integrar com outros processos;
Atualizar a base de dados de configurações
Gerar relatórios de desempenho resumidos e detalhados.

A ferramenta para o Service Desk é o ponto central para a con-


strução da base de conhecimento das melhores práticas, mas necessita
estar integrada com outras ferramentas.

5.7.2 Configuração dos Ativos de TI

O sistema de inventário é o responsável por manter uma base


atualizada de informações sobre os ativos de TI. Quanto melhor for a
integração entre o Service Desk e o Sistema de Inventário menor será
o tempo de atendimento ao usuário e maior será a disponibilidade dos
ativos.
Um sistema de inventário não deve tratar apenas do hardware e
do software dos micros e servidores mas de todos os componentes da
68 Governança
Teorias da em TI
História

rede, como hubs, switches, roteadores, etc.


O sistema terá responsabilidade de manter os micros apenas com
os aplicativos e arquivos homologados pela empresa, permitindo assim
um controle eficiente de licenças, eliminando ou reduzindo os riscos
de pirataria, de imprevisibilidade de comportamento do ambiente e
aumentando a segurança.
Uma das consequências de uso de um sistema de inventário é
a melhora da performance global dos equipamentos pela eliminação
de aplicativos e softwares desnecessários, reduzindo o uso de disco e
CPU.
Para o gestor de TI este fator é muito importante, pois sempre
que ele for justificar a atualização do parque dos ativos de TI ele terá
a certeza de que não existem desperdícios de recursos e poderá estar
constantemente alinhado com as necessidades do negócio.
Além da gestão e controle do hardware e software, um dos maiores
benefícios de um sistema de inventário é o aumento da performance e
da previsibilidade do ambiente de TI.

5.7.3 Disponibilidade e Uso dos Ativos de TI

O sistema de gerenciamento é o responsável por monitorar os


recursos de TI, fornecendo aos gestores alertas em caso de falhas e
sobrecargas.
A segunda grande competência do sistema é prover relatórios do
nível de uso dos recursos, permitindo aos gestores analisar o ritmo de
crescimento do ambiente de TI e proporcionando um melhor plane-
jamento da capacidade atual e futura do parque.
O sistema de gerenciamento também deve fornecer as infor-
mações para o rateio dos custos de investimentos e despesas de TI com
base no nível de utilização dos recursos pelos usuários.
A integração do sistema de gerenciamento com o Service Desk é
muito importante, pois o atendente poderá ter na sua tela informações
sobre a situação dos servidores, comunicações, segurança e outros
ativos. reduzindo assim o tempo de diagnóstico e encaminhamento
dos chamados.

5.7.4 Controle e Distribuição Centralizados de Software

O sistema de distribuição de pacotes é o responsável pela atuali-


zação dos aplicativos, patches de correções, implantação e manutenção
das políticas de segurança.
O sistema realiza uma checagem no ambiente, verificando se as
condições mínimas de configuração estão sendo atendidas antes de
iniciar qualquer processo de atualização, e, ao final do processo, envia
para os administradores relatórios de como foi o processo do envio e
instalação dos pacotes.
Em caso de falhas, são gerados relatórios e alertas demonstrando
os motivos pelos quais um pacote não foi instalado. Também deve ex-
istir a facilidade de um rápido retorno para a situação imediatamente
anterior.
Teorias da História
Governança em TI 69

Além dos micros e servidores, é importante que este sistema


também possa ser utilizado pelos outros componentes da rede, como
hubs, switches, roteadores, dentre outros.
A integração com o Service Desk permite ao atendente saber sobre
a situação atual do micro do usuário, em termos de aplicativos e versões,
reduzindo assim o tempo de diagnóstico e resolução dos incidentes.
Um dos resultados desta integração é que o atendente poderá
confrontar a situação atual do micro do usuário com a situação em que
ele deveria estar, possibilitando assim ações corretivas de curto prazo.
Este sistema também pode ser utilizado como uma poderosa fer-
ramenta de proatividade do Service Desk, eliminado problemas antes
mesmo que eles ocorram.
A integração permitirá que a base de conhecimento permaneça
atualizada com as novas configurações dos aplicativos e respectivas
versões após a implantação.

5.7.5 Pesquisa de Satisfação do Atendimento

O próximo elo desta cadeia é o grau de satisfação do usuário com


os serviços de TI. Uma clara sinalização de como foi o atendimento
permitirá ao gestor ajustar os planos da área conforme as necessidades
do negócio.
A integração deste sistema com o Service Desk permitirá ao at-
endente saber como foram os últimos chamados e quais foram os pontos
fortes e fracos, conduzindo assim a um ciclo de melhoria contínua.
As informações sobre como é o perfil do usuário, suas neces-
sidades, preferências, motivações e opiniões possibilitarão um atendi-
mento personalizado, usuário por usuário.
O feedback do usuário é importante para os gestores de TI, pois
eles terão uma clara visão do nível de informações e serviços que o
usuário deseja e com isso poderão implantar programas e ações para
transformá-los em parceiros de TI.
O Service Desk integrado com os sistemas de inventário, geren-
ciamento, distribuição de pacotes e pesquisa de satisfação permite:
Otimização e redução do tempo de diagnóstico dos incidentes
e problemas;
Adoção de procedimentos proativos controlando e mimizando
as indisponibilidades;
Implantação, controle e manutenção das políticas de seg-
urança;
Rateio dos investimentos e despesas conforme o uso;
Administração e controle de licenças e versões dos aplica-
tivos;
Aumento da previsibilidade e redução da variabilidade do
ambiente;
Aumento da segurança pela eliminação de arquivos e softwares
não homologados;
Ambiente flexível permitindo customizações usuário por
usuário ou por grupos;
Redução dos custos pela eliminação dos desperdícios de re-
70 Governança
Teorias da em TI
História

