Você está na página 1de 634

3

a
EDIO
Copyright 2012 por Brasport Livros e Multimdia Ltda.
Todos os direitos reservados. Nenhuma parte deste livro poder ser reproduzida, sob qualquer meio, especialmente
em fotocpia (xerox), sem a permisso, por escrito, da Editora.
1 edio: 2006
Reimpresso: 2007
2 edio: 2008
Reimpresses: 2009, 2010, 2011
3 edio: 2012
Editor: Sergio Martins de Oliveira
Diretora: Rosa Maria Oliveira de Queiroz
Gerente de Produo Editorial: Marina dos Anjos Martins de Oliveira
Reviso: Maria Ins Galvo
Editorao Eletrnica: Abreus System Ltda.
Capa: Use Design
CMM, CMMI, SCAMPI so marcas registradas da Carnegie Mellon University (Software Engineering Institute).
CobiT, CobiT Foundation, Information Systems Audit and Control Association, ISACA, IT Governance Institute,
ITGI, CISA, CISM, Val IT, Risk IT e CGEIT so marcas registradas da ISACA e do IT Governance Institute.
PMBOK, PMP, CAPM e PgMP so marcas registradas do Project Management Institute (PMI).
ITIL e PRINCE2 so marcas registradas do OGC (Offce for Government Commerce).
TOGAF uma marca registrada do The Open Group.
eSCM-SP e eSCM-CL so marcas registradas da Carnegie Mellon University (Information Technology Services
Qualifcation Center).
BPM CBOK uma marca registrada da Association of Business Process Management Professionals (ABPMP).
BABOK uma marca registrada do International Institute of Business Analysis (IIBA).
Outros produtos e nomes de empresas mencionadas neste livro podem ser marcas registradas de seus respec-
tivos proprietrios.
Tcnica e muita ateno foram empregadas na produo deste livro. Porm, erros de digitao e/ou impresso podem ocor-
rer. Qualquer dvida, inclusive de conceito, solicitamos enviar mensagem para editorial@brasport.com.br, para que nossa
equipe, juntamente com o autor, possa esclarecer. A Brasport e o(s) autor(es) no assumem qualquer responsabilidade por
eventuais danos ou perdas a pessoas ou bens, originados do uso deste livro.
BRASPORT Livros e Multimdia Ltda.
Rua Pardal Mallet, 23 Tijuca
20270-280 Rio de Janeiro-RJ
Tels. Fax: (21) 2568.1415/2568.1507
e-mails: marketing@brasport.com.br
vendas@brasport.com.br
editorial@brasport.com.br
site: www.brasport.com.br
Filial
Av. Paulista, 807 conj. 915
01311-100 So Paulo-SP
Tel. Fax (11): 3287.1752
e-mail: flialsp@brasport.com.br
A todos os profssionais, executivos de negcios e de
informtica e alunos com quem ao longo desses anos
tive a oportunidade de conviver e de compartilhar co-
nhecimento e com os quais tambm aprendi e conti-
nuo aprendendo.
Aguinaldo Aragon Fernandes
minha esposa Juliana, pelo apoio sempre presente
durante as muitas horas de pesquisa, aos meus pais
Isis e Nilson, por incentivarem desde cedo o gosto
pelo estudo e pela escrita, e pequena Ana Luiza, mi-
nha mais nova inspirao em todos os momentos.
Vladimir Ferraz de Abreu

AgrAdecimentos
Esta terceira edio do livro no seria realidade sem o concurso de vrios
profssionais e organizaes, dentre os quais destacamos:
A Antonio Carlos Abuhab Fernandes e Maritza Maura de Carvalho, Msc.,
renomados consultores do mercado e especialistas, respectivamente, em Go-
vernana SOA e Governana de Dados, pelas valorosas contribuies e pelo
aporte de conhecimento ao Captulo 13 desta edio.
Ao itSMF Brasil e ao Captulo So Paulo da ISACA, pelo apoio divulga-
o deste livro em mbito nacional, desde a sua primeira edio.
Ao colega Tiago Nogueira de Carvalho, por nos auxiliar na questo do
dashboard.
A uma organizao, a qual no podemos citar, que merece nosso agrade-
cimento e admirao por ser uma fonte de incentivo, experincia, inovao
e aprendizado em Governana de TI e em Governana Corporativa de uma
forma geral.
Aos nossos alunos e participantes de cursos e palestras sobre Governana
de TI, que, alm de fazerem um controle da qualidade, contribuem com suas
experincias prticas.
Aos nossos milhares de leitores, que fzeram desta obra uma referncia e
um best-seller em Governana de TI.
Aguinaldo Aragon Fernandes
Vladimir Ferraz de Abreu

sobre os Autores
AGUINALDO ARAGON FERNANDES, DSC
Bacharel em Administrao de Empresas pela Universidade Federal do
Rio Grande do Sul (1976), Mestre em Cincias em Administrao pela
COPPEAD, Universidade Federal do Rio de Janeiro (1983) e Doutor em
Engenharia de Produo pela Escola Politcnica de Engenharia da USP
(2000). Profssional e pesquisador da rea de tecnologia da informao
com atuao no mercado superior a 36 anos. autor de vrios trabalhos
publicados, dentre os quais os livros Planejamento e Controle de Sistemas
de Informao, publicado em 1984, Gerncia de Projetos de Sistemas:
uma abordagem prtica, publicado em 1989, Gerncia Estratgica da
Tecnologia da Informao: como obter vantagens competitivas, publicado
em 1992, todos pela Livros Tcnicos e Cientfcos, Gerncia de Software
atravs de mtricas, publicado pela Editora Atlas em 1995, e Fbrica de
Software: implantao e gesto de operaes, publicado pela Editora Atlas
em 2004. Ao longo de sua carreira atuou como analista, gerente e diretor
em empresas de prestao de servios em informtica e gesto empresarial,
tendo prestado servios tanto para instituies pblicas como privadas, de
mdio e grande porte. Na indstria de servios de TI foi pioneiro no desen-
volvimento de produtos e servios, como a primeira fbrica de software do
Brasil, operaes de outsourcing de sistemas, metodologias de desenvolvi-
mento de software, de gesto de projetos, de garantia da qualidade, de m-
tricas, etc. Teve a oportunidade de coordenar e implantar modelos de qua-
lidade para software e suporte baseados na ISO, no SW-CMM e CMMI.
professor da FIA/USP. membro do ISACA e da ABPMP e certifcado
CGEIT Certifed in the Governance Enterprise IT, CobiT Foundation e
X Implantando a Governana de TI 3 edio
Certifcado ITIL Foundation pelo EXIN. Atualmente, gerencia sua empre-
sa de consultoria, a Aragon Consultores Associados.
Contatos com o autor atravs do e-mail: aragon@aragonconsultores.com.br.
VLADIMIR FERRAZ DE ABREU
Graduado em Engenharia da Computao pela Universidade Estadual de
Campinas-UNICAMP (1993), com especializaes em Administrao de
Empresas pela Escola Superior de Administrao de Negcios-ESAN (1995),
em Qualidade e Produtividade pela Fundao Carlos Alberto Vanzolini-USP
(2001) e em Gesto de Processos de Negcios pelo Grupo de Produo In-
tegrada da COPPE-UFRJ (2007). Profssional da rea de tecnologia da in-
formao com atuao no mercado h mais de dezoito anos. Ao longo da
sua carreira tem atuado como analista de sistemas, consultor de processos,
metodologia e qualidade, e gerente de qualidade em empresas de prestao
de servios em informtica como CPM, EDS, Getronics, Ilumna, Conceptus
e Interadapt, tendo realizado projetos e trabalhos junto a instituies como
Icatu Seguros, Bradesco, BCP Telecomunicaes (atual Claro), Philip Mor-
ris, Atento, Unisys, Asbace/ATP, BankBoston, Carto Unibanco (atual Itau-
card), Unibanco (atual Banco Ita), Caixa Econmica Federal, Telemar (atual
Oi), Visanet, T-Systems, Cemar, Sabesp, Hospital Alemo Oswaldo Cruz,
Usiminas, Net Servios, Dimension Data, Banrisul, Prodenge e Capemisa.
Participou como Lder Tcnico no projeto de implementao e como Team
Member na avaliao SCAMPI que qualifcou a Getronics Brasil no Nvel 2
do SW-CMM. Atua como professor no programa Master Business Informa-
tion Systems, da PUC-SP. certifcado em Fundamentos de Gerenciamento
de Servios com base na ITIL e na ISO/IEC 20000 e Accredited Trainer
pelo EXIN, membro do Conselho Deliberativo do itSMF Brasil, associado
ISACA e ABPMP Brasil, e participou da comisso constituda pela ABNT
para localizao da norma ISO/IEC 20000 no Brasil. Atualmente trabalha
como consultor em iniciativas de governana de TI e de gesto de processos
de negcio.
Contatos com o autor atravs do e-mail: vladimir-abreu@uol.com.br.

Prefcio dA 3 edio
No so tantos os livros na rea de TI que sobrevivem por mais de cinco
anos e chegam sua terceira edio ou o mercado os substitui ou ento os
autores se cansam de atualizar o texto numa rea to dinmica como a da
tecnologia da informao.
Felizmente, temos em mos uma obra que passou pelos dois testes: tornou-
-se um texto de referncia padro para os gestores da rea, o que motivou os
autores para a pesquisa contnua para incluso das inovaes na rea de Go-
vernana de TI e para a busca de uma sistematizao e proposio de modelo
integrativo nesta rea de complexidade crescente.
Presta, deste modo, um servio importante aos estudantes e praticantes
desta (ainda) arte que a de assegurar a contribuio contnua da TI para os
resultados e a continuidade dos negcios que dela se utilizam.
Sou testemunha do valor desta obra pela sua contribuio nos cursos de
Gesto de TI na FIA (Fundao Instituto de Administrao), mas tambm
pela observao do seu uso como referncia para gestores e consultores da rea.
Numa rea em que as decises do gestor no resultam apenas da consi-
derao de interesses dos negcios da empresa, mas a cada dia aumentam as
exigncias de compliance com normas e legislao, textos como o presente
se tornam leitura obrigatria para os gestores das organizaes.
Alm da atualizao das verses das tcnicas e dos modelos propostos pelas
diferentes organizaes pblicas e profssionais da rea, da incluso de novos
padres e tcnicas, esta edio representa mais uma contribuio inovadora
que a sistematizao de propostas para a operacionalizao do alinhamento
entre a governana corporativa e a TI.
XII Implantando a Governana de TI 3 edio
Novos estudos de casos ilustram o uso dos modelos e tcnicas, demons-
trando ao mesmo tempo a maturidade crescente da prtica da governana e
da gesto da TI no nosso meio.
Aos leitores desejamos uma leitura estimulante e uso proveitoso de mais
esta obra dos autores.
Prof. Dr. Nicolau Reinhard
Vice-Diretor da FEA-USP e
Coordenador do MBA
em Gesto de
Tecnologia de Informao da FIA.

sumrio
Introduo ............................................................................................................1
Fatores motivadores do livro .......................................................................................1
Objetivos do livro .......................................................................................................3
Estrutura do livro .......................................................................................................4
1 Governana de TI ...........................................................................................7
1.1 Os fatores motivadores da Governana de TI ........................................................7
1.2 O que a Governana de TI ...............................................................................12
1.3 Objetivos da Governana de TI ..........................................................................14
1.4 Componentes da Governana de TI ...................................................................16
1.4.1 Os componentes da etapa de alinhamento estratgico e compliance ........16
1.4.2 Os componentes da etapa de Deciso, Compromisso, Priorizao e
Alocao de Recursos ...............................................................................20
1.4.3 Os componentes da etapa de Estrutura, Processos, Organizao e
Gesto .....................................................................................................21
1.4.4 O componente da etapa de Gesto do Valor e do Desempenho da TI .....23
2 Governana Corporativa e Regulamentaes de Compliance .......................24
2.1 Governana Corporativa e a ligao com a Governana de TI ............................24
2.2 Entendendo as implicaes do Sarbanes-Oxley Act .............................................28
2.2.1 O que o Sarbanes-Oxley Act e qual a sua fnalidade ..............................28
XIV Implantando a Governana de TI 3 edio
2.2.2 Requisitos do SOX que afetam TI ...........................................................31
2.2.3 Impacto do SOX na Governana de TI ...................................................34
2.3 Entendendo as implicaes do Acordo da Basileia II ...........................................35
2.3.1 O que o Acordo da Basileia II ...............................................................35
2.3.2 Implicaes do Acordo da Basileia II sobre TI .........................................35
2.4 O impacto da Resoluo 3380 do Banco Central do Brasil .................................37
3 O Modelo de Governana de TI ...................................................................39
3.1 Viso geral do modelo de Governana de TI .......................................................40
3.2 O Alinhamento estratgico de TI .......................................................................45
3.2.1 O que o alinhamento estratgico ..........................................................45
3.2.2 O Plano de Tecnologia da Informao .....................................................50
3.2.3 Elaborao do mapa estratgico e do Balanced Scorecard (BSC) ............122
3.3 Mecanismos de deciso em TI ..........................................................................127
3.4 A entrega de valor .............................................................................................130
3.4.1 Gerenciamento do portflio de TI ........................................................130
3.4.2 Operaes de servios de TI ..................................................................131
3.4.3 O relacionamento com os usurios e/ou clientes....................................137
3.4.4 O relacionamento com os fornecedores .................................................140
3.5 Gerenciamento de recursos ...............................................................................144
3.6 A gesto do desempenho ..................................................................................145
3.6.1 Medies dos resultados da TI ...............................................................147
3.6.2 Medies dos resultados para o negcio .................................................159
3.6.3 Implantao de sistema de gerenciamento de desempenho ....................161
3.6.4 Gesto do desempenho da TI ................................................................176
3.7 A comunicao .................................................................................................179
3.8 A gesto da mudana organizacional .................................................................185
3.9 Avaliao independente ....................................................................................189
3.10 Riscos e compliance ........................................................................................190
3.10.1 Gesto de riscos ...................................................................................190
3.10.2 Compliance ........................................................................................193
4 Os Papis da Governana de TI na Organizao .........................................195
Sumrio XV
5 Modelos de Melhores Prticas e o Modelo de Governana de TI ................200
6 Modelos Abrangentes de Governana de TI ................................................203
6.1 ISO/IEC 38500 Governana corporativa de tecnologia da informao ..........203
6.1.1 Aplicao ..............................................................................................204
6.1.2 Objetivos ..............................................................................................204
6.1.3 Estrutura da norma ...............................................................................204
6.1.4 Benefcios com o uso da norma .............................................................209
6.1.5 Consideraes sobre a norma ................................................................209
6.2 CobiT Control Objectives for Information and related Technology...............210
6.2.1 Histrico do modelo .............................................................................210
6.2.2 Objetivos do modelo .............................................................................211
6.2.3 Estrutura do modelo .............................................................................213
6.2.4 Aplicabilidade do modelo ......................................................................224
6.2.5 Benefcios do modelo ............................................................................226
6.3 O framework Val IT .........................................................................................227
6.3.1 Histrico do modelo .............................................................................227
6.3.2 Objetivos do modelo .............................................................................228
6.3.3 Estrutura do modelo .............................................................................228
6.3.4 Aplicabilidade do modelo ......................................................................234
6.3.5 Benefcios do modelo ............................................................................236
6.4 O Framework Risk IT ......................................................................................237
6.4.1 Histrico do modelo .............................................................................237
6.4.2 Objetivos do modelo .............................................................................237
6.4.3 Estrutura do modelo .............................................................................238
6.4.4 Aplicabilidade do modelo ......................................................................245
6.4.5 Benefcios do modelo ............................................................................249
6.5 A integrao entre os modelos ..........................................................................250
6.6 Certifcaes ISACA .........................................................................................251
6.7 A Evoluo do CobiT .......................................................................................252
7 Modelos para Gerenciamento de Servios de TI .........................................255
7.1 ITIL Information Technology Infrastructure Library .....................................256
7.1.1 Histrico do modelo .............................................................................256
XVI Implantando a Governana de TI 3 edio
7.1.2 Objetivos do modelo .............................................................................257
7.1.3 Estrutura do modelo .............................................................................258
7.1.4 Aplicabilidade do modelo ......................................................................286
7.1.5 Benefcios do modelo ............................................................................288
7.1.6 Certifcaes relacionadas ......................................................................290
7.2 ISO/IEC 20000 ...............................................................................................292
7.2.1 Histrico do modelo .............................................................................292
7.2.2 Objetivos do modelo .............................................................................293
7.2.3 Estrutura do modelo .............................................................................293
7.2.4 Aplicabilidade do modelo ......................................................................300
7.2.5 Benefcios do modelo ............................................................................301
7.2.6 Certifcaes relacionadas ......................................................................302
7.3 CMMI for Services ...........................................................................................306
7.4 Microsoft Operations Framework (MOF) uma breve viso ...........................311
8 Modelos para Processos de Software ...........................................................313
8.1 CMMI - Capability Maturity Model Integration ..............................................314
8.1.1 Histrico do modelo .............................................................................314
8.1.2 Objetivos do modelo .............................................................................315
8.1.3 Estrutura do modelo .............................................................................315
8.1.4 Aplicabilidade do modelo ......................................................................326
8.1.5 Benefcios do modelo ............................................................................326
8.1.6 Certifcaes relacionadas ......................................................................328
8.2 MR-MPS .........................................................................................................330
8.2.1 Histrico do modelo .............................................................................330
8.2.2 Objetivos do modelo .............................................................................331
8.2.3 Estrutura do modelo .............................................................................332
8.2.4 Aplicabilidade do modelo ......................................................................339
8.2.5 Benefcios do modelo ............................................................................340
8.2.6 Certifcaes relacionadas ......................................................................340
8.3 ISO/IEC 12207 ...............................................................................................341
8.3.1 Viso geral do modelo ...........................................................................341
8.3.2 Aplicabilidade do modelo ......................................................................345
8.4 ISO/IEC 9126 .................................................................................................346
Sumrio XVII
8.4.1 Viso geral do modelo ...........................................................................346
8.4.2 Aplicabilidade do modelo ......................................................................349
8.5 IBM Rational Unifed Process uma breve viso ..............................................349
8.6 Microsoft Solutions Framework uma breve viso ...........................................352
9 Modelos para Gerenciamento de Projetos ..................................................354
9.1 PMBOK Project Management Body of Knowledge .......................................354
9.1.1 Histrico do modelo .............................................................................354
9.1.2 Objetivos do modelo .............................................................................354
9.1.3 Estrutura do modelo .............................................................................355
9.1.4 Aplicabilidade do modelo ......................................................................365
9.1.5 Benefcios do modelo ............................................................................366
9.1.6 Certifcaes relacionadas ......................................................................366
9.2 Padro para Gesto de Portflio ........................................................................367
9.2.1 Histrico do modelo .............................................................................367
9.2.2 Objetivos do modelo .............................................................................367
9.2.3 Estrutura do modelo .............................................................................368
9.2.4. Aplicabilidade do modelo .....................................................................375
9.2.5 Benefcios do modelo ............................................................................375
9.2.6 Certifcaes relacionadas ......................................................................376
9.3 Padro para Gesto de Programas .....................................................................376
9.3.1 Histrico do modelo .............................................................................376
9.3.2 Objetivos do modelo .............................................................................377
9.3.3 Estrutura do modelo .............................................................................377
9.3.4 Aplicabilidade do modelo ......................................................................389
9.3.5 Benefcios do modelo ............................................................................389
9.3.6 Certifcaes relacionadas ......................................................................390
9.4 Outros padres e certifcaes PMI ..................................................................391
9.5 PRINCE2 ........................................................................................................392
9.5.1 Histrico do modelo .............................................................................392
9.5.2 Objetivos do modelo .............................................................................393
9.5.3 Estrutura do modelo .............................................................................393
9.5.4 Aplicabilidade do modelo ......................................................................398
9.5.5 Benefcios do modelo ............................................................................399
XVIII Implantando a Governana de TI 3 edio
9.5.6 Certifcaes relacionadas ......................................................................399
9.6 SCRUM ...........................................................................................................399
9.6.1 Histrico do modelo .............................................................................399
9.6.2 Objetivos do modelo .............................................................................400
9.6.3 Estrutura do modelo .............................................................................401
9.6.4 Aplicabilidade do modelo ......................................................................405
9.6.5 Benefcios do modelo ............................................................................408
9.6.6 Certifcaes relacionadas ......................................................................409
10 Modelos para Segurana da Informao ISO/IEC 27001 e 27002 ...........410
10.1 Histrico do modelo ......................................................................................410
10.2 Objetivos do modelo ......................................................................................412
10.3 Estrutura do modelo ......................................................................................412
10.3.1 ISO/IEC 27001 ..................................................................................412
10.3.2 ISO/IEC 27002 ..................................................................................418
10.4 Aplicabilidade do modelo ...............................................................................424
10.5 Benefcios do modelo .....................................................................................425
10.6 Certifcaes relacionadas ...............................................................................426
10.7 Gesto da Continuidade do Negcio ..............................................................426
10.8 Outras normas ISO relativas segurana da informao .................................428
11 Modelos para Gerenciamento de Sourcing .................................................430
11.1 eSCM-SP .......................................................................................................430
11.1.1 Histrico do modelo ...........................................................................430
11.1.2 Objetivos do modelo ...........................................................................431
11.1.3 Estrutura do modelo ...........................................................................431
11.1.4 Aplicabilidade do modelo ....................................................................439
11.1.5 Benefcios do modelo ..........................................................................439
11.1.6 Certifcaes relacionadas ....................................................................440
11.2 eSCM-CL ......................................................................................................442
11.2.1 Histrico do modelo ...........................................................................442
11.2.2 Objetivos do modelo ...........................................................................442
11.2.3 Estrutura do modelo ...........................................................................443
11.2.4 Aplicabilidade do modelo ....................................................................454
Sumrio XIX
11.2.5 Benefcios do modelo ..........................................................................454
11.2.6 Certifcaes relacionadas ....................................................................455
11.3 CMMI for Acquisition ...................................................................................455
12 Modelos para Disciplinas Complementares Governana de TI ................459
12.1 BPM CBOK .................................................................................................459
12.1.1 Histrico do modelo ...........................................................................459
12.1.2 Objetivos do modelo ...........................................................................460
12.1.3 Estrutura do modelo ...........................................................................460
12.1.4 Aplicabilidade do modelo ....................................................................470
12.1.5 Benefcios do modelo ..........................................................................472
12.1.6 Certifcaes relacionadas ....................................................................473
12.2 BABOK ........................................................................................................473
12.2.1 Histrico do modelo ...........................................................................473
12.2.2 Objetivos do modelo ...........................................................................474
12.2.3 Estrutura do modelo ...........................................................................474
12.2.4 Aplicabilidade do modelo ....................................................................482
12.2.5 Benefcios do modelo ..........................................................................483
12.2.6 Certifcaes relacionadas ....................................................................484
12.3 Balanced Scorecard .........................................................................................484
12.3.1 Histrico do modelo ...........................................................................484
12.3.2 Objetivos do modelo ...........................................................................486
12.3.3 Estrutura do modelo ...........................................................................486
12.3.4 Aplicabilidade do modelo ....................................................................489
12.3.5 Benefcios do modelo ..........................................................................491
12.3.6 Certifcaes relacionadas ....................................................................492
12.4 Seis Sigma ......................................................................................................492
12.4.1 Histrico do modelo ...........................................................................492
12.4.2 Objetivos do modelo ...........................................................................493
12.4.3 Estrutura do modelo ...........................................................................494
12.4.4 Aplicabilidade do modelo ....................................................................500
12.4.5 Benefcios do modelo ..........................................................................501
12.4.6 Certifcaes relacionadas ....................................................................502
12.5 Te Open Group Architecture Framework - TOGAF .....................................502
12.5.1 Histrico do modelo ...........................................................................502
12.5.2 Objetivos do modelo ...........................................................................503
12.5.3 Estrutura do modelo ...........................................................................504
12.5.4 Aplicabilidade do modelo ....................................................................505
XX Implantando a Governana de TI 3 edio
12.5.5 Benefcios do modelo ..........................................................................506
12.5.6 Certifcaes relacionadas ....................................................................507
12.6 ISO 9001:2008 ..............................................................................................508
12.6.1 Viso geral do modelo .........................................................................508
12.6.2 Aplicabilidade do modelo ....................................................................512
12.7 ISO 31000 .....................................................................................................512
12.7.1 Viso geral do modelo .........................................................................512
12.7.2 Aplicabilidade do modelo ....................................................................516
13 Extenses e Derivaes do Conceito de Governana de TI .........................517
13.1 Governana de Processos ................................................................................517
13.1.1 Princpios e conceitos gerais ................................................................517
13.1.2 Modelos de referncia relacionados .....................................................521
13.1.3 Aplicabilidade do conceito ..................................................................525
13.1.4 Certifcaes relacionadas ....................................................................526
13.2 Governana SOA............................................................................................526
13.2.1 Princpios e conceitos gerais ................................................................526
13.2.2 Modelos de referncia relacionados .....................................................530
13.2.3 Aplicabilidade do conceito ..................................................................542
13.2.4 Certifcaes relacionadas ....................................................................546
13.3 Governana de Dados ....................................................................................547
13.3.1 Princpios e conceitos gerais ................................................................548
13.3.2 Modelos de referncia relacionados .....................................................551
13.3.3 Aplicabilidade do conceito ..................................................................557
13.3.4 Certifcaes relacionadas ....................................................................558
14 Governana de TI para Pequenas e Mdias Empresas .................................561
15 Governana de TI no Governo ....................................................................569
15.1 O modelo de Governana de TI no governo brasileiro ....................................569
15.2 O papel da Secretaria de Logstica e Tecnologia da Informao .......................576
15.3 O papel do Tribunal de Contas da Unio .......................................................577
15.4 O papel do Departamento de Segurana da Informao e Comunicaes do
Gabinete de Segurana Institucional da Presidncia da Repblica ......................577
15.5 Situao atual da Governana de TI no Governo Federal, na viso do TCU ...579
15.6 Legislao bsica pertinente ............................................................................581
Sumrio XXI
15.7 Governana de TI no Judicirio Brasileiro ......................................................583
16 Como Implantar a Governana de TI .........................................................586
16.1 Roteiro de implantao da Governana de TI .................................................587
16.2 Fatores crticos de sucesso para a implantao da Governana de TI ...............599
17 Estudos de Casos ........................................................................................601
Referncias Bibliogrfcas .................................................................................606
Pginas Web ......................................................................................................614

introduo
fAtores motivAdores do livro
O que pretendemos com este livro fornecer orientao e um guia sobre o
que , de fato, a Governana de Tecnologia da Informao.
Nossa conceituao vai um pouco mais alm do que debatido no mer-
cado atualmente, que v como Governana de TI a implantao de melhores
prticas aplicveis TI.
Procuramos trazer para este debate a necessidade de alinhar a TI ao neg-
cio, tanto de forma esttica, a partir das estratgias e dos planos de negcio
da empresa, como dinamicamente, fazendo ajustes contnuos em virtude do
surgimento de novas oportunidades de negcio, onde a TI um ator impor-
tante para a gerao de valor para o negcio.
Esta viso importante, pois a TI uma fonte de investimentos e despesas
signifcativas para qualquer empresa que j atingiu uma dependncia estrat-
gica. Portanto, estar alinhada ao negcio passa a ser um imperativo para a TI,
assim como, para algumas empresas, seguir regulamentos externos tambm
passa a ser prioritrio.
Em virtude de escndalos corporativos de fraudes observados no passado e,
mais recentemente, da crise fnanceira mundial de 2008/2009, h uma maior
exigncia por mecanismos de Governana Corporativa, no sentido de maior
transparncia das empresas. Adicionalmente, marcos de regulao externa (re-
presentados principalmente por dispositivos como o Sarbanes-Oxley Act, o
2 Implantando a Governana de TI 3 edio
Acordo da Basileia II e as resolues do Banco Central) tm trazido tambm
maior complexidade para a gesto da TI.
Em suma, alm de a TI ter que estar alinhada ao negcio, visando seu
crescimento e perenidade, tambm afetada por esses marcos de regulao,
aos quais devem se submeter as empresas de capital aberto e que negociam
suas aes nas bolsas de valores norte-americanas, alm das instituies
fnanceiras.
Acreditamos que, ao mostrarmos o caminho para o entendimento sobre
o que a Governana de TI, daremos nossa contribuio para o enrique-
cimento do tema, tentando sair um pouco do debate tecnolgico, mas
fazendo um equilbrio entre o negcio, a tecnologia e, principalmente, a
gesto da tecnologia da informao, e mostrando como a TI pode gerar
valor para o negcio.
Estamos cientes de que esta obra um pequeno passo para que possamos
obter melhor compreenso do que a Governana de TI e das suas implica-
es para as organizaes.
Mostraremos, nesta nova edio, onde os vrios modelos de melhores
prticas aplicados na rea de Tecnologia da Informao se encaixam no Ci-
clo da Governana de TI proposto neste livro e como eles podem se rela-
cionar. Acreditamos fortemente que cada organizao deve usar as melhores
prticas para desenvolver a sua prpria arquitetura de processos de TI, de
maneira adequada para a maturidade e o ambiente organizacional em que
a TI est inserida. Abordaremos tambm a aplicao estendida do conceito
de Governana de TI para outras disciplinas.
Sobre outro aspecto muito em voga atualmente, e que podemos cha-
mar de a nova gerao de contratos de outsourcing, procuraremos explo-
rar como os conceitos e componentes da Governana de TI se aplicam
em um contexto dessa natureza, ou seja, como manter os princpios da
Governana quando h vrios fornecedores de servios de TI atuando para
a empresa.
Por fm, relacionamos logicamente vrios conceitos e abordagens, dando
origem a um modelo proposto de Governana de TI, que a base de nossa
discusso em grande parte do livro. Procuramos tornar esse modelo o mais
compreensvel possvel, cobrindo da estratgia gesto dos processos e dos
servios de TI.
Introduo 3
objetivos do livro
Os principais objetivos deste livro so:
Conceituar de uma forma mais ampla a Governana de TI;
Apresentar modelos de Governana de TI que possam ser aplicados
em diferentes organizaes e cenrios;
Mostrar onde as melhores prticas, tais como CobiT, ITIL, CMMI,
ISO 27001, etc., se encaixam num processo de Governana de TI,
evidenciando sua aplicabilidade;
Apresentar a rea de TI como uma Fbrica de Servios, apoiada por
diversos tipos de Operaes, alinhadas com o negcio;
Apresentar a Governana de TI em cenrios de outsourcing de siste-
mas e servios de TI;
Apresentar como se estrutura um programa de Governana de TI e
tambm como ele executado e gerenciado;
Apresentar a importncia da gesto da mudana organizacional como
fundamental para a implantao da Governana de TI na empresa ou
instituio;
Abordar a Governana de TI no contexto governamental;
Abordar nossa viso sobre Governana de TI para pequenas e mdias
empresas.
O livro procura responder s seguintes indagaes usualmente feitas por
parte de executivos de TI:
O que Governana de TI?
Como eu alinho a TI ao negcio?
Quais as melhores prticas que mais se adaptam para a minha empresa?
Como as melhores prticas se relacionam?
Quais os benefcios das melhores prticas?
O que eu devo exigir dos meus fornecedores em termos de melhores
prticas?
Como eu implanto as melhores prticas na minha empresa?
4 Implantando a Governana de TI 3 edio
estruturA do livro
O livro foi estruturado considerando uma abordagem dedutiva, que uma
caracterstica dos autores, iniciando pela apresentao dos conceitos e fundamen-
tos da Governana de TI e de seus objetivos, domnios e componentes principais.
Logo aps, discutido o impacto que marcos de regulao externos, tais
como Sarbanes-Oxley, Basileia II e outros, tm sobre a gesto da tecnologia da
informao. Grande parte das atenes dos Chief Information Ofcers (CIOs)
tem sido dedicada a esses marcos.
Em seguida, apresentado um modelo genrico de Governana de TI, que
serve de base para que faamos os encaixes necessrios relativos s melhores
prticas de gesto de TI.
A partir desse modelo genrico, sustentado pelo que denominamos o Ci-
clo da Governana de TI, fazemos um breve resumo de cada uma das me-
lhores prticas que podem ser usadas nas diversas operaes de servios, como
sistemas, segurana da informao, infraestrutura, etc.
O livro tambm discute como conduzir e estruturar a Governana de TI
em um ambiente de outsourcing intensivo ou signifcativo.
Finalizando, entendemos que cada empresa pode defnir sua Governana
de TI e que, uma vez tomada a deciso, a sua implementao um programa
composto por diversos projetos, cuja manuteno e melhoria devem ser siste-
mticas e gerenciadas.
Em relao segunda edio, fzemos vrias modifcaes, como os leitores
podero observar na estrutura do livro. A seguir, apresentamos uma sinopse dos
captulos.
O objetivo do Captulo 1 Governana de TI explorar o signifcado
de Governana de TI, enumerando os seus objetivos, fatores motivadores e
componentes constituintes, e mostrando como o cenrio de negcios vem in-
fuenciando a melhoria da gesto da tecnologia da informao pelas empresas.
O Captulo 2 Governana Corporativa e Regulamentaes de Com-
pliance mostra onde a TI e sua gesto sofrem impacto da Governana Cor-
porativa, de regulamentaes de compliance externas e internas (mais precisa-
mente do Sarbanes-Oxley Act, do Acordo da Basileia II e da Resoluo 3380
do Banco Central do Brasil), de sistemas de controle interno e sistemas de
gesto corporativa de riscos.
Introduo 5
O Captulo 3 O Modelo de Governana de TI apresenta um modelo
de Governana de TI proposto, que denominamos IT Governance Extended
Model e, baseado no Ciclo da Governana de TI e nos seus domnios, detalha
cada um dos componentes, considerando questes como alinhamento estra-
tgico da TI, plano de tecnologia da informao, mecanismos de tomada de
deciso, etc.
O Captulo 4 Os Papis da Governana de TI na Organizao apre-
senta como os papis da Governana de TI se enquadram nas funes de uma
rea de TI, destacando as responsabilidades e abordagens para instituir meca-
nismos de Governana de TI.
O Captulo 5 Modelos de Melhores Prticas e o Modelo de Gover-
nana de TI situa as principais melhores prticas difundidas no mercado, tais
como CMMI, ITIL, CobiT, ISO, PMBOK, PRINCE2, etc., no modelo de
Governana de TI, de uma forma geral e abrangente.
O Captulo 6 Modelos Abrangentes de Governana de TI apresenta os
frameworks Control Objectives for Information and related Technology Co-
biT, Val IT e Risk IT, assim como a norma ISO/IEC 38500, evidenciando para
cada modelo seu objetivo, sua estrutura, sua aplicabilidade e seus benefcios.
O Captulo 7 Modelos para Gerenciamento de Servios de TI apre-
senta, brevemente, objetivos, estrutura, aplicabilidade e benefcios de mo-
delos de referncia orientados para o Gerenciamento de Servios de TI, tais
como o framework patrocinado pela agncia do governo britnico Ofce of
Government Commerce OGC, denominado Information Technology Infras-
tructure Library ITIL, a norma ISO/IEC 20000, o CMMI for Services e o
MOF (Microsoft Operations Framework).
O Captulo 8 Modelos para Processos de Software apresenta, breve-
mente, objetivos, estrutura, aplicabilidade e benefcios de modelos, tais como
o Capability Maturity Model Integration CMMI, o modelo MR-MPS e o
metamodelo de processos de software representado pela ISO/IEC 12207.
O Captulo 9 Modelos para Gerenciamento de Projetos apresenta, bre-
vemente, objetivos, estrutura, aplicabilidade e benefcios dos modelos patroci-
nados pelo PMI (Project Management Institute) para gerenciamento de projetos
(PMBOK), gerenciamento de programas e gerenciamento de portflio, assim
como da metodologia de gerenciamento de projetos denominada Projects in
Controlled Environments 2 (PRINCE2), patrocinada pela OGC, e do SCRUM.
6 Implantando a Governana de TI 3 edio
O Captulo 10 Segurana da Informao aborda as normas mais re-
centes sobre Segurana da Informao, principalmente a ISO/IEC 27001 e a
ISO/IEC 17799.
O Captulo 11 Modelos para Gerenciamento de Sourcing aborda
principalmente o modelo eSCM eSCM eSourcing Capability Model, tanto
na viso do provedor de servios como na do cliente, e o modelo CMMI for
Acquisition.
O Captulo 12 Modelos para Disciplinas Complementares Gover-
nana de TI apresenta os modelos BPM CBOK, BABOK, Balanced Score-
card, Seis Sigma, TOGAF e ISO 9001.
O Captulo 13 Extenses e Derivaes do Conceito de Governana
de TI mostra a aplicao dos conceitos de Governana de TI de forma esten-
dida, para disciplinas como Governana de Processos, Governana SOA e
Governana de Dados.
O Captulo 14 Governana de TI para Pequenas e Mdias Empresas
aborda quais devem ser as preocupaes do responsvel pela rea de TI para
implantar os conceitos de Governana de TI em uma organizao de pequeno
ou mdio porte.
O Captulo 15 Governana de TI para Governo aborda os requisitos e
o ambiente de governo para a Governana de TI, discutindo notadamente as
implicaes da legislao de compras do Governo Federal, a Instruo Nor-
mativa 04 do Ministrio de Planejamento e Gesto e os principais acrdos do
Tribunal de Contas da Unio, que tambm impactam na implantao deste
conceito em organizaes governamentais da administrao direta e indireta.
O Captulo 16 Como Implantar a Governana de TI aborda os aspec-
tos tcnicos e organizacionais necessrios implementao de um Programa
de Governana de TI na organizao, considerando a sua estrutura, o seu pla-
nejamento, o seu gerenciamento e a necessidade da gesto da governana de
TI, assim como a importncia do gerenciamento da mudana organizacional
e da demonstrao do valor da TI para o negcio.
O Captulo 17 Estudos de Caso aborda, de forma sinttica, casos de
implantao da Governana de TI em algumas organizaes no Brasil.
1
1
governAnA de ti
1.1 os fAtores motivAdores dA
governAnA de ti
A Governana de TI motivada por vrios fatores (embora o senso comum
considere a maior transparncia da administrao como sendo o principal
motivador desse movimento que vemos no ambiente de TI das organizaes),
como podemos observar na Figura 1.1:
Figura 1.1 Fatores motivadores da Governana de TI
8 Implantando a Governana de TI 3 edio
O ambiente de negcios no Brasil vem sendo caracterizado por:
Intensa competio de novos entrantes no mercado.
Surgimento de produtos e servios substitutos.
Novos concorrentes globais e de baixo custo.
Barganha crescente de fornecedores e clientes.
Ciclo de vida cada vez mais curto para os produtos e servios.
Novas ameaas devido maior internacionalizao da economia.
Clientes mais conscientes e exigentes.
Exigncia de maior transparncia nos negcios.
Diversidade dos acionistas.
Maior dinamismo dos requerimentos do negcio para TI.
Custo Brasil ainda muito alto.
Crescimento econmico do Brasil.
Surgimento de uma nova classe mdia.
Integraes tecnolgicas, caracterizadas por:
Integrao das cadeias de suprimento, atravs de aplicaes de supply-
-chain e da infraestrutura de comunicao e Internet.
Integrao entre a gesto da empresa e o seu cho de fbrica, atravs
de aplicaes de Enterprise Resource Planning ERP e de Manufactu-
ring Execution System MES.
Integrao entre as funes administrativas e padronizao dos apli-
cativos de back-ofce no contexto da empresa, de suas divises e fliais
atravs de ERP.
Integrao de redes de distribuio, tanto em termos de aplicativos
como da infraestrutura de comunicao de dados.
Integrao dos processos de desenvolvimento de produtos com os
processos de manufatura, atravs de aplicaes de Product Life Cycle
Management e de Product Data Management.
Processos de gesto de clientes altamente sofsticados, atravs de apli-
cativos de Customer Resource Management.
Governana de TI 9
Utilizao de aplicaes de BPM Business Process Management
e ECM Enterprise Content Management como mecanismos de
automao de processos de negcio, integrando em seus fuxos de
trabalho todos os sistemas e reas funcionais da organizao, tendo
como perspectiva os processos de negcio transversais e a cadeia
de valor.
Integrao da gesto estratgica com a gesto ttica e operacional das
empresas, atravs de aplicaes de data warehouse, data mining e de
inteligncia organizacional.
As ilhas de sistemas de informao esto terminando.
As integraes tecnolgicas de processos atravs da tecnologia da informa-
o (aplicaes e infraestrutura computacional e de comunicao de dados)
fazem com que o risco que a TI representa para a continuidade do negcio
seja altamente visvel. bvio que tal risco deve ser mitigado e contingencia-
do de uma forma sem precedentes e no imaginada at ento.
Lembramos que grande parte das melhores prticas aplicveis TI j est
disponvel h vrios anos e somente a partir de 2005 os administradores acor-
daram para a necessidade da boa gesto das atividades de TI.
At o mais desavisado dos administradores (aquele que no entende a TI
da sua empresa) j percebeu o risco que para o seu negcio uma TI mal
gerenciada, pois provavelmente j precisou lidar com um incidente de indis-
ponibilidade ou perda de dados de aplicaes crticas.
A segurana da informao impacta a integridade do negcio:
No mundo interligado da Internet, a gesto de TI tambm fcou
mais complexa e a infraestrutura de TI sofre riscos dirios de in-
truso visando o roubo de dados e a disseminao de cdigos
maliciosos e vrus, o que pode afetar, sobremaneira, a operao da
empresa.
Conforme o nvel de acesso dos vrios pontos da empresa grande
rede, maior a necessidade de envolver todos os nveis da organiza-
o na questo da gesto da TI e, em especial, na gesto da segurana
da informao.
10 Implantando a Governana de TI 3 edio
A dependncia do negcio em relao TI caracterizada por:
Quanto mais as operaes dirias e as estratgias corporativas chaves
dependem da TI, maior o papel estratgico da TI para a empresa.
Conforme a Figura 1.2:
Quando a TI tem alto impacto nas operaes chaves (presente)
e alto impacto nas estratgias chaves (futuro), diz-se que a TI
estratgica para o negcio.
Quando a TI tem alto impacto nas operaes chaves e baixo impacto
nas estratgias chaves, tem a conotao de uma Fbrica para o negcio,
ou seja, o dia a dia do negcio depende da TI, mas o seu futuro no.
Quando a TI tem baixo impacto nas operaes chaves e baixo im-
pacto nas estratgias chaves, diz-se que ela est executando apenas
tarefas de suporte, no sendo, do ponto de vista dos dirigentes,
essencial para o negcio.
Quando a TI tem baixo impacto nas operaes chaves e alto im-
pacto nas estratgias chaves, diz-se que ela est exercendo um pa-
pel de mudana, ou seja, est apoiando fortemente o direciona-
mento futuro da organizao.
Fbrica
(melhorar o desempenho em
processos chaves)
Estratgico
(transformar a organizao ou
indstria)
Suporte
(melhorar o desempenho local)
Mudana
(identificar e lanar novos
empreendimentos)
IMPACTO DA TI NA ESTRATGIA CHAVE
A
l
t
o
B
a
i
x
o
Alto Baixo
I
M
P
A
C
T
O