cursos;
Rápida recuperação em caso de erros e falhas;
Análises de tendência permitindo melhor dimensionamento
dos equipamentos e eliminação da capacidade ociosa dos sistemas;
Aumento da confiabilidade e redução das margens de seg-
urança;
Melhor planejamento das atividades;
Redução do número de atendentes pela redução da quantidade
e tempo de atendimento dos chamados;
Aumento da satisfação do usuário por um atendimento dentro
das suas expectativas e necessidades;
Estabelecimento de métricas claras para o nível dos serviços.

5.7.6 Ferramentas Táticas de ITIL

As competências táticas da metodologia estão focadas em admin-


istração, controle e demonstração de resultados. Apesar do Service Desk
ser uma base de conhecimento excepcional, neste caso ele necessita
estar integrado com os sistemas de ERP, BPM14, BSC. para gerar uma
base de dados gerencial de TI.
Esta base será a ferramenta que facilitará a atuação dos gestores
de TI na busca de um alinhamento dinâmico entre tecnologia e neces-
sidade do negócio. Temas como gestão de recursos e custos aumentam
de importância após a consolidação do ambiente operacional (disponi-
bilidade, previsibilidade, confiabilidade e metas claras).
Com a divulgação das metas e resultados, as conquistas e os es-
forços realizados são visíveis pelo negócio. Com isso, aumenta a credi-
bilidade de TI, gerando os incentivos necessários para novos desafios
e projetos.
No caso das competências táticas, cada caso se comporta de forma
individualizada e tanto uma simples planilha como um sofisticado sis-
tema podem ser as ferramentas necessários para a implementação das
melhores práticas táticas em uma organização.

5.8 Certificação ITIL

Existem três níveis de certificação em ITIL

Foundation Certificate

Teste de aproximadamente 1hora com questões de múltipla


escolha sobre o entendimento dos conceitos básicos e a terminologia
do ITIL.

Practioners Certificate
14
BPM ou BPMS (Business Proc-
ess Management Software). É uma Certificação específica para cada disciplina do ITIL. O cer-
categoria de softwares que visão at-
ender o ciclo completo da Gestão de
tificado é destinado para cada um dos processos (competência Tética
Processos, composta por: modelagem, e operacional) e tem como pré-requisito pelo menos três anos no ger-
redesenho, implementação, monito-
ramento e otimização de processos. enciamento de TI e o Foundation Certificate.
Teorias da História
Governança em TI 71

Managers Certificate
Avaliação profunda sobre todos os aspectos do ITIL, 3 exames
dissertativos de 3 horas, após treinamento de aproximadamente 14
semanas e pré-qualificação.

5.8.1 Fazer o exame na V2 ou na V3?

A ITIL v3 foi lançada em julho de 2007, mas a prova de certifi-


cação da EXIN continuará sendo baseada na versão 2 até final 2008.
Os processos e conceitos que você irá aprender na ITIL V2 continuam
sendo mantidos na V3.
Quem fez ou fará a certificação ITIL Foundation na V2 não terá
obrigação de renovar o seu título. Uma vez que você fez a prova e pas-
sou, o título vale para sempre. A certificação na ITIL v2 poderá ser
utilizada para acumular pontos para o Diploma ITIL v3.

Análise Crítica

O MAPA DA MINA

Há três tipos de certificação em ITIL: Foudation (básica),


Practitioner (intermediária e direcionada a cada um dos processos ou
grupos de processos) e Service Manager (máxima, com foco na gestão
de TI). O Brasil tem hoje cerca de 5500 profissionais certificados em
ITIL Foundation e 65 em Service Manager. Em Practitioner não há
uma estimativa, uma vez que são muitas categorias.
A cada certificado obtido, o salário aumenta. O Foundation é
quase uma obrigação, mas com o Practitioner, o aumento é visível – de
1250 reais a 2500 reais a mais. Quem chega a Service Manager ganha
de 11 mil a 16 mil reais, dependendo da experiência e da senioridade
que possua. Para se dar bem em ITIL, é preciso ter conhecimentos de
administração, engenharia, economia, ciências da computação e até
psicologia, entendimento pleno das práticas preconizadas na biblioteca
e muita experiência em implantação, enumera Sergio Rubinato Filho,
vice-presidente do itSMF Brasil, fórum da comunidade ITIL. Além
disso, o profissional precisa bancar os cursos e a prova.
No Foundation, por exemplo, o curso oficial custa entre 1600 e
2300 reais, dependendo dos meios de aprendizado. No Practitioner, o
valor salta para uma média de 4 mil reais, e no service Manager pode
custar até 17 mil reais. O custo é um fator que restringe a busca pelo
título máximo.
O curso de preparação dura, segundo César Monteiro, diretor-
geral da IT Partners, empresa de consultoria e treinamento, 12 dias,
em média. No caso do IT Partners, esses 12 dias são divididos em dois
períodos: cinco dias no primeiro mês e sete dias no segundo mês. Mo-
tivo: é necessário que o aluno tenha um tempo entre os módulos para
estudar e incorporar o aprendizado.
Para o Service Manager, são dois dias de exame, com duração de
três horas por dia. Ribeiro fez a prova dissertativa em inglês (hoje, já
é possível fazer em português), ao custo de mil reais cada um. Em um
72 Governança
Teorias da em TI
História

dia escreveu 23 páginas e, no segundo, 17. “O tempo foi curto, e as


questões não são fáceis”, diz Ribeiro. Para passar, é preciso fazer pelo
menos 50 pontos em uma prova que vale 100. Pelas estatísticas do
mercado, o número de aprovados é inferior a 20% no Brasil e a 50%
no mundo.