D
A

T
I

N
A
S

O
P
E
R
A

E
S

C
H
A
V
E
S

Figura 1.2 Impacto estratgico da tecnologia da informao
Fonte: Lynda M. Applegate
Governana de TI 11
Marcos de regulao (compliance) representam restries ao negcio, mas de-
vem ser seguidos tendo em vista sua capacidade de atrao de capital de risco,
a um custo mais baixo, e de gerao de lucros.
O Sarbanes-Oxley Act determina que os relatrios fnanceiros e con-
troles associados tenham fdedignidade e responsabiliza conjunta-
mente diretores e o responsvel pela rea de fnanas por atos lesivos
aos acionistas e ao mercado.
Isto signifca, para a rea de TI, que os aplicativos transacionais da
empresa, geradores de fatos contbeis e fnanceiros, devem:
Ter disponibilidade para acesso e emisso de relatrios de resulta-
dos fnanceiros e contbeis.
Armazenar os dados e as informaes de forma adequada e com
segurana.
Ter a possibilidade de implementar trilhas de auditoria e verifca-
o de processos.
Ter os seus riscos (assim como os pertinentes infraestrutura)
conhecidos e gerenciados.
O Acordo da Basileia II obriga os bancos a desenvolverem metodolo-
gias para a gesto de riscos operacionais e de crdito, a gerenciarem es-
ses riscos e a publicarem essas metodologias em seus relatrios de resul-
tados. Quanto melhores essas metodologias, menor a necessidade de
reserva quanto a perdas e, portanto, maior a lucratividade do negcio:
Especialmente em bancos que apresentam um alto grau de inte-
grao e sofsticao tecnolgica (como no caso dos bancos brasi-
leiros), a TI um dos principais elementos de riscos operacionais;
portanto, o gerenciamento de riscos uma necessidade que deve
estar presente na pauta do dia a dia dos Executivos de Negcio e
dos CIOs dessas instituies.
A TI como prestadora de servios:
O que os usurios esperam da TI? Projetos dentro do prazo e ora-
mento, atendimento aos requisitos do negcio, disponibilidade das
aplicaes, disponibilidade da infraestrutura, capacidade para expan-
dir o negcio, rpida resoluo de incidentes e de servios. Tudo isto
requer postura e organizao orientadas prestao de servios.
12 Implantando a Governana de TI 3 edio
Em grandes organizaes brasileiras e multinacionais, est surgindo
com bastante fora a ideia de centros de servios compartilhados,
cujo objetivo centralizar determinadas operaes de TI (e tambm
de algumas reas de negcio), de forma a ganhar escala e prover ser-
vios de TI para vrias unidades ou divises da mesma empresa ou
empresas do mesmo grupo.
O mesmo est ocorrendo com os chamados captive centers, que so
centros de servios focados que atendem regies inteiras como, por
exemplo, Amrica Latina, Amricas, etc.
Para que conceitos como os de centros de servios compartilhados e de
captive centers funcionem de forma adequada, so necessrios processos de TI
efcazes e efcientes. Neste contexto, justifca-se a implantao de um Progra-
ma de Governana de TI.
1.2 o que A governAnA de ti
De acordo com o IT Governance Institute (2007):
A governana de TI de responsabilidade da alta administrao (incluin-
do diretores e executivos), na liderana, nas estruturas organizacionais e
nos processos que garantem que a TI da empresa sustente e estenda as estra-
tgias e objetivos da organizao.
Outra defnio dada por Weill & Ross (2004):
Consiste em um ferramental para a especifcao dos direitos de deciso e
responsabilidade, visando encorajar comportamentos desejveis no uso da
TI.
Para a ISO/IEC 38.500 (ABNT 2009), a Governana de TI o sistema
pelo qual o uso atual e futuro da TI so dirigidos e controlados. Signifca ava-
liar e direcionar o uso da TI para dar suporte organizao e monitorar seu
uso para realizar planos. Inclui a estratgia e as polticas de uso da TI dentro
da organizao.
Governana de TI 13
Analisando essas defnies, podemos concluir que a Governana de TI,
como disciplina, busca o direcionamento da TI para atender ao negcio e o
monitoramento para verifcar a conformidade com o direcionamento tomado
pela administrao da organizao.
Portanto, a Governana de TI no somente a implantao de mode-
los de melhores prticas, tais como CobiT, ITIL, CMMI, etc.
Ainda dentro dessa tica, a Governana de TI deve:
Promover o alinhamento da TI ao negcio (suas estratgias e objeti-
vos), tanto no que diz respeito a aplicaes como infraestrutura de
servios de TI.
Promover a implantao de mecanismos que garantam a continuida-
de do negcio contra interrupes e falhas (manter e gerir as aplica-
es e a infraestrutura de servios).
Promover, juntamente com reas de controle interno, compliance e
gesto de riscos, o alinhamento da TI a marcos de regulao externos
como a Sarbanes-Oxley (empresas que possuem aes ou ttulos, pa-
pis sendo negociados em bolsas de valores norte-americanas), Basi-
leia II (no caso de bancos) e outras normas.
Entretanto, a viso de Governana de TI que sugerimos vai alm dessas de-
fnies e pode ser representada pelo que chamamos de Ciclo da Governan-
a de TI, composto por quatro grandes etapas: (1) alinhamento estratgico
e compliance, (2) deciso, (3) estrutura e processos e (4) gesto do valor e do
desempenho. A Figura 1.3, a seguir, apresenta este ciclo.
Figura 1.3 O ciclo da Governana de TI
14 Implantando a Governana de TI 3 edio
O alinhamento estratgico e compliance refere-se ao planejamento estrat-
gico da tecnologia da informao que leva em considerao as estratgias da em-
presa para seus vrios produtos e segmentos de atuao, assim como os requisitos
de compliance externos, tais como o Sarbanes-Oxley Act e o Acordo da Basileia.
A etapa de deciso, compromisso, priorizao e alocao de recursos
refere-se s responsabilidades pelas decises relativas TI em termos de: arqui-
tetura de TI, servios de infraestrutura, investimentos, necessidades de apli-
caes, etc., assim como defnio dos mecanismos de deciso, ou seja, em
que fruns da empresa so tomadas essas decises.
Adicionalmente, trata da obteno do envolvimento dos tomadores de
deciso chaves da organizao, assim como da defnio de prioridades de
projetos e servios e da alocao efetiva de recursos monetrios no contexto
de um portflio de TI.
A etapa de estrutura, processos, operaes e gesto refere-se estrutura
organizacional e funcional de TI, aos processos de gesto e operao dos pro-
dutos e servios de TI, alinhados com as necessidades estratgicas e operacio-
nais da empresa. Nesta fase so defnidas ou redefnidas as operaes de siste-
mas, infraestrutura, suporte tcnico, segurana da informao, governana de
TI e outras funes auxiliares ao CIO, etc.
A etapa de gesto do valor e do desempenho refere-se determinao,
coleta e gerao de indicadores de resultados dos processos, produtos e ser-
vios de TI, sua contribuio para as estratgias e objetivos do negcio e
demonstrao do valor da TI para o negcio.
1.3 objetivos dA governAnA de ti
O principal objetivo da Governana de TI alinhar a TI aos requisitos do ne-
gcio, considerando solues de apoio ao negcio, assim como a garantia da con-
tinuidade dos servios e a minimizao da exposio do negcio aos riscos de TI.
Desdobrando este objetivo principal, podemos identifcar outros objetivos
da Governana de TI:
Promover o posicionamento mais claro e consistente da TI em rela-
o s demais reas de negcios da empresa:
Governana de TI 15
Isto signifca que a TI deve entender as estratgias do negcio e
traduzi-las em planos para sistemas, aplicaes, solues, estrutu-
ra organizacional, processos e infraestrutura, desenvolvimento de
competncias, estratgias de sourcing e de segurana da informa-
o, etc.
Promover o alinhamento e a priorizao das iniciativas de TI com a
estratgia do negcio:
Isto signifca que o que foi planejado para acontecer deve ser prio-
rizado, tendo em vista as prioridades do negcio e as restries de
capital de investimento.
A priorizao gera um portflio de TI que faz a ligao entre a
estratgia e as aes do dia a dia.
Promover o alinhamento da arquitetura de TI, sua infraestrutura e
aplicaes s necessidades do negcio, em termos de presente e futuro:
Isto signifca implantar os projetos e servios planejados e priori-
zados.
Promover a implantao e melhoria dos processos operacionais e de
gesto necessrios para atender aos servios de TI, conforme padres
que atendam s necessidades do negcio:
A execuo dos projetos e servios de TI deve ser realizada de
acordo com processos operacionais (execuo propriamente dita)
e de gesto (planejamento, controle, avaliao e melhoria), que
devem estar inseridos em uma estrutura organizacional, que, por
sua vez, deve conter competncias em pessoas e ativos usados para
operar os processos.
Prover a TI da estrutura de processos que possibilite a gesto do seu
risco e compliance para a continuidade operacional da empresa:
Os processos defnidos, tanto operacionais como gerenciais, de-
vem considerar a mitigao de riscos para o negcio (por exem-
plo: processos de segurana da informao, gesto de dados e apli-
caes, etc.).
Promover o emprego de regras claras para as responsabilidades sobre
decises e aes relativas TI no mbito da empresa:
Isto signifca identifcar as responsabilidades sobre decises acerca
de princpios de TI, arquitetura de TI, infraestrutura de TI, ne-
cessidades de aplicaes, investimentos, segurana da informao,
estratgia de fornecedores e parcerias, alm de colocar em funcio-
namento um modelo de tomada de deciso correspondente.
16 Implantando a Governana de TI 3 edio
1.4 comPonentes dA governAnA de ti
A Governana de TI compreende vrios mecanismos e componentes que,
logicamente integrados, permitem o desdobramento da estratgia de TI at a
operao dos produtos e servios correlatos.
A Figura 1.4 mostra os componentes da Governana de TI dentro de cada
etapa (ou domnio).

ALINHAMENTO
ESTRATGICO E
COMPLIANCE
DECISO,
COMPROMISSO,
PRIORIZAO E
ALOCAO DE
RECURSOS
ESTRUTURA,
PROCESSOS,
OPERAO E
GESTO
GESTO DO
VALOR E DO
DESEMPENHO
Alinhamento
estratgico
Princpios de TI
Necessidades de
aplicaes
Arquitetura de TI
Infraestrutura de
TI
Objetivos de
desempenho
Capacidade
Sourcing
Segurana da
informao
Competncias
Processos e
organizao
Plano de TI
Mecanismos de
deciso
Portfolio de TI
Projetos
Relacionamento
com usurios
Relacionamento
com
fornecedores
Gesto do
desempenho da
TI
DOMNIOS E COMPONENTES DA
GOVERNANA DE TI
Gesto do valor
da TI
Servios
Inovaes
Critrios de
priorizao
Gesto da
demanda

Figura 1.4 Os domnios e componentes da Governana de TI
1.4.1 os comPonentes dA etAPA de AlinhAmento
estrAtgico e comPliAnce
O processo de alinhamento estratgico da tecnologia da informao pro-
cura determinar qual deve ser o alinhamento da TI em termos da arquitetura,
infraestrutura, aplicaes, processos e organizao com as necessidades pre-
sentes e futuras do negcio. Este processo executado no contexto do Plano
de Tecnologia da Informao.
Governana de TI 17
Princpios de TI so regras que todos devem seguir, no mbito da empresa,
e que subsidiam tomadas de deciso acerca da arquitetura de TI, infraestru-
tura de TI, aquisio e desenvolvimento de aplicaes, uso de padres, gesto
dos ativos de TI, etc.
A gesto da demanda diz respeito anlise da dinmica do negcio, em
termos de padres de atividades do negcio que indicam necessidades de no-
vos servios, melhoria dos servios existentes, necessidade de mais capacidade
em sistemas e infraestrutura, necessidades de inovao em negcios e tecnolo-
gia e assim sucessivamente.
As necessidades de aplicaes dizem respeito s aplicaes de TI que
so necessrias para atender continuidade e s estratgias do negcio.
Determinam tambm quais aplicaes devero ser mantidas, melhoradas,
substitudas e implantadas. Neste contexto, podem ser consideradas como
aplicaes:
Sistemas transacionais.
Sistemas de gesto.
Aplicaes de business intelligence.
Dispositivos de segurana na captura de transaes.
Sistemas de controle de risco.
Novos tipos de POS.
Aplicao de tecnologias de reconhecimento biomtrico.
Aplicaes de RFDI (Radio-Frequency IDentifcation), etc.
De acordo com Weill & Ross (2004), arquitetura de TI : a organizao
lgica para dados, aplicaes e infraestrutura, representada por um conjunto
de polticas, relacionamentos e escolhas tcnicas para buscar a integrao de-
sejada do negcio e da integrao e padronizao tcnica.
A arquitetura foca na padronizao de processos, dados e tecnologia de
aplicaes e derivada dos princpios de TI, os quais so refexos das estrat-
gias de negcio e dos valores e credos da organizao.
A infraestrutura de TI, ainda de acordo com Weill & Ross (2004), : a
fundao da capacidade planejada de TI (tanto tcnica como humana) dis-
18 Implantando a Governana de TI 3 edio
ponvel no mbito de toda a organizao como servios compartilhados e
confveis e usados por mltiplas aplicaes.
A infraestrutura de TI liga a empresa a seus parceiros e fornecedores, assim
como a infraestruturas externas, tais como bancos, redes privadas e Internet,
e defne:
Os servios de TI requeridos pelo negcio em termos de gesto de
dados, comunicaes, gesto de ativos de TI, gesto da infraestru-
tura, segurana da informao, padres de interfaces, educao em
TI, etc.
Como esses recursos estaro dispostos na organizao.
Os recursos computacionais requeridos para apoiar o negcio.
Os objetivos de desempenho direcionam a administrao da TI para aten-
der a metas de desempenho compatveis com os objetivos traados para a
prestao dos servios, enquanto os nveis de servio so acordos estabelecidos
com os clientes internos da empresa. Tanto os objetivos como os nveis de
servio orientam a administrao da TI, o controle do dia a dia e tambm a
forma como, a partir dos indicadores, podem ser realizadas as melhorias e at
mesmo a reengenharia de processos.
A capacidade de atendimento da TI defne a quantidade de recursos huma-
nos necessrios para atender demanda por sistemas e servios, assim como
a quantidade de recursos computacionais necessrios, indicando se a infraes-
trutura atual tem ou no condies de atend-la.
A estratgia de sourcing de servios deve decidir sobre:
O que passar para o sourcing.
Como fazer o sourcing.
Como escolher a melhor alternativa de parceria.
Como gerenciar os servios do sourcing.
Como gerenciar o desempenho dos fornecedores ou prestadores de
servios.
Como fazer a transio de um modelo de operao para outro.
Como fazer a transferncia de um fornecedor para outro, etc.
Governana de TI 19
A poltica de segurana da informao consiste na determinao de diretri-
zes e aes referentes segurana dos aplicativos, da infraestrutura, dos dados,
pessoas e organizaes (fornecedores e parceiros).
Competncias so as habilidades e os conhecimentos necessrios para o
desenvolvimento e a implantao das iniciativas de TI e que estaro presentes
na estrutura organizacional e nos processos de servios de TI.
Processos e organizao apresentam a forma como os servios e produtos
da TI sero desenvolvidos, gerenciados e entregues aos usurios e clientes e
como a TI deve se organizar em termos funcionais.
O Plano de Tecnologia da Informao consiste no principal produto
do processo de alinhamento estratgico e deve contemplar informaes
sobre:
Princpios de TI.
Arquitetura de TI.
Infraestrutura de TI.
Necessidades de aplicaes.
Objetivos de desempenho e nveis de servio e metas.
Capacidade requerida de atendimento em relao a recursos huma-
nos e infraestrutura.
Organizao das operaes de servios de TI.
Estratgia para fornecedores de servios.
Competncias requeridas.
Polticas de segurana da informao.
Investimentos e custeio.
Roadmap de TI.
O plano incorpora elementos que, uma vez documentados, permitem uma
comunicao clara dos objetivos, produtos e servios de TI para todos na or-
ganizao, conforme mostra a Figura 1.5.
20 Implantando a Governana de TI 3 edio
Arquitetura
de TI
Organizao das
Operaes de
Servios
Polticas de
Segurana da
Informao
Necessidades de
Aplicaes
Estratgia de
Fornecedores de
Servios
Plano de
Tecnologia da
Informao
Princpios
de TI
Infraestrutura
de TI
Investimentos
Capacidade de
Atendimento
Competncias
Figura 1.5 Componentes do Plano de Tecnologia da Informao
1.4.2 os comPonentes dA etAPA de deciso, comPromisso,
PriorizAo e AlocAo de recursos
Os mecanismos de deciso defnem quem decide o qu em relao TI
dentro da organizao em termos de:
Princpios de TI.
Arquitetura da informao.
Infraestrutura de TI.
Prioridades de aplicaes.
Investimentos em aplicaes e infraestrutura.
Poltica de segurana da informao.
Estratgia de sourcing, etc.
Critrios de deciso so fundamentais para a priorizao de investimentos e
devem ser eminentemente institucionais, de forma que a Alta Administrao
Governana de TI 21
possa decidir onde colocar o dinheiro, muito provavelmente alinhado aos
objetivos e metas do negcio.
O portflio de TI uma metodologia para a priorizao dos investimentos
de TI com base no retorno de projetos e ativos para a organizao e no seu
alinhamento com os objetivos estratgicos do negcio.
Alm do mais, o portflio de projetos:
Torna claras as regras de priorizao de projetos e ativos.
Faz com que a Administrao saiba onde deve investir.
1.4.3 os comPonentes dA etAPA de estruturA, Processos,
orgAnizAo e gesto
Os projetos alocados (nos quais a TI no o gestor) ou sob responsabilidade
de TI so planejados, executados, gerenciados e implantados. So projetos
de implantao de sistemas integrados de gesto, desenvolvimento e manu-
teno de sistemas, infraestrutura, arquitetura, segurana da informao, im-
plantao de processos de TI, etc.
Os servios so operaes onde acontece o atendimento da TI
1
no forneci-
mento de servios aos usurios, gestores e, possivelmente, clientes da organi-
zao, fornecedores, parceiros, etc.
Nesta etapa um conjunto de atividades operacionais e gerenciais regido
por processos de TI, oriundos de melhores prticas, inserido em funes or-
ganizacionais no contexto de uma diviso de trabalho.
As principais operaes de servios de TI so:
Operaes de sistemas: contemplam desenvolvimento e manuteno
de sistemas.
Operaes de suporte tcnico: contemplam atendimento a usurios
no uso dos softwares e infraestrutura da instalao.
Operaes de infraestrutura: contemplam servios de infraestrutura
de TI, suporte de TI, gesto de ativos de software, entrega de servios
e suporte a servios.
1 O conceito de servios adotado por ns mais amplo, abrangendo todos os servios de TI, desde
o atendimento a uma solicitao de manuteno de sistemas ou um novo projeto de sistemas at os
servios associados infraestrutura de TI.
22 Implantando a Governana de TI 3 edio
Operaes de segurana da informao: contemplam servios de plane-
jamento da segurana da informao e o monitoramento dirio de riscos
ao ambiente computacional da organizao e a seus dados, bem como
atividades de conscientizao, treinamento e educao para a segurana.
Operaes de suporte ao CIO: contemplam atividades de planeja-
mento da TI, oramento da TI, gerenciamento de contratos, geren-
ciamento de fornecedores, escritrio de projetos e inovao tecnol-
gica para negcios, etc.
Operaes de Governana de TI: contemplam atividades para a pro-
moo da implantao das melhores prticas na execuo dos servios
de TI, seu planejamento, monitoramento, gesto e melhoria contnua.
Operaes de processos: consiste em projetos de elaborao, melhoria
e implantao de processos de negcio e tambm o desenho de inova-
es nos processos de negcio.
Operaes de arquitetura de TI: consiste em atividades de planeja-
mento e defnio de arquiteturas de TI, notadamente de software,
infraestrutura tecnolgica e de aplicaes e de servios.
Outras operaes: servios de garantia da qualidade, grupo de enge-
nharia de software, grupo de gerenciamento da confgurao, grupo
de novas tecnologias e outras que dependem do tipo da operao
requerida pela organizao, comuns em empresas que trabalham com
vrios produtos do tipo informao intensiva, como o caso das
instituies fnanceiras.
A implantao de inovaes ocorre tanto no nvel dos processos de negcio
(nova forma de executar um processo de negcio de forma mais diferenciada
ou com menor custo, comparativamente concorrncia, agregando mais va-
lor na percepo do cliente) como na tecnologia aplicada aos servios como,
por exemplo, inovaes em deteco de intruso na rede e inovaes aplicadas
na automao de processos de negcio, como o reconhecimento biomtrico.
O relacionamento com o cliente trata da interao dos usurios internos
ou externos com a rea de TI, abrangendo processos que devem defnir:
Como o cliente solicita o servio.
Quem pode solicitar o servio.
Como os servios so avaliados.
Governana de TI 23
Quais os canais de comunicao.
Como as responsabilidades so atribudas em projetos, entre os usu-
rios e a TI.
Como a TI capacitada para atender aos usurios e ao negcio e
como os usurios so capacitados sobre o uso da TI.
Como os projetos so desenvolvidos em conjunto com o cliente, etc.
O relacionamento com os fornecedores, analogamente ao modelo de re-
lacionamento com o cliente, trata dos seguintes aspectos da operao de TI:
Como as solicitaes so encaminhadas para os fornecedores.
Como o fornecedor responde solicitao.
Como os Acordos de Nveis Operacionais
2
e Contratos de Apoio
3
so
controlados.
Como a qualidade dos servios avaliada e melhorada.
Como o desempenho do fornecedor controlado, etc.
1.4.4 o comPonente dA etAPA de gesto do vAlor e do
desemPenho dA ti
A gesto do valor da TI refere-se s atividades conduzidas para que a TI
demonstre o seu valor para o negcio em termos de custos relativos, transfor-
mao do negcio e apoio estratgia do negcio e as medies decorrentes.
A gesto do desempenho refere-se ao monitoramento dos objetivos de de-
sempenho das operaes de servios em termos de desenvolvimento de apli-
caes, suporte a servios, entrega de servios, segurana da informao e o
seu monitoramento, assim como dos acordos de nveis de servio, acordos de
nveis operacionais e nveis de servios dos contratos de apoio.
2 Em ingls, os acordos de nveis operacionais so conhecidos pela sigla OLA (Operational Level
Agreements) que compreendem os acordos de nveis de servio entre as reas de TI e entre esta e as
reas de suprimento e contratos da empresa.
3 Contratos de apoio so realizados com fornecedores externos de servios e so conhecidos como UC
(Underpinning Contracts).
2
2
governAnA corPorAtivA e
regulAmentAes de comPliAnce
Como vimos no incio deste livro, a TI deve atender s necessidades do
negcio e tambm a marcos de regulao externos.
Em organizaes que apresentam um grau de Governana Corporativa
mais avanada, a Governana de TI tem grande interao com sistemas de
controle interno e de gesto de riscos corporativos.
Dependendo do negcio, existem vrios marcos reguladores. Por exemplo,
uma empresa de telecomunicaes no Brasil deve atender a uma srie de instru-
mentos regulatrios provenientes da Anatel. O mesmo ocorre com os bancos, em
relao s normas do Banco Central ou com as organizaes que possuem aes
na BMF-Bovespa, em relao s normas da Comisso de Valores Mobilirios.
De qualquer forma, essas regulamentaes geralmente so transformadas
em objetivos e entidades de controle no contexto da Governana Corporativa.
2.1 governAnA corPorAtivA e A ligAo com A
governAnA de ti
De acordo com o Instituto Brasileiro de Governana Corporativa IBGC
(2009), a Governana Corporativa consiste:
no sistema pelo qual as sociedades so dirigidas, monitoradas e incentivadas,
envolvendo o relacionamento entre proprietrios, Conselho de Administra-
o, Diretoria e rgos de controle interno. As boas prticas de governana
corporativa convertem princpios em recomendaes objetivas alinhando
interesses com a fnalidade de preservar e otimizar o valor da organizao,
facilitando seu acesso ao capital e contribuindo para a sua longevidade.
Governana Corporativa e Regulamentaes de Compliance 25
Os princpios da Governana Corporativa, ainda de acordo com IBGC
(2009) so:
Transparncia: obrigao e desejo de informar resultados e aes.
Equidade: tratamento igual para todos os acionistas.
Prestao de contas: os agentes da governana corporativa prestam
contas e so responsveis pelos seus atos e omisses.
Responsabilidade corporativa: os agentes de governana devem ze-
lar pela sustentabilidade das organizaes, visando a sua longevidade,
incorporando consideraes de ordem social e ambiental na defnio
dos negcios e operaes.
A fgura 2.1 apresenta, de acordo com o IBGC, o Sistema de Governana
Corporativa.
Conselho de
Famlia
Governana
Scios
Conselho de
Administrao
Auditoria
Independente
Conselho
Fiscal
Comit de
Auditoria
Diretor-Presidente
Diretores
Auditoria
Interna
Comits
Gesto
Administradores

Figura 2.1 Sistema de Governana Corporativa
Adaptado de IBGC (2009)
26 Implantando a Governana de TI 3 edio
Para garantir que os princpios da Governana Corporativa sejam efetivos,
seja por sua vontade expressa ou requerida face ao ambiente regulatrio em
que se encontra, as organizaes lanam mo de modelos de controle interno
e gesto de risco.
O principal modelo norteador da estruturao de sistemas de contro-
les internos e de gesto de risco o COSO - Te Committee of Sponsoring
Organizations of the Treadway Commission (Comit das Organizaes Pa-
trocinadoras).
O COSO uma entidade sem fns lucrativos dedicada melhoria dos rela-
trios fnanceiros atravs da tica, efetividade dos controles internos e gover-
nana corporativa, que foi criada por iniciativa do setor privado para estudar
as causas de ocorrncias de fraudes em relatrios fnanceiros e contbeis e
desenvolver recomendaes para empresas de capital aberto e para instituies
de ensino.
Em 1992, o COSO publicou um trabalho intitulado Internal Control
Integrated Framework (Controle Interno Um Modelo Integrado), que se
tornou referncia para as organizaes do mundo todo para que as elas estru-
turem seus sistemas de controle interno.
De acordo com o COSO, o controle interno um processo efetuado pelo
conselho de administrao, executivos ou qualquer outro funcionrio de uma
organizao, com a fnalidade de possibilitar o mximo de garantia nas se-
guintes categorias de objetivos:
Efcincia e efccia das operaes: salvaguarda de seus ativos e pre-
veno e deteco de fraudes e erros.
Confabilidade das demonstraes fnanceiras: exatido, integrida-
de e confabilidade dos registros fnanceiros e contbeis.
Conformidade com as leis e regulamentos vigentes: aderncia s
normas administrativas, s polticas da empresa e legislao qual
est subordinada.
Em 2001, o COSO iniciou um projeto para a determinao de um mo-
delo de Risco Corporativo, que resultou no documento intitulado Enterprise
Risk Management Framework, ampliando o alcance dos controles internos e
defnindo processos para o gerenciamento de riscos corporativos.
Governana Corporativa e Regulamentaes de Compliance 27
A fgura 2.2 mostra como esses sistemas de controle e risco e de direitos de-
cisrios da Governana Corporativa criam as restries de operao dos servios
e projetos de TI. Por exemplo, supondo que o sistema de controle de riscos
aponta que um risco no haver um mtodo de gerenciamento de projetos de
TI; a TI deve ento implementar este mtodo (controle interno), em relao
ao qual o sistema de controle interno ir verifcar a aderncia periodicamente,
ou seja, realizar uma auditoria para verifcar se os projetos esto aplicando, de
fato, o mtodo.

Comits Corporativos
(Direitos Decisrios)
Sistema de Controle
Interno
(Auditorias)
Sistema de Gesto de
Riscos
GOVERNANA DE TI
Governana Corporativa
Decises sobre
Polticas e Investimentos
em TI
Auditorias em Controles
de TI
Monitoramento dos
Riscos de TI
Projetos de TI
Servios de TI
Controles de TI Processos de TI
Figura 2.2 Integrao Governana Corporativa x Governana de TI
Neste contexto, h dois regulamentos bastante fortes, que tm dado um
grande poder de fogo s reas de controle interno da maioria das organiza-
es: o Sarbanes-Oxley Act e o Acordo da Basileia II.
O primeiro atinge empresas de capital aberto e que tm aes nas bolsas
de valores norte-americanas. No Brasil, atinge algumas empresas de capital
majoritariamente nacional e as subsidirias de empresas transnacionais.
A segunda atinge instituies fnanceiras de uma forma geral. uma regu-
lamentao patrocinada pelo Bank for International Settlements ou BIS, que
28 Implantando a Governana de TI 3 edio
seria o Banco Central dos Bancos Centrais, com sede na cidade de Basileia,
na Sua. A partir dela, as autoridades bancrias principais de vrios pases
criaram modelos derivados (no caso do Banco Central do Brasil, temos a Re-
soluo 3380, tambm abordada neste captulo).
Ambas as regulamentaes tm forte impacto na rea de TI e fazem parte
do nosso modelo de Governana de TI, pois, dependendo da organizao,
devem ser contempladas pelo alinhamento estratgico. Seu atendimento se re-
veste de vrios projetos constantes do portflio de TI, que vo criar restries
s operaes de servios de TI.
Agora vamos explorar um pouco mais as implicaes desses marcos de
regulao externos.
2.2 entendendo As imPlicAes do sArbAnes-
oxley Act
2.2.1 o que o sArbAnes-oxley Act e quAl A suA
finAlidAde
Os motivadores do Sarbanes-Oxley Act (vide Sarbanes & Oxley 2002),
como conhecido no mundo dos negcios, foram os escndalos fnancei-
ros acontecidos em companhias abertas nos Estados Unidos, como a Enron
e outras, que minaram a confana dos investidores no mercado de capital
americano (em especial dos que investiam em aes dessas companhias nas
bolsas de valores). Para quem no sabe, a bolsa de valores o principal meio
de investimento da maioria das famlias norte-americanas. Portanto, manter
a credibilidade do sistema vital para os legisladores americanos e para os
responsveis pela conduo econmica dos Estados Unidos.
Os objetivos principais dessa lei so proteger os investidores do mercado de
capitais americano de fraudes contbeis e fnanceiras de companhias abertas,
assim como instituir uma srie de penalidades contra crimes relacionados. Seu
foco sobre controles internos sobre relatrios fnanceiros.
De acordo com Ramos (2004):
O termo controle interno sobre relatrios fnanceiros defnido como o
processo projetado por ou sob a superviso do principal executivo e do
Governana Corporativa e Regulamentaes de Compliance 29
principal responsvel por fnanas do emitente, ou pessoas que desempe-
nham funes similares, efetivados pelo comit de diretores do emitente,
pela gerncia ou outras pessoas, para prover garantia razovel relacionada
confabilidade de emisso de relatrios fnanceiros e preparao de
relatrios de resultados fnanceiros para propsitos externos, de acordo com
princpios de contabilidade geralmente aceitos GAAP. Inclui poltica e
procedimentos para:
(1) Manter registros que, em razovel detalhe, com exatido e de forma
correta, refitam as transaes e disposies dos ativos do emitente.
(2) Prover garantia de que as transaes sejam registradas quando neces-
srio para permitir a preparao de declaraes de resultados fnanceiros
de acordo com princpios contbeis geralmente aceitos, e que as receitas e
despesas do emitente sejam feitas somente de acordo com autorizaes da
gerncia e diretores do emitente.
(3) Prover garantia relacionada preveno ou deteco, no momento
preciso, de aquisies no autorizadas, uso ou disposio dos ativos do
emitente que possam ter um efeito material nas declaraes dos resultados
fnanceiros.
O nome dessa lei federal americana, patrocinada pelos congressistas norte-
-americanos Sarbanes e Oxley e publicada em agosto de 2002 para regular
as responsabilidades e prticas de auditoria em empresas abertas, : Public
Accounting Reform and Investor Protection Act.
A Stock Exchange Comission SEC (que vem a ser a equivalente nossa
Comisso de Valores Mobilirios CVM), autoridade que regula o mercado
de capitais norte-americano, tem a responsabilidade por estabelecer as regras
para implantar o Sarbanes-Oxley Act. Tais regras incluem guias para a elabo-
rao de relatrios fnanceiros pelos CEO (Chief Executive Ofcer geralmen-
te o presidente da empresa) e o CFO (Chief Financial Ofcer responsvel
mximo pelas fnanas de uma empresa).
Para defnir regras para os auditores independentes a respeito da lei, foi
criada no contexto da SEC o Public Company Accounting Oversight Board,
que uma organizao no governamental dedicada a criar normas a partir
da lei.
30 Implantando a Governana de TI 3 edio
O SOX (Sarbanes-Oxley Act) composto pelos seguintes ttulos:
Ttulo I : Public Company Accounting Oversight Board. Trata do
PCAOB, que uma organizao no-governamental que deve
registrar as auditorias e estabelecer os padres de auditoria rela-
tivos aos controles financeiros das empresas abertas.
Ttulo II: Auditor Independence. Estabelece que os auditores sejam
independentes e que haja rotatividade entre empresas de auditoria.
Ttulo III: Corporate Responsibility. Atribui as responsabilidades cor-
porativas, em termos da formao de um comit de auditoria, da
sua composio e dos requisitos sobre o envio de relatrios SEC e
outros tipos de conduta requeridos dos CEOs, CFOs e demais dire-
tores.
Ttulo IV: Enhanced Financial Disclosures. Estabelece novas regras
para a elaborao e publicao de resultados fnanceiros, assim como
requer que a administrao mantenha um sistema de controle inter-
no adequado.
Ttulo V: Analyst Conficts of Interest. Estabelece regras para que no
haja confitos de interesse na atuao de analistas de corretoras de
valores ou de administrao de fundos.
Ttulo VI: Comission Resources and Authority. Estabelece regras para
autorizao de fundos para a SEC, assim como a autoridade da SEC
para suspender, temporariamente ou no, empresas e profssionais de
auditoria.
Ttulo VII: Studies and Reports. Aqui o SOX autoriza a SEC a efetuar
estudos e relatrios relativos consolidao de frmas de auditoria,
agncias de rating de risco, violaes profssionais no mbito do
mercado de capitais, anlises dos resultados das aes da SEC e estu-
dos de bancos de investimentos.
Ttulo VIII: Corporate and Criminal Fraud Accountability. Estabelece
regras especfcas e penalidades para a destruio de registros corpora-
tivos, assim como para alterao de dados e falsifcaes.
Ttulo IX: White-Collar Crime Penalty Enhancements. Contm pena-
lidades para crimes do colarinho branco.
Ttulo X: Corporate Tax Returns. Estabelece que o CEO deve, obriga-
toriamente, assinar o imposto de renda da pessoa jurdica.
Governana Corporativa e Regulamentaes de Compliance 31
Ttulo XI: Corporate Fraud Accountability. Defne a responsabilidade
corporativa pela comunicao de informaes fnanceiras de resulta-
dos fraudulentos.
2.2.2 requisitos do sox que AfetAm ti
Para a TI, as Sees 302 e 404 do SOX so de especial importncia.
A Seo 302 especifca que:
O CEO e o CFO devem revisar os relatrios fnanceiros.
Com base no conhecimento do CEO e do CFO, os relatrios no
contm nenhuma declarao falsa de um fato material ou omisso,
para fazer a declarao de resultados.
Com base no conhecimento do CEO e do CFO, outras informaes
fnanceiras includas representam corretamente, em todos os aspectos
materiais, a condio fnanceira, resultados de operaes e fuxos de
caixa nos perodos representados pelos relatrios.
O CEO e o CFO so responsveis por manter e estabelecer controles
e procedimentos sobre a emisso de relatrios fnanceiros e controles
internos sobre tais relatrios.
Os sistemas de controle interno sobre a emisso de relatrios fnan-
ceiros devem ser projetados sob a superviso do CEO e do CFO,
incluindo as subsidirias.
Os sistemas de controle internos sobre relatrios fnanceiros tambm
devem ser projetados sob a superviso do CEO e do CFO.
Deve ser avaliada a efetividade do sistema de controle sobre a emisso
de relatrios fnanceiros.
Devem ser comunicadas mudanas nos controles internos sobre rela-
trios fnanceiros, considerando o ltimo ano fscal.
Devem ser comunicadas as defcincias dos sistemas de controle in-
terno que possam afetar a habilidade da empresa em registrar, proces-
sar, sumarizar e comunicar informaes fnanceiras.
Deve ser comunicada qualquer fraude que envolva a gerncia ou ou-
tros empregados que tenham um papel signifcante nos registros do
controle interno sobre relatrios fnanceiros.
32 Implantando a Governana de TI 3 edio
A Seo 404, por sua vez, especifca que:
A administrao tem a responsabilidade de estabelecer e manter uma
estrutura adequada de controle interno e procedimentos para relat-
rios fnanceiros.
A administrao deve avaliar a efetividade do sistema de controle in-
terno sobre relatrios fnanceiros.
Deve ser realizada uma auditoria externa especfca sobre a avalia-
o interna da efetividade do sistema de controle interno feita pela
administrao.
Para atender aos requisitos do SOX, as informaes fnanceiras sobre os
resultados devem atender aos seguintes princpios:
O contedo da informao deve ser apropriado.
A informao deve estar disponvel no momento em que for
necessria.
A informao atual ou pelo menos a ltima disponvel.
Os dados e as informaes esto corretas.
A informao acessvel aos usurios interessados.
H um sistema de controle interno sobre relatrios fnanceiros que
garante todos os demais itens anteriores.
Esses requisitos afetam a TI de forma bastante signifcativa. Lembramos
que as informaes fnanceiras e de resultados so oriundas de todos os pro-
cessos de negcio que geram fatos contbeis e fnanceiros para a empresa e que
podem estar automatizados ou no.
Portanto, praticamente todos os sistemas transacionais de uma empresa,
relativos a pagamento de pessoal, pagamento de benefcios a pessoal, transa-
es com fornecedores (compras, aplicao de recursos fnanceiros) e clientes
(vendas, captao de recursos fnanceiros), com acionistas, com o governo,
gesto de recursos fnanceiros, etc., devem ser considerados quando pensamos
no SOX.
Governana Corporativa e Regulamentaes de Compliance 33
No contexto de um sistema de controle interno, os riscos so identifcados
e mitigados, os controles so estabelecidos e executados, os registros e sistemas
de controle so desenvolvidos e mantidos e toda a sistemtica monitorada.
A TI, como sabemos, um elemento crtico como fonte de risco para a
continuidade do negcio e para o atendimento ao SOX.
A Tabela 2.1 mostra as principais implicaes operacionais do SOX para a
TI, considerando os processos de TI (vide em captulos posteriores as consi-
deraes dos modelos de melhores prticas de TI):
Requisitos de qualidade
da informao
Implicaes do SOX
O contedo da
informao deve ser
apropriado.
Processo de desenvolvimento de requisitos de software.
Processo de gerenciamento de requisitos de software.
Mtodos de engenharia de software.
Processos de verifcao (teste).
Processos de validao (aceitao pelos usurios).
Processos de segurana da informao empregados nos aplicativos.
Processos de aceitao de produtos de terceiros.
Processo de gesto da mudana e da confgurao.
A informao deve
estar disponvel no
momento em que for
necessria.
Disponibilidade de aplicativos.
Disponibilidade da infraestrutura.
Gerenciamento de incidentes e problemas no ambiente de produo.
Suporte aos usurios.
Gesto de aplicativos e de ativos de TI.
Processos de gerenciamento da infraestrutura.
Segurana da infraestrutura.
Gerenciamento da contingncia.
Gerenciamento de disponibilidade e desempenho.
A informao atual ou
pelo menos a ltima
disponvel.
Processos de gerenciamento de dados.
Planejamento e gerenciamento da contingncia e de desastres.
Segurana da informao na infraestrutura.
Os dados e as
informaes esto
corretos.
Segurana da informao em aplicativos.
Segurana da infraestrutura de TI.
Teste de software.
Controle da mudana e da confgurao.
Gerenciamento de dados.
Gerenciamento de requisitos.
34 Implantando a Governana de TI 3 edio
Requisitos de qualidade
da informao
Implicaes do SOX
A informao
acessvel aos usurios
interessados.
Segurana da informao referente a controle de acessos e privilgios.
Controle de autorizaes.
H um sistema de
controle interno sobre
relatrios fnanceiros.
Avaliao de riscos de TI.
Gesto da qualidade.
Planos de desastres e recuperao.
Tabela 2.1 Implicaes do SOX para TI
2.2.3 imPActo do sox nA governAnA de ti
O SOX impacta a Governana de TI no que diz respeito aos seguintes
aspectos:
As questes relativas ao SOX devem ser tratadas no Plano de Tecno-
logia da Informao.
Novos controles (funcionalidades) em aplicaes do legado devem ser
implantados.
Novas aplicaes devem ser implantadas.
Processos de TI existentes devem ser ajustados e melhorados para mi-
tigar riscos.
Novos processos de TI devem ser projetados e implantados.
Ocorrncia de provveis mudanas na estrutura organizacional de TI
em funo dos processos ajustados e tambm dos novos.
Novos indicadores de desempenho devero ser defnidos e im-
plantados.
Os riscos de TI devem ser monitorados constantemente.
Finalizando este tema, o CIO deve ser pea fundamental no esforo da
empresa para se ajustar ao SOX, devendo participar ativamente do projeto de
adequao.
Governana Corporativa e Regulamentaes de Compliance 35
2.3 entendendo As imPlicAes do Acordo dA
bAsileiA ii
2.3.1 o que o Acordo dA bAsileiA ii
Estabelecido pelo Bank for International Settlements, BIS, sediado na cidade
sua da Basileia (que vem a ser o Banco Central dos Bancos Centrais), o Acordo
da Basileia II estipula requisitos de capital mnimo para as instituies fnanceiras,
em funo dos seus riscos de crdito e operacionais. O Acordo possui trs pilares:
O primeiro pilar estabelece regras e procedimentos para clculo dos re-
quisitos de capital, tendo em vista os riscos de crdito e operacionais, de
acordo com a aplicao de abordagens distintas de avaliao e mitiga-
o de riscos. Risco de crdito a perda econmica sofrida pela incapa-
cidade voluntria ou involuntria do tomador do crdito em atender s
suas obrigaes contratuais no tempo requerido. No caso dos bancos, a
metodologia deve atender tanto a uma transao individual de crdito
como a uma carteira de crdito, ou seja, o port flio de crdito da ins-
tituio. Risco operacional, por sua vez, o risco de perdas fnanceiras
diretas ou indiretas resultantes de processos internos inadequados, de
falhas nos processos, pessoas e sistemas, ou mesmo de eventos externos.
O segundo pilar estabelece regras para que os Bancos Centrais de cada
pas executem auditorias nas instituies fnanceiras, visando avaliar
a aplicao dos mtodos de gesto de risco e a avaliao e mitigao
de riscos de crdito e operacionais, assim como a emisso de infor-
maes para o mercado acerca da exposio do risco da instituio.
O terceiro pilar estabelece regras para a comunicao para o mercado,
dos requisitos mnimos de capital, face aos riscos e aos mtodos e resul-
tados de avaliaes de riscos, conforme estabelecido pelo primeiro pilar.
2.3.2 imPlicAes do Acordo dA bAsileiA ii sobre ti
Atualmente, o Banco Central do Brasil vem auditando as reas de TI dos
bancos atravs do instrumento denominado CobiT (Control Objectives for In-
formation and related Technology), desenvolvido pela Information Systems Audit
and Control Association ISACA (este framework apresentado mais adiante).
36 Implantando a Governana de TI 3 edio
Como os bancos no Brasil esto em estgio extremamente avanado no
que diz respeito integrao, uso de tecnologias, diversidade de canais e di-
versidade de produtos, a questo risco operacional de TI primordial. A TI
um dos principais elementos do risco operacional de um banco, juntamente
com pessoas e processos de negcio.
No que tange ao risco operacional, o impacto do Acordo da Basileia
abrange praticamente todo o espectro de processos de TI e respectivas reas
organizacionais.
Do ponto de vista do risco de crdito, o impacto recai sobre:
Capacidade de armazenamento de dados em face da granularidade
de informaes requeridas de cada cliente, visando avaliar riscos de
forma mais consistente.
Integridade das informaes acerca das transaes do banco.
Integridade das informaes armazenadas sobre os clientes e opera-
es de crdito.
Segurana dessas informaes.
Contingncias na operao.
Planejamento de capacidade.
Planejamento de desastre e recuperao.
Integridade do processo de emisso de relatrios requeridos pelo BIS.
Analogamente ao que falamos no caso do SOX, relativamente ao Acordo
da Basileia, o CIO ou equivalente deve:
Inserir as questes do Acordo em seu Plano de Tecnologia da Informao.
Implantar novos processos de TI.
Ajustar ou melhorar processos existentes.
Ajustar a estrutura organizacional de TI para acomodar novos processos.
Defnir e implantar novos indicadores de desempenho, caso seja ne-
cessrio.
Tratar a gesto de riscos (planejamento e monitoramento) de TI
como seu processo com identidade prpria na organizao de TI.
Governana Corporativa e Regulamentaes de Compliance 37
2.4 o imPActo dA resoluo 3380 do bAnco
centrAl do brAsil
Em junho de 2006, foi publicada a Resoluo 3380, do Banco Central do
Brasil, que determina que as instituies fnanceiras e demais instituies au-
torizadas a funcionar pelo Banco Central implementem sua prpria estrutura
de gerenciamento de risco.
Conforme defnio na resoluo, risco operacional a possibilidade de
ocorrncia de perdas resultantes de falha, defcincia ou inadequao de pro-
cessos internos, pessoas e sistemas, ou de eventos externos. No que tange
Tecnologia da Informao, a resoluo refere-se a falhas em sistemas como ris-
co operacional. Alguns riscos apontados, tais como interrupo de atividades
da instituio e danos a ativos, tambm podem ser originados pela tecnologia
da informao.
De acordo com a resoluo, deve-se identifcar, avaliar, monitorar, contro-
lar e mitigar os riscos da instituio:
Os riscos operacionais devem ser identifcados, avaliados, monitora-
dos, controlados e mitigados (essa gesto deve ser permanentemente
executada).
Planos de continuidade de negcios devem ser elaborados, testados e
atualizados.
Os riscos dos fornecedores de servios devem ser gerenciados.
O ponto de partida utilizado pela maioria das instituies a avaliao
dos riscos de TI com base nos processos do CobiT (leia no captulo 6 maiores
detalhes sobre este modelo).
Outra abordagem a elaborao de mapas de riscos por negcio, onde
os riscos que a TI oferece para o negcio so identifcados, avaliados, mo-
nitorados, controlados e mitigados. Um exemplo de risco em um processo
de internet banking a disponibilidade das aplicaes; o mesmo ocorre para
uma transferncia eletrnica de fundos. Dependendo da criticidade do risco
para o negcio, determinada a frequncia para a ocorrncia das auditorias
sobre TI.
38 Implantando a Governana de TI 3 edio
Neste contexto, quem realiza a gesto de riscos uma rea de gesto de
riscos corporativos, cujas informaes devem ser tratadas pela TI para projetar
e implementar aes de mitigao (controles internos de TI).
Por exemplo, em processos crticos de negcios, geralmente so elaborados
Planos de Continuidade do Negcio, que iro resultar na elaborao de Pla-
nos de Desastre e Recuperao pela TI, visando recuperar servios de TI que
apoiam o processo de negcio.
O mais importante que tanto o sistema de controle interno como o de
risco so grandes aliados na implantao da Governana de TI na organizao.
3
3
o modelo de governAnA de ti
Um ponto importante da ideia de apresentar um modelo genrico de Go-
vernana de TI que ele pode ser adaptado para qualquer tipo de organizao,
sendo que seus componentes podem ser encarados como peas de um lego,
que vo sendo construdas e implantadas de acordo com as prioridades, ne-
cessidades e disponibilidades da organizao.
Entretanto, nunca podemos esquecer que um dos maiores desafos que
uma rea de TI tem o de promover o seu alinhamento com o negcio,
o que exige grandes doses de negociao e educao dos dirigentes das
reas de negcio e, obviamente, grande capacidade do CIO para faz-lo
acontecer.
Poderamos at usar alguns slogans para essa nova era de fexibilidade para
o negcio:
TI no mais assunto somente da TI.
O CIO deve liderar a mudana.
TI deve ser fexvel para lidar com as mudanas do negcio.
Prioridades de TI devem ser prioridades do negcio e no de pessoas;
para isso mecanismos de gesto de portflio devem ser corporativos.
Os itens que representam elementos de custeio de TI devem ser cons-
tantemente reavaliados quanto sua permanncia ou no.
Os resultados de investimentos em TI devem ser medidos pela cria-
o de valor ao negcio e pela diminuio da exposio do negcio a
riscos operacionais.
Implantar governana de TI depende de marketing interno.
40 Implantando a Governana de TI 3 edio
Implantar governana de TI implica em mudanas de cultura, de to-
dos da organizao.
Por fm, a TI deve ser gerenciada como um negcio.
3.1 viso gerAl do modelo de governAnA de ti
O modelo genrico sugerido baseia-se em um fuxo de mo-dupla que se-
gue o Ciclo da Governana de TI
4
. A viso geral deste modelo apresentada
na Figura 3.1.
Este modelo apresenta funes tpicas de Governana de TI e um fuxo,
que segue desde o alinhamento at a comunicao do resultado da TI.
Os componentes tpicos da Governana de TI so:
Riscos e compliance: consiste na defnio da tolerncia de riscos da
organizao e na avaliao conjunta dos riscos com o negcio, assim
como na garantia de que a TI est aderente com requisitos de com-
pliance externos e internos (atravs dos controles internos aplicveis).
Avaliao independente: consiste na promoo de avaliaes (au-
ditorias) independentes para verifcar a conformidade da TI com re-
quisitos de compliance externos e com os controles internos aos quais
est submetida.
Gesto da mudana organizacional: consiste no processo de avaliar a
prontido para a mudana das reas de TI, em funo da implantao
de inovaes em processos de gesto e operacional, do planejamen-
to da mudana, do estabelecimento de mecanismos de recompensas
para a mudana e do gerenciamento da implantao da mudana.
Alinhamento estratgico: consiste na interao entre a TI e a Alta
Administrao no sentido de estabelecer os mecanismos de direitos
decisrios, assim como a obteno dos direcionadores estratgicos e
objetivos de negcio que iro afetar a TI, bem como a sua contribui-
o para a operao e objetivos do negcio.
Entrega de valor: consiste no gerenciamento dos programas e proje-
tos, na avaliao do valor entregue e no gerenciamento disciplinado
do portflio de TI.
4 J discutido no Captulo 1.
O Modelo de Governana de TI 41

Alinhamento
Estratgico
Entrega do Valor Comunicao
Gesto da Mudana Organizacional
Gesto do Desempenho
Avaliao Independente
Gerenciamento de
Recursos
v
E
s
t
r
a
t

g
i
a
d
o
N
e
g

c
i
o
E
s
t
r
a
t

g
i
a
d
e
T
I
P
l
a
n
o
d
e
T
I

N
e
g

c
i
o
s
Priorizao
Mecanismos de
Deciso
Projetos
Servios
Inovao
Alinhamento
Deciso
Priorizao
Estrutura, Processos,
Operaes e Gesto
Clientes/
Usurios
Fornecedores
Oramento
Investimentos R
e
s
u
l
t
a
d
o
s
d
e
T
I
R
e
s
u
l
t
a
d
o
s
p
a
r
a
o
N
e
g

c
i
o
C
o
m
u
n
i
c
a

o
e
R
e
p
o
r
t
e
d
e
R
e
s
u
l
t
a
d
o
s
Gesto do Valor e do Desempenho da TI
Riscos e Compliance
D
ir
e
t
r
iz
e
s
D
ir
e
t
r
iz
e
s
O
p
e
r
a

e
s
d
e
S
e
r
v
i

o
s
P
l
a
n
o
d
e
T
I

I
n
t
e
r
n
o
s
Portfolio
de TI

Figura 3.1 Modelo de Governana de TI
Gesto do desempenho: consiste na defnio de indicadores, me-
canismos de coleta e anlise de indicadores de resultado (metas) e de
desempenho da TI.
Comunicao: consiste na comunicao do valor entregue pela TI ao
negcio e em relao ao seu desempenho no atendimento dos nveis
de servios e das metas estabelecidas pelo planejamento estratgico.
Gerenciamento de recursos: consiste na superviso do investimen-
to, do uso e da alocao dos recursos de TI por meio de avaliaes
peridicas das iniciativas e operaes de TI, visando assegurar a exis-
tncia recursos sufcientes e o alinhamento com objetivos estratgicos
e necessidades de negcios atuais e futuras.
Os componentes de gesto e operacionais so:
Estratgia do negcio: consiste nos direcionamentos estratgicos do
negcio, objetivos, planos funcionais de outras reas da organizao,
mapa estratgico da organizao, alm do plano estratgico de mdio
e longo prazo, que devem ser considerados por TI para o desenvolvi-
mento de sua estratgia de servios.
Estratgia de TI: consiste na elaborao do plano de TI, que pode
ter uma viso externa, para os projetos, servios e inovaes para o
42 Implantando a Governana de TI 3 edio
negcio e uma viso interna, composta dos projetos e inovaes que
a TI deve implantar para poder atender aos seus clientes e usurios
na organizao. Este plano pode conter o Mapa Estratgico e o BSC
da TI.
Plano de TI negcios: consiste em projetos, servios e inovaes da
TI para o negcio, como implantao de novas aplicaes, manuten-
es de aplicaes, implantao de sistemas integrados de gesto, de
servios de TI e de projetos de infraestrutura para apoiar os processos
de negcio da organizao.
Plano de TI internos: consiste em projetos e inovaes que a TI
tem que implantar para atender ao Plano de TI negcios, tais como
a implantao de processos operacionais e gerenciais, desenvolvimento
de recursos humanos, capacitao de pessoal, estratgia de sourcing, se-
gurana da informao, arquitetura da informao, arquitetura tecno-
lgica, organizao, estabelecimento de objetivos de desempenho, etc.
Mecanismos de deciso: consiste no estabelecimento e no apoio a
comits requeridos para tomada de decises sobre a TI (que so os
mecanismos de direitos decisrios), os critrios de priorizao e a
priorizao dos investimentos em TI, visando estabelecer o portflio
de TI.
Portflio de TI (oramento e investimentos): consiste no estabe-
lecimento do Portflio de TI aprovado a partir da priorizao e nos
mecanismos de seu gerenciamento.
Clientes/usurios: consiste nos processos de relacionamento da TI
com os seus clientes e usurios.
Operaes de servios: consiste no gerenciamento e na execuo dos
projetos, servios e inovaes de TI para o negcio e para a prpria TI.
Fornecedores: consiste no gerenciamento de contratos e servios for-
necidos por terceiros.
Resultados da TI: consiste nos indicadores de desempenho e de resul-
tados da TI em funo da execuo de projetos, servios e inovaes.
Resultados para o negcio: consiste nos resultados da TI para o ne-
gcio, em termos de apoio ao aumento da rentabilidade, reduo de
custo, ao lanamento de novos produtos, ao aumento de participao
no mercado, expanso fsica do negcio, etc.
O Modelo de Governana de TI 43
Comunicao e reporte de resultados: consiste na comunicao s
partes interessadas (geralmente os executivos de negcio e alta admi-
nistrao) sobre o desempenho da TI, no atendimento aos nveis de
servios acordados e aos objetivos do negcio.
A estruturao de funes e responsabilidades sobre a Governana de TI
na organizao o ponto inicial de partida. A forma como vai ser realizada
depende de organizao para organizao. Geralmente estabelecida uma
rea ou grupo de pessoas com a responsbilidade pela implantao da Gover-
nana de TI.
O alinhamento estratgico o ponto de partida para a rea de TI criar va-
lor para o negcio e garantir a aderncia a requisitos de compliance.
O primeiro evento de alinhamento o que chamamos de alinhamento
esttico, pois deriva de algum momento em que a empresa planeja o seu
futuro. A partir dos objetivos e das estratgias do negcio (de curto, mdio e
longo prazo), derivam-se iniciativas estratgicas de TI, que so transformadas
em projetos e servios e, possivelmente, o Plano de Tecnologia da Informao,
que, no nosso entender, est no mesmo nvel de outros planos funcionais da
organizao (que tambm so derivados de objetivos estratgicos dos Planos
de Marketing, Vendas, Produo, Logstica etc.).
Os princpios de TI, se j existirem, podem orientar as escolhas estratgicas
contidas no Plano de Tecnologia da Informao. Caso no existam, defni-los
ser certamente outra tarefa do alinhamento.
A partir do alinhamento estratgico (esttico neste momento), o passo se-
guinte defnir as prioridades de TI (sejam elas solues estratgicas, projetos
de aplicativos ou solues, projetos de manuteno de ativos ou projetos de
processo, organizao e servios), gerando um portflio de TI.
A defnio sobre o que manter e sobre em que investir vai depender dos
mecanismos de deciso corporativos criados para tal, como, por exemplo, um
Comit de Projetos com a participao dos usurios e executivos.
O portflio vai orientar as aes do dia a dia e ser alimentado por elas. Este
instrumento vai unir as estratgias de curto, mdio e longo prazo rotina
diria das operaes de servios de TI.
44 Implantando a Governana de TI 3 edio
Pode haver mudanas no negcio? Com certeza, sim (alis, 100% de certe-
za!). Portanto, mudanas no negcio que acarretem mudanas em demandas
para a TI devem recompor o portflio e, por conseguinte, o Plano de Tecno-
logia da Informao. o que chamamos de alinhamento dinmico da TI.
Em outras palavras, os objetivos e as estratgias de negcio devem ser sempre
revisitados, mesmo que no estejam claros para o pessoal do negcio.
O portflio de TI deve direcionar o relacionamento com os clientes (in-
ternos e externos), assim como com os fornecedores e parceiros de TI. Teo-
ricamente, no deveria ser permitido o atendimento de demandas que no
estejam enquadradas no portflio. Mudanas deveriam ser negociadas e, se
forem importantes e requeridas pelo negcio, deveriam ser entendidas como
mudanas ou refnamentos nos objetivos e estratgias do negcio.
O relacionamento com os clientes e o relacionamento com os fornecedores so
subconjuntos do portflio que guiam o dia a dia das operaes de servios de TI.
As operaes de servios de TI proporcionam os servios requeridos pelos
clientes internos (dentro da organizao, a prpria rea de TI) e externos
organizao (clientes propriamente ditos e, s vezes, os fornecedores). Este
aspecto pode ser entendido como a entrega de valor da TI.
No modelo, a organizao e os instrumentos das diversas operaes devem
ser derivados do alinhamento estratgico. Os projetos internos de TI, como,
por exemplo, a implantao de uma metodologia de desenvolvimento de sis-
temas, devem estar previstos no portflio de TI.
Objetivos de desempenho e nveis de servio podem ser estabelecidos des-
de o Plano de Tecnologia da Informao e devem ser medidos em intervalos
de tempo preestabelecidos. As medies so realizadas no nvel de cada ope-
rao de servio.
A gesto do desempenho de TI derivada dessas medies, as quais po-
dem ser consolidadas mediante tratamento especfco (frmulas) para gerar
indicadores de desempenho e de resultado que, por sua vez, vo mostrar se as
decises estratgicas e tticas tiveram efeito real no desempenho esperado para
as operaes, apontando quais aes so necessrias para aumentar o desem-
penho ao longo do tempo.
Ainda no modelo, temos as medies de resultados dos projetos, servios
e inovaes para o negcio, que so o que realmente interessa para o negcio.
Por exemplo: a TI atende aos picos de operao do negcio com alta dispo-
O Modelo de Governana de TI 45
nibilidade, integridade e confabilidade? Ou: o projeto de negcio, apoiado
por TI, conseguiu gerar a receita necessria? Ou ainda: o projeto de inovao
proposto por TI reduziu o custo do negcio?
A comunicao crtica para todo o processo, pois o meio pelo qual a TI
comunica o seu desempenho de forma transparente para o negcio (executi-
vos e alta administrao) e atravs do qual a TI demonstra o seu valor para o
negcio. Quanto mais a TI demonstrar valor, maiores sero as possibilidades
do negcio investir em mais inovaes, projetos e servios de TI e obter os
benefcios com o uso da tecnologia da informao.
Entretanto, nada garante que os princpios e mecanismos da Governana
de TI sejam implantados, mantidos e evoludos sem um gerenciamento de
mudana organizacional. Nossa experincia tem demonstrado que este um
ponto crtico na implantao da Governana de TI, pois quando ocorrem
mudanas na organizao h ganhadores e perdedores. s vezes, esses perde-
dores opem forte resistncia mudana e, muitas vezes, so pessoas chaves
para a organizao. Muitas vezes eles vencem!
Por fm, temos que garantir que o que foi implantado seja seguido, contro-
lado, monitorado, atendendo aos parmetros de riscos da TI para o negcio,
aos requisitos de compliance externos (leis, regulaes, etc.) e aos controles
internos requeridos para a TI.
Aps esta breve descrio do modelo de Governana de TI, vamos a um
detalhamento maior de seus componentes.
3.2 o AlinhAmento estrAtgico de ti
3.2.1 o que o AlinhAmento estrAtgico
O alinhamento estratgico pode ser realizado com ou sem um plano estra-
tgico de negcios formal.
No adianta a empresa ter somente um conjunto de metas de vendas ou
de lucratividade sem ter o detalhe sobre como atingir as metas e a lucrativida-
de pretendida. Para quem se encontra numa situao dessas, fundamental
tentar entender os movimentos competitivos que a diretoria da empresa faz,
assim como entender profundamente o negcio, em termos dos fatores crti-
cos de sucesso.
46 Implantando a Governana de TI 3 edio
Como a literatura tem defnido, alinhamento estratgico o processo de
transformar a estratgia do negcio em estratgias e aes de TI que garantam
que os objetivos de negcio sejam apoiados.
O mercado de cada empresa defne a estrutura do negcio e o campo de
batalha competitivo. Neste sentido, cria elementos competitivos que tm im-
pacto na forma como a empresa vislumbra novas oportunidades de negcio,
desenvolve produtos e servios, realiza as suas vendas e aquisies de insumos
e recursos, transforma-os em produtos e servios, usa a tecnologia de produtos
e assim sucessivamente.
O mercado tambm fornece informaes sobre ameaas ao negcio repre-
sentadas pela barganha de fornecedores e compradores, pelo aparecimento
de produtos e servios substitutos, pelo surgimento de novas tecnologias de
processo e de produto patenteadas que possam mudar a forma de vender e
distribuir, pela forma de gerir a cadeia de suprimentos, etc.
Geralmente, o que se observa a defnio de um conjunto de estratgias
considerando um cenrio de produto/servio e mercado presente e futuro,
ou a partir de um novo posicionamento competitivo com a mudana dos
elementos da oferta de valor da empresa para o mercado
5
. Isto signifca que as
linhas de produtos e servios da empresa podem requerer o emprego simult-
neo de vrias estratgias, o que torna a questo do alinhamento e da prpria
operao de TI bem mais complexa.
Atualmente, o alinhamento estratgico bidirecional, ou seja, da estratgia
do negcio para a estratgia de TI e vice-versa, pois a TI pode potencializar
estratgias de negcio que seriam impossveis de serem implantadas sem o
auxlio da tecnologia da informao.
A Figura 3.2 mostra o esquema de alinhamento estratgico proposto por
Henderson & Venkatraman (1993), onde a estratgia de TI infuencia e
infuenciada pela estratgia de negcio e interage bidirecionalmente com a
infraestrutura e os processos de TI e com a infraestrutura e os processos orga-
nizacionais.
Vrias estratgias simultneas podem requerer processos de negcio distin-
tos, tanto do ponto de vista operacional como da gesto. Para a TI, isto signi-
fca um forte impacto quando se defne a Arquitetura de TI, visando obter o
mximo de compartilhamento de recursos.
5 Vide o trabalho de Kim & Mauborgne (2005).
O Modelo de Governana de TI 47
Vide o caso dos bancos de varejo no Brasil, que atendem tanto clientes de
baixo poder aquisitivo como de classe mdia e classe mdia alta.
Para os clientes de classe mdia alta, esses bancos criaram estruturas, sis-
temas, atendimento, marketing e processos operacionais diferenciados. Isto
requer para a TI a especializao de alguns aplicativos, alm de dados mais
detalhados sobre as transaes dos clientes. Na realidade, para esse pblico, a
agncia virtual ou fsica torna-se uma verdadeira banca de vendas de servios
e produtos bancrios.
COMPETNCIAS
DISTINTIVAS
GESTO DOS
NEGCIOS
ESCOPO DOS
NEGCIOS
PROCESSOS HABILIDADES
INFRA-ESTRUTURA
ADMINISTRATIVA
COMPETNCIAS
SISTMICAS
GESTO DA TI
ESCOPO DA
TECNOLOGIA
PROCESSOS HABILIDADES
ARQUITETURA
ESTRATGIA DE NEGCIO ESTRATGIA DE TI
INFRA-ESTRUTURA E PROCESSOS
ORGANIZACIONAIS
INFRA-ESTRUTURA E
PROCESSOS DE TI
E
x
t
e
r
n
o
I
n
t
e
r
n
o
Alinhamento
Multidimensional
Ajuste
Estratgico
Integrao Funcional
Figura 3.2 Modelo de alinhamento estratgico
Fonte: Henderson & Venkatraman (1993)
Esta viso da estratgia de negcio versus a estratgia de TI fundamental
para o alinhamento estratgico.
O alinhamento estratgico ocorre em vrios momentos na vida da empresa.
Um momento acontece quando o board da organizao se rene para defnir
objetivos de negcio de mdio e longo prazo e estabelece estratgias para atingir
esses objetivos. Geralmente produzido um plano estratgico, plano de neg-
48 Implantando a Governana de TI 3 edio
cios ou algo equivalente. A partir deste ponto, objetivos e estratgias funcionais
so desdobrados e sincronizados para marketing e vendas, operaes, logstica,
recursos humanos, tecnologia da informao, pesquisa e desenvolvimento, etc.
Outros momentos acontecem quando este mesmo board redefne aleato-
riamente o seu plano de negcios em funo de novas oportunidades ou ce-
nrios macroeconmicos e microeconmicos de negcios.
Por fm, este alinhamento ocorre no dia a dia, quando os clientes de TI
de mandam solues novas que mudam os requisitos do negcio estabelecidos
no alinhamento esttico, quando foi feito o plano de tecnologia. Neste caso,
a TI tem que ser bastante fexvel.
Chamamos de alinhamento esttico a derivao da estratgia de TI a partir
do Plano Estratgico ou de Negcios da empresa e de alinhamento dinmico
a alterao da estratgia de TI em funo da mudana aleatria da estratgia
de negcios da empresa.
Para ser efetivo e robusto, um modelo de Governana de TI tem que con-
templar esses dois alinhamentos.
SITUAO
ATUAL
DO NEGCIO
OBJETIVOS DE
NEGCIOS
DESEJADOS
OBJETIVOS DE
NEGCIO
ATINGIDOS
ESTRATGIA
INTENCIONADA DE
NEGCIOS
LINHA DE TEMPO IMAGINADA
ESTRATGIA
REALIZADA DE
NEGCIOS
LINHA DE TEMPO REALIZADA
ALINHAMENTO
ESTTICO
DA TI
ALINHAMENTO
DINMICO
DA TI