PADRÃO INTERNACIONAL

Apesar das dificuldades, Rubinato Filho ressalta que o ITIL


ajuda a pessoa a se profissionalizar mais a se alinhar com as normas
reconhecidas internacionalmente (ISSO/IEC 20000). Por isso, Joel
Oliveira, 51 anos, executivo de projetos da área de outsourcing da IBM
Brasil, decidiu estudar o ITIL. Ele fez a prova para o Practitioner. “O
mercado demanda certificação. Nas licitações públicas e privadas, já
exigem profissionais certificados”, afirma.
Mesmo na certificação básica, o ITIL ajudou Guilherme Jardim,
30 anos, gerente de projetos de TI da Friboi, a obter o emprego. “Fez
a diferença na entrevista e contou pontos a meu favor”, conta. Jardim
resolveu apostar no ITIL ao sair do emprego anterior e continua in-
vestindo – recentemente ele fez a prova para a certificação Service
Manager, cujo resultado só sai em três meses.
Fonte: Revista Info Exame – Nº 256 – Junho de 2007, página 87

5.9 O papel do CIO na Organização Aspectos Culturais


Corporativos

Segundo Mansur, 2007, os principais papéis do CIO numa or-


ganização são:

● Gerenciar a infra-estrutura de TI.


● Gerenciar as inovações e agregar valor às informações.
● Gerenciar o tempo e custo.

Os objetivos do CIO estão relacionados com o aumento da


credibilidade e a redução da dependência das áreas de negócio em TI.
A redução da dependência pode parecer no primeiro momento como
um tiro no pé, mas é vital para que TI deixe ser um centro de custo.

Dimensão Ações

Excelência operacional.
Credibilidade Manter e aumentar os talentos.
Demonstração de resultados

Gerenciar as informações.
Dependência Gerenciar relacionamentos.
Desenvolver o Catálogo de Serviços
(Service Catalog).
Teorias da História
Governança em TI 73

Para deixar de ser percebido como um centro de custo,


TI deve realizar ações para que seus serviços não gerem de-
pendências e sejam considerados fundamentais para o negócio.

Dimensão Ações

Credibilidade Inovação através de TI


Liderança
Dependência Agregar valor ao negócio
Planejamento alinhado.

O CIO deve desenvolver as seguintes habilidades:

Dimensão Habilidade

Inteligência Desenvolver ou usar tecnologias que


agreguem valor ao negócio
Paixão Ter a sua visão corporativa e da organiza
ção de TI entendida e compartilhada pela
empresa
Coragem Desenvolver um gerenciamento dos ris-
cos efetivo

O executivo de TI deve ser capaz de tomar decisões rapidamente


e, por isso, deve desenvolver as seguintes competências:

Dimensão Competência

Criatividade Capacidade de ser criativo na solução dos


problemas.
Comunicação Capacidade de saber perguntar e enten-
der as respostas
Engenharia Capacidade de ter pensamento sistêmico
e lógico para melhorar os processos
Vendas Capacidade de vender o seu ponto de
vista.
Equilíbrio Capacidade de equilibrar os interesses.

Conhecimento Capacidade de adquirir e transferir co-


nhecimento.
Estrutural Capacidade de organizar logicamente
atividades e processos.

As habilidades do CIO são de enorme importância para equilibrar


os conflitos entre TI e negócios. A figura 17 apresenta os conflitos
mais comuns entre os negócios e tecnologia em termos de estratégia
(Mansur, 2007).
74 Governança
Teorias da em TI
História

Dimensão Negócio TI
Tempo Curto Prazo Médio e longo prazo
Abrangência Especialista Genérica
Visão de Negócio Caso a Caso Integração

Figura 17 – Conflitos entre as estratégias de TI e dos negócios.


Fonte: MANSUR (2007)

Os principais conflitos estão em termos de tempo e abrangência,


pois o negócio busca soluções de curto prazo e especialista, e a tecnolo-
gia desenvolve as suas estratégias com a visão de médio e longo prazo,
além das soluções genéricas que devem atender toda a corporação.
O modelo da figura 18 mostra que é necessário um equilíbrio en-
tre excelência operacional, cultura negócios, segurança, desempenho e
impacto para que os conflitos sejam identificados e equilibrados. A meta
de TI é conseguir atuar para atender as necessidades da empresa de uma
maneira mais significativa do que ser apenas um centro de custos.

Figura 18 – Modelo de Governança


Fonte: MANSUR (2007)
Mansur, 2007, considera que para atingir este objetivo TI deve
desempenhar um novo papel na estruturação dos negócios. A figura 19
mostra o comportamento atual de TI e qual deve ser o seu novo papel
para deixar de ser um centro de custos.