Figura 3.3 Alinhamento estratgico e comportamento da estratgia de negcio
O Modelo de Governana de TI 49
A Figura 3.3 mostra que, inicialmente, o Plano de Tecnologia produto do
alinhamento esttico face s estratgias de negcio intencionadas, ou seja, as
estratgias documentadas ou comunicadas logo aps um processo (formal ou
informal) de planejamento estratgico.
Durante a implantao das estratgias de negcio intencionadas, ocor-
rem mudanas no cenrio do mercado, da economia ou da poltica, fazendo
com que as estratgias inicialmente traadas sofram alteraes. Temos ento,
neste momento, as estratgias que esto sendo, de fato, executadas (ou seja,
realizadas). Essas estratgias iro requerer novo alinhamento da TI, a que
chamamos de alinhamento dinmico.
Lembramos, porm, que, mesmo que a empresa no tenha claro o seu
plano de negcios, possvel realizar o alinhamento estratgico esttico, o
que vai subsidiar o seu Plano de Tecnologia da Informao.
H diversas formas de se fazer a anlise estratgica do negcio para TI.
Algumas delas so:
Identifcao, atravs do plano estratgico do negcio ou atravs da
observao das aes da empresa, das estratgias empresa riais que a
empresa adota e daquelas que sero adotadas para atingir objetivos
traados.
Identifcao dos fatores crticos de sucesso da empresa.
Anlise de planos tticos funcionais.
Balanced Scorecard de TI
6
.
Essas anlises podem ser cotejadas com o portflio atual de TI visando
determinar os gaps que devero ser preenchidos.
A seguir, apresentamos um detalhamento do Plano de Tecnologia da In-
formao. Esta abordagem apresentada aqui aplicvel em organizaes que
necessitam rever o alinhamento da TI ao negcio, ou que necessitam rever de
forma mais profunda o alinhamento da infraestrutura de aplicaes e tecnol-
gica e das demais polticas e processos de TI, em apoio aos servios fornecidos
aos usurios e clientes.
Entretanto, se a sua organizao j est madura em termos de TI, tem uma
infraestrutura de aplicaes e tecnolgica mais ou menos estabilizada, com
6 Vide a discusso desta tcnica no captulo 12.
50 Implantando a Governana de TI 3 edio
poucas mudanas transformadoras, pode usar uma abordagem mais estrat-
gica, atravs da elaborao do Mapa Estratgico e do BSC de TI, que ser
discutido mais adiante, no item 3.2.3.
3.2.2 o PlAno de tecnologiA dA informAo
O Plano de Tecnologia da Informao o principal produto da fase
de alinhamento estratgico, conforme o modelo de Governana de TI
proposto. Ele derivado do momento de alinhamento estratgico da
organizao e atualizado sempre quando h mudanas na estratgia. Num
primeiro instante, o alinhamento estratgico ocorre quando se est cons-
truindo ou elaborando o plano estratgico empresarial (que pode ser for-
mal ou informal).
Geralmente, feito para perodos no superiores a trs anos, com maior
detalhe no primeiro ano e com revises anuais.
A elaborao do Plano de Tecnologia comumente segue um processo que
se inicia aps ou durante a defnio dos objetivos e estratgias da companhia,
ou seja, durante o alinhamento estratgico.
Nesse processo, a TI deve participar da defnio dos objetivos e das estra-
tgias da empresa, sugerindo novas oportunidades de negcio com o uso da
tecnologia da informao ou apoiando os demais objetivos e estratgias fun-
cionais, de marketing e vendas, manufatura, logstica, recursos humanos, etc.
Dependendo da postura de TI, a elaborao do Plano pode ser feita a partir
dos objetivos e estratgias defnidos.
Eventualmente, as reas de controle interno das empresas podem exigir
da rea de TI a elaborao de um Plano. Esta a postura menos recomendada
para TI. O Plano no pode servir apenas para eliminar pontos de auditoria
ou para atender a requisitos de compliance, mas ser um elemento de apoio
gesto do CIO e dos demais gerentes de TI e da prpria empresa, alm de ser
um elemento de comunicao entre TI e negcio.
A Figura 3.4 mostra uma viso macro de um processo de planejamento
estratgico empresarial tpico.
O Plano de TI pode ser visto como um dos planos funcionais, cujos pro-
jetos e servios so derivados e esto em linha com a estratgia empresarial e
competitiva e os demais planos funcionais da organizao.
O Modelo de Governana de TI 51
Para melhor entendimento:
Inteligncia competitiva: refere-se ao tratamento de informaes
internas e externas acerca do mercado, clientes, concorrentes, forne-
cedores, de cunho poltico, legal, social e econmico, assim como
avaliao de oportunidades, pontos fracos e pontos fortes, que ser-
vem de base para a reviso ou elaborao da estratgia corporativa e
competitiva.
Estratgia corporativa: procura responder a questes tais como: em
que negcio atuar, diversifcar ou focalizar, como alocar recursos a
diferentes negcios, que novo negcio ou mercado deve ser desen-
volvido, etc.
Estratgia competitiva e de posicionamento: procura responder so-
bre a misso da empresa, quais os objetivos estratgicos do negcio,
qual a estratgia competitiva (liderana em custo, diferenciao, en-
foque), qual a estratgia de crescimento do negcio ou mesmo qual a
estratgia de um novo posicionamento estratgico.
INTELIGNCIA
COMPETITIVA
ESTRATGIA
CORPORATIVA
ESTRATGIA
COMPETITIVA E DE
POSICIONAMENTO
PLANO
ESTRATGICO
PLANO DE
P & D
PLANO DE
MARKETING
PLANO DE
NOVOS
PRODUTOS E
SERVIOS
PLANO DE
VENDAS
PLANO DE
OPERAES
PLANO DE
LOGSTICA
PLANO DE
RECURSOS
HUMANOS
PLANO DE
TI
PLANO DE
FUNDING
PLANOS FUNCIONAIS
PROCESSO DE PLANEJAMENTO
ESTRATGICO EMPRESARIAL


Figura 3.4 Processo de planejamento estratgico empresarial
52 Implantando a Governana de TI 3 edio
Plano estratgico: documenta as intenes da administrao sobre
como atingir os objetivos estratgicos do negcio. Estabelece as aes
necessrias para que os objetivos do negcio sejam atingidos.
Planos funcionais: desdobram as estratgias em projetos e ser-
vios que devem ser desenvolvidos para que os objetivos sejam
atingidos.
A Figura 3.5, a seguir, mostra um modelo de relacionamento bsico entre
os principais planos funcionais de uma organizao.
O Plano de Tecnologia da Informao deve apoiar toda a operao, em
termos de desenvolvimento de novas solues para as necessidades do neg-
cio, da manuteno das solues, dos aplicativos e dos demais ativos de TI,
da implantao e manuteno de solues de servios associados ao uso dos
ativos e da infraestrutura. Neste sentido, tambm apoiado por outros planos
como o de recursos humanos e de funding.
PLANO DE
FUNDING
PLANO DE VENDAS
PLANO DE
MARKETING
PLANO DE
TECNOLOGIA DA
INFORMAO
PLANO DE NOVOS
PRODUTOS E
SERVIOS
PLANO DE
RECURSOS
HUMANOS
PLANO DE
SOURCING
PLANEJAMENTO
ESTRATGICO
EMPRESARIAL
PLANO DE
OPERAES
PLANO DE
LOGSTICA
estratgias e diretivas
necessidades de funding da operao
previso de vendas
PLANO DE
PESQUISA E
DESENVOLVIMENTO
projetos
aplicados
estratgias e diretivas estratgias e diretivas
necessidades
de servios
de TI
necessidades
de recursos
humanos e
competncias
necessidades
de mercado
estratgia de
marketing
especificaes
de produtos
necessidades
de sourcing
volume de
produtos
necessidades
de funding
necessidades
de funding
necessidades
de recursos
diretivas para
determinao de
principios
Figura 3.5 Relacionamento entre planos funcionais
O Modelo de Governana de TI 53
Lembramos, todavia, que os princpios de TI orientam as resolues
do Plano de TI. Se tais princpios no existirem ou no estiverem claros
dentro da empresa, a hora de abord-los durante a elaborao do plano
de TI.
O processo de alinhamento estratgico revelar requisitos do negcio
para TI, os quais vo alimentar o estudo da demanda por servios, recursos
e infaestrutura, sendo transformados em objetivos de desempenho e acor-
dos de nveis de servio para clientes externos e internos, em necessidades
de novas solues, de infraestrutura de TI e de outros recursos e servios
de TI.
O entendimento da dinmica do negcio auxilia na determinao do vo-
lume e do tipo de servios que so (ou sero) requeridos da TI, o que pode
direcionar a determinao dos nveis de servios que devem ser negociados
com os usurios/clientes.
As necessidades de solues so avaliadas em face do atual portflio de TI e
da atual arquitetura de TI da empresa. Se no houver um desenho, o enten-
dimento e o estabelecimento do padro da arquitetura de TI, a oportunidade
para faz-lo durante a elaborao do plano de TI.
As necessidades de aplicaes podero ajudar no desenho da arquitetura
de TI, se ela ainda no existir, e na defnio da infraestrutura de servios de
TI, que dar suporte para que as necessidades de aplicaes, dentro de uma
arquitetura de TI, tornem-se realidade.
Todos os requisitos anteriores vo exigir uma capacidade adequada de re-
cursos, sejam computacionais, materiais e humanos, que tambm deve ser
planejada.
Outro aspecto importante no Plano de Tecnologia decidir sobre qual
ser a estratgia de sourcing. Mais precisamente, qual o tipo (ou quais os
tipos) de sourcing a empresa quer, ou seja, relativo ao desenvolvimento de
sistemas, infraestrutura de servios de TI, suporte a usurios, um full out-
sourcing, etc.
Uma vez defnidas as necessidades futuras em termos de solues de apli-
caes, arquitetura e infraestrutura de TI, capacidade e sourcing, deve-se rea-
valiar a organizao das operaes de servios de TI, considerando processos
operacionais, de gesto, de relacionamento com os clientes e com os fornece-
dores, assim como as competncias necessrias.
54 Implantando a Governana de TI 3 edio
Em funo do tipo de negcio da empresa e dos tipos de arquitetura e
infraestrutura de TI requeridos, possvel identifcar os requisitos da infraes-
trutura de segurana da informao.
O conjunto de necessidades, recursos e competncias requeridos deve ser
avaliado, ento, quanto aos aspectos de segurana da informao e gesto de
riscos.
Por fm, as necessidades derivadas do Plano Estratgico formaro o
Novo Portflio de TI e devero ser priorizadas de acordo com critrios
especfcos.
O plano somente estar completo quando as prioridades de investimen-
tos e manuteno de itens de custeio estiverem decididas, formando o que
chamamos de Portflio Aprovado, ou seja, aquele que dever ser executado e
que guiar o dia a dia da organizao de TI. Logo aps o estabelecimento do
oramento de capital e de custeio, os nveis de servio requeridos devem ser
revistos para refetirem as formulaes do plano.
O Plano de TI pode ser subdividido em duas peas, uma delas voltada para
as necessidades do negcio, em termos de aplicaes de apoio aos processos
gerenciais e operacionais (por exemplo: manuteno de aplicaes existentes,
upgrade em sistemas de gesto integrados, desenvolvimento de solues de
Business Intelligence, implantao de sistemas de relacionamento com clientes,
automao de cho de fbrica, etc.).
A outra pode ser orientada especifcamente para a capacitao da TI em
atender aos servios, projetos e inovaes que sero implantadas no negcio
(por exemplo: projetos de processos de TI tais como implantao de seguran-
a da informao, metodologia de gesto de projetos, processo de gerencia-
mento de outsourcing, processo de gesto de mudanas, inovaes tecnolgi-
cas que devem ser estudadas, mudanas organizacionais em TI, programas de
capacitao de pessoas, projeto de novos servios, melhoria da arquitetura da
TI, arquitetura de software, etc.).
O resultado da combinao dessas duas peas o Portflio de TI aprovado,
que dever ser executado uma vez que as prioridades sejam establecidas pelos
comits especfcos para tal.
A Figura 3.6 mostra os passos para a elaborao do Plano de Tecnologia da
Informao.
O Modelo de Governana de TI 55
Anlise do Portfolio de
TI Atual
Anlise Estratgica da
Organizao
Entendimento da Dinmica do Negcio
Anlise e Definio das
Necessidades do
Negcio
Definio da Estratgia de
Servios
Anlise e Definio da
Arquitetura de TI
Definio da Estratgia de
Sourcing
Definio da Arquitetura de
Processos de TI e Organizao
Definio da Estratgia de
Segurana da Informao
Definio do Oramento
Consolidao do Portfolio
Preliminar de TI
Priorizao dos Investimentos
Portfolio Aprovado
Plano de TI -
Negcios
Plano de TI -
Internos
Definio de objetivos e metas de
TI

Figura 3.6 Processo de elaborao do Plano de Tecnologia da Informao
A seguir, apresentamos um detalhamento de cada etapa da elaborao do
Plano de Tecnologia da Informao.
3.2.2.1 Anlise estratgica da organizao
A anlise estratgica da organizao tem por objetivo o entendimento dos
requisitos do negcio que impactam TI e compreende os seguintes pontos:
Entendimento da estrutura do negcio.
Entendimento dos objetivos estratgicos do negcio, visando o des-
dobramento desses objetivos para TI.
Entendimento dos fatores crticos de sucesso do negcio.
Identifcao dos requisitos para TI.
56 Implantando a Governana de TI 3 edio
3.2.2.1.1 Entendimento da estrutura do negcio
De acordo com Porter (1989), a estrutura de um negcio pode ser enten-
dida conforme o modelo apresentado pela Figura 3.7, a seguir:
Figura 3.7 Modelo de foras competitivas de Porter
Fonte: PORTER (1989)
De acordo com o modelo, uma organizao com fns lucrativos sofre bar-
ganha de fornecedores e compradores, ameaada por novos entrantes no
mercado, pela concorrncia e por produtos substitutos.
7
O entendimento sobre como a organizao se situa neste espao competi-
tivo a direciona para defnir direcionadores estratgicos como:
Se o segmento do produto/servio sofre grande barganha dos for-
necedores e compradores e as margens so reduzidas, ento ela deve
concorrer com base na estratgia de Liderana em Custo.
7 No captulo 16, exploraremos o alinhamento estratgico em organizaes pblicas.
O Modelo de Governana de TI 57
Se o segmento do produto/servio muito inovador e dinmico, com
produtos substitutos e novos entrantes no mercado, provvel que a
empresa v querer se diferenciar. Portanto, ela deve adotar a estratgia
de Liderana por Diferenciao.
Se o segmento do produto/servio um nicho de mercado, ela deve
adotar a estratgica de Enfoque.
Todo tipo de indstria, seja bancria, telecom, comrcio, servio, agribusi-
ness, etc., tem sua estrutura mais ou menos similar e que gera fatores crticos
de sucesso mais ou menos parecidos, por exemplo:
No segmento de banco de varejo, o fator crtico de sucesso atendi-
mento de massa e extensivo no territrio nacional, com grande gama de
produtos e servios e com alto grau de disponibilidade, confabilidade
e integridade. Neste caso, os custos so a tnica, pois medida que os
produtos e servios so disponibilizados pela internet, autoatendimen-
to e por centrais telefnicas de relacionamento, os custos de transaes
caem drasticamente, assim como os investimentos em infraestrutura de
agncias. No caso de grandes redes varejistas no comrcio, existe forte
concorrncia e as margens so muito apertadas, mesmo que haja uma
forte barganha junto a fornecedores por reduo de custo.
Na indstria de telecom, pela sua dinmica, servios maduros so
pressionados por custo e por produtos substitutos (tais como Skype
e MSN, no caso de telefonia fxa e at mesmo celular). Visando au-
mentar receitas e lucratividade, investem fortemente em contedo e
convergncia de mdias. Neste caso, h duas estratgias, liderana em
custo e diferenciao.
A Tabela 3.1 a seguir apresenta alguns requisitos para TI, em funo do
tipo da estratgia empresarial derivada da estrutura do negcio na qual a em-
presa est inserida.
58 Implantando a Governana de TI 3 edio
Estratgia
empresarial
Requisitos de Negcio para TI
Enfoque
8
A TI deve apoiar a fexibilizao dos processos relacionados a clientes,
engenharia de produto, gesto do conhecimento (proprietrio), relacionamento
com fornecedores e integrao dos processos de negcio.
Diferenciao A TI deve apoiar a implantao de processos de engenharia, desenvolvimento
e operao de servios e produtos nicos, diferenciados, assim como
processos robustos de relacionamento com clientes e uso de informaes para
desenvolvimento de novos produtos. A empresa necessita tambm ter uma
plataforma fexvel de produo para mudar rapidamente.
O foco em novas tecnologias da TI sobre aquelas que vo criar novas
oportunidades de negcio para a empresa.
Custo A TI deve garantir a integrao de processos de negcio (desde o pedido at
a entrega do produto e servio) com o mnimo desperdcio possvel. O foco em
novas solues da TI sobre aquelas que vo reduzir custos para a empresa.
Tabela 3.1 Estratgias empresariais e requisitos de TI
A partir desse entendimento, alguns fatores crticos de sucesso para TI j
comeam a ser entendidos.
8
3.2.2.1.2 Entendimento dos objetivos estratgicos do negcio
A presente abordagem pode ser usada tanto para casos onde no h um plano
estratgico formal, onde as aes de negcio devem ser interpretadas em estrat-
gias empresariais, como para aqueles casos onde existe um plano estratgico. Mes-
mo assim, devemos interpretar os objetivos de negcio em tipos de estratgias.
importante salientar que esse exerccio de interpretao deve ser feito
para cada clula de produto-segmento, ou seja, a interpretao deve ser reali-
zada para cada segmento de mercado em que a empresa atua, com produtos
especfcos ou derivados de plataformas de produto.
A Tabela 3.2 a seguir exemplifca a relao ao empresarial estratgia
requisitos de negcio para TI. uma forma de descobrir qual o impacto da
estratgia competitiva e de negcios da empresa sobre a TI.
8 Vide o trabalho de Porter (1999) sobre estratgias competitivas.
O Modelo de Governana de TI 59
Ao empresarial
percebida
Estratgia
empresarial
Requisitos de Negcio para TI
Criar produtos e servios
para nichos de mercado
Enfoque A TI deve apoiar a fexibilizao dos processos
relacionados a clientes, engenharia de produto,
gesto do conhecimento (proprietrio),
relacionamento com fornecedores e integrao
dos processos de negcio.
Criar produtos e servios
diferenciados usando a
mesma plataforma
Diferenciao A TI deve apoiar a implantao de processos
de engenharia, desenvolvimento e operao de
servios e produtos nicos, diferenciados, assim
como processos robustos de relacionamento com
clientes e uso de informaes para desenvolvimento
de novos produtos. A empresa necessita tambm
ter uma plataforma fexvel de produo para mudar
rapidamente.
O foco em novas tecnologias da TI sobre
aquelas que vo criar novas oportunidades de
negcio para a empresa.
Ter o produto e servio de
menor custo
Custo A TI deve garantir a integrao de processos de
negcio (desde o pedido at a entrega do produto
e servio) com o mnimo desperdcio possvel. O
foco em novas solues da TI sobre aquelas
que vo reduzir custos para a empresa.
Busca de maior participao
dos produtos e servios
atuais nos mercados atuais
Penetrao de
mercado
9
A TI deve apoiar otimizaes de processos
para reduo de custos, assim como garantir
um desempenho superior aos fatores chaves
de competio no mercado atual e que sejam
ganhadores de pedido. Esses fatores podem
estar no preo e na qualidade (do produto, do
atendimento, da entrega conforme o pedido).
Introduo de produtos e
servios atuais em novos
mercados
Desenvolvimento de
mercado
A TI deve apoiar fortemente os processos de
planejamento de mercado, vendas e logstica,
visando garantir o fuxo permanente de entrega
dos produtos e servios para os novos mercados.
Desenvolvimento de novos
produtos e servios para
mercados atuais
Desenvolvimento de
produto
A TI deve apoiar pesquisa e desenvolvimento,
engenharia de produto, gesto do
desenvolvimento de produtos, marketing e
processos de inteligncia competitiva.
Desenvolvimento de novos
produtos e servios para
novos mercados
Diversifcao A TI deve apoiar pesquisa e desenvolvimento,
engenharia de produto, gesto do
desenvolvimento de produtos, marketing,
manufatura, distribuio e vendas.
9 Vide Kotler (2002) para informaes acerca de estratgias empresariais.
60 Implantando a Governana de TI 3 edio
Ao empresarial
percebida
Estratgia
empresarial
Requisitos de Negcio para TI
Associao, joint venture ou
aquisies fora do ramo de
negcio
Crescimento
conglomerativo
A TI pode integrar servios e arquiteturas e
compartilh-las.
Criar barreiras de entrada
para novos entrantes no
mercado
Manuteno de
posio/territrio
A TI pode apoiar processos e produtos que
reduzam os custos do cliente ou que aumentem
o seu desempenho, visando criar barreiras contra
as vantagens competitivas de novos entrantes.
Criar novos mercados
(inexistentes)
Estratgia do blue
ocean
10
A TI pode auxiliar na prospeco de novas
tecnologias e solues que possam criar um novo
mercado ainda inexplorado.
Tabela 3.2 Estratgias empresariais e requisitos de TI
Entretanto, deve-se ter cuidado ao analisar as estratgias da empresa, pois
podem estar equivocadas em funo das caractersticas da estrutura do ramo
de negcio em que atua. O que queremos dizer com isso que nem sempre
a Alta Direo tem razo, ou seja, ela pode estar equivocada ao decidir sobre
uma estratgia, pois a deciso pode ser tomada sem a devida anlise do con-
texto competitivo.
910
Por exemplo, suponha que a estrutura do seu negcio requeira uma estra-
tgia baseada em liderana no custo, pois o seu produto compete com base
no preo ( uma commodity). Qualquer ao de diferenciao do produto no
vai faz-lo vender mais.
Se a empresa possui um Plano Estratgico, provvel que existam planos
funcionais ou objetivos estratgicos formais que so desdobrados pela organi-
zao. Este o melhor dos mundos, pois no h necessidade de interpretao
sobre a estratgia de negcio da empresa.
11
Os planos funcionais (pelo menos esperamos isto) so derivados dos des-
dobramentos das estratgias estabelecidas para o negcio. Tais planos refetem
as estratgias em programas, projetos, servios e aes e constituem-se em
10 Vide o trabalho de Kim e Mauborgne (2005).
11 Pode parecer incrvel, mas muitas empresas no tm uma estratgia clara e defnida e comunicada
por toda a organizao. Uma estratgia somente vlida se todos na organizao a entendem e a
implantam no seu dia a dia.
O Modelo de Governana de TI 61
timas fontes de informao para que se possam identifcar necessidades de
aplicaes de TI, em apoio estratgia do negcio.
Por exemplo, um plano funcional de marketing tem informaes so-
bre os programas de marketing para produtos atuais ou novos produtos,
programas de -inteligncia de mercado, programas de marketing insti-
tucional etc.
Os planos funcionais indicam os recursos com os quais a TI pode contri-
buir, quando e onde. Isto tem impacto na arquitetura de aplicaes, na in-
fraestrutura de servios, na organizao de TI, na estratgia de sourcing e em
todos os demais elementos do modelo.
Uma vez de posse dessas informaes, deve-se avaliar o portflio de TI
(contendo projetos, servios, ativos e aplicaes) da empresa, de forma a veri-
fcar se cada um dos programas e aes previstas para uma funo de negcio
j est respaldado ou se h espao para propor novas aplicaes e melhorias
sobre aquelas j existentes.
Ao analisar um plano funcional, deve-se sempre pensar tanto nas ne-
cessidades da operao da funo como na gesto da operao da funo.
Ainda no exemplo de marketing, podemos sugerir um projeto para permitir
que os colaboradores do marketing consigam implantar e monitorar seus
programas e suas campanhas, o que faz parte da rotina operacional de uma
rea de marketing. Entretanto, esta rea precisa saber o retorno sobre o
investimento (ROI) das respectivas campanhas, visando corrigir rumos e
melhorar as abordagens futuras de cada campanha. Isto uma necessidade
gerencial.
Outra abordagem o desdobramento dos objetivos de TI a partir do Mapa
Estratgico e do Balanced Scorecard (BSC) da empresa.
O Balanced Scorecard, tcnica de planejamento empresarial desenvolvida
pelos professores de Harvard Kaplan & Norton (1996), propicia o alinha-
mento das iniciativas (projetos, aes, servios) de TI aos objetivos estratgi-
cos do negcio, considerando quatro perspectivas:
Financeira.
Cliente (no caso de TI usurio tambm).
62 Implantando a Governana de TI 3 edio
Processos internos (gesto de projetos, desenvolvimento, gesto de
incidentes etc.).
Aprendizado e crescimento.
De acordo com esta tcnica, o resultado fnanceiro a satisfao do cliente,
que continua a usar os servios e/ou produtos da empresa, cuja experincia de
consumo dos servios e/ou dos produtos depende dos processos internos, os
quais, por fm, so apoiados pelo aprendizado e crescimento (recursos huma-
nos, conhecimento, patentes, etc.).
O BSC demonstra uma relao de causa e efeito e uma poderosa
ferramenta de planejamento e de gesto de desempenho por toda a orga-
nizao.
Se sua empresa j usa esta tcnica, aproveite e faa o Balanced Scorecard da
rea de TI. Vide mais sobre esta tcnica no captulo 12.
Por fm, devem ser avaliados os Princpios de TI.
O alinhamento estratgico deve considerar os princpios de TI para pro-
jetar a arquitetura de TI, a infraestrutura de TI, etc. Esses princpios so
derivados diretamente da estratgia da empresa e das necessidades do neg-
cio. Uma vez estabelecidos, servem de orientadores para o desdobramento
das aes necessrias de TI em projetos e servios e para o estabelecimento
de polticas.
De acordo com Weill & Ross (2004) e Broadbent & Kitzis (2005), os
princpios de TI tratam de:
Papel da TI para a empresa.
Informao e dados.
Padres de arquitetura e servios de TI.
Comunicaes.
Ativos de TI.
Alguns exemplos de princpios de TI so:
O papel da TI contribuir para a realizao da estratgia competitiva
da empresa (se a estratgia for liderana em custo, a TI deve apri-
O Modelo de Governana de TI 63
morar e/ou implantar uma arquitetura de TI que reduza o custo da
operao do negcio).
Manteremos uma lista de produtos apoiados pelo suporte e vendors ha-
bilitados em cada tecnologia. Usurios podero comprar outros produ-
tos fora da lista, mas no tero suporte de TI (padres da arquitetura).
Nossa rede corporativa deve ser capaz de prover acesso a um grande
conjunto de aplicaes, essencial para a entrega de servios consisten-
tes aos clientes (comunicaes).
Usurios cujo trabalho exige mobilidade devem ter acesso somente a
dados e informao de uso operacional necessrios para as tarefas fora
da empresa (segurana da informao).
Sempre compraremos antes de construir e, quando houver com-
pra, implantaremos com o mnimo de customizao (gesto de
ativos).
Quando a empresa ainda no tiver seus princpios de TI estabelecidos,
poder faz-lo no contexto do alinhamento estratgico e at mesmo durante
a elaborao do Plano de Tecnologia da Informao.
Os princpios servem para guiar o comportamento das pessoas e da admi-
nistrao da empresa em relao ao uso da tecnologia da informao.
Um caso muito comum em empresas que no tm os princpios claros
ocorre quando um executivo compra e instala um software fora do padro
da TI em seu notebook e, quando ocorre algum problema, solicita suporte.
Como a TI no tem conhecimento e experincia com o tal software, gasta
muitos recursos e tempo precioso para atender demanda, em detrimen-
to de outras solicitaes de servios ou resoluo de incidentes, sempre
ocasionando reclamaes e pequenas crises. Alguns dos princpios podem
estar representados por polticas de uso de recursos e no catlogo de ser-
vios da TI.
Os princpios de TI no so para serem pendurados na parede, mas sim
para serem usados. Devem estar alinhados ao negcio, e a razo adicional de
sua importncia que eles afetam o custo da operao de TI.
Os princpios de TI podem ser permanentes ou no, dependendo dos ob-
jetivos e estratgias da empresa.
64 Implantando a Governana de TI 3 edio
A Figura 3.8 apresenta o relacionamento de objetivos e estratgias em-
presariais com os princpios de TI.
Estratgia / Diretivas
do Negcio
Princpio de TI
Implicaes em
Projetos e Servios
Crescer pela aquisio
de concorrentes, obtendo
economias de escala
O sistema integrado de
gesto deve ser nico para
todas as empresas do grupo
Projetos de implantao do
sistema integrado de gesto
nas empresas adquiridas
Obter um time-to-
market agressivo em
relao aos concorrentes
Novos software devem ter
arquitetura flexvel visando a
incorporao de novas
features de forma rpida
Implantar Service Oriented
Architecture - SOA
Implantar orientao a
objetos
Expandir territorialmente
a atuao da empresa,
visando aumentar a base
de clientes
Prover servios de
atendimento para qualquer
cliente
Expanso da rede e da
infraestrutura de servios
para outras localidades