Organização de TI
TI Tradicional TI Moderna

Atividades operacionais Serviços de TI


TI orientada à tecnologia TI orientado ao negócio
Foco na operação Foco nos processos
Ausência de previsibilidade Previsibilidade pelo uso
das melhores práticas
Foco individual Foco coletivo
Teorias da História
Governança em TI 75

Reativa Proativa
Conflitos constantes com os usuários Qualidade pela eliminação de
serviços pobres
Ambiente não integrado Ambiente integrado
Inteligência interna Inteligência do mercado
Figura 19 – Transformação de TI
Fonte: MANSUR (2007)
As melhores práticas ajudam muito este processo de mudanças de
TI, pois conforme observamos na figura 20, as fases do projeto estão
diretamente relacionadas com a estrutura da organização.

Figura 20 – Relacionamento do ITIL e Estrutura Organizacional


Fonte: MANSUR (2007)

Seguindo este modelo de adoção do ITIL, TI pode transformar


o modelo de gestão com base na tecnologia em um novo modelo com
base no negócio.
Exemplos Práticos:

Aposta na governança

Maior frigorífico do mundo, o Grupo JBS-Friboi tinha até o


mês passado um help desk de empresa média. Com a adoção do
ITIL, a situação mudou.

Murilo Ohl

O Grupo JBS-Friboi, maior frigorífico do mundo, é uma das


companhias que mais cresceram no Brasil na última década. Hoje, a
empresa fatura 11,5 bilhões de dólares e tem 40 mil funcionários nos
quatro países onde atua. O crescimento rápido impediu, porém, que o
departamento de TI tivesse tempo de organizar a prestação dos serviços
para as áreas usuárias. Havia pouca documentação das práticas e parte
importante do conhecimento sobre os processos do grupo estava apenas
na cabeça dos profissionais de TI.
O atendimento às áreas de negócio era confuso e criava expecta-
tivas errôneas sobre a qualidade do suporte provido pelo departamento
76 Governança
Teorias da em TI
História

de tecnologia. Com o objetivo de reparar a situação, a Friboi começou a


implementar, neste ano, uma série de melhores práticas de governança
de TI. “Precisávamos dar visibilidade e transparência para o resto do
grupo e assegurar condições para que a empresa continuasse crescendo
sem ver a TI como uma barreira”, afirma Rogério D’Alcântara Peres,
diretor de tecnologia do JBS-Friboi.
No mês passado, foram concluídos uma iniciativa de adesão às
práticas do ITIL e mais o treinamento de 35 gerentes e coordenadores
da área de desenvolvimento interno no guia PMBOK de gestão de
projetos. Essas duas iniciativas se juntam à certificação CMMi, que a
empresa já possui há cinco anos. O projeto mais abrangente é o do
ITIL, que teve início em junho, com a contratação da consultoria IT
Partners, especializada nas práticas da biblioteca de TI. Um grupo de 30
funcionários da tecnologia recebeu treinamento em ITIL Foundation.
Desses, seis devem continuar o treinamento para receber a certificação
na disciplina. O investimento total foi de cerca de 250 mil reais e inclui
consultoria, treinamento e mais um investimento em uma ferramenta
web, fornecida pela Automídia, que é responsável pelo registro dos
chamados online ao service desk.
Catálogo de serviços
A adoção do ITIL ocorre em etapas. Na
fase inicial, recém-concluída, os trabalhos se
concentraram na organização do service desk e
nos processos de gerenciamento de incidentes e
gestão de configuração dos dispositivos usados
na empresa. Mas o processo mais importante
abordado foi o gerenciamento do nível de
serviços, que gerou a criação de um catálogo
específico. É a partir das definições presentes
nesse documento que a TI pactua e comunica para a organização quais
são (e quais não são) suas atribuições. “A elaboração do catálogo foi
importante para dizer o que a TI pode fazer”, afirma Guilherme Jardim,
gerente de projetos do JBS-Friboi. “A aceitação das áreas usuárias foi
muito boa. Agora as pessoas se sentem confortáveis para fazer os cha-
mados”, afirma Jardim. O service desk passou a ser o ponto único de
contato entre os usuários e a TI.
Antes da adoção do ITIL, era necessário falar com vários núcleos
na TI: um que cuidava da gestão do ERP, outro dos aplicativos, um
terceiro responsável pela infra-estrutura e assim por diante. Agora o
usuário pode abrir um chamado por telefone, e-mail ou intranet.
O help desk trata o chamado de forma padronizada, com base
nos repositórios de conhecimento que foram estabelecidos com a
adoção do ITIL. Quando ocorre um pedido de serviço, o profissional
do atendimento da TI dá ao usuário uma previsão sobre o tempo de
correção do problema. Depois, a ferramenta com interface web mantém
o autor do chamado informado sobre a resolução do problema por
meio de e-mails automáticos. O usuário também pode acompanhar o
chamado pelo site do service desk na intranet.
Gerenciamento de riscos
Na seqüência do projeto, devem ser tratados os processos de ger-
Teorias da História
Governança em TI 77

enciamento de mudança e liberação, gerenciamento de disponibilidade


e capacidade, além da gestão financeira. “Esses são projetos de curto
prazo”, afirma Peres. Dentro do planejamento de governança de TI, mas
ainda sem data definida, o JBS-Friboi também pretende adotar práticas
do COBIT e obter a certificação BS7799, para melhorar principalmente
o gerenciamento de riscos na infra-estrutura. “Nossa meta é ficar cada
vez mais dentro dos padrões internacionais”, afirma Peres.
Fonte: http://computerworld.uol.com.br/governanca/2008/01/16/
jbs-friboi-ve-melhoria-nos-servicos-de-ti-apos-adocao-do-itil/

Análise Crítica: COBIT e/ou ITIL?