Figura 3.8 Desdobramento de estratgias em iniciativas de TI
3.2.2.1.3 Entendimento dos fatores crticos de sucesso do negcio
A identifcao dos fatores crticos de sucesso tambm se aplica quando
no h informao disponvel sobre as estratgias da empresa. Atravs do en-
tendimento do negcio e dos seus fatores crticos, a TI pode fazer importantes
contribuies para a estratgia da empresa.
Fatores crticos de sucesso so aqueles nos quais a empresa precisa ter bons
resultados se deseja ser bem-sucedida.
Um exemplo clssico de fator crtico de sucesso na indstria automobilsti-
ca e de aparelhos domsticos o design do produto; na indstria de fast food, a
limpeza do ambiente e a rapidez de atendimento; nos negcios de e-commerce,
a segurana e a logstica de entrega etc.
O Modelo de Governana de TI 65
Os fatores crticos de sucesso podem ser:
Estruturais.
de construo.
Temporais.
Os fatores crticos estruturais referem-se queles que so inerentes a cada
ramo de negcio. So os fatores qualifcadores mnimos necessrios e que per-
mitem ao negcio sobreviver. Geralmente, o impacto da estratgia do negcio
sobre esses fatores o de melhoria e otimizao.
Os fatores crticos de construo esto relacionados ao atendimento de
metas da empresa, tais como implantar uma nova fbrica, desenvolver um
novo mercado, um novo produto, novas competncias gerenciais na orga-
nizao, um novo processo industrial ou de gesto, etc. Esses fatores crticos
tambm existem para atingir um fator estrutural.
Os fatores temporais referem-se a eventos aleatrios que afetam o negcio
e que devem ser administrados, sob pena de perda da competitividade pela
empresa. Um exemplo de fator crtico temporal foi o alinhamento dos custos
de produo e dos preos dos produtos quando houve a desvalorizao do
Real em 1999 e agora, com a desvalorizao ou o crescimento da economia
brasileira.
A tarefa aqui consiste em, uma vez identifcados os fatores crticos de su-
cesso do negcio, relacionar os requisitos para TI.
A Tabela 3.3 exemplifca requisitos de TI, identifcados a partir do fator
crtico de sucesso.
Fator crtico de sucesso Requisitos de Negcio para TI
Time-to-market Velocidade do processo de produto, desde a sua concepo at o seu
lanamento no mercado.
Forte necessidade de reutilizao de conhecimento disponvel na
organizao.
Forte comunicao entre equipes.
Gesto do processo de desenvolvimento do produto.
Design do produto Mecanismos de suporte ao design.
Reteno e reutilizao de
conhecimento
Suporte reteno e disseminao de conhecimento.
66 Implantando a Governana de TI 3 edio
Fator crtico de sucesso Requisitos de Negcio para TI
Processos produtivos de alto
desempenho
Processo sem interrupo.
Processo com qualidade.
Processo confvel.
Automao do cho de fbrica.
Logstica de distribuio Otimizao dos meios logsticos de distribuio.
Tabela 3.3 Requisitos de fatores crticos de sucesso
Aqui, os requisitos de negcio para TI tambm podem ser derivados para
novas aplicaes, melhorias, substituio de aplicaes, etc.
3.2.2.1.4 Identifcao dos requisitos para TI
Uma vez que esta anlise tenha sido realizada, importante consolidar os
requisitos da estrutura do negcio, seus objetivos e fatores crticos de sucesso
em requisitos para TI.
A Tabela 3.4 a seguir mostra os impactos para TI, considerando cada um
dos requisitos do negcio.
Estratgia
empresarial
Requisitos de Negcio para TI Impacto em TI
Enfoque TI deve apoiar a fexibilizao dos
processos relacionados a clientes,
engenharia de produto, gesto
do conhecimento (proprietrio),
relacionamento com fornecedores e
integrao dos processos de negcio.
Implementar arquitetura de aplicaes
e software, que permite o rpido
desenvolvimento de novos produtos.
Disponibilizar sistemas e software para
engenharia de produto.
Implantar suporte automatizado a
supply-chain.
Diferenciao TI deve apoiar a implantao
de processos de engenharia,
desenvolvimento e operao de servios
e produtos nicos, diferenciados,
assim como processos robustos de
relacionamento com clientes e uso de
informaes para desenvolvimento de
novos produtos. A empresa necessita
tambm ter uma plataforma fexvel de
produo para mudar rapidamente.
O foco em novas tecnologias da TI
sobre aquelas que vo criar novas
oportunidades de negcio para a
empresa.
Implantao de plataformas de
desenvolvimento de produtos,
parametrizveis.
Arquitetura de software
componentizvel.
CRM.
O Modelo de Governana de TI 67
Estratgia
empresarial
Requisitos de Negcio para TI Impacto em TI
Custo TI deve garantir a integrao de
processos de negcio (desde o pedido
at a entrega do produto e servio)
com o mnimo desperdcio possvel. O
foco em novas solues da TI sobre
aquelas que vo reduzir custos para a
empresa.
Implantao de sistemas integrados de
gesto.
Tabela 3.4 Identifcao do impacto dos requisitos de negcio em TI
A partir da identifcao do impacto, o passo seguinte avaliar como est
o seu Portflio de TI em relao a esses requisitos, para encontrar as oportu-
nidades de melhoria.
3.2.2.2 Anlise do Portflio Atual de TI
A anlise do Portflio atual de TI importante para verifcar os seguintes
pontos:
O que est sendo executado em termos de projetos, servios e inova-
o (identifcando o que est em dia e o que no est).
Qual o backlog (o que estava previsto e no foi realizado).
Quais projetos, servios e inovaes foram planejados e cancelados.
Como foi a execuo do oramento de TI (se fcou dentro do previsto
ou no).
Quais servios so fornecidos, quais os respectivos acordos de nveis
de servio e quais os perfs de usurios e clientes.
Melhorias requeridas e que j foram registradas.
Quantidade de mudanas no portflio no perodo de tempo em que
est sendo analisado.
Esta anlise vai permitir, no momento da anlise das necessidades do neg-
cio e dos servios de TI, a tomada de decises sobre:
O que deve permanecer.
O que deve ser retirado ou cancelado.
68 Implantando a Governana de TI 3 edio
O que deve ser melhorado.
O que deve ser suspenso.
O que deve ser substitudo.
O que deve ser includo.
3.2.2.3 Entendimento da dinmica do negcio
O entendimento da dinmica do negcio crtico para determinar a capa-
cidade que a TI deve ter para atender s demandas do negcio e estabelecer
sua estratgia de servios.
A anlise estratgica da organizao e a anlise do Portflio atual de TI
fornecem os elementos para a identifcao de padres e a qualifcao da
demanda dos processos de negcio.
A fgura 3.9 exemplifca o raciocnio de como um aumento da atividade
de um processo de negcio aumenta a demanda pelo atendimento da Central
de Servios.
Desta forma, caso haja mudanas no nmero de clientes, produtos, ser-
vios, localidades de atuao da empresa, processos de negcio, processos de
produo, novas plantas, lojas, operaes, etc., haver um aumento pela de-
manda de servios de TI.
Porm, esta dinmica deve ser avaliada a partir da anlise estratgica
do negcio, visando fornecer os elementos para a definio da estratgia
de servios, a qual ir focar o entendimento dos perfis e segmentos de
usurios dos servios de TI e o tipo de servio a ser fornecido, inclusive
no tocante aos nveis de servios requeridos e seus impactos em custos e
riscos.
O Modelo de Governana de TI 69
Requisitos
do
Processo
Pessoas
Envolvidas
+ +
+ +
Solicitao
de
Servio
Incidentes
de
Servios
Atividade do Negcio
Central de Servio Plano de Capacidade
Demanda
Processo de Negcio Processo de Negcio
Figura 3.9 Dinmica do negcio X demanda de servios
Fonte: OGC (2007a)
3.2.2.4 Defnio da estratgia de servios
Uma vez entendido o negcio e sua dinmica, e analisado o portflio atual
de TI, deve-se pensar na estratgia dos servios de TI. Esta estratgia de ser-
vios consiste em:
Entender o que gera valor (utilidade e garantia) para os clientes e
usurios.
Desenvolver as ofertas de servios.
Desenvolver os ativos estratgicos.
3.2.2.4.1 Entender o cliente
Entender o cliente signifca descobrir o que gera valor para o seu desempe-
nho e quais requisitos de garantia o servio a ser provido deve ter.
70 Implantando a Governana de TI 3 edio
De acordo com OGC (2007a), os clientes detm e operam confguraes
de ativos para criar valor para os seus clientes, sendo que esses ativos so os
meios de alcanarem resultados que permitem ou melhoram a criao de
valor.
Para o estrategista de servios de TI, importante entender todos os re-
sultados que o cliente tem que alcanar, sendo que aqueles resultados que
possuem menos apoio so oportunidades de atuao de TI.
A Tabela 3.5, adaptada de OGC(2007a), apresenta o conceito de resulta-
dos do cliente.
Categoria de resultados
ID do
resultado
Declarao de resultado
Melhoria de capacidades MC1 Tomada de deciso e ao em resposta a eventos
de negcio so rpidas
MC2 Aumento de conhecimento, habilidades e
experincia para os processos de negcio
MC3 Supply chain estendido
Melhoria do desempenho MP1 Aumento da capacidade de processamento do
processo
MP2 Diminuio do perodo de cobrana
MP3 Aumento no retorno dos ativos
Melhoria dos recursos MR1 Aumento da produtividade dos funcionrios
MR2 Aumento da fexibilidade das operaes
Reduo de custos RC1 Diminuio de custos fxos do processo de negcio
RC2 Diminuio do tempo de incio de uma nova
operao
Reduo de riscos RR1 Continuidade do negcio garantida
RR2 Processo de negcio para compliance
Tabela 3.5 Exemplo de resultados requeridos pelos clientes
Adaptado de: OGC (2007a)
O Modelo de Governana de TI 71
Portanto, para entender o cliente precisamos:
Identifcar os resultados de negcio para cada cliente.
Avaliar se o catlogo de servios atende de forma adequada os resul-
tados de negcio de cada cliente.
Se houver gaps entre o suporte fornecido pelo servio de TI e o re-
sultado requerido pelo cliente no catlogo de servio, verifcar no
pipeline dos servios.
Se mesmo assim persistir o gap, direcionar a criao de um novo ser-
vio de TI ou o seu melhoramento.
Antes de prosseguirmos com o entendimento das necessidades do cliente, inte-
ressante apresentarmos alguns conceitos preliminares de gerenciamento de servios
de TI.
A prestao de servios de TI acontece em um ciclo de vida do servio,
que, para a ITIL V3 (OGC 2007a), consiste nas fases estratgia do servio,
projeto do servio, transio do servio, operao do servio e melhoria
contnua do servio
12
.
A estratgia do servio tem por objetivo entender as necessidades do
cliente e estabelecer as ofertas de servios. O projeto do servio, como o
nome j diz, preocupa-se com a especifcao dos servios, em nvel de de-
talhes tcnicos. A transio signifca implantar o servio projetado. A ope-
rao signifca operar o servio implantado e a melhoria contnua abrange
projetar e implantar novas caractersticas do servio, alinhadas com as ne-
cessidades do cliente.
Uma operao de servios de TI trabalha sob um portflio de servios,
composto de um pipeline de servios e um catlogo de servios. O port-
flio de servios representa todos os recursos presentes ou que esto sendo
entregues nas vrias fases do ciclo de vida do servio. O pipeline de servios
composto de todos os servios que esto sendo projetados ou que esto sendo
implantados. O catlogo de servios um subconjunto do portflio de servi-
os visvel para os clientes e representa os servios que esto ativos na fase de
operao de servios e tambm aqueles aprovados para serem liberados. Serve
como meio do cliente saber quais servios so providos e em que condies.
12 Maiores detalhes sobre a ITIL V3 so encontrados no Captulo 7 deste livro.
72 Implantando a Governana de TI 3 edio
Alm do mais, o catlogo de servios faz a ligao entre as linhas de
servios oferecidas e os ativos dos clientes, conforme mostra a Figura 3.10,
a seguir.
U1 Alugar,licenciar, prover
U2 Gerenciar, operar e manter
U4
Armazenar, proteger e
monitorar
U3
Recuperar, resolver e
reparar
U5
Processar, finalizar e
registrar
U6 Analisar, avaliar e auditar
U7
Modificar, transformar e
transportar
U8
Projetar, desenvolver e
fazer engenharia
U9 Conectar e integrar
A1 Gerenciamento
A2 Organizao
A4 Conhecimento
A3 Processos
A5 Pessoas
A6 Informao
A7 Aplicaes
A8 Infraestrutura
A9 Ativos financeiros
Arqutipos de Servios Ativos dos Clientes Linhas de Servios
Servios de aluguel
Servios
gerenciados
Servios de
remediao
Servios de
custdia
Servios
administrativos
Servios de
avaliao
Servios de
transformao
Servios de criao
Servios de
comunicao
Catlogo de
Servios
Figura 3.10 Modelo de negcio do provedor de servios
Adaptado de: OGC (2007a)
Portanto, uma vez que sabemos quais resultados os clientes desejam, deve-
mos avaliar se o catlogo de servios est atendendo a essas necessidades. Se
algum servio no est atendendo, preciso, ento, verifcar no pipeline de
servios. Se ainda assim existirem gaps, ento devemos pensar em criar novos
servios ou melhorar o desempenho dos servios j existentes.
3.2.2.4.2 As ofertas de servios
O desenvolvimento de novas ofertas de servios parte do entendimen-
to das necessidades dos clientes e da anlise do atendimento dos servios
atuais e dos servios em desenvolvimento ou em implantao a essas ne-
cessidades.
O desenvolvimento de ofertas de servios depende fundamentalmente do
entendimento do que tem utilidade para o cliente e das respectivas garantias
do servio, considerando os fatores crticos de sucesso do negcio do cliente.
O Modelo de Governana de TI 73
Por exemplo, em um processo de negcio de pagamentos, os fatores cr-
ticos de sucesso so: o processamento correto dos pagamentos, o monitora-
mento do processamento dos pagamentos, a segurana do processamento dos
pagamentos, a guarda de registros e documentos correspondentes e a garantia
de disponibilidade do servio.
Visto dessa forma, a Figura 3.11 mostra a ao criada pelo provedor
de servios para atender o contexto de valor do cliente em funo de seus
ativos.
Figura 3.11 Atendendo ao contexto de valor do cliente
Adaptado de: OGC (2007a)
Outro aspecto a considerar na defnio da oferta entender que o valor,
para o cliente, est em atender aos resultados do seu negcio e tambm em re-
mover restries e fornecer garantias de funcionamento do servio, de acordo
com requisitos do negcio.
A Figura 3.12 mostra a representao do atendimento de linhas de servios
s questes de utilidade para o cliente, enquanto a Figura 3.13 apresenta o
enfoque da garantia.
74 Implantando a Governana de TI 3 edio
Figura 3.12 Defnio de componentes de servios, em termos de utilidade
Adaptado de: OGC (2007a)
Opera
Aluga
Assegura
Provedor de Servios
para o
cliente
Um sistema de mensagens
sem fio
Um sistema de
processamento de crdito
Contingncia para os ativos
do negcio
Empregados
O processo de emprstimo
Os processos de negcio
Ativos de Servios Ativos dos Clientes
que
facilita
Coordenar e colaborar
Estimar riscos de emprestar
sobre as solicitaes de
crdito
Trabalhar continuamente
Atividade ou tarefa
uma rea
especfica
um tempo
especfco
um limite
especfico
Seja acessvel
Seja confivel
Seja seguro
Garantia Parte A Garantia Parte B
de uma
maneira
que
Seja exato
Valor
entregue para
o cliente
quando o
provedor de
servios
Para dentro de
Figura 3.13 Defnio de componentes de servios, em termos de garantia
Adaptado de: OGC (2007a)
O Modelo de Governana de TI 75
3.2.2.4.3 O Catlogo de Servios
O Catlogo de Servios de TI um instrumento de comunicao com
os usurios e clientes dos servios de TI da organizao e consiste em uma
descrio detalhada dos servios em uma linguagem orientada ao cliente, jun-
tamente com os nveis de servio associados que a organizao de TI fornece
aos usurios e clientes internos e/ou externos.
O Catlogo de Servios pode estar impresso na Intranet da empresa ou
em um CD para consulta. Nossa sugesto que esteja na Intranet, em um
ambiente fcil de ser acessado e que possibilite pesquisas de assuntos, assim
como meios de interao e solicitao de servios e, talvez, at servios de
autoatendimento, como, por exemplo, pesquisa de problemas e erros co-
nhecidos (para que o prprio usurio possa resolv-los sem acionar a Cen-
tral de Servios).
Todas as informaes contidas no Catlogo de Servios devem estar sob
o escrutnio dos procedimentos de segurana da informao adotados pela
empresa. A Figura 3.14 mostra o contedo sugerido para o Catlogo de
Servios.
Como pode ser observado, o catlogo tem uma parte genrica, com infor-
maes sobre como usar o catlogo, a estrutura de TI, quem quem em TI,
etc., e dados e informaes sobre a tecnologia que a TI utiliza.
No nosso exemplo, dividimos o catlogo em servios a usurios (internos
da empresa), servios a TI (ou seja, ao pessoal da rea de TI ou aos envolvidos
com atividades de TI) e em servios a clientes e fornecedores (caso utilizem
sistemas da empresa, como no caso de estabelecimentos vinculados a empre-
sas de carto de crdito etc.).
Um detalhe importante (e que no pode ser esquecido no catlogo) a
informao sobre quais servios no esto disponveis, como, por exemplo,
suporte a softwares e equipamentos (notebooks, palmtops, etc.) no homologa-
dos pela empresa.
76 Implantando a Governana de TI 3 edio
Este catlogo ser muito til para o estabelecimento do modelo de relacio-
namento com o cliente.
CATLOGO DE
SERVIOS DE
TI
SERVIOS A
USURIOS
Como usar o
Catlogo de
Servios
Estrutura de TI
Quem quem na
TI
Tecnologia de
TI
Procedimentos de
aceitao de sistemas
Procedimentos de
gesto da mudana
Solicitao de estudos
de viabilidade
Service Desk
Solicitao de
projetos
Solicitao de
manutenes
Solicitaes
emergenciais
Solcitao de
extrao de
informaes
Eventos e
treinamentos
programados
Catlogo de
equipamentos
homologados
Servios de suporte
Servios de
segurana da
informao
Disponibilidade de
aplicaes
Disponibilidade da
rede
Disponibilidade da
infraestrutura
Nveis de servios
Softwares
homologados
Servios no
disponveis
SERVIOS
TI
Service Desk
Servios de
gesto de TI
Servios de
sistemas
Servios de
suporte
Servios de
segurana da
informao
Servios de
infraestrutura
Solicitao de
documentos
Procedimentos de
gesto de TI
Procedimentos de
sistemas
Procedimentos de
segurana da
informao
Procedimentos de
gesto da
infraestrutura
Procedimentos de
suporte
Gesto de
fornecedores
Softwares
homologados
Servios no
disponveis
Solicitao de
documentos
Equipamentos
homologados
Nveis de servios
SERVIOS A
CLIENTES E
FORNECEDORES
Service Desk
Banco de dados de
problemas conhecidos
Banco de dados de
problemas
conhecidos
Uso dos
Sistemas
Treinamentos
disponveis
Nveis de
servios
Bancos de
dados de
problemas
conhecidos
Figura 3.14 Um exemplo de Catlogo de Servios de TI
3.2.2.4.4 Defnindo os objetivos e as metas de TI
Os objetivos e as metas de TI so derivados da:
Anlise e defnio das necessidades do negcio.
Defnio da estratgia de servios.
Anlise e defnio da arquitetura de TI.
Defnio da estratgia de sourcing.
Defnio da arquitetura de processos de TI e organizao.
Defnio da estratgia de segurana da informao.
Defnio da estratgia em relao a recursos humanos e desenvolvi-
mento de lideranas e competncias.
O Modelo de Governana de TI 77
Tais objetivos e metas so estabelecidos para:
Consecuo da estratgia de TI.
Gerenciar os nveis de servios.
Aquisio, manuteno e implantao de aplicaes.
Aquisio e manuteno da infraestrutura tecnolgica.
Implantao e melhoria de processos de TI, inclusive automao.
Sourcing.
Segurana da informao.
Desenvolvimento de competncias e lideranas.
A Figura 3.15 mostra os relacionamentos entre os objetivos e metas.
Objetivos do
Negcio
Objetivos e
Metas da
Estratgia de
TI
Nveis de
Servios
Objetivos e
Metas para a
Arquitetura de
Aplicaes
Objetivos e
Metas para a
Arquitetura
Tecnolgica
Objetivos e
Metas de
Sourcing
Objetivos e
Metas de
Implantao e
Melhoria de
Processos
de TI
Objetivos e
Metas de
Segurana da
Informao
Figura 3.15 Relacionamento entre objetivos e metas
A estratgia segue uma abordagem de objetivos balanceados em perspecti-
vas de contribuio ao negcio, cliente, processos internos e potencial (orien-
tao para o futuro). Esta uma abordagem alternativa para a elaborao do
plano de tecnologia da informao.
A Figura 3.16 apresenta um exemplo do desdobramento de um objetivo
estratgico, que o aumento da disponibilidade das aplicaes crticas.
78 Implantando a Governana de TI 3 edio

Aumentar a
disponibilidade de
sistemas crticos de
90% para 99%
Elaborar plano de
contingncias de
servios para as
aplicaes crticas
Criar ambiente de
contingncia para
aplicaes crticas
Contratar ambiente de
contingncia do
fornecedor de servios
de data center
Melhorar o processo de
gerenciamento da
continuidade
Redefinir o
gerenciamento de
acesso s aplicaes
crticas
Acordo de Nvel de
Servio para aplicaes
crticas 99%
Figura 3.16 Exemplo de desdobramento de objetivo estratgico
A tabela 3.6, a seguir, apresenta exemplos de objetivos e metas da TI gera-
das a partir do plano estratgico.
Para a consecuo dos objetivos e das metas, uma srie de iniciativas e
projetos dever ser desenvolvida, fornecendo a base para a elaborao do port-
flio de TI preliminar.
O Modelo de Governana de TI 79
Tipo de objetivo / meta
de TI
Descrio
Metas da estratgia de TI
(BSC)
Aumentar o ndice de satisfao dos usurios de 80% para 90% at
dezembro de 2011.
Aumentar o nmero de projetos entregues no prazo de 80% para 95% at
dezembro de 2011.
Aumentar a disponibilidade de sistemas crticos de 98,999% para 99,999%
at junho de 2011.
Manter a taxa de resoluo de chamados no primeiro nvel da central de
servios.
Acordos de nveis de
servios
Disponibilidade de sistemas crticos em 99,999%.
Taxa de entrega de projetos de sistemas no prazo em 95%.
Tempo de recuperao de incidentes crticos 8 horas.
Aquisio e manuteno de
aplicaes
Implantar a nova verso do sistema integrado de gesto at 2012.
Aquisio e manuteno da
arquitetura de TI
Estabelecer at dezembro de 2011 a nova arquitetura de software.
Implantar projeto de virtualizao de servidores at maro de 2012.
Implantao e melhoria em
processos
Automatizar o monitoramento da disponibilidade e capacidade das
aplicaes.
Automatizar o processo de gerenciamento de projetos.
Criar base dados de mtricas e indicadores de TI.
Documentar o processo de desenvolvimento de sistemas.
Sourcing
Rever os contratos de servios de help desk at maio de 2011.
Contratar nova fbrica de software.
Segurana da informao
Rever o plano de segurana da informao at dezembro de 2011.
Implantar novos dispositivos de deteco de intruso at junho de 2011.
Implantar novos controles de segurana fsica no data center at junho de
2012.
Desenvolvimento de
competncias
Certifcar 100% dos gerentes como PMP at dezembro de 2012.
Certifcar 100% do pessoal de infraestrutura em ITIL Foundation at
dezembro de 2012.
Tabela 3.6 Exemplos de objetivos e metas
Durante a elaborao ou reviso do Plano de Tecnologia da Informao, as
seguintes atividades devem ser realizadas, no tocante aos objetivos e s metas
de TI:
Analisar os objetivos e os nveis de servios atuais quanto ao seu aten-
dimento.
80 Implantando a Governana de TI 3 edio
Avaliar necessidades de melhoria em funo dos resultados observados.
Avaliar se h necessidade de criar novos objetivos e metas e indicado-
res correspondentes e nveis de servio, ou alterar os atuais.
Avaliar quais processos e servios merecem mais ateno para aumen-
tar o desempenho ou atender aos nveis de servio.
Estabelecer objetivos e metas para o perodo do plano.
Desdobrar os objetivos e os nveis de servio.
Por fm, talvez a atividade mais importante seja avaliar se os processos atu-
ais de criao de indicadores, coleta e armazenamento dos dados, gerao dos
resultados dos indicadores, anlise dos resultados e comunicao dos resulta-
dos esto adequados para atender s necessidades da gesto da TI, em linha
com os requisitos do negcio.
Se a sua organizao de TI no tiver um processo defnido de medio e
anlise, pense em implant-lo.
Os indicadores de resultados de objetivos, as metas de desempenho e os
nveis de servios devem ser considerados como um ativo para a organizao
de TI.
O estabelecimento dos acordos de nveis de servio est inserido no pro-
cesso de Gerenciamento do Nvel de Servio, que, de acordo com a ITIL
13
,
o processo de negociar, defnir, medir, gerenciar e melhorar a qualidade dos
servios de TI a um custo aceitvel.
O Gerenciamento do Nvel de Servio procura fazer um balano entre a
prestao de servios e a demanda, a satisfao do usurio e/ou cliente e os
custos de fornecer os servios.
Os acordos de nveis de servio so conhecidos como SLAs ou Service Level
Agreements e podem ser empregados para vrios servios de TI, tanto relativos
prestao de servios para a organizao quanto para o relacionamento com
os fornecedores de servios.
Quando so estabelecidos acordos de nveis de servio com os fornecedores
de servios internos, esses acordos so conhecidos como Operational Level Agre-
ements ou OLAs. No caso dos acordos com fornecedores externos, os acordos
so conhecidos como Underpinning Contracts ou UCs (contratos de apoio).
13 Vide Van Bon & Pieper (2004) sobre as defnies da ITIL.
O Modelo de Governana de TI 81
Os acordos de nveis de servio geralmente so estabelecidos para:
Servios de sistemas (desenvolvimento, manuteno, implantao de
pacotes).
Servios de segurana da informao.
Servios de suporte ao usurio (service desk, resoluo de incidentes
etc.).
Disponibilidade de aplicaes.
Disponibilidade de infraestrutura.
Outros atributos de um servio, como, por exemplo, a exigncia de
que um fornecedor implante, num prazo determinado, o nvel 2 do
Capability Maturity Model Integration (CMMI) ou a ISO/IEC 20000.
Tais acordos somente podem ser estabelecidos de forma responsvel se so
conhecidos:
O desempenho atual, em termos de atendimento aos nveis de servi-
o requisitados pelo usurio e/ou cliente.
A capacidade, em termos da infraestrutura (tanto de recursos huma-
nos como de processamento, armazenagem de dados, transmisso de
dados em redes de comunicao locais e externas).
A capacidade de prover aplicaes nos prazos requeridos.
A Figura 3.17 mostra a cadeia de acordos de nveis de servio em uma
organizao.
A ITIL (abordada no Captulo 7) prev processos especfcos para o geren-
ciamento dos nveis de servio.
A defnio dos Acordos de Nveis de Servios complementa o Catlogo
de Servios. Entretanto, esses acordos devem ser negociados com os usurios
e clientes em funo das necessidades dos respectivos negcios, sendo que os
acordos operacionais e com os fornecedores devem tambm ser balizados com
as necessidades do negcio.
82 Implantando a Governana de TI 3 edio
3.2.2.4.5 Desenvolvimento dos ativos estratgicos
Uma vez defnidos os servios que sero prestados e os respectivos Acordos
de Nveis de Servios, devemos defnir as diretrizes para o desenvolvimento
dos processos de Gerenciamento de Servios, o que compreende o desenvol-
vimento de capacidades e recursos.
Essas diretrizes iro enderear os seguintes aspectos:
Portflio de servios.
Requisitos para o projeto de servios.
Requisitos para a transio dos servios.
Requisitos para a operao dos servios.
Capacidades em termos de processos, pessoas e sistemas de gerencia-
mento de servios de TI.
Capacidade de recursos (mo de obra, instalaes, hardware, comu-
nicao, segurana da informao, etc.).
PROCESSO DE NEGCIO
PROCESSO DE NEGCIO
PROCESSO DE NEGCIO
SERVIOS DE TI
FORNECEDOR
INTERNO
FORNECEDOR EXTERNO
FORNECEDOR EXTERNO
FORNCEDOR EXTERNO
FORNECEDOR EXTERNO
FORNECEDOR
INTERNO
USURIO/CLIENTE
SLA
SLA
SLA
UC
UC
UC
UC
O
L
A
O
L
A
SLA - Service Level
Agreeement
OLA - Operational Level
Agreement
UC - Underpinning
Contract
Figura 3.17 Cadeia de acordos de nveis de servio
Essas diretizes sero empregadas quando os processos de projeto (ou de-
senho), transio e operao de servios forem desenvolvidos e implantados,
assim como fornecero os elementos necessrios para os projetos de planeja-
O Modelo de Governana de TI 83
mento de capacidade, anlise, projeto e otimizao da infraestrutura tecnol-
gica e dos processos de sourcing e segurana da informao.
3.2.2.5 Anlise e defnio das necessidades do negcio
As necessidades de aplicaes, no nosso ponto de vista, so:
Novas aplicaes de TI.
Melhorias em aplicaes j existentes.
Reestruturao de aplicaes existentes.
Substituio de aplicaes existentes.
Descarte de aplicaes existentes.
As entradas para a avaliao das necessidades de aplicaes so:
O portflio atual de projetos, servios e aplicaes, incluindo o
backlog.
Os requisitos das estratgias e/ou dos fatores crticos de sucesso.
Programas, projetos e aes dos planos funcionais da empresa.
Oportunidades estratgicas e competitivas em funo do uso da tec-
nologia da informao.
Necessidades de melhoria da qualidade das aplicaes (melhoria da
confdencialidade, integridade, disponibilidade, manutenibilidade
etc.).
Objetivos estratgicos estabelecidos pelo Balanced Scorecard da
empresa.
A identificao das necessidades consiste em encontrar gaps entre o
portflio atual de projetos, servios e aplicaes, e os requisitos das es-
tratgias, fatores crticos de sucesso, oportunidades estratgicas, neces-
sidades de melhoria da qualidade etc. A Figura 3.18 exemplifica este
raciocnio.
84 Implantando a Governana de TI 3 edio
Figura 3.18 Anlise das necessidades de aplicaes
As novas solues so identifcadas a partir do momento em que no h
nenhuma correspondncia entre requisitos das estratgias, planos funcionais
e oportunidades de uso estratgico da TI com projetos, servios e aplicaes
do portflio atual.
As aplicaes que devem ser mantidas sem evolues so aquelas que apre-
sentam:
ALTA cobertura funcional dos processos de negcio ou dos planos
funcionais e ALTO valor estratgico.
ALTA cobertura funcional dos processos de negcio ou dos planos
funcionais e ALTA qualidade tcnica.
O Modelo de Governana de TI 85
As aplicaes que devem ser melhoradas, substitudas ou reestruturadas so
aquelas que apresentam:
ALTA cobertura funcional dos processos de negcio ou dos planos
funcionais e BAIXA qualidade tcnica.
BAIXA cobertura funcional dos processos ou dos planos funcionais e
ALTO valor estratgico.
ALTA qualidade tcnica e BAIXA cobertura funcional dos processos
de negcio ou dos planos funcionais.
As aplicaes que devem ser descartadas so aquelas que apresentam:
BAIXA cobertura funcional dos processos de negcio ou dos planos
funcionais e BAIXO valor estratgico.
BAIXA cobertura funcional dos processos de negcio ou dos planos
funcionais e BAIXA qualidade tcnica.
As Figuras 3.19 e 3.20 mostram matrizes de auxlio avaliao do portf-
lio de TI.
Solues ou aplicaes com baixa qualidade tcnica so um driver
de custo de retrabalho bastante grande para uma organizao de TI,
pois geralmente deslocam esforo que poderia estar sendo empregado
no desenvolvimento de melhorias ou na implantao de novas solues
para o atendimento aos usurios em nveis mais tcnicos, resolvendo
incidentes.
86 Implantando a Governana de TI 3 edio
Figura 3.19 Matriz de avaliao cobertura funcional versus qualidade tcnica de aplicaes
O valor estratgico de uma soluo ou aplicao deve ser entendido como
o seu grau de aderncia a objetivos e estratgias atuais e futuros. Para ajudar
na defnio do valor estratgico da aplicao para o negcio atual, pode-se
colocar a seguinte questo:
Qual ser o impacto para o negcio atual se a aplicao se tornar ino-
perante?
Se a inoperncia gerar imediatamente perda de receita ou problemas de
responsabilidade civil, danos na imagem junto aos clientes, diminuio do
rating na Governana Corporativa, colocar em risco vidas de seres humanos
ou causar grande impacto no meio ambiente, ento a aplicao estratgica
para o negcio atual.
Para saber se uma aplicao estratgica para o suporte ao atendimento
dos objetivos estratgicos da empresa, deve-se perguntar se ela consegue atin-
gir os seus objetivos sem a aplicao. Se a resposta for negativa, trata-se de
uma aplicao estratgica.
O Modelo de Governana de TI 87
Figura 3.20 Matriz de avaliao cobertura funcional versus valor estratgico
Outro aspecto importante a ser analisado o grau de utilizao das aplica-
es atuais. muito provvel que um baixo nvel de utilizao seja decorrente
do baixo valor estratgico ou da baixa cobertura funcional.
Se no for nenhum desses casos, deve ser previsto como ao, no portflio
de TI, um trabalho de endomarketing para promover a implantao e utiliza-
o adequada da aplicao.
3.2.2.6 Anlise e defnio da arquitetura de TI
De acordo com Weill & Ross (2004), a arquitetura de TI :
A organizao lgica para dados, aplicaes e infraestrutura, representa-
da por um conjunto de polticas, relacionamentos e escolhas tcnicas para
buscar integrao desejada do negcio e da padronizao tcnica.
88 Implantando a Governana de TI 3 edio
3.2.2.6.1 Anlise da arquitetura de aplicaes
A arquitetura de aplicaes foca questes como:
Padronizao de dados e processos (o que e o que no padro).
Compartilhamento da infraestrutura de dados e aplicaes (o que
deve e o que no deve ser compartilhado).
Como implantar aplicaes considerando a arquitetura de dados e
processos padres.
Como as novas aplicaes devem ser integradas ao legado, a portais,
etc.
Padres de acesso e sadas para os usurios.
Reutilizao de componentes de servios da arquitetura.
Riscos que a arquitetura representa para a inovao e crescimento do
negcio.
Um aspecto importante da arquitetura de aplicaes que ela possibilita a
visualizao clara, para toda a organizao, acerca de como novas demandas e
aplicaes so incorporadas.
Por exemplo, ao solicitar uma alterao em uma funcionalidade em um
produto que apoiado por uma aplicao, o usurio ir saber, olhando para
a arquitetura de aplicaes, que a alterao que ele solicitou causar impacto
nas aplicaes de canais e de back-ofce e, talvez, nas aplicaes de relaciona-
mento, cobrana e faturamento.
A busca por padronizao da arquitetura de aplicaes tem dois objetivos
principais: otimizar os recursos e fornecer fexibilidade para o negcio.
Um bom caminho para avaliar aderncia atravs dos Princpios de TI. Se
um dos princpios diz que: o cliente deve ter facilidade de acesso posio de
seus pedidos e reclamaes e a empresa no tem um meio (provavelmente,
via Internet ou Contact Center) para permitir esse acesso, isto signifca que a
sua arquitetura no est alinhada com o princpio e, consequentemente, com
a estratgia do negcio.
No Plano de Tecnologia da Informao, a arquitetura de aplicaes deve
ser validada quanto ao seu grau de aderncia aos objetivos e s estratgias de
negcio.
O Modelo de Governana de TI 89
Uma observao que fazemos que todas as organizaes tm sua arquite-
tura de aplicaes, que pode estar desenhada ou no. No momento da ela-
borao do Plano de Tecnologia da Informao, prudente desenh-la para
fns de posterior avaliao de aderncia.
Da mesma forma como ocorre com as aplicaes, deve-se entender os gaps
e planejar a cobertura da arquitetura de aplicaes, o que certamente gerar
uma srie de projetos e servios para serem priorizados, muitos dos quais exi-
gindo pesados investimentos. Uma mudana nos aspectos de padronizao da
arquitetura pode alterar aplicaes existentes e estveis.
O uso de novas abordagens, tais como Service-Oriented Architecture
14
, pode
facilitar a integrao entre aplicaes com padres diferentes.
A Figura 3.21 apresenta um exemplo de uma arquitetura de aplicaes
hipottica de uma empresa de servios fnanceiros e a Figura 3.22, uma arqui-
tetura para manufatura.
Lembramos que cada tipo de negcio exige um tipo de arquitetura
especfca.
Em funo dos requisitos das estratgias pode-se avaliar a aderncia da
arquitetura de aplicaes da empresa.
Por exemplo, se a estratgia competitiva da empresa a liderana pelo
menor custo, ento a arquitetura deve ser orientada para uma maior padroni-
zao, considerando o balanceamento entre o risco e o custo de manter essa
arquitetura, assim como para uma maior integrao de processos de negcio.
Caso haja vrias divises de negcio em negcios diferentes, pode-se padroni-
zar a parte fnanceira e de recursos humanos e manter as demais partes como
esto, observando tambm o compartilhamento de aplicaes que puderem
ser usadas por mais de um negcio ao mesmo tempo.
Como veremos mais adiante, a arquitetura de aplicaes pode moldar a
organizao de sistemas da empresa, assim como subsidiar a reviso ou elabo-
rao da Poltica de Segurana da Informao.
No captulo 12 abordado um framework para o desenvolvimento de ar-
quiteturas relativas TI denominado Te Open Group Architecture Framework
TOGAF, que pode ser empregado quando houver necessidade do desenho
ou da reviso de arquiteturas de aplicaes existentes.
14 Service-Oriented Architecture uma coleo de servios que se comunicam entre si. Um servio
uma funo autocontida, bem defnida, que no depende do contexto e estado de outro servio.
90 Implantando a Governana de TI 3 edio
DATA MARTS
BASES DE DADOS
CANAIS BACK-OFFICE
PRODUTO A
PRODUTO B
PRODUTO C
PRODUTO N
LOGSTICA
PORTAIS
CORPORATIVOS
SISTEMAS
ESTRATGICOS
RELACIONAMENTO
COM
CLIENTES
RELACIONAMENTO
COM
FORNECEDORES
RELACIONAMENTO
COM A
COMUNIDADE
FINANAS
ADMINISTRATIVOS
RECURSOS
HUMANOS
CUSTOS
CONTRATOS
OUTROS
PEDIDO FATURAMENTO DISTRIBUIO COBRANA CRDITO
Figura 3.21 Modelo de arquitetura de TI Servios
DATA MARTS
BASES DE DADOS
CANAIS
LOGSTICA
PORTAIS
CORPORATIVOS
SISTEMAS
ESTRATGICOS
RELACIONAMENTO
COM
CLIENTES
RELACIONAMENTO
COM
FORNECEDORES
RELACIONAMENTO
COM A
COMUNIDADE
FATURAMENTO DISTRIBUIO
BACK-OFFICE
FINANAS
CRDITO
RECURSOS
HUMANOS
CUSTOS
CONTRATOS
COBRANA
SUPRIMENTO
PEDIDO
PROGRAMAO DA
PRODUO
MATERIAIS MATERIAIS EM
PROCESSO
CONTROLE DA
PRODUO
PRODUTOS
ACABADOS
AUTOMAO DA LINHA DE PRODUO 1
MANUTENO
AUTOMAO DA LINHA DE PRODUO N
APLICAES DE MANUFACTURING EXECUTION
SYSTEMS
ENGENHARIA
DO PRODUTO
ENGENHARIA DO
PROCESSO
Figura 3.22 Modelo de arquitetura de TI Manufatura
O Modelo de Governana de TI 91
3.2.2.6.2 Anlise da arquitetura de infraestrutura de TI
A avaliao da infraestrutura de TI tem como objetivo verifcar se ela est
alinhada com os objetivos estratgicos e com os requisitos de continuidade do
negcio e se atende arquitetura de aplicaes.
Para a avaliao em relao ao alinhamento estratgico, devemos:
Identifcar novas tecnologias ou atualizaes tecnolgicas disponveis
no mercado e que atendem a objetivos estratgicos da empresa.
Identifcar se a infraestrutura atual permite o suporte adequado aos
objetivos estratgicos da empresa.
Avaliar o impacto das necessidades de aplicaes sobre a infraes-
trutura, em termos das requisies por mais capacidade de recursos
ou mais disponibilidade ou tempo de resposta.
Avaliar o impacto da arquitetura de aplicaes sobre a infraestrutura.
Avaliar se a infraestrutura vem atendendo aos objetivos de desempe-
nho estabelecidos anteriormente e aos nveis de servio estabelecidos.
Avaliar os riscos que a infraestrutura atual representa para a continui-
dade do negcio;
Avaliar se a infraestrutura atual atende aos requisitos de compliance
internos e externos.
As avaliaes permitem verifcar se h gaps que devem ser cobertos para
atender aos objetivos do negcio. Esses gaps podem ser minimizados pela pr-
pria empresa ou atravs da contratao de outsourcing total ou parcial.
No modelo proposto, decidir o que passar para o outsourcing um
passo a ser dado mais adiante, assim como realizar as avaliaes de custo-
-benefcio.
Aqui, estamos interessados somente nos recursos de infraestrutura. Proces-
sos de TI sero vistos mais frente, quando estivermos defnindo as operaes
de servios.
Devemos defnir neste momento:
Os servios de infraestrutura de TI requeridos pelo negcio, visando
atender aos objetivos estratgicos, requisitos de continuidade opera-
cional dos negcios e questes de compliance.
92 Implantando a Governana de TI 3 edio
Os recursos computacionais requeridos para apoiar o negcio.
Como esses recursos estaro dispostos na organizao.
Quais novas tecnologias sero implantadas e onde sero implantadas.
Quais recursos devero ser desativados.
Quais recursos devero receber upgrade.
Quais servios e recursos sero compartilhados entre as unidades da
organizao.
Requisitos e dispositivos de segurana da infraestrutura lgica e fsica.
Da mesma forma que na Arquitetura de Aplicaes, deve-se fazer o dese-
nho da infraestrutura de TI.
A Figura 3.23 apresenta um modelo de infraestrutura de TI.
INTRANET
WAN
LAN
CENTRAL
DE
SERVIOS
Firewall
Gerenciamento de incidentes
Gerenciamento de problemas
Gerenciamento de mudanas
Gerenciamento de configurao
Gerenciamento de liberaes
Suporte a Servios
Gerenciamento de nveis de servio
Gerenciamento financeiro
Gerenciamento da disponibilidade
Gerenciamento da continuidade
Gerenciamento da segurana
Entrega de Servios
Gesto de dados
Gesto da operao
Gesto das instalaes
Gesto da TIC
Gerencia-
mento dos
Ativos de TI
Padres de
Interfaces
A
p
l
i
c
a