COBIT é uma estrutura complementar ao ITIL. As empresas


que desejam pôr seu programa de ITIL no contexto de uma estrutura
mais ampla de controle e de governança devem usar COBIT.
Conforme estudamos no TEMA III, o COBIT (Control Ob-
jectives for Information and Related Technology) é uma estrutura (ou
framework) de controle de TI e também um modelo da maturidade. A
finalidade do COBIT é assegurar que os recursos de TI estão alinhados
com os objetivos de negócio de uma empresa, de modo que serviços e
informações quando entregues, reúnam qualidade, eficácia e a segurança
necessárias. Pretende também fornecer um mecanismo para balancear
riscos e retornos. Revisando a estrutura do COBIT, vimos que a biblio-
teca possui 34 processos significativos, reunindo 318 tarefas e atividades
relacionadas, implementando uma estrutura interna de controle.
O COBIT é introduzido frequentemente em uma empresa at-
ravés das falhas descobertas numa auditoria. Em conseqüência disso,
os gerentes frequentemente vêem o COBIT como uma ameaça à suas
posições, antes de uma estrutura útil e poderosa para avaliar a sua
eficácia para o negócio.
Os processos do COBIT e os objetos de controle são segmentados
em quatro domínios:

Planejamento e Organização (PO)


Aquisição e Implementação (AI)
Entregas e Suporte (DS)
Monitoração (M)

O COBIT é baseado em estruturas estabelecidas, tais como o


modelo de capacidade e maturidade do Software Engineering Institute,
ISO 9000 e o mais importante neste contexto, a Information Technol-
ogy Infrastructure Library (ITIL).
Entretanto, o COBIT não inclui as regras ou práticas, que são
o nível mais baixo dos detalhes. Ao contrário do ITIL, estudado no
TEMA V, o COBIT não inclui etapas e tarefas, porque é uma estrutura
de controle e não uma estrutura de processos. O COBIT focaliza no
que a empresa necessita fazer e não como necessita fazer, e a audiência
alvo são os auditores, gerência executiva e gerência de TI.
O ITIL é baseado nos modelos de melhores-práticas para TI,
cuidando da entrega e sustentação dos serviços, ao invés de fornecer
78 Governança
Teorias da em TI
História

uma estrutura de controle gerencial. O ITIL focaliza nos métodos. O


ITIL tem um espaço muito mais restrito do que o COBIT por causa de
seu foco na gerência dos serviços, definindo um conjunto detalhado dos
processos dentro do escopo da entrega e da sustentação dos serviços. O
ITIL é mais detalhista e indicado nas tarefas envolvidas nestes processos
e tem como sua audiência alvo, a gerência de TI e serviço.
Os princípios atrás das estruturas do COBIT e do ITIL são
consistentes. Os auditores frequentemente utilizam o COBIT em
combinação com o manual de boas práticas do ITIL, para avaliar o
ambiente da gerência do serviço entregue e suportado. O COBIT for-
nece um conjunto de indicadores de desempenho, e os fatores críticos
do sucesso para cada um de seus processos. Estes adicionam valor ao
ITIL porque estabelecem a base para controlar os processos do ITIL.
Algumas empresas combinaram os dois para fornecer um modelo
mais compreensivo de governança de TI e do ambiente de operações.
Podemos ter uma visão completa dos processos na figura 21.

Figura 21 – Visão dos processos do COBIT e ITIL


Fonte: ITIL The Key to Managing IT Services - Fundamentos

Muitos dos processos do COBIT - particularmente aqueles no


domínio da entrega e suporte, mapeiam bem um ou mais processos do
ITIL, tais como o nível de serviço, configuração, problemas, incidentes,
liberação, capacidade, disponibilidade ou a gerência financeira. Simi-
larmente, os processos da gerência da mudança encaixam-se bem nos
modelos de gerenciamento de mudanças do ITIL e outros processos
de suporte, tais como a gerência da liberação, dentre outros. Podemos
ver essas interações na figura 22.
Teorias da História
Governança em TI 79

Figura 22 – Relação dos processos do COBIT x ITIL


Fonte: ITIL The Key to Managing IT Services - Fundamentos

No ITIL falta a cobertura direta em outros três domínios do


COBIT, mas ele contribui em alguns deles, com um foco mais restrito
na gerência dos serviços de TI. Por exemplo, o ITIL enfatiza as comu-
nicações consistentes e a participação da comunidade de usuários.
Similarmente, os princípios do COBIT da gestão da qualidade são
coerentes com o ITIL, na forma inerente em que ambos abordam o
tema da qualidade. O ITIL não cobre a gerência de projetos, mas este
é coberto na metodologia de gestão de Projetos do PMI15.
Os processos do desenvolvimento das duas estruturas (COBIT e
ITIL) não são ligados e ambos podem se beneficiar de uma colaboração
mais próxima e o seu uso conjunto.