e
s
Cray Supercomputer
Processor
Host
Mainframe
Server
Computer
Printer
Hub Router
RECURSOS FSICOS
USURIO
Gerencia-
mento dos
Aplicativos
CLIENTES
FORNECEDORES
USURIOS
Figura 3.23 Infraestrutura de TI
15
15 Os termos Suporte a Servios, Entrega de Servios e Central de Servios so tradues ofciais do
itSMF Brasil para os termos da ITIL Service Support, Service Delivery e Service Desk, respectivamente.
Na verso 3 da ITIL, tais conceitos foram distribudos entre fases do ciclo de vida do servio (conforme
ser detalhado no captulo 7).
O Modelo de Governana de TI 93
De forma anloga defnio da arquitetura de TI, a arquitetura da infra-
estrutura de TI tambm pode ser modelada usando o TOGAF.
3.2.2.6.3 Avaliando a capacidade para atendimento demanda
Um dos aspectos mais importantes no momento da anlise da infraestru-
tura de TI verifcar se a capacidade atual atende aos requisitos do negcio.
O planejamento da capacidade feito simultaneamente identifcao de
necessidades da infraestrutura e decorre do estabelecimento dos objetivos de
desempenho e dos nveis de servio.
No contexto da Governana de TI, o planejamento de capacidade no visa
somente os recursos computacionais, mas tambm os recursos humanos, em
termos do esforo necessrio para atender ao desenvolvimento de novos pro-
jetos e manuteno de aplicaes j existentes.
A capacidade de atendimento ao desenvolvimento de sistemas, de uma
maneira geral, depende fundamentalmente de dados histricos de consumo
real de esforo por aplicao, por tipo de demanda e por fase do ciclo de vida
de desenvolvimento, assim como dos dados de produtividade.
Quando a empresa j opera atravs de outsourcing de sistemas, a estimativa
de esforo um pouco mais complexa, pois precisa ser desdobrada pelas etapas
do ciclo de vida do desenvolvimento. Por exemplo, deve-se fazer estimativa so-
mente para as fases de projeto fsico e programao ou somente programao.
No tocante ao planejamento da capacidade de recursos computacionais e
de infraestrutura, precisamos de informao sobre o crescimento vegetativo
do consumo de recursos e sobre a demanda esperada por recursos, em funo
da dinmica do negcio, das necessidades de aplicaes e servios de TI e das
mudanas tecnolgicas.
Em suma, o planejamento da capacidade tem como objetivo quantifcar:
O esforo necessrio para atendimento s necessidades de aplicaes
(por funo, fase do ciclo de vida, tipo de demanda, aplicao etc.).
Os recursos computacionais necessrios para atender demanda ve-
getativa e s expectativas de crescimento do negcio, em termos de
processadores, armazenamento, capacidade dos dispositivos de co-
municao e transmisso de dados, licenas de software, etc.
Este planejamento deve ser, de preferncia, documentado.
94 Implantando a Governana de TI 3 edio
3.2.2.7 Defnio da estratgia de sourcing
Uma vez que j temos uma viso do que necessrio em termos de ne-
cessidades de aplicaes, arquitetura de TI, infraestrutura de TI e capacidade
requerida, podemos ento decidir sobre o que terceirizar.
Os fatores que levam uma empresa a terceirizar a TI so, geralmente (mas
no restritos a):
Necessidade de focar o negcio principal.
A TI est cada vez mais complexa, ou seja, um negcio para especialistas.
A mudana tecnolgica muito veloz e a empresa no tem a capaci-
dade de investimento para se atualizar, portanto, procura um forne-
cedor cujos recursos possam ser compartilhados com outras empresas
de forma muito rpida.
O custo interno da TI muito alto e precisa ser reduzido.
Como os investimentos em TI tm um risco muito alto, prefervel
transferi-los.
O que geralmente as empresas terceirizam:
Mo de obra especialista na modalidade de body-shopping.
Servios de data center.
Servios de service desk.
Desenvolvimento e manuteno de sistemas.
Eventualmente, alguns servios relativos segurana da informao.
Em alguns casos, a empresa decide por terceirizar tudo, s vezes com mais
de um fornecedor (por exemplo, um fornecedor para a parte de operaes de
data center e infraestrutura de TI, de uma forma geral, e um ou dois fornece-
dores para desenvolvimento de sistemas).
H outros casos em que, em funo da distribuio geogrfca da empresa,
servios locais similares aos de outras localidades so operados por fornecedo-
res distintos.
Dependendo da extenso da terceirizao, a organizao de TI, sua estru-
tura e as competncias necessrias podem ser alteradas.
O Modelo de Governana de TI 95
No caso de uma terceirizao extensiva, os profssionais da empresa devem
ter fortes habilidades de:
Planejamento e estabelecimento dos acordos de nveis de servio.
Planejamento e estabelecimento dos contratos de apoio com os for-
necedores externos.
Planejamento estratgico de TI para a empresa.
Monitoramento dos projetos e das demandas.
Inteligncia tecnolgica, atravs do estudo de novas tecnologias que podem
ser empregadas para criar novos negcios e/ou vantagens competitivas.
Em casos em que a terceirizao parcial, alm dessas habilidades devem
ser agregadas as habilidades de planejamento e gesto de projetos.
Numa etapa de planejamento necessrio:
Avaliar o modelo atual de sourcing (caso exista).
Verifcar se este modelo atende s expectativas do negcio.
Identifcar o que precisa ser melhorado.
Identifcar o que precisa ser implantado.
Atualmente, j existem melhores prticas que apoiam processos formais de
gerenciamento de fornecedores, como no caso do Capability Maturity Model In-
tegration (CMMI) especifcamente reas de processo como Supplier Agreement
Management e modelos especfcos de sourcing como o Service Provider Capa-
bility Maturity Model eSCM (ambos os modelos sero vistos mais adiante).
De acordo com Cohen & Young (2006), a estratgia de outsourcing a
soma das aes planejadas para cada servio necessitado para o atendimento
aos objetivos de negcio. o portflio de planos de ao de sourcing que,
especifcamente, mostra onde a empresa est e onde necessita estar dentro de
um perodo, em relao proviso de servios, quais servios sero providos
interna e/ou externamente, as localidades onde sero fornecidos e a quantida-
de de mudanas que sero necessrias.
A defnio da estratgia pode se basear nos modelos de sourcing apresenta-
dos no captulo 11, que trata sobre modelos de sourcing e governana do sour-
cing de TI. Voc pode usar as melhores prticas desses modelos para estabelecer
96 Implantando a Governana de TI 3 edio
o seu prprio modelo, conforme for mais apropriado para a sua organizao,
obviamente em parceria com a rea de sourcing ou compras da empresa.
3.2.2.8 Defnio da arquitetura de processos de TI e organizao
Uma operao de servio est estruturada em:
Servios e produtos de TI, como servios de suporte, disponibilidade
de sistemas e infraestrutura, atendimento a chamados, treinamento,
desenvolvimento de projetos, sistemas, elaborao de planos junta-
mente com os clientes, etc.
Processos de atendimento ao cliente front-ofce.
Processos de suporte ao atendimento ao cliente back-ofce.
Processos de desenvolvimento dos processos de front-ofce, back-ofce
e de gesto.
Processos de gesto do front-ofce e back-ofce.
Biblioteca de ativos (processos, artefatos, sistemas etc.), cujos ati-
vos so gerados pelos processos de desenvolvimento dos processos e
que so usados pelos processos de front-ofce, back-ofce e de gesto,
como, por exemplo, uma metodologia de gesto de projetos ou de
desenvolvimento de software, artefatos do processo de gerenciamento
de incidentes, scripts do service desk, etc.
Organizao da estrutura, com responsabilidades e atribuies defnidas.
Competncias requeridas dos recursos humanos no contexto da ope-
rao e da estrutura organizacional.
A Figura 3.24 mostra o esquema genrico de uma operao de servio.
No modelo de Governana de TI, conforme j discutido anteriormente,
operaes de servios so aquelas relacionadas a projetos (sistemas, infraestru-
tura, processos de TI), a servios de TI (central de servios, gerenciamento de
incidentes, problemas, gerenciamento da mudana e confgurao, suporte
tcnico, etc.) e a inovaes, representadas por projetos de novas tecnologias
ou de novos processos de negcio apoiados por novas solues.
O Modelo de Governana de TI 97
Durante o planejamento da tecnologia da informao, os processos de TI,
a estrutura organizacional, as competncias e habilidades e os ativos de conhe-
cimento devem ser avaliados perante:
As necessidades da arquitetura de aplicaes.
As necessidades da arquitetura de infraestrutura de TI.
O catlogo de servios.
Os objetivos de desempenho e os acordos de nveis de servio.
A capacidade requerida de recursos humanos e computacionais.
A poltica de sourcing.
Figura 3.24 Modelo de operaes de servios
Este ltimo item tem um forte impacto na arquitetura da operao de
servios, pois defne o contorno da sua arquitetura, identifcando os processos
98 Implantando a Governana de TI 3 edio
que fcam dentro de casa e os que fcam fora de casa, no fornecedor de ser-
vios. Alm do mais, a estratgia de sourcing impacta a forma como a empresa
ir se relacionar com os seus usurios e clientes (internos e externos), assim
como com os fornecedores.
Dependendo da situao, poder ser necessrio criar uma nova operao
de servios para contextos de business process outsourcing, com alto contedo
de tecnologia da informao.
Aps a defnio da arquitetura das operaes de servios, devem ser feitas
as seguintes perguntas:
Todos os servios e produtos gerados pela rea de TI so apoiados por
processos operacionais e de gesto?
Existem todos os processos de TI para atender s necessidades de apli-
caes e da infraestrutura de TI e ao catlogo de servios?
Os processos atuais esto adequados?
So necessrias melhorias nos processos atuais?
A estrutura organizacional necessita ser revista em funo das ou-
tras defnies do Plano, de novos processos ou de melhorias nos
atuais?
As competncias e habilidades esto compatveis com as necessidades
de conhecimento dos processos de TI?
Como ser o relacionamento com os usurios e/ou clientes?
Como ser o relacionamento com os fornecedores?
No caso especfco da operao de servios de segurana da informao,
esta somente poder ser defnida durante o estabelecimento da poltica de
segurana da informao.
Recomendamos que, ao identifcar quais os processos necessrios para
apoiar as operaes de servios, se desenhe a cadeia de valor de TI da sua
organizao. A Figura 3.25, a seguir, apresenta um modelo de uma cadeia de
valor de TI e a Figura 3.26, uma arquitetura de operao de servios de desen-
volvimento de software em larga escala.
OBS.: O TOGAF pode ser visto como ferramenta para o desenvolvimento
dos modelos de arquitetura instanciados dos processos de TI. Neste caso, cada
O Modelo de Governana de TI 99
modelo de melhor prtica possui ativos de arquitetura que podem ser usados
para a estruturao dos processos de TI. Vide, no captulo 12, a discusso
sobre o TOGAF.
Alinhar TI ao
Negcio
Determinar o
Direcionamento
Tecnolgico
Gerir o Portflio
de TI
Gerir o
Desempenho de TI
Gerir Investimentos
e Custeio
Gerir Programas e
Projetos
Gerir
Melhorias
Gerir Compliance
e Riscos
Identificar Solues
de TIC
Adquirir e Implementar
Solues de TIC
Adquirir e Implementar
Infraestrutura
Tecnolgica
Prestar Servios de
TI
Gerir Clientes
Gerir Fornecedores
Garantir a Continuidade
dos Servios
Fornecer Suporte
Logstico TIC
Fornecer Suporte
Tcnico TIC
Criar Competncias
Estratgia de
Controle
Proces s os Core
(principais)
Processos de
Suporte
Figura 3.25 Cadeia de valor da TI
3.2.2.9 Defnio da estratgia de segurana da informao
A poltica de segurana da informao est associada ao risco que a TI
representa para a continuidade do negcio e enderea alguns dos requisitos
de compliance dos principais marcos de regulao externos como a Sarbanes-
-Oxley e o Acordo da Basileia II. Cronologicamente, esta poltica somente
pode ser determinada depois que o desenho de todas as arquiteturas ante-
riores estiver elaborado.
A profundidade da poltica de segurana da informao ser tanto maior
quanto mais interconectada estiver a empresa e mais estratgico for o papel
que a TI representa para o negcio, j que qualquer evento de risco relacio-
nado com a segurana da informao poder trazer grandes prejuzos para a
empresa.
100 Implantando a Governana de TI 3 edio
Figura 3.26 Arquitetura de processos de uma operao de software
De acordo com a ISO/IEC 27002, os seguintes requisitos devem ser ava-
liados para se estabelecer a poltica de segurana da informao:
O impacto nos negcios resultante de uma falha de segurana.
Probabilidade da ocorrncia das falhas, frente s vulnerabilidades en-
contradas.
A seleo dos controles de segurana da informao mais adequados
anlise de riscos e vulnerabilidades.
No contexto da segurana da informao, os seguintes aspectos devem ser
considerados:
A instituio de um Sistema de Gesto da Segurana da Informao ou
Information Security Management System que contemple a sua implemen-
tao, operao, monitoramento, reviso, manuteno e melhoramento.
O Modelo de Governana de TI 101
A constituio de uma Poltica de Segurana da Informao documentada.
A infraestrutura da segurana da informao, contemplando itens como
comprometimento da direo, coordenao da segurana da informa-
o, atribuio de responsabilidades, processo de autorizao para os
recursos de processamento da informao, acordos de confdencialida-
de, contatos com autoridades (bombeiros etc.), contatos com grupos
especiais e anlise crtica independente de segurana da informao.
Partes externas, contemplando a identifcao dos riscos a elas relacio-
nados, incluindo a identifcao dos requisitos de segurana da infor-
mao no relacionamento com os clientes e nos acordos com terceiros.
Gesto de ativos, contemplando a responsabilidade pelos ativos e a
classifcao da informao;
Segurana em recursos humanos, envolvendo aes antes, durante e
no encerramento ou mudana da contratao.
A segurana fsica e do ambiente, envolvendo reas de segurana, in-
cluindo segurana de equipamentos.
O gerenciamento das operaes e comunicaes, contemplando proce-
dimentos e responsabilidades operacionais, gerenciamento de servios
terceirizados, planejamento e aceitao de sistemas, proteo contra
cdigos maliciosos, proteo de cdigos mveis, cpias de segurana,
gerenciamento de segurana em redes, manuseio de mdias, troca de
informaes, servios de comrcio eletrnico e monitoramento.
O controle de acessos envolvendo requisitos de negcio relacionados,
gerenciamento de acesso do usurio, responsabilidades dos usurios,
controle de acesso rede, ao sistema operacional, s aplicaes e s
informaes, incluindo preocupaes relativas computao mvel e
ao trabalho remoto.
A aquisio, o desenvolvimento e a manuteno de sistemas de in-
formao, contemplando os seus requisitos de segurana, processa-
mento correto nas aplicaes, controles criptogrfcos, segurana dos
arquivos do sistema, segurana em processos de desenvolvimento,
suporte e gesto de vulnerabilidades tcnicas.
A gesto de incidentes de segurana da informao, envolvendo a
notifcao de fragilidades e eventos de segurana da informao e
melhorias nas prticas relacionadas.
O gerenciamento da continuidade do negcio, contemplando aspec-
tos da sua gesto relativos segurana da informao.
102 Implantando a Governana de TI 3 edio
A conformidade do sistema de segurana da informao com requi-
sitos legais, normas tcnicas e aspectos relativos s auditorias de siste-
mas de informao.
Em suma, se sua empresa est bastante interconectada e considera a TI
como estratgica para os negcios, mas ainda no tem uma poltica de seguran-
a da informao, importante pensar em cri-la, comeando por uma anlise
de vulnerabilidades para, em seguida, selecionar os controles necessrios.
Se sua empresa j tiver o seu sistema de segurana da informao, ento
importante, no processo de planejamento da tecnologia da informao, ava-
liar se o que est sendo feito est de acordo com o planejado, qual avano
precisa ser feito e quais novidades precisam ser implantadas.
Apesar de ser autnomo em sua forma de conduo e gesto, o Plano de
Segurana da Informao poderia ser considerado como um adendo do Plano
de Tecnologia da Informao.
Os modelos de segurana da informao, representados pelas normas ISO
da srie 27000, podem ser uma base para se estabelecer a poltica de segurana
da informao. Vide o captulo 10 sobre o assunto.
3.2.2.10 Consolidao do portflio preliminar de TI
Uma vez que todos os objetivos, metas e nveis de servios, assim como os
respectivos projetos e iniciativas foram defnidos, podemos agora consolidar
as necessidades. Esta consolidao contempla as interdependncias entre os
projetos, servios e aplicaes, as quais so importantes para a priorizao dos
investimentos.
A consolidao pode ser representada de vrias formas, seja funcionalmen-
te por operao de servio, por tipo de projeto, servio ou aplicao, por rea
ou unidade de negcio, por perspectiva do Balanced Scorecard, etc.
A Figura 3.27 apresenta as possibilidades de consolidao das necessidades,
enquanto a Figura 3.28 apresenta um exemplo de matriz de relacionamento
entre as iniciativas.
Atravs de matrizes como as dos exemplos das fguras citadas, podemos
realizar agrupamentos de projetos, servios e aplicaes em funo da sua
interdependncia. A adoo de nveis de agrupamento dessa natureza poder
ajudar bastante quando for o momento de decidir sobre a priorizao.
O Modelo de Governana de TI 103
Financeira
Usurios/
Clientes
Processos
Internos
Aprendizado e
Crescimento
Projetos Servios Aplicaes
Suporte ao
CIO
Desenvolvimento de
Processos
Desenvolvimento de
Sistema
Suporte
Projetos Servios Aplicaes
Infraestrutura
Escritrio de
Segurana da
Informao
Classificao Balanced
Scorecard
Classificao
Funcional
Suporte ao
CIO
Desenvolvimento de
Processos
Desenvolvimento de
Sistema
Suporte
Corporativo Marketing Produtos
Infraestrutura
Escritrio de
Segurana da
Informao
Operaes Vendas
Projetos/Servios/
Aplicaes
Projetos/Servios/
Aplicaes
Projetos/Servios/
Aplicaes
Projetos/Servios/
Aplicaes
Projetos/Servios/
Aplicaes
Projetos/Servios/
Aplicaes
Projetos/Servios/
Aplicaes
Classificao por
Negcio
Figura 3.27 Classifcao das necessidades
S
i
s
t
e
m
a
s
P
r
o
j
e
t
o
s
Sistemas
Projetos Servios Aplicaes
Infraestrutura
Projetos Servios Aplicaes
Segurana da
Informao
Projetos Servios Aplicaes
S
e
r
v
i

o
s
A
p
l
i
c
a

e
s
I
n
f
r
a
e
s
t
r
u
t
u
r
aP
r
o
j
e
t
o
s
S
e
r
v
i

o
s
A
p
l
i
c
a

e
s
S
e
g
u
r
a
n

a
d
a
I
n
f
o
r
m
a

o
P
r
o
j
e
t
o
s
S
e
r
v
i

o
s
A
p
l
i
c
a

e
s
Depende
de
Depende fortemente
Depende medianamente
AGRUPAMENTO DE
INICIATIVAS

Figura 3.28 Matriz de relacionamento de iniciativas
104 Implantando a Governana de TI 3 edio
3.2.2.11 Defnio do oramento
O oramento de TI o resultado das estimativas de investimentos dos
novos projetos, servios e inovaes, juntamente com a estimativa de despesas
correntes, em funo do que j est em operao.
Geralmente, o oramento de uma organizao realizado por cada unida-
de, que pode ser um centro de custo ou um centro de receitas.
A TI, infelizmente, ainda tratada como centro de custos.
As rubricas tpicas so:
Despesas com pessoal prprio.
Despesas com servios de terceiros.
Servios de treinamento e capacitao.
Aluguis de equipamentos.
Manuteno de equipamentos.
Aluguis de instalaes.
Manuteno das instalaes.
Despesas de leasing de equipamentos.
Despesas de amortizao.
Servios de comunicaes.
Aquisio de software (produtos de software e novos desenvolvi-
mentos).
Aquisio de instalaes.
Aquisio de equipamentos.
Servios de consultoria.
Em grandes corporaes, existem regras corporativas para a elaborao do
oramento de TI. na ocasio da elaborao do oramento de TI que se ini-
cia o processo de priorizao dos investimentos e da manuteno das despesas
correntes.
Os gastos previstos para o ano fscal devem ser distribudos ms a ms,
rubrica por rubrica, com totalizaes por ms e por rubrica. Na elaborao
do oramento, possvel indicar, nos investimentos, para quais projetos os
montantes fnanceiros estaro sendo empregados.
O Modelo de Governana de TI 105
importante que, uma vez que as prioridades sejam estabelecidas, a TI
mostre como o dinheiro estar distribudo numa viso de Portflio de TI.
Entretanto, devemos ter mais do que a viso contbil, ou seja, tambm a
viso gerencial.
3.2.2.12 Priorizao de investimentos
As necessidades de projetos, servios e aplicaes devem ser priorizadas
considerando a capacidade de investimento da empresa. Para tanto, a empresa
necessita de critrios de priorizao, tais como valor estratgico, risco, retorno
fnanceiro, etc., que tambm devem classifcar projetos, servios e inovaes.
Sugere-se que esse processo seja feito de forma colaborativa, com a TI
atuando juntamente com os principais gestores do negcio (pois, afnal de
contas, a TI existe nica e exclusivamente para atender ao negcio). Mais
adiante, no item 3.3, exploraremos o que chamamos de mecanismos de
deciso em TI.
O resultado da priorizao dos investimentos tem como produto o Portf-
lio de TI, considerando os projetos, servios, ativos e inovaes que devero
ser implantadas ou mantidas em linha com os objetivos do negcio.
O modelo Val IT, apresentado no captulo 6, pode ser uma base para o
estabelecimento de processos de priorizao e anlise de investimentos de
TI.
3.2.2.12.1 A Metodologia AHP para tomada de decises complexas
A tarefa de priorizar vrias iniciativas de TI extremamente complexa e
requer processos de tomada de deciso apoiados por mtodos consistentes e
testados.
Decises de priorizao so primordialmente associadas ao desejo de oti-
mizar o uso de recursos escassos.
Normalmente, essas decises envolvem mltiplos critrios ou objetivos,
muitos dos quais so intangveis ou sujeitos a algum risco, com uma variedade
de propsitos ou funes e requerem anlise de trade-ofs, visando selecionar a
melhor alternativa entre vrias.
106 Implantando a Governana de TI 3 edio
Uma metodologia interessante para ser usada na tomada de deciso
de priorizao de investimentos a AHP (Analytic Hierarchy Process), de-
senvolvida pelo renomado professor Tomas Saaty
16
, da Universidade de
Pittsburgh.
O processo da AHP exemplifcado pela Figura 3.29 a seguir.
R
e
s
u
l
t
a
d
o
T
e
x
t
T
e
x
t
T
e
x
t
CONSTRUIR O
MODELO
COMPARAR
CRITRIOS
AVALIAR
ALTERNATIVAS
ALOCAR OS RECURSOS
COMUNICAR OS
RESULTADOS

Figura 3.29 Processo da metodologia AHP
De acordo com esta metodologia, a construo do modelo consiste
na identificao e/ou estruturao dos objetivos estratgicos do neg-
cio. Em seguida, so estabelecidos pesos para os objetivos estratgicos,
mostrando seu grau de importncia, impacto no negcio, cobertura es-
tratgica, etc.
Na sequncia, cada um dos projetos, servios e aplicaes (ou agrupamen-
to destes) so pontuados conforme a intensidade de seu alinhamento com os
objetivos estratgicos.
O prximo passo procurar a otimizao da seleo de projetos, servios
ou inovaes (ou agrupamento), maximizando a alocao de recursos.
Por fm, os resultados so comunicados aos grupos envolvidos. Este pro-
cesso pode ser repetido, alterando-se as premissas de peso para os objetivos
estratgicos at conseguir um conjunto aceitvel de prioridades.
Como resultado desse processo de priorizao, possvel construir o port-
flio de TI, que ir guiar o dia a dia das operaes de servios, de forma ali-
nhada com as estratgias do negcio. A Figura 3.30 mostra este processo de
construo.
16 Saaty (1999).
O Modelo de Governana de TI 107

NECESSIDADES
CONSOLIDADAS
DE
TI
ALINHAMENTO ESTRATGICO
ABRANGNCIA
COMPLEXIDADE TCNICA
VALOR ESTRATGICO
RETORNO FINANCEIRO
RISCOS
CAPACIDADES
AHP
DE TECNOLOGIA
DA
Projeto
Projeto Servio
Aplicao
INFORMAO
Processos
e
Organizao
PORTFLIO

Figura 3.30 Resultado do processo de priorizao
3.2.2.12.2 Modelos de anlise de investimentos aplicados TI
Como parte do processo da metodologia, importante avaliarmos o re-
torno fnanceiro do projeto, servio ou aplicao. Entretanto, em algumas
situaes, outros critrios podem decidir pela continuidade do projeto, inde-
pendentemente do risco e do retorno fnanceiro. Urgncias competitivas, mu-
dana de legislao e requisitos de regulao podem exigir o desenvolvimento
de projetos que aparentemente no so rentveis do ponto de vista econmico
e fnanceiro.
Para tanto, existem vrios modelos que podem ser utilizados. Eles so ca-
tegorizados em modelos fnanceiros tradicionais, modelos qualitativos e mo-
delos probabilsticos.
A seguir, feita uma breve descrio de cada modelo. No prximo tpico
desta seo, comentaremos as situaes nas quais cada modelo mais apro-
priado, conforme a natureza do projeto.
108 Implantando a Governana de TI 3 edio
Modelos tradicionais de retorno do investimento
Taxa Interna de Retorno do Investimento
Por este modelo, a taxa de retorno para o projeto ser considerado vivel
deve proporcionar um rendimento prximo ao que seria obtido emprestando
dinheiro taxa bsica de juros determinada pelo Banco Central.
Isto signifca que vale mais a pena investir no projeto do que investir no
mercado fnanceiro, ou seja, que o retorno do projeto ser maior.
Para obter a taxa interna de retorno, deve-se projetar o fuxo de caixa (en-
tradas e sadas) ao longo da vida til do projeto e dos seus resultados e trazer
esses valores ao valor presente (net present value). A frmula para a determina-
o do valor presente :
PV
FV
I
n
=
+ 1 ( )
FV o valor futuro do fuxo de caixa acumulado, I a taxa de juros
equivalente e n o nmero de perodos de tempo (meses, anos) do fuxo
de caixa.
Economic Value Added (EVA)
Como mtrica, representa o lucro operacional lquido menos o custo do
capital. Utilizando este modelo para avaliar a implantao de um ERP, por
exemplo, o analista deve levar em considerao todos os investimentos, tais
como desembolsos iniciais de caixa, custos de manuteno e custos de trei-
namento internos e externos, e compar-los com os benefcios, reduo de
custos ou aumento de receita. Este mtodo faz com que os administradores
deem ateno ao gerenciamento efciente dos ativos (capital) e receita. Vide
Stern & Stewart Co (www.sternstewart.com).
Total Cost of Ownership (TCO)
Orientado para aquisio de recursos de tecnologia. Esta tcnica, desenvol-
vida pelo Gartner Group, procura selecionar a alternativa de menor custo to-
O Modelo de Governana de TI 109
tal ao longo da vida til do recurso. Custo total associado ao recurso signifca
o somatrio dos custos de aquisio, manuteno, treinamento, depreciao,
suporte a usurios, infraestrutura de suporte e assim sucessivamente. Vide
Gartner Group (www.gartner.com).
Total Economic Impact (TEI)
uma metodologia de suporte deciso projetada para tratar risco e fe-
xibilidade. Na anlise, o analista deve avaliar custo, benefcio e fexibilidade e
determinar o risco de cada fator.
A anlise de custo leva em considerao a abordagem do TCO, a anlise
de benefcios considera a contribuio estratgica para o negcio e a anlise
de fexibilidade emprega a metodologia de opes futuras que tenta esta-
belecer valores de opes que podem ser exercidas no futuro (os leigos em
fnanas j ouviram falar em Mercado de Opes). Vide Forrester Research
(www.forrester.com).
Rapid Economic Justification (REJ)
uma metodologia desenvolvida e mantida pela Microsoft. Similar TEI,
estruturada em cinco etapas: defnio do propsito do estudo e objetivos
do negcio com o uso da tecnologia da informao, descrio da situao de
negcio ou problema que necessita de uma soluo, execuo da anlise de
custo e benefcio para cenrios, execuo da anlise de risco e execuo dos
clculos fnanceiros. Vide Microsoft (www.microsoft.com).
Modelos qualitativos
Balanced Scorecard
Vide captulo 12 para maiores detalhes sobre este modelo de gesto.
Information Economics (IE)
Esta metodologia tem por objetivo fornecer um mtodo neutro para ava-
liar Portflios de Projeto e a alocao de recursos, onde eles podem gerar os
110 Implantando a Governana de TI 3 edio
maiores benefcios. Na realidade, este mtodo estabelece prioridades de pro-
jetos dentro de um portflio.
A metodologia pressupe que cada linha de negcios tenha pelo menos
dez fatores de deciso, que podem ser adicionados, excludos ou alterados,
conforme mudam as prioridades. Estes fatores so avaliados pelo pessoal de
tecnologia da informao e pelos gerentes de linha, conforme sua importncia
para o negcio, se positiva ou negativa. Os projetos de tecnologia da infor-
mao so ento avaliados em relao aos fatores de deciso. Como resultado,
cada projeto recebe uma nota que demonstra sua posio de importncia no
portflio. Vide CIO magazine (www.cio.com).
Gesto de Portflio
Esta abordagem parte do pressuposto de que os projetos no so somente
custos, mas sim ativos que devem ser gerenciados segundo os mesmos crit-
rios utilizados para a gesto de portflios de investimentos, ou seja, levando
em considerao, alm do custo, os benefcios e riscos.
Isto signifca que todo novo projeto deve ser categorizado de acordo com
um portflio de projetos, e que cada categoria deste portflio deve apresentar
uma combinao diferente de resultados para o negcio.
Modelos quantitativos
Real Options Valuation (ROV)
O objetivo da metodologia quantifcar valores no tocante fexibilidade.
uma tcnica aplicada para aquisies, fuses, leasing e investimentos onde
existe um alto grau de incerteza.
No incio da dcada de 90, comeou a ser utilizada para projetos de tecno-
logia da informao, principalmente em funo das tecnologias emergentes.
Vide CIO magazine (www.cio.com).
O Modelo de Governana de TI 111
Applied Information Economics (AIE)
Esta tcnica combina teoria de opes, teoria de gesto de portflio, m-
todos tradicionais como Taxa Interna de Retorno e um conjunto de tcnicas
atuariais para quantifcar resultados incertos e gerar uma curva de resultados
esperados, considerando risco e retorno. Vide Hubbard Decision Research
(www.hubbardresearch.com).
A Tabela 3.7 mostra alguns critrios para selecionar o mtodo de avaliao
mais adequado ao tipo de projeto, servio ou aplicao a ser avaliada.
Tipo de Aplicao da Avaliao do Projeto Mtodo de Avaliao
Projetos cuja incerteza pequena (os riscos so conhecidos e
gerenciveis)
Taxa de retorno interna
Contribuio de TI para a empresa EVA
Projetos de aquisio de recursos TCO
Anlise de cenrios de resultados de projetos TEI
Avaliao de um projeto simples REJ
Priorizar projetos IE
Portflio de projetos Gesto de portflio
Projetos cuja incerteza grande ROV e AIE
Tabela 3.7 Tipos de mtodos de avaliao
3.2.2.12.3 Parmetros tpicos a serem usados para avaliaes de
investimento
A Tabela 3.8 apresenta alguns parmetros que devem ser considerados
quando se empregam os mtodos de avaliao de investimento.
Se o projeto for de... Parmetros tpicos
Processo de TI Reduo do retrabalho (esforo do homem-ms x custo com encargos).
Reduo ou minimizao do risco (qual parte da operao da empresa ou
instituio pode parar e qual a perda fnanceira).
Reduo de atrasos de entregas (reduo do retrabalho e custos fnanceiros e
contratuais de atraso).
Aumento da produtividade (signifca reduo de custo).
112 Implantando a Governana de TI 3 edio
Se o projeto for de... Parmetros tpicos
Infraestrutura de TI Reduo ou minimizao do risco (qual parte da operao da empresa ou
instituio pode parar e qual a perda fnanceira).
Custos de responsabilidade civil.
Perda de receita pela perda de clientes.
Custo total de propriedade (custo do recurso durante a sua vida til).
Substituio ou
atualizao de
equipamentos
Aumento da produtividade (custo unitrio da unidade de produo sofre
reduo).
Reduo do custo total de propriedade.
Ferramentas de gesto
de TI
Reduo no custo de processos (deve haver dados do custo por atividade no
processo).
Eliminao de mo de obra de apoio.
Reduo de risco (quanto dinheiro a empresa perder se no gerenciar
adequadamente a TI).
ERP Enterprise
Resource Planning
Reduo de custos do processo (eliminao de etapas de processos manuais).
Reduo de mo de obra pela integrao de processos;
Aumento de produtividade no cho da fbrica (reduo do custo unitrio do
produto).
Atendimento de forma mais rpida demanda (deixando de perder receita).
Melhor aproveitamento do material em processo (reduo de custos de
estoques em processo).
Melhoria da qualidade do produto (reduo dos custos das no conformidades
e reduo de refugos).
Desenvolvimento de um
novo produto
Aumento da receita com o novo produto (potencial de mercado x preo
unitrio).
Aumento da lucratividade da empresa (receita despesas operacionais).
Supply-chain Diminuio do nmero de fornecedores (reduo do custo de controle).
Reduo do custo de estoque.
Reduo do custo fnanceiro.
Reduo do ciclo de tempo de produo (aumento da produtividade).
Reduo do custo de aquisio de insumos.
Melhoria da qualidade dos produtos dos fornecedores (implica em reduo do
refugo pela empresa).
CRM Customer
Relationship
Management
Foco em produtos de interesse do cliente (aumento da rentabilidade da
operao como um todo).
Reduo no custo de vendas (menor esforo para vender).
Diminuio do custo e receita pela perda de cliente.
Business Intelligence Maior rapidez na tomada de deciso.
Maior produtividade gerencial.
Forte apoio estratgia da empresa.
Foco em produtos e operaes mais rentveis.
O Modelo de Governana de TI 113
Se o projeto for de... Parmetros tpicos
Gesto do conhecimento Reduo do custo de projetos (a no reinveno da roda diminui retrabalho e,
portanto, custo de recursos).
Reduo do custo de treinamento.
Reduo do custo das operaes.
Reduo no custo de desenvolvimento de projetos.
Reduo do custo de recuperao de desastres.
Pode criar diferencial para a empresa em termos de inovao.
Customer care Aumento da fdelizao do cliente (signifca aumento da receita).
e-business Reduo de custos da operao como um todo (deve haver dados dos custos
por atividade e processo).
Reduo do custo de operaes de front-offce.
Reduo do custo de transaes.
Tabela 3.8 Parmetros de anlise de investimento em TI
3.2.2.13 Portflio de TI aprovado
O resultado fnal do processo de planejamento da tecnologia da informa-
o o novo portflio de TI, que dever ser implantado no perodo determi-
nado pelo plano.
Os objetivos do portflio de TI so:
Comunicar as prioridades de investimento de TI da empresa.
Mostrar os riscos dos investimentos em TI.
Eliminar a redundncia nas iniciativas de TI.
Otimizar recursos alocados TI.
Monitorar as iniciativas de TI.
Balizar mudanas de prioridades da empresa que so refetidas em TI.
Ser o elo entre a estratgia, os objetivos do negcio e as iniciativas de TI.
O portflio permite uma melhor comunicao entre TI e o negcio, j que,
como premissa, ele deve ser representado em uma linguagem familiar ao negcio.
A Tabela 3.9 mostra o impacto da falta de um portflio de TI.
114 Implantando a Governana de TI 3 edio
O que significa no ter o
Portflio de TI
Resultados no curto prazo Resultados para o negcio
As pessoas relutam em cancelar os
projetos.
Novos projetos so adicionados sem
foco e objetivos claros.
Custos crescentes em TI.
Aumento do time-to-market.
Altas taxas de falhas nos
produtos e servios.
Seleo dos projetos com base na
emoo.
Os bons projetos so deixados
de lado.
Poucos produtos so
ganhadores.
No h critrios estratgicos para a
seleo de projetos.
Projetos sem direcionamento
estratgico.
Novos produtos no esto
alinhados com a estratgia.
Tabela 3.9 Impacto da ausncia do portflio de TI
3.2.2.13.1 Tipos de projetos, servios e ativos do Portflio de TI
O Portflio de TI composto no somente por projetos, mas tambm por
servios e ativos. O portflio tem que englobar todos os itens de investimento e
custeio das atividades de TI na organizao, estejam esses na rea de TI ou no.
Projetos: podem ser, por exemplo, a implantao de um pacote de
ERP, uma manuteno evolutiva substancial em um sistema, o desen-
volvimento de um sistema, a implantao de um escritrio de proje-
tos de TI ou de um processo de gesto de confgurao, o estudo de
uma nova tecnologia, etc.
Servios: podem envolver, por exemplo, a troca do software antivrus
da empresa, a implantao do upgrade do sistema operacional, a ma-
nuteno dos desktops, servios de service desk, treinamentos de cons-
cientizao em segurana da informao para os usurios, instalao
de equipamentos e softwares de suporte, atendimento a incidentes de
falhas na infraestrutura, em sistemas e na segurana da informao,
assim como servios de administrao da TI, etc. (observe que os ser-
vios podem ser direcionados para os usurios e clientes externos, ou
para consumo interno de TI).
Ativos: referem-se a toda a infraestrutura de TI, compreendendo
compu tadores, servidores, dispositivos de armazenagem, equipamen-
tos de comunicao, de segurana, as instalaes e equipa mentos de
apoio, sistemas operacionais, software de aplicativos, softwares de su-
porte, etc.
O Modelo de Governana de TI 115
Inovaes: Referem-se a todas as solues baseadas em novas tec-
nologias ou tecnologias emergentes que agreguem valor ao negcio,
assim como uma nova soluo para um processo de negcio que crie
um diferencial para os produtos e servios da organizao.
Geralmente, a forma como os investimentos so distribudos pelo Portflio
de TI fortemente infuenciada pelas estratgias adotadas pela organizao.
3.2.2.13.2 Alternativas de classifcao e representao do Portflio de TI
H vrias alternativas de classifcao do Portflio de TI na literatura,
algumas delas utilizando mais a linguagem de TI e outras a linguagem de
negcio.
Dentro dessas alternativas, uma que nos parece adequada a proposta feita
por Benson, Bugnitz & Walton (2004).
Conforme esses autores, o Portflio de TI dividido em dois Portflios,
um mostrando os novos investimentos e outro mostrando o custeio das apli-
caes e ativos existentes e em uso pela empresa. Adicionalmente, sugerem
uma classifcao em termos de negcio.
Na perspectiva de TI, o portflio classifcado em aplicaes, servios,
infraestrutura e gesto. Esta ltima engloba no somente os custos de gesto
de TI, mas tambm os custos de processo e organizacionais.
Na perspectiva do negcio, classifcado como sendo estratgico, fbrica,
nova estratgia e obrigatrio:
Estratgico: compreende os investimentos que tm impacto direto
sobre o desempenho da empresa.
Fbrica: investimentos necessrios para a continuidade do negcio,
para manter as portas abertas.
Nova estratgia: investimentos que podero ter impacto no desem-
penho futuro da empresa, em termos de novos negcios, novos pro-
dutos, etc.
Obrigatrio: so investimentos requeridos por legislao ou
compliance.
116 Implantando a Governana de TI 3 edio
A Figura 3.31 mostra esta proposio.
Entretanto, para fns de gesto por parte do CIO, j que o Portflio de TI
deve ser o principal instrumento de alinhamento da estratgia com o dia a dia
da rea de TI julgamos que sejam necessrias ainda duas classifcaes adicio-
nais: uma funcional do negcio e uma funcional de TI.
A primeira decorre do fato de que o CIO precisa saber sobre a sua
demanda e, principalmente, sobre quem demanda e quanto dos recursos
ser alocado para cada rea da empresa. A viso funcional de TI impor-
tante por motivos de gesto oramentria e de investimentos da rea de
TI. As Figuras 3.32 e 3.33 mostram, respectivamente, essas perspectivas.
Devemos estar atentos, todavia, para as trs etapas principais do processo
de construo do Portflio de TI. A primeira etapa ocorre quando consoli-
damos as necessidades, a segunda quando priorizamos os investimentos e
tentamos fazer a alocao tima dos recursos fnanceiros frente s diversas
demandas que chegam TI, e a terceira quando fazemos a representao do
Portflio de TI conforme as vrias vises requeridas.
Portfolio
Existente
Portfolio de
Investimento
Portfolio de
Aplicaes
Portfolio da
infraestrutura
Portfolio de
serivios
Portfolio de gesto
Portfolio de
desenvolvimento e
aquisio de
aplicaes
Portfolio de
desenvolvimento
da infraestrutura
Portfolio de
desenvolvimento
de servios
Portfolio de
desenvolvimento
de gesto
Aplicaes Infraestrutura Servios Gesto
Investimento
Aplicaes
Infraestrutura
Servios
Gesto
Aplicaes
Infraestrutura
Servios
Gesto
Aplicaes
Infraestrutura
Servios
Gesto
Aplicaes
Infraestrutura
Servios
Gesto
Estratgico Fbrica Obrigatrio
Nova
Estratgia
Portfolio da
perspectiva
do negcio
Portfolio da
perspectiva
de TI