RESUMO:

A adoção do COBIT e do ITIL não é mutuamente exclusiva e pode


ser combinada para fornecer uma poderosa estrutura de governança de
TI, controlando e estabelecendo as melhores práticas na gerência de
TI e dos serviços. As empresas que querem pôr seu programa de ITIL
no contexto de uma estrutura mais ampla de controle e da governança
devem usar o COBIT. Fonte: Gartner Group, Tradução: Paulo Vaz

Análise Crítica
15
PMI – Project Management Institute,
Estudo: 64% dizem que ITIL é a chave para melhorar a responsável pela edição do PMbok, que
pode ser classificado com um frame-
reputação da TI. work de melhores práticas de gestão
Pesquisa da Axios Systems revela que a maior parte dos execu- de projetos. Conhecido e utilizado
mundialmente.
80 Governança
Teorias da em TI
História

tivos de tecnologia acredita no ITIL como forma de retomar a imagem


da área de TI.
Aproximadamente dois terços dos profissionais de TI (64%) com
interesse nas melhores práticas de ITIL acreditam que usar o frame-
work é a chave para aprimorar a reputação dos departamentos de TI,
de acordo com uma pesquisa global realizada pela empresa de serviços
de gerenciamento de TI, Axios Systems.
A pesquisa descobriu que mais organizações estão considerando a
adoção da biblioteca ITIL depois do lançamento da sua versão 3, mas os
resultados também mostram que, apesar deste crescimento no interesse,
muitos profissionais ainda continuam confusos sobre os benefícios do
ITIL v3 e não estão certos sobre qual versão adotar.
Baseado na opinião de 255 executivos de TI de organizações
globais ouvidas pela pesquisa em eventos ao redor do mundo, o estudo
revela que a esmagadora maioria das empresas (87%) agora seguem as
dicas de práticas de ITIL, com uma em cada três pretendendo adotar
o ITIL dentre de um prazo de um ano.
Entre as principais razões dadas para priorizar seu uso, outros dois
terços dos respondentes (70%) vêem o ITIL como um acelerador para
reuniões e melhorias dos acordos de níveis de serviços (SLAs).
Outros benefícios incluem a redução na manutenção do tempo
e custos, melhorias na primeira linha de resposta aos usuários, seguida
por melhor comunicação interna. Os resultados também revelam que
o ITIL está ajudando muitas organizações a entrar em conformidade
com as requisições de compliance, incluindo o ISSO/IEC 20000, Cobit
e a lei norte-americana Sarbanes-Oxley.
Mas a pesquisa também aponta uma falta de entendimento no
mercado sobre os benefícios do ITIL v3, com um terço dos respond-
entes não planejando adotar a nova versão devido à falta de conheci-
mento. Daquelas organizações com planos de adotar o ITIL, quase
uma a cada três (30%) viu entre as barreiras para isso o tempo e o alto
custo para desenvolvimento.
Fonte: Computerworld, UK (http://computerworld.uol.com.br/governanca)
30 de janeiro de 2008

Atividades do Tema V

01 - O Que é o ITIL?

02 – Quais os benefícios para funcionamento da área de TI com a


adoção do ITIL?
Teorias da História
Governança em TI 81

03 – Descreva de forma sucinta os livros da biblioteca do ITIL.

04 – Quais são os componentes do Service Support (Suporte a


Serviços)?

05 – Quais são os principais benefícios do Service Desk na visão do


ITIL?
TEMA VI
Norma NBR ISO/IEC 17799
Competências e Habilidades
Conhecer os conceitos de Segurança da Informação;
Conhecer Histórico da Norma NBR ISO/IEC 17799;
Compreender a estrutura da Norma NBR ISO/IEC 17799;
Entender a aplicação, os objetivos e benefícios Segurança da Informação,
interagindo com outros Frameworks;
Compreender a estrutura da Norma ISO/IEC 27000 e sua relação com a
ISO 17799;

O que iremos aprender


Segurança da Informação;
Norma NBR ISO/IEC 17799;
Norma ISO/IEC 27000
Teorias da História
Governança em TI 85

6.1 Segurança da Informação

A informação é um conjunto de dados que, como qualquer outro


ativo importante, é essencial para os negócios de uma organização e
conseqüentemente necessita de cuidado e proteção.
Como a interconectividade tem crescido, a informação vem sendo
cada vez mais exposta à pessoas, ameaças e riscos.
Independente de qual seja a forma que a informação está repre-
sentada é sempre recomendado que ela seja protegida adequadamente.
Com isso segurança da informação é a proteção da informação das
ameaças na busca de manter a continuidade do negócio, diminuir os
riscos e maximizar retornos.
A segurança da informação é obtida através da implementação
de um conjunto de controles e técnicas adequadas, para a proteção da
informação. Estas técnicas precisam ser trabalhadas para que sejam
atendidas as necessidades de segurança.

6.2 Norma NBR ISO/IEC 17799

O DTI (Departamento de Comércio e Indústria do Reino Unido),


com a necessidade de criar uma estratégia de segurança para as infor-
mações do Reino Unido, criou em 1987 o CCSC (Comercial Computer
Security Center), que tinha como objetivo criar uma norma de segurança
que os atendesse.
Como a necessidade era alta, várias empresas e instituições in-
ternacionais buscaram estabelecer metodologias e padrões que melhor
ajudasse o mercado em suas pendências relativas à Segurança da Infor-
mação. Em 1989 depois de ter criado vários documentos preliminares o
CCSC criou a BS 7799 (Brithish Standart 7799), essa foi uma norma de
segurança da informação destinada a empresas, criada na Inglaterra em
1995 e disponibilizada para consulta pública dividida em duas partes: a
primeira (BS 7799-1) em 1995, a segunda (BS 7799-2) em 1998.
A (BS 7799-1) é a parte da norma que é planejada como um docu-
mento de referência para pôr em execução “boas práticas” de segurança
na empresa. A (BS 7799-2) é a parte da norma que tem o objetivo de
proporcionar uma base para gerenciar a segurança da informação dos
sistemas da empresa.
Após um trabalho árduo de internacionalização e consultas pú-
blicas, foi aceita em dezembro de 2000, a BS 7799 como padrão inter-
nacional pelos países membros as ISO. Isto implica na junção de duas
organizações ISO (International Standartization Organization) e IEC
(International Engineering Consortium), sendo assim denominada ISO
/ IEC 17799:2000.
A ISO é uma organização internacional formada por um conselho
e comitês com membros oriundos de vários países. Seu objetivo é criar
normas e padrões universalmente aceitos sobre a realização de atividades
comerciais, industriais, científicas e tecnológicas. A IEC é uma organi-
zação voltada ao aprimoramento da indústria da informação.
Com isso em dezembro de 2000 a ABNT (Associação Brasileira
de Normas Técnicas) também resolveu acatar a norma ISO como pa-
86 Governança
Teorias da em TI
História