Figura 3.31 Perspectivas de portflio de TI - Adaptado de Benson, Bugnitz & Walton (2004)
O Modelo de Governana de TI 117
A representao fnal do Portflio de TI que vamos usar no dia a dia da
gesto de TI e no controle das iniciativas de TI.
Como voc poder notar, no portflio funcional de negcios no h o
portflio de gesto, pois este de exclusividade da rea de TI. J no portf-
lio funcional de TI ele aparece novamente.
Portflio de
Aplicaes
Portflio da
infraestrutura
Portflio de
serivios
Portflio de
desenvolvimento e
aquisio de
aplicaes
Portflio de
desenvolvimento
da infraestrutura
Portflio de
desenvolvimento
de servios
Aplicaes Infraestrutura Servios
Investimento
Aplicaes
Infraestrutura
Servios
Gesto
Aplicaes
Infraestrutura
Servios
Gesto
Aplicaes
Infraestrutura
Servios
Gesto
Aplicaes
Infraestrutura
Servios
Gesto
Estratgico Fbrica Obrigatrio
Nova
Estratgia
Portflio da
perspectiva
do negcio
Portflio da
perspectiva
funcional de negcio
Funes de
Negcio
Investimento
Portflio
Existente
Marketing
Operaes
Recursos Humanos
Logistica
Marketing
Operaes
Recursos Humanos
Logistica

Figura 3.32 Portflio de TI com perspectiva funcional do negcio
118 Implantando a Governana de TI 3 edio
Aplicaes
Infra-
estrutura
Servios
Investimento
Aplicaes
Infra-estrutura
Servios
Gesto
Aplicaes
Infra-estrutura
Servios
Gesto
Aplicaes
Infra-estrutura
Servios
Gesto
Aplicaes
Infra-estrutura
Servios
Gesto
Estratgico Fbrica Obrigatrio
Nova
Estratgia
Portflio da
perspectiva
do negcio
Portflio da
perspectiva
funcional de TI
Funes de
Negcio
Escritrio do CIO
Processos
Sistemas
Infraestrutura
Suporte
Segurana Informao
Gesto e
Processos
Portflio de
Aplicaes
Portflio da
infraestrutura
Portflio de
servios
Portflio de
desenvolvimento e
aquisio de
aplicaes
Portflio de
desenvolvimento
de infraestrutura
Portflio de
desenvolvimento
de servios
Investimento
Portflio
Existente
Portflio de
gesto e
processos
Portflio de
gesto e
processos
Escritrio do CIO
Processos
Sistemas
Infraestrutura
Suporte
Segurana Informao

Figura 3.33 Portflio funcional de TI
3.2.2.13.3 Como tratar as manutenes de sistemas no Portflio de TI
Por manuteno de sistemas entendemos como:
Melhorias em sistemas legados.
Implantao de requisitos legais em sistemas legados.
Adaptao de sistemas legados s novas plataformas tecnolgicas.
Otimizao de desempenho de sistemas legados.
Tais tipos de manutenes, dependendo do seu porte, podem ser manu-
tenes programadas.
Por manuteno emergencial, entendemos um servio de ocorrncia
aleatria, que deve ser atendido primeiramente pelo service desk da em-
presa, de forma no programada, enquanto as outras manutenes podem
ser programadas. Manutenes emergenciais geralmente so relacionadas
a falhas e defeitos em aplicaes que causam inoperncia em processos de
O Modelo de Governana de TI 119
negcio ou que expem a imagem da empresa e/ou dos clientes, fornece-
dores e colaboradores.
Geralmente, as organizaes de software tm difculdade de lidar simulta-
neamente com manutenes programadas e no programadas, pois sempre
a mesma equipe que atende solicitao.
Uma forma de lidar com esta questo quando estamos construindo o port-
flio de TI trabalhar com o conceito de estimativa de horas de servios para
atendimento s pequenas manutenes e s manutenes emergenciais.
Dessa forma, ao elaborar o portflio na viso funcional de negcio, pode-
mos, com base em registros histricos, estimar quantas horas de anlise e/ou
programao sero necessrias para atendimento a uma rea funcional dentro
de um perodo estipulado e registrar esta informao no portflio. usual,
nesses casos, estipular uma capacidade fxa para atendimento a esse esforo
previsto.
No caso de manutenes de maior porte, estas podem estar listadas indivi-
dualmente no portflio de aplicaes.
Caso seja aplicvel, podero ser tambm representadas no portflio de
aplicaes as releases das aplicaes. Algumas empresas trabalham com o con-
ceito de releases, nas quais so agrupadas as manutenes programadas a partir
de solicitaes dos usurios. Se voc tem um histrico do custo de cada release
e a quantidade delas no ano, voc pode estimar os custos de manuteno de
sistemas no seu Portflio de TI.
Por exemplo, muito comum a chegada de solicitaes de servios dos
usurios para a elaborao de novas formas de extrao de informaes e que,
geralmente, demandam muito pouco esforo para serem atendidas. O concei-
to de release cabe muito bem nesse caso.
3.2.2.13.4 A infuncia da estratgia da empresa na composio dos
investimentos em TI
Como cada empresa tem a sua estratgia de negcios, muito provvel
que a composio dos investimentos e custeios no Portflio de TI apresente
variaes.
Alm do mais, o prprio tipo de negcio e o estgio em que se encontra o
uso de TI na organizao tambm podero determinar variaes no portflio.
120 Implantando a Governana de TI 3 edio
Por exemplo, uma empresa cujo relacionamento com seus fornecedores
estratgico para o negcio rotular uma possvel implantao de uma apli-
cao de supply chain como Estratgico. Ao contrrio, uma empresa que j
resolveu este problema classifcar os investimentos na manuteno da sua
aplicao de supply chain como Fbrica.
O que queremos dizer para voc tomar cuidado ao fazer benchmarking
com outras organizaes ou colegas sobre os gastos de TI. Procure entender o
estgio de maturidade em TI em que se encontra a empresa com a qual est se
comparando, as suas estratgias, posio de mercado, etc.
Voc ir encontrar situaes em que uma empresa do mesmo ramo de
negcio est gastando alguns pontos percentuais a mais em TI do que a sua
empresa. Possivelmente, a empresa concorrente est desenvolvendo novos
produtos, mudando de plataforma, abrindo novos mercados, ou seja, com
uma estratgia diferente da sua.
O Plano de Tecnologia da Informao pode ser documentado e servir
como um guia para a gesto da TI da empresa, principalmente no que diz
respeito s premissas e anlises que levaram ao novo portflio.
O portflio o elo entre a estratgia de negcio e as iniciativas da TI,
constituindo-se em um dos principais instrumentos para garantir que somen-
te projetos, servios e aplicaes priorizados e presentes no portflio estejam
sendo executadas no dia a dia da operao. Alm disso, o portflio regula o
relacionamento com os usurios e com os fornecedores.
Em relao aos clientes, o portflio diz o que pode e o que no pode ser
feito e serve como orientador para o usurio ou cliente fazer uma nova solici-
tao. O mesmo acontece com os fornecedores, pois os servios terceirizados
j foram previstos e constam do portflio.
Por fm, o portflio deve ser comunicado para todos os integrantes da TI
da empresa, no sentido de alinhar expectativas dos colaboradores em relao
a metas e objetivos, ou seja, ao que a empresa espera deles em termos de re-
sultados.
3.2.2.14 Plano de TI Negcios
O Plano de TI pode ser subdividido em dois, um voltado para o negcio e
outro para os projetos e servios especfcos de TI.
O Modelo de Governana de TI 121
O Plano de TI para negcios deve conter:
Projetos de desenvolvimento e implantao de sistemas, solues de
ERP, CRM, Contact Center, etc.
Projetos de solues especfcas e inovadoras de segurana da infor-
mao, como identifcao biomtrica, sistemas de vigilncia, etc.
Projetos de melhorias em sistemas existentes.
Projetos de Business Intelligence e sistemas gerenciais.
Sistemas e solues que devero ser mantidas e as que iro ser
descartadas.
Esses projetos geralmente fazem parte do oramento da rea demandante
do projeto ou da soluo.
Neste caso, quem deve fazer o Business Case a rea demandante da solu-
o, evidenciando o retorno do investimento.
Cada unidade de negcio deve priorizar o que deseja para atender aos seus
objetivos e aos direcionadores estratgicos estabelecidos pela alta administrao.
A priorizao, em nvel corporativo, de quais projetos sero realizados, de
inteira responsabilidade da alta administrao.
3.2.2.15 Plano de TI Internos
Neste Plano esto as iniciativas da rea de TI para atender ao Plano de TI
Negcios. Deve conter pelo menos:
Projetos de implantao de Governana de TI.
Projetos de implantao de processos de TI.
Projetos de implantao/melhoria de Data center.
Projetos de implantao/expanso de redes de comunicao.
Projetos de segurana da informao.
Projetos de desenvolvimento de competncias em recursos humanos.
Projetos de infraestrutura de TI.
Projetos de aquisio de software de monitoramento e desempenho
do ambiente.
Sistemas especfcos necessrios para a gesto de TI.
122 Implantando a Governana de TI 3 edio
Projetos de estudos e prospeco de novas tecnologias.
Projetos de otimizao da arquitetura de software.
Projeto de implantao do gerenciamento de servios de TI.
Projeto de implantao de novos servios de TI, etc.
As prioridades devem estar alinhadas estratgia de servios de TI def-
nidas anteriormente, pois so derivadas das necessidades do negcio, do en-
tendimento do negcio, da anlise do portflio atual e do entendimento da
dinmica do negcio.
3.2.3 elAborAo do mAPA estrAtgico e do Balanced
Scorecard (bsc)
Uma alternativa ao processo de alinhamento em discusso (o item 3.2 des-
te captulo) empregar o modelo proposto por Kaplan & Norton (1996 e
2004) de mapa estratgico e BSC.
Esta abordagem simplifca o processo de alinhamento estratgico, ape-
sar de que a implantao da estratgia similar ao processo discutido at
agora.
17
Caso a organizao j tenha um BSC, ento o BSC de TI deve ser derivado
deste.
Para simplifcar, como ponto de partida, podemos empregar a proposio
de Kaplan (2001) para o IT-BSC, conforme mostra o mapa estratgico gen-
rico elaborado pelo prprio autor, representado pela Figura 3.34.
O mapa demonstra uma relao de causa e efeito, ou seja, para a TI contri-
buir para o negcio, precisa ter excelncia operacional, aliana com as unida-
des de negcio e propor solues capacitadoras e inovadoras para o negcio.
Entretanto, para isso, precisa ter pessoas capacitadas, ret-las e desenvolv-las,
assim como capacitar-se em tecnologias emergentes.
Desta forma, objetivos de trabalhar com custos competitivos, entregar
servios com qualidade, fazer as coisas certas no tempo certo e atender s
estratgias das unidades de negcio podem ser alcanados. Uma vez que esses
17 Vide o captulo 12, que detalha o mtodo de elaborao do mapa estratgico e do BSC.
O Modelo de Governana de TI 123
objetivos da perspectiva cliente so atendidos, os objetivos de contribuio ao
negcio tambm so alcanados.
Gerenciar as
unidades de
custo de TI
Maximizar o
retorno para os
acionistas
Maximizar a
criao de valor
para as unidades
de negcio
Demonstrar
custos
competitivos
Entregar
servios com
qualidade
Fazer as coisas
certas no tempo
certo
Atender s
estratgias das
unidades de
negcio
Otimizar os
processos
internos de TI
Gerenciar a
qualidade dos
servios
Realizar
economias de
escala
Padronizar
plataformas e
arquiteturas
Melhorar a
produtividade da
unidade de
negcio
Propor e
entregar
solues
capacitadoras
Fornecer suporte
efetivo aos
usurios
Entender
aplicaes de
tecnologias
emergentes
Entregar no
prazo
Entender as
estratgias das
unidades de
negcio
Atrair e reter
pessoal com
habilidades
chaves
Foco no
desenvolvimento
de carreira
Promover cultura
de inovao
Sustentar
habilidades em
tecnologias
capacitadoras
CONTRIBUIO
CORPORATIVA
CLIENTE
PROCESSOS
INTERNOS
POTENCIAL
Competncia Credibilidade Contribuio
Excelncia Operacional
Aliana com a Unidade
de Negcio
Liderana em Solues

Figura 3.34 IT BSC
Adaptado de Kaplan (2001)
A tabela 3.10 mostra as questes genricas e principais de cada perspetiva
do BSC.
Orientao ao
Cliente
Contribuio ao
Negcio
Excelncia
Operacional
Potencial
(Orientao Futura)
Como os clientes
(usurios) veem a TI?
Como a administrao
enxerga a TI?
Quo efetivos e
efcientes so os
processos de TI?
Como a TI est
posicionada para
atender a desafos
futuros?
Misso: Ser o
fornecedor de servios
de TI preferido.
Misso: Obter um
retorno adequado dos
investimentos de TI.
Misso: Entregar
aplicaes e servios de
TI, efetivos e efcientes.
Misso: Desenvolver
oportunidades para
responder a desafos
futuros.
124 Implantando a Governana de TI 3 edio
Orientao ao
Cliente
Contribuio ao
Negcio
Excelncia
Operacional
Potencial
(Orientao Futura)
Objetivos: entregar
servios com
qualidade, com custos
competitivos, apoiar a
estratgia do negcio,
entregar e fazer certo
no tempo certo.
Objetivos: gerenciar
os custos de TI com
disciplina oramentria,
maximizar retorno dos
investimentos de TI,
maximizar criao de
valor.
Objetivos: otimizar
processos de TI,
gerenciar a qualidade
dos servios; padronizar
plataforma e arquitetura;
entregar no prazo.
Objetivos: atrair e reter
talentos, desenvolver
habilidades,
desenvolver habilidades
em novas tecnologias.
Tabela 3.10 - BSC genrico
Uma vez defnidos o mapa estratgico e os objetivos do BSC, hora de des-
dobrar esses objetivos em iniciativas com suas respectivas metas de resultado
e metas de desempenho.
A Tabela 3.11 exemplifca esse desdobramento.
Objetivo
estratgico
Iniciativas
Meta de
resultado
Meta de
desempenho
Entregar servios
com qualidade
Implantar SLAs nos
servios de TI.
60% dos servios de TI
com SLA at dezembro
de 2011.
30% dos servios com SLA
at junho de 2011.
Entregar no prazo Implantar processo de
estimativa.
50% dos projetos crticos
empregaram o novo
mtodo de estimativa at
dezembro 2011.
25% dos projetos com o
novo processo at junho de
2011.
Implantar processo de
gesto de requisitos.
80% dos projetos com
processo de gesto de
requisitos at dezembro
2011.
40% dos projetos com
processo de gesto de
requisitos at junho de 2011.
60% dos projetos at
setembro de 2011.
Implantar processo
de gerenciamento de
projetos.
100% dos projetos usam
o processo de gesto de
projetos at dezembro de
2011.
30% dos projetos at maro
de 2011.
60% dos projetos at junho
de 2011.
Tabela 3.11- Desdobramento de objetivos estratgicos
Por fm, lembramos que o BSC de TI pode ser desdobrado em BSCs para
sistemas, operaes, governana de TI, segurana da informao, servios de
TI, etc., como mostra a Figura 3.35.
O Modelo de Governana de TI 125
Caso a sua organizao j tenha um BSC corporativo, h um pressuposto
de que, ao fazer um BSC de TI derivado do corporativo, voc j est realizan-
do o alinhamento, ainda que esttico, da TI.
Ao contrrio, se sua organizao no tiver um BSC, mesmo assim voc
pode elaborar o BSC de TI. Entretanto, as etapas de anlise estratgica da or-
ganizao, anlise do portflio atual e entendimento da dinmica do negcio
devero ser executadas.
Figura 3.35 Desdobramento do BSC
Voc deve estar se perguntando: qual abordagem devo usar para elaborar
o meu plano de tecnologia da informao?.
A abordagem representada pela Figura 3.6 adequada quando a organi-
zao necessita revisitar a TI como um todo. Mas isto no acontece a todo
momento.
Nesta abordagem mais complexa, h um trabalho de maior profundidade
quando estamos defnindo os servios, a arquitetura de aplicaes, a arqui-
126 Implantando a Governana de TI 3 edio
tetura de infraestrutura, a poltica de segurana da informao, os mapas de
processos de TI, a poltica de sourcing e assim por diante.
J no caso do BSC, embora tambm necessitemos entender a organizao,
a parte de defnio dos servios, das arquiteturas, polticas, organizao e
processos de TI tornam-se iniciativas e metas do BSC. A Tabela 3.12 mostra
essa diferena.
Componentes do
Plano de Tecnologia
Abordagem
Transformacional
Abordagem de
BSC
Anlise estratgica da
organizao
Deve ser realizada. Deve ser realizada se no houver BSC
corporativo.
Anlise do portflio
atual
Deve ser realizada. Deve ser realizada para cotejar com
as iniciativas propostas e derivadas
do BSC.
Entendimento da
dinmica do negcio
Deve ser realizada. No necessita.
Defnio da
estratgia de servios
Aqui a estratgia defnida, assim
como o catlogo de servios.
A necessidade de defnir uma
estratgia de servios pode ser uma
iniciativa do BSC.
Anlise e defnio
das necessidades do
negcio
Aqui so identifcados os gaps da
arquitetura de aplicaes em relao
ao que o negcio requer em funo de
sua transformao.
O BSC foca a estratgia de TI,
podendo ter como uma das iniciativas
concentrar nas aplicaes que
agreguem valor para o negcio.
Anlise e defnio da
arquitetura de TI
Aqui so identifcados os gaps da
arquitetura tecnolgica em relao
aos requisitos do negcio e uma
especifcao da nova arquitetura
derivada. Um projeto derivado
ser ento a implantao da nova
arquitetura.
O BSC no faz a especifcao,
pois ela pode ser uma iniciativa
derivada. Geralmente no escopo da
iniciativa haver a especifcao e a
implantao da nova arquitetura.
Defnio da estratgia
de sourcing
Aqui as polticas e regras e um
mapa de processos podem ser
especifcados. O projeto derivado ser
a implantao da poltica de sourcing.
O BSC pode gerar uma iniciativa para
se implantar polticas e processos
de sourcing. No escopo da iniciativa
estar incluso que h a necessidade
de especifcar e implantar.
Defnio da arquitetura
de processos
Aqui so defnidas a cadeia de
valor e as especifcaes iniciais
dos processos que devero ser
implantados. Derivam-se projetos de
implantao de processos de TI.
O BSC menciona a necessidade dos
processos de TI. Fica para a defnio
do escopo da iniciativa a necessidade
de especifcar e implantar os
processos.
O Modelo de Governana de TI 127
Componentes do
Plano de Tecnologia
Abordagem
Transformacional
Abordagem de
BSC
Defnio da estratgia
de segurana da
informao
Aqui so defnidos os processos, a
arquitetura, necessidades de recursos
especfcos.
O BSC pode derivar iniciativas
relativas segurana da informao,
mas fca para o escopo das iniciativas
a especifcao e a implantao do
sistema de segurana da informao.
Consolidao do
portflio preliminar
Abrange todos os projetos, recursos e
servios.
O portflio foca principalmente as
questes internas de TI.
Defnio do oramento Dever ser elaborado a partir do
portflio preliminar.
Deve ser elaborado o oramento com
base nas quantidades do portflio.
Priorizao de
investimentos
Deve ser realizado a partir do
oramento e do portflio preliminar.
Idem.
Portflio aprovado Derivado a partir da priorizao dos
investimentos
Idem.
Plano de TI negcios Deve ser elaborado. Geralmente as iniciativas geradas
pelo BSC no focam os projetos de
desenvolvimento de aplicaes.
Plano de TI melhorias Deve ser elaborado. Geralmente as iniciativas geradas pelo
BSC concentram-se nos aspectos
internos da TI alinhadas com o
negcio.
Tabela 3.12 Critrios de seleo da abordagem de planejamento de TI
3.3 mecAnismos de deciso em ti
Neste ponto, tomaremos emprestado o modelo de Weill & Ross (2004)
sobre os arqutipos de deciso que propuseram para a TI. Estes professores,
com base numa extensiva pesquisa com 256 empresas, identifcaram padres
de mecanismos organizacionais para a tomada de decises em TI relativas a:
Princpios de TI.
Arquitetura de TI.
Estratgia de infraestrutura de TI.
Necessidades de aplicaes.
Investimento e priorizao.
128 Implantando a Governana de TI 3 edio
Os padres identifcados foram:
Monarquia do negcio: neste padro, os executivos seniores de ne-
gcio tomam as decises relativas TI.
Monarquia de TI: neste padro, os profssionais de TI tomam todas
as decises pertinentes TI.
Feudal: neste padro, cada rea da empresa ou unidade de negcio
decide sobre a TI de forma isolada.
Federal: neste padro, tanto a matriz, a holding ou o board, junta-
mente com as unidades de negcio, tomam as decises relativas
TI.
Duoplio de TI: neste padro, as decises so derivadas de acordo
entre os executivos de TI e outros grupos de negcio.
Anarquia: neste padro, indivduos e pequenos grupos tomam suas
prprias decises baseados em suas necessidades locais.
Nesta pesquisa, os professores Weill e Ross descobriram que as empresas de
maior desempenho na TI usam diferentes arqutipos de tomada de deciso,
conforme o tipo de deciso.
A Figura 3.36 apresenta os arqutipos de deciso utilizados nas trs empre-
sas que maiores desempenhos apresentaram com o uso da TI.
Como j mencionamos no incio do livro, as decises de TI no so
mais a seara somente dos executivos de TI, pois a TI permeia pratica-
mente todos os negcios da empresa. Decises relativas TI passam a
ser decises de negcio; portanto, os executivos de negcio devem ser
envolvidos.
O Modelo de Governana de TI 129
Figura 3.36 Arqutipos de deciso em TI de maior desempenho
Adaptado de Weill & Ross (2004)
No contexto da Governana de TI, necessrio estabelecer uma matriz de
responsabilidades e envolvimento pelas decises de TI. Nesta matriz, pode-
riam ser includos alguns tipos de deciso a mais (principalmente no tocante
segurana da informao e estratgia de sourcing), por merecerem uma
abordagem de compartilhamento de responsabilidades.
Para construir a matriz, devemos identifcar quem deve ser envolvido na
formulao de alternativas e da escolha da alternativa, com relao a prin-
cpios de TI, arquitetura, infraestrutura, necessidades de aplicaes, investi-
mentos, segurana da informao e estratgia de sourcing.
Um lembrete importante ao estabelecer os mecanismos de deciso mais
adequados o de separar as pessoas que formulam a alternativa de soluo das
pessoas que, efetivamente, escolhem a alternativa mais adequada.
130 Implantando a Governana de TI 3 edio
Por exemplo, ao defnir necessidades de aplicaes, podemos estar inte-
ragindo com o responsvel por uma unidade de negcio; entretanto, quem
toma a deciso sobre as prioridades de investimento a Diretoria Executiva
da empresa. Ou seja, para cada tipo de deciso, temos que identifcar quem
formula as necessidades e alternativas e quem decide sobre a alternativa, pois
podem ser fruns diferentes de deciso.
Geralmente, as empresas usam mecanismos tais como Comits de Projeto
para decidir sobre prioridades de desenvolvimento ou implantao de aplica-
es e a Diretoria Executiva para decidir sobre investimentos e priorizao de
aplicaes estratgicas.
Os mecanismos de deciso so crticos para que a estratgia de TI seja im-
plantada. Sem esses mecanismos, a tarefa de gerenciar a TI fcar ainda mais
complexa e voc precisar ser um missionrio e educador em tempo integral.
3.4 A entregA de vAlor
3.4.1 gerenciAmento do Portflio de ti
De acordo com o padro de Gerenciamento de Portflio do Project Ma-
nagement Institute (2008b), a gesto de portflio : uma coleo de projetos
e/ou programas e outros trabalhos que so agrupados para facilitar a gesto
efetiva do trabalho para atender os objetivos estratgicos do negcio.
J para o modelo Val IT do IT Governance Institute (ITGI 2008), port-
flio : agrupamento de objetos de interesse como programas de investimen-
tos, servios de TI, projetos de TI ou outros servios e recursos, gerenciados e
monitorados para otimizar o valor para o negcio.
No contexto de nosso modelo, o portflio gerado na fase de alinhamento
estratgico e usado na entrega de valor e no gerenciamento de recursos.
Na fase de entrega de valor, o portflio usado para o monitoramento e
o gerenciamento de projetos, servios e inovaes e para estabelecer as regras
sobre o que entra e sai do portflio ao longo do tempo.
Na fase de gerenciamento de recursos, o interesse otimizar os recursos
entre os projetos, servios e inovaes do portflio.
O Modelo de Governana de TI 131
O portflio de TI o Plano de Tecnologia da Informao em sua forma
dinmica, como j discutido anteriormente. Ele refete a realidade das deman-
das sobre a rea de TI em um determinado momento.
Portanto, o gerenciamento do portflio de TI na fase de entrega de valor
signifca:
Monitorar e gerenciar as mudanas no portflio de TI.
Garantir que os projetos, servios e inovaes que esto sendo desen-
volvidos ou fornecidos so derivados do portflio.
Garantir o uso adequado dos recursos entre as demandas.
Avaliar se os objetivos de retorno de investimento esto sendo
atendidos, a partir dos resultados da TI e dos resultados para o
negcio.
Monitorar a consecuo dos projetos, servios, inovaes e ma-
nutenes de recursos de acordo com os padres de desempenho
estabelecidos.
Avaliar o impacto de mudanas do portflio sobre a demanda de
servios.
Na realidade de uma rea de TI, so vrios os atores que se envolvem no
gerenciamento do portflio de TI, assunto do qual nos ocuparemos mais ami-
de no Captulo 4.
3.4.2 oPerAes de servios de ti
Podemos entender a rea de TI como um conjunto de operaes dedi-
cadas a prover servios para usurios e/ou clientes externos e para a prpria
rea de TI.
Uma operao de servios deve estar aderente s necessidades da operao
de TI como um todo, sendo que a lgica de estruturao de operaes de
servios compreende: servios aos usurios e clientes, requisitos de compliance
desses servios, nveis de servio esperados, processos para executar e apoiar
os servios, o pacote de servios a ser adotado, conhecimento para apoio aos
processos, competncias e diviso do trabalho (que, no caso, a estrutura
organizacional) para operar os processos.
132 Implantando a Governana de TI 3 edio
A Figura 3.37 apresenta a lgica de estruturao de operaes de servios,
que pode ser aplicada para qualquer tipo de servio, inclusive de TI.
Quais servios
sero
prestados aos
usurios e clientes?
Quais os requisitos
de
compliance ?
Quais os
processos
para executar e
apoiar os servios?
Quais os
conhecimentos e
habilidades para
desempenhar os
processos?
Quais as
competncias
requeridas para
operar os
processos?
Qual a diviso de
trabalho para
operar os
processos?
Quais os nveis de
servios ou
desempenho
esperado para o
servio?
Qual o pacote de
servios a ser
adotado?