drão brasileiro sendo publicada em 2001 como: NBR 17799 – Código


de Prática para a Gestão da Segurança da Informação. O importante é
que a partir dessa publicação passamos a ter um referencial de aceitação
internacional.
No segundo semestre de 2005 foi lançada à nova versão da norma,
a norma ISO / IEC 17799:2005, que cancela e substitui a edição an-
terior.

6.2.1 Estrutura da Norma NBR ISO/IEC 17799

A Norma 17799 é um padrão de fácil compreensão e implemen-


tação, contendo um grande número de requisitos de controle.
A primeira parte é o código da prática para a segurança das in-
formações, contendo as dez seções e controles chaves para a criação
da estrutura de segurança das informações.
A segunda parte é a base para a certificação, contendo cem
controles que foram detalhados e ajustados conforme os objetivos
e controles da primeira parte. A BS 7799 é um padrão de segurança
organizado em dez seções:

Planejamento da continuidade do negócio;


Controle de acesso aos sistemas;
Manutenção e desenvolvimento dos sistemas;
Segurança física e do ambiente;
Conformidade legal;
Segurança pessoal;
Segurança da organização;
Segurança da rede e dos computadores;
Controle e classificação dos bens;
Política de segurança.

A BS 7799 abrange a segurança, desde a definição e documen-


tação das políticas de segurança até a conformidade com as normas,
regulamentações e legislações de proteção de dados, passando pelos
treinamentos em segurança, relatórios dos incidentes de segurança,
controle de vírus, etc.
O objetivo do Security Management (ITIL) é assegurar que os
dados e a infra-estrutura estejam protegidos com garantias de Con-
fidencialidade, Integridade, Disponibilidade e Autenticidade
(CIDA) (Mansur, 1997). Conhecemos o Security Management no Item
5.3 Conhecendo a estrutura do ITIL.
O gerenciamento deve definir, documentar, negociar, comunicar,
monitorar e executar a política de segurança da corporação com base
em três premissas:

1. Nos objetivos;
2. Na área de Atuação;
3. Nas leis, normas e regulamentações da segurança.

O gerenciamento deve estar presente em todos os processos do


Teorias da História
Governança em TI 87

Security Management através das seguintes atividades:

Categorização da criticidade dos processos;


Determinação da estratégia para a infra-estrutura crítica;
Identificação dos processos, componentes e relacionamentos;
Definição, documentação, negociação e comunicação dos
processos críticos;
Identificação dos pontos fracos;
Avaliação da incidência de ameaças;
Avaliação dos impactos das ameaças para o CIDA.

Segundo Mansur (2007), a otimização dos investimentos da seg-


urança das informações pode ser ameaçada pela avaliação dos impactos
nas atividades críticas, pela aceitação de setores menos protegidos e pela
priorização de acordo com o impacto.
Para a implementação da segurança são necessários recursos
financeiros e humanos, métricas de monitoração, plano de segurança
para os sistemas, plano de emergência, padrões e normas.

Figura 23 – Fluxograma de Segurança


Fonte: MANSUR (2007)

6.3 Norma ISO/IEC 27000

Este conjunto de normas ISO/IEC é o mais importante referen-


cial de Segurança da Informação. Estas normas substituíram a normas
BS 7799-2 (referente à Gestão de Segurança da informação) e ISO 17799
(Código de Boas Práticas da Gestão de Segurança da Informação).
A norma ISO 27001:2005 é a norma BS7799-2:2002 revisada,
com melhorias e adaptações, contemplando o ciclo PDCA de melhorias
e a visão de processos que as normas de sistemas de gestão já incorpo-
raram. A revisão foi feita por um comitê técnico de âmbito internac-
ional, formado pela ISO e pelo IEC (The International Eletrotechnical
Comission) o ISO/IEC JTC.
Na família 27000, novos segmentos serão abordados sob normas
que variam de 27000 à 27009. Fonte: (FARIAS JR., Ariosto. “A Família
ISO/IEC 27000” em Security Review: Conteúdo Editorial, Janeiro/fe-
vereiro 2006, ano II, número 66).
No Brasil, poucas organizações conseguiram obter o certificado
88 Governança
Teorias da em TI
História

ISO27001, dentre elas: Serasa, Banco Matone, Samarco, Módulo Se-


curity, Unisys e SERPRO.
De acordo com órgãos certificadores será concedido um tempo
para as empresas certificadas em BS7799-2:2002 se adequarem a nova
norma ISO/IEC 27001. A média é de um ano e meio, então todas as
empresas certificadas, se quiserem manter o seu certificado, deverão
revisar seus sistemas e passar por uma auditoria de recertificação
migrando para a norma ISO/IEC 27001. A tendência natural é que
as empresas passem a buscar a nova norma e aumente o número de
certificações no mundo, devido a maior aceitação do padrão ISO com
referência universal.
Como resultado destas novas normas, a listagem das normas ISO
de Segurança da Informação será renovada, onde podemos destacar
as seguintes:

NÚMERO: ISO IEC NWIP 27000

TÍTULO: Information Security Management Systems - Funda-


mentals and Vocabulary APLICAÇÃO: Este projeto de norma tem
como objetivo apresentar os principais conceitos e modelos relacio-
nados com segurança da informação SITUAÇÃO: Este projeto de
norma encontra-se ainda nos primeiros estágios de desenvolvimento,
denominado de NWIP-New Work Item Proposal. A previsão para
publicação como norma internacional é 2008-2009.

NÚMERO: ISO IEC 27001:200522

TÍTULO: Information Security Management Systems-Require-


ments SITUAÇÃO: Norma aprovada e publicada pela ISO em Genebra,
em 15.10.2005. No Brasil, a ABNT publicou como Norma Brasileira
NBR ISO IEC 27001 no primeiro trimestre de 2006. APLICAÇÃO:
Esta norma é aplicável a qualquer organização, independente do seu
ramo de atuação, e define requisitos para estabelecer, implementar,
operar, monitorar, revisar, manter e melhorar um Sistema de Gestão de
Segurança da Informação. A ISO IEC 27001 é a norma usada para fins
de certificação e substitui a norma Britânica BS 7799-2:2002. Portanto,
uma organização que deseje implantar um SGSI deve adotar como base
a ISO IEC 27001.

NÚMERO: ISO IEC 27002:2005

TÍTULO: Information Technology - Code of practice for


information Security Management SITUAÇÃO: Norma aprovada e
publicada pela ISO em Genebra, em 15.06.2005. No Brasil, a ABNT
publicou como Norma Brasileira NBR ISO IEC 17799 no dia 24 de
agosto de 2005. APLICAÇÃO: Esta norma é um guia prático que es-
tabelece diretrizes e princípios gerais para iniciar, implementar, manter
e melhorar a gestão de segurança da informação em uma organização.
Os objetivos de controle e os controles definidos nesta norma têm como
finalidade atender aos requisitos identificados na análise/avaliação de
Teorias da História
Governança em TI 89

riscos.
Fonte: Módulo Security Magazine (O estado da arte em sistemas de
gestão da segurança da Informação: Norma ISO/IEC 27001:2005)
http://www.modulo.com.br

Atividades do Tema VI

01 – Descreva as Normas BS 7799-1 e BS 7799-2

@
02 – Descreva a estrutura da Norma NBR ISO/IEC 17799

03 – Como vimos na pergunta anterior, a BS 7799 é um padrão de


segurança organizado em várias seções. Quantas são e Quais?

04 – O Security Management do ITL é baseado na Norma 17799 e


busca assegurar que os dados e a infra-estrutura estejam protegidos
com garantias de que tipo?

05 – Pesquise quantas empresas no Brasil estão certificadas em norma


de Gestão de Segurança da Informação.
90 Governança
Teorias da em TI
História

Anotações
Teorias da História
Governança em TI 91

Referências Bibliográficas

Instituto Brasileiro de Governança Corporativa (IBGC), http://www.


ibgc.org.br/ Acesso em Fev de 2008.

Carvalho, Carlos Augusto da Costa, 2006 – Disponível em www.imas-


ters.com.br, Acesso em Dez de 2007.

Apostila ITIL The Key to Managing IT Services – Fundamentos. 2004


IT Partners versão 5.0

Revista Info Exame, nº 261, Novembro de 2007, página 71

Revista Info Exame – nº 256 – Junho de 2007, página 87

Revista Information Week – Ano 9 – N º 187

“Internal Control - Integrated Framework” - http://www.coso.org,


Acesso em Jan de 2008

Understanding Internal Controls, http://www.oc.ca.gov/audit, Acesso


em Fev de 2008

http://blogs.technet.com/rodias/default.aspx, Acesso em Dez de


2007

http://www.itil-itsm-world.com/itsm-kit.htm, Acesso em Dez de


2007

http://www.iso.org/iso/en/commcentre/pressreleases/ar-
chives/2005/Ref985.html, Acesso em Jan de 2008.

http://www.timaster.com.br, Acesso em Jan de 2008.

itSMF – IT Service Management Forum - http://www.itsmf.com.br,


Acesso em Dez de 2007.

Rodrigo Dias http://blogs.technet.com/rodias/archive/tags/ITIL/de-


fault.aspx, Acesso em Fev de 2008

Matéria: Aposta na governança

http://computerworld.uol.com.br/governanca/2008/01/16/jbs-fri-
boi-ve-melhoria-nos-servicos-de-ti-apos-adocao-do-itil/, Acesso em
Fev de 2008

Gartner Group, Tradução: Paulo Vaz, Acesso em Fev de 2008


www.tracesistemas.com.br/tech_journal/2006/fevereiro/
92 Governança
Teorias da em TI
História

Computerworld, UK (http://computerworld.uol.com.br/governanca,
Acesso em Fev de 2008

FARIAS JR., Ariosto. “A Família ISO/IEC 27000” em Security Review:


Conteúdo Editorial, Janeiro/fevereiro 2006, ano II, número 66;

Módulo Security Magazine (O estado da arte em sistemas de gestão da


segurança da Informação: Norma ISO/IEC 27001:2005) http://www.
modulo.com.br, Acesso em Fev de 2008
Teorias da História
Governança em TI 93

Anotações
94 Governança
Teorias da em TI
História

Anotações