Figura 3.37 Fluxo de estruturao de servios
Um conceito importante para a estruturao de servios o que chamamos
de Pacote de Servios.
De acordo com a classifcao sugerida por Corra & Caon (2002), um
pacote de servios composto por: no estocveis essenciais, no estocveis
acessrios, estocveis com transferncia de propriedade e estocveis sem trans-
ferncia de propriedade.
No estocveis essenciais so atributos do servio que fazem parte de
sua misso primordial. Na rea de TI, por exemplo, temos como esto-
cveis essenciais a entrega dos projetos e demandas dentro do prazo,
custo e funcionalidades acordadas.
No estocveis acessrios so atributos dos servios que no fazem
parte de sua misso principal. No caso de projetos, a possibilidade
do usurio saber o status do projeto ou de sua demanda um no
estocvel acessrio, porm, pode ser um elemento diferenciador ou
de aumento de percepo da qualidade.
Estocveis com transferncia de propriedade, ainda no caso de pro-
jetos, podem ser os relatrios impressos sobre o status do projeto,
cronogramas, etc., enquanto que os estocveis sem transferncia de
propriedade so recursos e instalaes usados pela TI para prover os
servios e os sistemas de informao de apoio gesto do projeto.
O Modelo de Governana de TI 133
Do ponto de vista da Governana de TI, os servios devem ser fornecidos
de acordo com as normas e procedimentos da organizao, as quais podem
estar baseadas nos modelos de melhores prticas (vide Captulo 5 sobre o re-
sumo dos modelos de melhores prticas).
3.4.2.1 Projetos
Podemos classifcar os projetos de TI nas seguintes categorias:
Projetos de sistemas: abrange projetos de desenvolvimento de novos
sistemas, de manutenes evolutivas signifcativas em sistemas exis-
tentes, implantao de solues como Sistemas Integrados de Gesto
(ERP), Customer Relationship Management (CRM), Manufacturing
Execution Systems (automao de cho de fbrica), implantao de
softwares de gesto de TI, etc.
Manutenes de sistemas: abrange o conjunto de manutenes le-
gais e adaptativas em sistemas de pequeno e mdio porte.
Projetos de infraestrutura tecnolgica: abrange projetos de im-
plantao de data centers, projetos de virtualizao e consolidao de
servidores, projetos de cloud computing, projetos de rede de comuni-
caes, implantao de sistemas operacionais, softwares de suporte,
implantao de dispositivos de armazenamento de dados e softwares
de apoio, etc.
Projetos de segurana da informao: abrange projetos de implan-
tao de segurana lgica e fsica, implantao de dispositivos de se-
gurana da informao, programas de conscientizao e planos de
continuidade de negcio, etc.
Projetos de sourcing: abrange projetos de implantao de poltica,
normas e procedimentos de gerenciamento do sourcing.
Projetos de processos de TI: abrange projetos de implantao de
processos como: metodologia de desenvolvimento de sistemas, de ge-
renciamento de projetos, gesto da qualidade, planejamento de TI,
gerenciamento de servios de TI como gerenciamento da disponibi-
lidade, gerenciamento da capacidade, gerenciamento da mudana,
processos especfcos de governana de TI, etc.
Projetos de estrutura organizacional: abrange projetos de implan-
tao de novas estruturas organizacionais na rea de TI.
134 Implantando a Governana de TI 3 edio
Projetos de desenvolvimento e capacitao de recursos humanos:
abrange projetos de capacitao dos profssionais de TI.
Esses projetos fazem parte do portflio de TI, sendo que, em determinadas
situaes, h programas (coleo de projetos). Por exemplo, a implantao de
processos de gerenciamento de servios, baseados na ITIL, pode ser conside-
rada como um programa, sendo que cada processo pode ser considerado um
projeto.
3.4.2.2 Servios
Podemos classifcar os servios de TI nas seguintes categorias:
Servios aos usurios: atendimento resoluo de incidentes e a
chamados de usurios de recursos e de sistemas (geralmente esses ser-
vios so fornecidos atravs de uma central de servios ou de um help
desk).
Gerenciamento de desempenho de aplicativos: refere-se ao moni-
toramento em tempo real do desempenho dos aplicativos e sistemas
ou de avaliaes peridicas para identifcar causas de problemas de
desempenho em aplicaes crticas.
Gerenciamento de incidentes: visa restaurar a operao normal de
um servio no menor tempo possvel, de forma a minimizar impactos
adversos para o negcio.
Gerenciamento de problemas: visa minimizar os impactos adver-
sos de incidentes e problemas para o negcio, quando causados por
falhas na infraestrutura de TI, assim como prevenir que incidentes
relacionados a essas falhas ocorram novamente.
Gerenciamento das operaes de servios de TI: responsvel pelas
operaes dirias da operao como monitorao e controle, progra-
mao de jobs, tarefas de backup, gerenciamento do mainframe, ge-
renciamento e suporte a servidores, gerenciamento de dados, admi-
nistrao de banco de dados, gerenciamento de servios de diretrio,
gerenciamento da internet/web e gerenciamento de facilidades e data
centers, etc.
Gerenciamento da rede de comunicaes: responsvel pelo moni-
toramento e gerenciamento da rede de comunicaes da organizao.
O Modelo de Governana de TI 135
Servios de segurana da informao: realiza o gerenciamento de
acesso a sistemas e recursos de rede, monitora intruses na rede da or-
ganizao e toma medidas de proteo contra essas intruses; realiza
atualizao de aplicativos tipo antivrus, etc.
Servios de suporte tcnico: realiza o suporte operao e s equi-
pes de desenvolvimento de sistemas.
Gerenciamento da capacidade: assegura que a capacidade da infra-
estrutura de TI absorva as demandas evolutivas do negcio de forma
efcaz e dentro do custo previsto, balanceando a oferta de servios em
relao demanda e otimizando a infraestrutura necessria presta-
o dos servios de TI.
Gerenciamento da disponibilidade: visa assegurar que os servios
de TI sejam projetados para atender e preservar os nveis de disponi-
bilidade e confabilidade requeridos pelo negcio, minimizando os
riscos de interrupo atravs de atividades de monitoramento fsico,
soluo de incidentes e melhoria contnua da infraestrutura e da or-
ganizao de suporte.
Gerenciamento de mudanas: visa assegurar o tratamento sistem-
tico e padronizado de todas as mudanas ocorridas no ambiente ope-
racional, minimizando assim os impactos decorrentes de incidentes/
problemas relacionados a essas mudanas na qualidade do servio,
melhorando a rotina operacional da organizao.
Gerenciamento da confgurao e de ativos de servio: abrange a
identifcao, o registro, o controle e a verifcao de ativos de servi-
os e itens de confgurao (componentes de TI, tais como hardware,
software e documentao relacionada), incluindo suas verses, com-
ponentes e interfaces, dentro de um repositrio centralizado. Tam-
bm faz parte do escopo deste servio a proteo da integridade dos
ativos e itens de confgurao ao longo do ciclo de vida do servio,
contra mudanas no autorizadas.
Gerenciamento do nvel de servio: visa manter a qualidade dos
servios de TI, atravs de um ciclo contnuo de atividades envolvendo
o planejamento, coordenao, elaborao, estabelecimento de acordo
de metas de desempenho e responsabilidade mtuas, monitoramento
e divulgao de nveis de servios, nveis operacionais e de contratos
de apoio (com fornecedores).
136 Implantando a Governana de TI 3 edio
Gerenciamento da continuidade dos servios de TI: desdobra-
mento do gerenciamento da continuidade do negcio, que visa as-
segurar que todos os recursos tcnicos e servios de TI necessrios
(sistemas, redes, aplicativos, central de servios, suporte tcnico, te-
lecomunicaes, operaes) possam ser recuperados dentro de um
tempo determinado.
Gerenciamento de fornecedores: gerencia fornecedores e contratos
necessrios para suportar os servios por eles prestados, visando pro-
ver um servio de TI com qualidade transparente para o negcio,
assegurando o valor do investimento feito.
Gerenciamento fnanceiro: visa gerenciar o ciclo fnanceiro do port-
flio de servios de TI, de forma a prover a sustentao econmica
necessria para a execuo dos servios.
3.4.2.3 Inovaes
As inovaes so projetos com caractersticas diferentes, considerando seu
ciclo de desenvolvimento.
Dependendo da inovao, ela se caracteriza mais como um projeto de pes-
quisa (P&D). Projetos de pesquisa so formados por vrios ciclos evolutivos,
podendo durar anos.
Na prtica, os projetos de inovaes so baseados em tecnologias j existen-
tes, disponveis no mercado e, s vezes, emergentes.
Conforme for a prtica de gesto da organizao (por exemplo, se a orga-
nizao reconhecida pela sua liderana tecnolgica), pode haver uma cultura
para a inovao.
As inovaes em TI, particularmente, so criadas para melhorar os proces-
sos de negcio ou para melhorar os servios de TI.
Seguem alguns exemplos de inovaes em TI para processos de negcio:
Identifcao biomtrica: para os processos de autoatendimento
numa agncia bancria.
Sistema da receita federal: recebimento de declaraes de imposto
de renda pela Internet.
O Modelo de Governana de TI 137
Aplicaes em dispositivos mveis como telefones celulares,
smartphones, iPads: usados em sistemas de fora de vendas, internet
home banking, broadcast de informaes de bolsas de valores ou de
mercadorias, sistemas de alerta, etc.
Cloud computing: computao na nuvem uma inovao para a
infraestrutura de TI.
A tecnologia da informao pode auxiliar tambm no aprimoramento de
processos de negcio, mudando a forma como o processo conduzido, crian-
do diferenciais ou reduzindo o custo.
Por exemplo, em um processo de aprovao de crdito ou estabelecimento
de limites de crditos, sistemas especialistas de credit score ou de comporta-
mento de crdito, ou mesmo o cadastro positivo (de bons pagadores), podem
tornar mais gil a concesso (ou negao) de uma solicitao de emprstimo
de um cliente, alm de reduzir o custo da operao de crdito.
Projetos de inovao podem requerer ambientes de desenvolvimento de
projetos diferenciados, sem presso por prazos rgidos, pois h muita pesquisa,
avaliao se a tecnologia de fato funciona, visitas a fornecedores e a empresas
que j esto estudando o tema, participao em congressos, desenvolvimento
de projetos piloto e prottipos.
Dependendo do tipo de negcio, h testes extensivos para garantir total
confabilidade da soluo de forma a eliminar riscos para o negcio.
Portanto, qualquer projeto que tenha as caractersticas descritas aqui pode
ser enquadrado como projeto de inovao.
3.4.3 o relAcionAmento com os usurios e/ou clientes
O modelo de relacionamento refere-se forma como o cliente solicita o
servio, em termos de quem solicita o servio, como as prioridades so estabe-
lecidas, como os servios so avaliados, quais os canais de comunicao, como
as responsabilidades so atribudas em projetos, etc.
No relacionamento com os usurios e/ou clientes, o que geralmente se
observa na prtica pode ser ilustrado nos seguintes exemplos:
Vrios usurios de uma mesma rea solicitam servios para Processos
e Sistemas, sem uma ordem de prioridade.
138 Implantando a Governana de TI 3 edio
No h critrios de priorizao das demandas por parte dos usurios.
No h padres de solicitaes de servios.
Os usurios desconhecem o que pode e o que no pode ser solicitado
e o que pode e o que no pode ser usado.
No h regras sobre o envolvimento dos usurios nos projetos de TI.
Os usurios geralmente desconhecem os custos dos servios de TI.
O usurio no sabe quais so os nveis de servio estipulados por TI.
No h um plano de atendimento claro para as demandas ou servios
obrigatrios e que afetam os usurios.
Os usurios desconhecem os princpios de TI, etc.
Na realidade, para muitos usurios, a rea de TI uma caixa preta e rea-
liza servios de qualidade duvidosa.
No contexto da Governana de TI, deve-se estabelecer um modelo de relacio-
namento com o usurio, visando garantir a qualidade da prestao de servios.
Algumas premissas desse modelo so:
Os usurios precisam saber quais servios de TI esto disponveis e
quais no esto.
As demandas de manutenes emergenciais devem ser atendidas sem-
pre atravs da Central de Servios (como ponto nico de contato), ou
seja, no pode haver outros canais alm da Central de Servios.
As demandas por projetos e por manutenes programadas devem
ser encaminhadas, considerando critrios de priorizao usados para
a gesto do Portflio de TI.
As demandas por projetos e por manutenes programadas devem ser
um subconjunto do Portflio de TI.
O atendimento a demandas por projetos e por manutenes pode
ser priorizado ao longo do tempo, estimulando a realizao de Planos
de Atendimento trimestrais (de preferncia, revistos mensalmente)
mveis como, por exemplo, de janeiro a maro, fevereiro a abril, e
assim sucessivamente.
A TI somente ir atender a demandas que esto consideradas no Port-
flio de TI. Caso ocorram demandas no previstas, a TI, juntamente
com o usurio, dever rever o Portflio e as demais demandas j pro-
gramadas, visando acomodar a capacidade de atendimento.
O Modelo de Governana de TI 139
recomendvel que haja um elo nico entre os usurios e a TI, no
que diz respeito solicitao de projetos e manutenes programadas.
Algumas empresas criaram o gerente de relacionamento na casa do
usurio, que tem como principal responsabilidade realizar a defnio
preliminar dos requisitos do servio e das prioridades das demandas.
Este papel desempenhado por um profssional com conhecimento
do negcio e da tecnologia.
Considerando a melhoria contnua dos servios, importante que a
TI e os usurios estabeleam os Acordos de Nveis de Servio e que
estes sejam avaliados periodicamente, de forma conjunta, quanto ao
seu desempenho.
A TI e os usurios devem avaliar, periodicamente, a efccia do rela-
cionamento e propor melhorias no processo.
O usurio deve ter um canal direto com a TI para realizar sugestes
de melhoria e tambm reclamaes. No modelo de Governana de
TI elaborado, o Escritrio do CIO pode tambm ter um papel de
ombudsman ou ouvidoria, de forma que essas informaes cheguem
ao CIO e possam ser efetivamente tratadas.
Os usurios devem ser avisados, sempre com antecedncia, sobre
eventos de manuteno da rede e de recursos da infraestrutura, ou
servios programados de instalao de novas verses de softwares ou
outros dispositivos.
Os usurios devem ter facilidade de acesso s informaes sobre o
andamento das suas demandas de qualquer natureza.
Os usurios precisam estar cientes dos processos de gesto de mudanas.
Alguns dos instrumentos apresentados pelo modelo de Governana de TI e
que so crticos para o modelo de relacionamento com os usurios so:
O Catlogo de Servios de TI.
Os Acordos de Nveis de Servio.
O Portflio de TI.
As aes de endomarketing por parte de TI.
A Central de Servios.
Revises conjuntas de desempenho e de melhoria.
140 Implantando a Governana de TI 3 edio
O gerente de relacionamento do usurio.
Processo de solicitao de projetos e manutenes.
Regras corporativas quanto ao gerenciamento de projetos e envolvi-
mento dos usurios.
Processo de transferncia de preo aos usurios.
Canais de sugestes e reclamaes.
Procedimentos de homologao de sistemas.
Estrutura de servios de TI para os usurios.
Essa abordagem de relacionamento procura reduzir substancialmente o
desgaste que muitas organizaes de TI sofrem com os seus usurios.
3.4.4 o relAcionAmento com os fornecedores
Da mesma forma que o modelo de relacionamento com os clientes, o mo-
delo de relacionamento com os fornecedores dirigido pela estratgia de sour-
cing, pelos processos de TI relativos parte terceirizada e pelo Portflio de TI.
O desenvolvimento e implantao de um modelo de sourcing o trabalho de
tornar a estratgia realidade.
No relacionamento com os fornecedores, alguns problemas que podemos
encontrar no dia a dia das empresas que fazem terceirizao esto exemplif-
cados adiante:
No est claro o que pode e o que no pode ser terceirizado.
No esto claros os acordos de nveis operacionais e os contratos de
apoio.
No h processos de contratao consistentes, considerando a elabo-
rao de Requests for Information (RFI), Requests for Proposal (RFP),
visitas a clientes dos fornecedores, etc.
Geralmente, no h um plano para a transio clara dos servios da
rea de TI para os terceiros.
No esto claros quais processos e padres de TI devem ser aplicados,
se os do fornecedor ou os da empresa.
No esto claros quais os limites de cada um (da empresa terceirizada
e da rea de TI).
O Modelo de Governana de TI 141
No h um processo para a gesto do desempenho dos fornecedores.
No h um processo consistente de gesto dos acordos de nveis ope-
racionais e dos contratos de apoio.
No h um processo de reviso conjunta e da melhoria da operao.
No esto claras, no mbito da operao do sourcing, quais as respon-
sabilidades da empresa contratante.
Raramente h auditorias de terceira parte na operao de sourcing,
estejam elas dentro de casa ou nas instalaes do fornecedor.
Raramente os benefcios apregoados com a terceirizao so medidos
de fato.
Raramente tambm h processos de transferncia de servios (hand-
-over), no caso da substituio do prestador de servios.
No contexto da Governana de TI, deve-se estabelecer um modelo de re-
lacionamento com fornecedores de servios derivado da estratgia de sourcing
estabelecida pelo processo de planejamento da tecnologia da informao.
As premissas desse modelo so:
Para decidir sobre o que terceirizar, deve-se desenvolver um Business
Case, refetindo os benefcios para a empresa em termos de custo total
e apoio efetivo para o negcio.
Os servios a serem terceirizados devem ser identifcados conforme o
benefcio esperado e de acordo com o Portflio de TI.
As RFIs e RFPs so instrumentos de democratizao da disputa, para
que candidatos possam colocar suas propostas para a empresa (isto
inclusive melhora a imagem da empresa entre os fornecedores).
Os acordos de nvel operacional e os contratos de apoio devem ser
estabelecidos, considerando o desempenho requerido para o negcio.
Os processos e padres a serem usados para a prestao dos servios
devem ser estabelecidos e colocados em contrato.
Um plano de transio deve ser previsto, visando a reduo do risco
operacional da empresa durante a absoro dos servios pelo terceiro.
Um modelo operacional de servios sobre como solicitar, receber e
aceitar os servios e produtos tambm deve ser elaborado conforme
os padres e procedimentos aprovados por ambas as partes.
142 Implantando a Governana de TI 3 edio
Neste modelo, tambm devem estar explcitas quais informaes de
desempenho da operao e dos acordos de nveis operacionais e con-
tratos de apoio estaro disponveis, em que meio, periodicidade etc.
A rea de TI deve ter um administrador do contrato de terceirizao,
responsvel por gerenciar o desempenho do fornecedor e os respec-
tivos acordos, assim como por identifcar os pontos de melhoria na
operao.
Da mesma forma que h canais para o relacionamento entre os
usurios e a rea de TI, tambm dever haver canais de relacionamen-
to entre a rea de TI ou demandante de servios para o terceiro.
A empresa deve contratar periodicamente e executar auditorias de
terceira parte sobre a operao de sourcing como um todo.
O administrador do sourcing por parte da empresa e o representante
da empresa prestadora de servios devem manter reunies peridicas
para a gesto da melhoria da operao.
A empresa contratante deve avaliar e implantar adequaes internas
nos seus processos operacionais e de gesto de TI, visando fazer com
que a operao de sourcing funcione a contento.
Todos os requisitos de segurana da informao devem estar claros para
a operao de sourcing e ser auditados quanto ao seu cumprimento.
Devem ser estabelecidos regras e processos claros, formalizados em
contrato, no caso da necessidade de substituir o prestador de servios.
Os servios terceirizados e todas as demandas previstas para serem
executadas pela empresa de prestao de servios devem estar clara-
mente identifcados e priorizados no Portflio de TI.
A operao deve contar com um Plano de Contingncia, para o caso
de ocorrer algum risco substancial operao.
O modelo deve estabelecer penalidades por um desempenho abaixo
dos acordos de nveis de servio e bnus por um desempenho superior.
Os instrumentos e ativos crticos para o modelo de relacionamento com os
fornecedores so:
O processo documentado de contratao.
O contrato de servios de sourcing.
O Modelo de Governana de TI 143
Plano de contingncia dos servios.
Plano de transferncia dos servios (para o fornecedor e do forne-
cedor).
Requisitos de segurana da informao.
O Catlogo de Servios de TI.
Os acordos de nvel operacional e contratos de apoio.
O Portflio de TI.
O service desk para atendimento aos fornecedores.
Revises conjuntas de desempenho e de melhoria.
O administrador do sourcing.
O representante da operao por parte do fornecedor ou prestador
de servios.
O modelo documentado da operao.
Processos e padres documentados e acordados para a gesto e a ope-
rao da prestao dos servios contratados.
Sistemas de informao de apoio operao de sourcing.
Cohen & Young (2006) sugerem a implantao de mecanismos para o
gerenciamento do que chamam de multisourcing, ou seja, vrios sourcings com
fornecedores distintos prestando servios distintos.
Neste caso, propem trs papis bsicos em uma gesto de multisourcing:
Gerente de relacionamento, responsvel pelo desenvolvimento dos
requisitos dos servios, priorizao, gerenciamento de pendncias
e escalonamento de problemas, monitora o desempenho e os rela-
cionamentos e age como um gerente de conta, fazendo a ligao entre
os fornecedores de servios e as unidades de negcio.
Gerente do desempenho, responsvel por monitorar a operao,
a integrao dos servios, a gesto de incidentes e a gesto do de-
sempenho, inclusive os acordos de nveis operacionais e contratos
de apoio.
Gerente de contratos, responsvel pela gesto de contratos, termos
e condies, projetos e propostas, e do cumprimento dos contratos e
cronogramas.
144 Implantando a Governana de TI 3 edio
Essas autoras propem ainda que seja criado um Escritrio de Gesto do
Multisourcing, com os seguintes processos:
Gesto de programas.
Gesto do desempenho.
Gesto da estratgia.
Gesto da demanda.
Gesto dos servios.
Gesto fnanceira do multisourcing.
Gesto dos recursos humanos.
Gesto do relacionamento.
Gesto legal ou jurdica de contratos.
Como sempre, o leitor deve interpretar os arcabouos tericos e casos dis-
ponveis e fazer a sua escolha conforme as condies fnanceiras, culturais
e o nvel de maturidade de sourcing de sua empresa (vide no Captulo 11 a
discusso sobre modelos de sourcing para TI).
3.5 gerenciAmento de recursos
Funo tpica de Governana de TI, o gerenciamento de recursos tem por
objetivo assegurar que recursos necessrios para projetos, servios e inovaes
estejam presentes.
Para tanto, precisa supervisionar e avaliar os investimentos e o uso de apli-
cao dos recursos, de forma que as necessidades do negcio atendidas por
projetos, servios e inovaes estejam presentes no Portflio de TI.
O gerenciamento de recursos um dos objetivos de controle do processo
de Prover Governana de TI do CobiT.
Este processo tem uma rea de interseco com o gerenciamento do Port-
flio de TI em sua defnio dada pelo Val IT (ITGI 2008), que o monito-
ramento dos investimentos e seus resultados.
Podemos consider-lo como um componente complementar ao gerencia-
mento do Portflio de TI.
O Modelo de Governana de TI 145
3.6 A gesto do desemPenho
No modelo proposto, o componente Gesto do Desempenho trata basica-
mente de dois conjuntos de medies e indicadores:
Resultados da TI, que compreendem medies e indicadores para:
execuo e gerenciamento de processos e servios de TI, gerencia-
mento de nveis de servios, gerenciamento da estratgia e gerencia-
mento de projetos.
Resultados para o negcio, que representam o impacto dos resulta-
dos da TI em termos de agregao de valor para o negcio.
Na literatura, de uma forma geral, a gesto do desempenho abrange a cons-
tituio de um sistema de gerenciamento do desempenho que compreende a
defnio de objetivos de desempenho, a criao dos indicadores e acompanha
a sua implantao, o monitoramento, a tomada de deciso em funo dos
resultados desses objetivos e as aes consequentes de melhoria.
Toda ao da TI, seja fruto dos seus planos, da sua prestao de servios e
desenvolvimento de projetos, somente pode ser gerenciada se tiver medies
e indicadores, conforme a mxima voc no gerencia o que voc no con-
segue medir.
Com medies e indicadores voc consegue:
Estabelecer metas de melhoria para processos e servios. A medio
a primeira etapa que leva ao controle e, eventualmente, melhoria de
um processo. Se voc no consegue medir nada, voc no consegue
entender o processo. Se voc no entender o processo, voc no o
controla. Se voc no controla o processo, voc no pode melhor-lo
(Harrington 2011).
Saber quo longe ou perto est de suas metas ou dos nveis de servios.
Nada bom ou ruim, mas somente atravs de comparao (Fuller
1892).
Identifcar as causas de variaes no desempenho de processos e servios
visando tomar aes corretivas ou preventivas a tempo.
Gerenciar um projeto de TI.
146 Implantando a Governana de TI 3 edio
Comunicar o seu desempenho para a administrao.
Garantir o desempenho das funes gerenciais em TI, inclusive Go-
vernana de TI.
Garantir que os riscos de TI para o negcio estejam sendo geren-
ciados.
Garantir que a rea de TI esteja conforme com os regulamentos ex-
ternos e internos.
Verifcar tendncias de forma que possa tomar aes preventivas.
Verifcar se as melhorias ou correes executadas atingiram, de fato,
seus objetivos.
Verifcar se a TI est agregando valor para o negcio.
Gerenciar com base em fatos e dados, melhorando avaliaes e as
tomadas de deciso.
Conforme Edward Deming (2000), um dos pais da qualidade: Em Deus
acredito; quanto ao resto, tudo so dados.
A gesto do desempenho, para ser perene, requer o desenvolvimento
e implantao de um sistema de gerenciamento de desempenho conside-
rando:
Um processo de medio e anlise.
Um mtodo para a criao de indicadores.
Um projeto para a sua implantao.
Comunicao efciente.
tica no trato com os resultados.
De acordo com Will Kaydos (1998), um bom sistema de gerenciamento
de desempenho mantm todos de forma honesta, pois no h como esconder
os resultados, sendo que, quando o sistema se torna visvel, pode fazer algu-
mas pessoas se sentirem desconfortveis, mas se a liderana da organizao
mantm o tom correto, o medo rapidamente substitudo por uma comuni-
cao mais aberta e honesta, o que um impacto positivo no relacionamento
entre os executivos e seus subordinados.
O Modelo de Governana de TI 147
3.6.1 medies dos resultAdos dA ti
Os resultados da TI so as medies derivadas de toda a prestao de ser-
vios em termos de entrega de projetos e servios e do atendimento a planos
estratgicos e tticos.
Os resultados da TI podem ser avaliados atravs:
da execuo e do gerenciamento de processos e servios de TI.
do gerenciamento dos nveis de servios.
do gerenciamento da estratgia de TI (BSC).
do gerenciamento de projetos de TI.
do gerenciamento do portflio de TI.
3.6.1.1 Medies para o gerenciamento dos processos e servios
O modelo CobiT (ITGI 2007b) muito til quando estamos tratando das
medies para o gerenciamento dos processos e servios. Para este modelo, os
objetivos e mtricas so defnidos em trs nveis:
Objetivos e mtricas que defnem o que os negcios esperam de
TI.
Objetivos e mtricas dos processos que defnem o que os processos de
TI precisam entregar para apoiar os objetivos de TI.
Objetivos e mtricas de atividades que estabelecem o que precisa
acontecer dentro do processo para atingir o desempenho requeri-
do.
De acordo com este modelo, existe uma cadeia de relacionamentos entre
os objetivos do negcio e os objetivos de TI, dos objetivos de TI para os ob-
jetivos do processo e, por fm, dos objetivos do processo para as atividades. A
Figura 3.38 representa essa cadeia de relacionamentos.
O CobiT trabalha com dois tipos de indicadores: as medidas de resul-
tados (que indicam se os resultados foram alcanados, tambm conhecidos
como lag indicators) e as medidas de ndice de desempenho (que indicam
se os objetivos podero ser alcanados, tambm conhecidos como lead in-
dicators).
148 Implantando a Governana de TI 3 edio
As Figuras 3.39 e 3.40 mostram, respectivamente, exemplos de medidas
de resultados e medidas de desempenho. Como pode ser observado na Figura
3.40, as medidas de resultado de um nvel inferior so medidas de desempe-
nho para o nvel imediatamente superior.
Figura 3.38 Relacionamento entre objetivos de negcio, de TI e de processo
Fonte: ITGI (2007b)
Figura 3.39 Exemplo de medies para objetivos de negcio, de TI, de processo e atividades
Fonte: ITGI (2007b)
O esquema de medies dos processos, conforme este modelo, pode ser
entendido pela Figura 3.40 a seguir.
A Figura 3.41, por sua vez, mostra o relacionamento entre objetivos de
negcio, TI, processos e atividades, sendo que o CobiT no prope medies
para o negcio.
O Modelo de Governana de TI 149
Lembramos ao leitor que os processos e servios que devem ser mensurados
so aqueles considerados crticos, tendo em vista o alinhamento estratgico.
Isto signifca dizer que o seu modelo de governana no necessita abranger,
num primeiro momento, todos os processos de TI preconizados pelo CobiT,
conforme mostra a tabela 3.13 (o modelo CobiT detalhado mais adiante,
no Captulo 6 deste livro).
Figura 3.40 Esquema de medies de processos
Fonte: ITGI (2007b)
150 Implantando a Governana de TI 3 edio
Manter a reputao e
liderana da empresa
Nmero de incidentes
que causaram
constrangimento pblico
Assegurar que os
servios de TI podem
resistir e recuperar-se de
ataques
Nmero real de incidentes
de TI com impactos no
negcio
Detectar e solucionar
acessos no autorizados
Nmero real de incidentes
causados por acessos
no autorizados
Entender os
requerimentos de
segurana,
vulnerabilidades e
ameaas
Frequncia de revises
dos tipos de eventos de
segurana a serem
monitorados
Medidas de Resultados Medidas de Resultados Medidas de Resultados Medidas de Resultados
Objetivo de Negcio Objetivo de TI Objetivo de Processo Objetivo de Atividades
medido por medido por medido por medido por
DEFINIR OBJETIVOS
M
E
D
I
R
R
E
A
L
I
Z
A

E
S
A
P
R
I
M
O
R
A
R
E
R
E
A
L
I
N
H
A
R
Medidas de
negcios
Mtricas do
negcio
Indicadores de
desempenho
Medidas de
negcios
Mtricas do
negcio
Indicadores de
desempenho
Medidas de
negcios
Mtricas do
negcio
Indicadores de
desempenho
IDENTIFICAR O DESEMPENHO
Figura 3.41 Modelo de medies do CobiT
Fonte: ITGI (2007b)
Domnio Processos de TI
Planejar e organizar PO1 Defnir um plano estratgico de TI
PO2 Defnir a arquitetura da informao
PO3 Determinar o direcionamento tecnolgico
PO4 Defnir os processos, a organizao e os relacionamentos de TI
PO5 Gerenciar o investimento de TI
PO6 Comunicar as diretrizes e expectativas da Diretoria
PO7 Gerenciar os recursos humanos de TI
PO8 Gerenciar a qualidade
PO9 Avaliar e gerenciar os riscos de TI
PO10 Gerenciar projetos
O Modelo de Governana de TI 151
Domnio Processos de TI
Adquirir e implementar AI1 Identifcar solues automatizadas
AI2 Adquirir e manter software aplicativo
AI3 Adquirir e manter infraestrutura de tecnologia
AI4 Habilitar operao e uso
AI5 Adquirir recursos de TI
AI6 Gerenciar mudanas
AI7 Instalar e homologar solues e mudanas
Entregar e suportar DS1 Defnir e gerenciar nveis de servios
DS2 Gerenciar servios de terceiros
DS3 Gerenciar capacidade e desempenho
DS4 Assegurar continuidade de servios
DS5 Assegurar a segurana dos servios
DS6 Identifcar e alocar custos
DS7 Educar e treinar os usurios
DS8 Gerenciar a central de servios e os incidentes
DS9 Gerenciar a confgurao
DS10 Gerenciar os problemas
DS11 Gerenciar os dados
DS12 Gerenciar o ambiente fsico
DS13 Gerenciar as operaes
Monitorar e avaliar ME1 Monitorar e avaliar o desempenho
ME2 Monitorar e avaliar os controles internos
ME3 Assegurar conformidade com requisitos externos
ME4 Prover a Governana de TI
Tabela 3.13 Processos do CobiT
Fonte: ITGI (2007b)
Conforme vimos pelo modelo de medio do CobiT, cada processo j tem
defnidos seus objetivos de TI, de processo e de atividades e suas respectivas
152 Implantando a Governana de TI 3 edio
mtricas. Desta forma, voc pode escolher a mtrica mais apropriada para
compor o seu dashboard de gesto de TI e tambm de Governana de TI (no
item 3.7, exploraremos as diferentes vises para a gesto e a Governana de TI
visando a construo de dashboards).
A Tabela 3.14 apresenta algumas mtricas de processos propostas pelo Co-
biT. Lembramos tambm que o CobiT tem, em um dos seus apndices, uma
tabela que mostra o relacionamento entre objetivos de negcio e os processos.
Desta forma, voc pode vincular os objetivos do negcio capturados na fase
de alinhamento estratgico com os processos mais importantes.
Processo Objetivo de TI
Objetivo do
processo
Objetivo de
atividades
PO1 Definir um plano estratgico de TI
Objetivos Responder aos
requisitos de negcio
em alinhamento com a
estratgia corporativa
Defnies de como os
requisitos do negcio
so traduzidos em
ofertas de servios
Comprometimento da alta
direo e da direo do
negcio no alinhamento do
planejamento estratgico
de TI com as necessidades
atuais e futuras
Mtricas Grau de aprovao dos
gestores de unidades de
negcio em relao aos
planos estratgico/tticos
% de objetivos de TI
no plano de TI que
sustentam objetivos
estratgicos do negcio
% de reunies de
planejamento estratgico de
TI que representantes de
negcio participaram
DS3 Gerenciar capacidade e desempenho
Objetivos Garantia de que os
servios de TI estaro
disponveis conforme
necessrio
Atendimento aos
acordos de nveis de
servios
Planejamento e
fornecimento de capacidade
e disponibilidade de
sistemas
Mtricas Quantidade de horas
perdidas pelos usurios
por ms devido
ao planejamento
insufciente de
capacidade
% de picos onde a
capacidade foi excedida
Frequncia de previses de
desempenho e capacidade
DS4 Assegurar continuidade de servios
Objetivos Garantia que os
servios de TI estaro
disponveis conforme
necessrio
Estabelecimento
de um plano de
contingncia de TI que
d sustentao aos
planos de continuidade
do negcio
Desenvolvimento,
manuteno e melhoria da
contingncia de TI
O Modelo de Governana de TI 153
Processo Objetivo de TI
Objetivo do
processo
Objetivo de
atividades
Mtricas Quantidade de horas
perdidas pelos usurios
por ms devido
ao planejamento
insufciente de
capacidade
Quantidade de
processos crticos de
negcio dependentes
de TI e que no esto
cobertos pelo plano de
contingncia de TI
Frequncia de reviso do
plano de contingncia de TI
Tabela 3.14 Mtricas de processo
Outra medio importante para as atividades de Governana de TI a
maturidade dos processos. O CobiT tambm preconiza um modelo de matu-
ridade com seis nveis:
Inexistente: onde o gerenciamento de processos no aplicado.
Inicial/ad-hoc: onde os processos so ad-hoc e desorganizados.
Repetvel/porm intuitivo: onde os processos seguem um caminho
padro.
Defnido: onde os processos so documentados e comunicados.
Gerenciado e mensurvel: onde os processos so monitorados e medidos.
Otimizado: onde as boas prticas so seguidas e automatizadas.
A avaliao peridica da maturidade do processo pode indicar melhorias
cuja implantao no processo seja necessria, considerando o risco e o atendi-
mento aos objetivos do negcio.
O estabelecimento de objetivos para os processos de TI e dos respectivos
nveis de maturidade (desejados ou necessrios), podem fazer parte da estrat-
gia de TI derivada do BSC.
3.6.1.2 Medies para o gerenciamento dos nveis de servios
Outro conjunto de medies que, aos olhos dos executivos de negcio so
extremamente importantes, so os acordos de nveis de servios.
Alguns dos nveis de servios tpicos aos usurios so (a lista no se esgota aqui):
Disponibilidade de servios como e-mail.
Disponibilidade de aplicaes corporativas.
154 Implantando a Governana de TI 3 edio
Disponibilidade de aplicaes na Internet.
Tempos de resoluo de incidentes.
Tempos de atendimento de chamados de servios.
Tempos de recuperao de servios.
Taxa de entrega de projetos no prazo.
Tempos de parada (downtime).
Tempos mdios de resposta para a resoluo de incidentes.
Tempos de reparao.
Efcincia do primeiro nvel de suporte.
Efcincia do segundo nvel de suporte.
% de backouts
18
relacionados com as mudanas.
Taxa de cumprimento do scheduling de processamento batch.
Taxa de cumprimento do scheduling de impresso.
Taxa de cumprimento do scheduling de backup.
Tempo de recuperao e restaurao de dados.
Taxa de cobertura da manuteno preventiva sobre os componentes
da infraestrutura.
Tempos mdios de resposta das aplicaes.
Quantidade de testes dos planos de continuidade de servios.
Percentual de cobertura da conscientizao para a segurana da in-
formao dos recursos humanos (terceiros, fornecedores, parceiros).
Taxa de defeitos ps-release do software.
O valor numrico do nvel do servio um padro a ser mantido. No dia
a dia das operaes de servios torna-se o elemento que fornece o controle do
dia a dia, mais operacional.
O nvel de servio no um objetivo ou meta da TI. Entretanto, podemos ter
como meta passar de um nvel inferior para outro superior e expressar isto no pla-
no de tecnologia ou no BSC.
18 Backouts so mudanas que retornam da produo por problemas de qualidade (falhas ou defeitos)
O Modelo de Governana de TI 155
O nvel de servio um compromisso que, uma vez assumido, tem que ser
proporcionado imediatamente para o cliente.
A fonte dos nveis de servios a serem gerenciados o catlogo de servios
defnido na estratgia de servios.
3.6.1.3 Medies para o gerenciamento da estratgia (BSC)
As medies para o gerenciamento da estratgia constituem-se nos indica-
dores de resultado que demonstram o atendimento aos objetivos da estratgia
e aos indicadores de desempenho associados, expressos no IT BSC.
Geralmente, a estratgia foca em objetivos estratgicos, como mostrado no
IT BSC e reproduzido parcialmente abaixo.
Entregar projetos e servios no prazo.
Realizar economias de escala.
Padronizar arquiteturas.
Otimizar processos de TI.
Gerenciar a qualidade dos servios.
Fornecer servios com qualidade a custos competitivos.
Melhorar a produtividade das unidades de negcio.
Fornecer o suporte efetivo aos usurios.
Propor e entregar solues capacitadoras.
Entender a aplicao de tecnologias emergentes.
Entender a estratgia das unidades de negcio.
Atrair e reter pessoas com habilidades chaves.
Desenvolver carreiras.
Promover cultura de inovao, etc.
Para cada objetivo estratgico, podem ser defnidos indicadores de resulta-
dos com os seus indicadores de desempenho.
As medies da estratgia so empregadas para o gerenciamento da estra-
tgia. No exemplo dado na Tabela 3.15, para atingir um aumento da entrega
de prazos, so necessrias trs iniciativas. Reproduzimos a seguir esta tabela
de forma parcial.
156 Implantando a Governana de TI 3 edio
No objetivo de entregar no prazo, por exemplo, 70% dos projetos, somente
poder ser observado se as metas de resultados das iniciativas forem atingidas.
Objetivo
estratgico
Iniciativas
Meta de
resultado
Meta de
desempenho
Entregar no
prazo
Implantar processo de
estimativa
50% dos projetos crticos
empregaram o novo mtodo de
estimativa at dezembro 2011.
25% dos projetos com o novo
processo at junho de 2011.
Implantar processo de
gesto de requisitos.
80% dos projetos com
processo de gesto de
requisitos at dezembro 2011.
40% dos projetos com
processo de gesto de
requisitos at junho de 2011.
60% dos projetos at
setembro de 2011.
Implantar processo
de gerenciamento de
projetos
100% dos projetos usam o
processo de gesto de projetos
at dezembro de 2011.
30% dos projetos at maro
de 2011;
60% at junho de 2011.
Tabela 3.15 Metas de resultado e de desempenho
3.6.1.4 Medies para o gerenciamento de projetos
As medies para o gerenciamento de projetos so bem defnidas pelas
publicaes do Project Management Institute:
Curva S, que mostra o progresso contra o tempo, refetindo a quanti-
dade de trabalho at a data. A Figura 3.42 mostra uma curva S.
Acompanhamento da Curva S do Projeto - Frente Gesto de Projetos
120,00%
100,00%
80,00%
60,00%
40,00%
20,00%
0,00%
f
e
v
-
1
0
m
a
r
-
1
0
a
b
r
-
1
0
m
a
i
-
1
0
j
u
n
-
1
0
a
g
o
-
1
0
s
e
t
-
1
0
o
u
t
-
1
0
n
o
v
-
1
0
d
e
z
-
1
0
j
u
l
-
1
0
Planejado Entregue IAC
0,80
0,56
0,45
0,87
0,86
0,95
0,93
0,97
0,89
0,98 0,98
Figura 3.42 Exemplo de curva S
O Modelo de Governana de TI 157
Indicadores de EVM Earned Value Management. A Tabela 3.16
mostra os principais indicadores de EVM.
Questes de gerenciamento de projetos Medies de desempenho
Como estamos usando o tempo? Anlise do cronograma e previso
Estamos atrasados ou adiantados? Varincia do cronograma (Schedule variance)
Estamos usando o tempo de forma efciente? Indice de performance do cronograma (Schedule
performance index)
Quando, provavelmente, terminaremos o trabalho? Estimativa de prazo ao tmino (Time estimate at
completion)
Como estamos lidando com o custo? Anlise do custo e previso
Estamos abaixo ou acima do oramento? Varincia do custo (Cost variance)
Estamos usando os recursos de forma efciente? ndice de desempenho do custo (Cost performance
index)
Como devemos, de forma efciente, usar os
recursos restantes?
ndice de desempenho para completar (To complete
performance index)
Quanto o projeto provavelmente vai custar? Estimativa ao trmino (Estimate at completion)
Estaremos abaixo ou acima do oramento? Varincia ao trmino (Variance at completion)
Quanto vai custar o trabalho restante? Estimativa ao trmino (Estimate at completion)
Tabela 3.16 Medies para o gerenciamento de projetos
Outros indicadores para o gerenciamento de projetos so: de qualidade
(no conformidades sobre itens avaliados), riscos (quantidade de riscos, im-
pactos e probabilidades), quantidade de mudanas, etc.
3.6.1.5 Medies para o gerenciamento do portflio de TI
As medies para o gerenciamento do portflio de TI tm por objetivo ve-
rifcar o balanceamento de recursos entre as categorias de projetos/programas,
servios e ativos.
Alguns tipos de medies sugeridas so:
Distribuio dos recursos oramentrios pelas categorias de pro-
jetos, servios e ativos do portflio: neste caso podemos verifcar a
distribuio oramentria balanceada em funo das diretrizes estra-
tgicas da TI e da organizao.
158 Implantando a Governana de TI 3 edio
Distribuio dos recursos oramentrios conforme a fnalidade
do investimento (se para a estratgia da empresa, nova estratgia,
fbrica e obrigatrios): neste caso podemos ver se o montante de di-
nheiro est indo para a fnalidade correta; por exemplo, supondo que
a organizao est numa fase de transformao e a maior parte do di-
nheiro est alocada para manuteno e atividades obrigatrias. Neste
caso, temos um problema.
Estatsticas bsicas sobre quantidade de projetos por categoria,
servios e ativos: esta volumetria importante para a TI saber como
anda a demanda por seus servios.
Indicadores consolidados sobre a execuo dos projetos e servi-
os: aqui podemos ver por que alguns tipos de projetos e servios vo
melhor do que outros.
Estatsticas bsicas sobre a distribuio dos projetos, servios e
ativos por rea funcional da TI: informa a carga e concentrao
de projetos e servios por rea da TI; a questo se os recursos esto
alocados de forma equilibrada.
Estatsticas bsicas sobre a distribuio dos projetos, servios e
ativos por Unidade de Negcio da organizao: apoia a TI no sen-
tido de mostrar quanto cada Unidade de Negcio est consumindo
de recursos da TI.
Distribuio dos recursos oramentrios por Unidade de Neg-
cio, em funo dos projetos, servios e ativos: idem explicao
acima.
Distribuio dos recursos oramentrios por rea funcional da
TI: permite verifcar se a distribuio oramentria est balanceada e
adequada.
Indicadores de alinhamento que fornecem informaes sobre a relao
dos projetos realizados fora do portflio de TI: esses tipos de indicadores so
extremamente importantes, pois mostra quo alinhada est a demanda em
relao aos objetivos estratgicos do negcio e da organizao. Quando mais
desalinhado, maior ser o problema para resolver.
O Modelo de Governana de TI 159
3.6.2 medies dos resultAdos PArA o negcio
As medies dos resultados para o negcio so vinculadas demonstrao
de valor da TI para o negcio, que um dos grandes problemas de comuni-
cao da TI.
O valor da TI para o negcio percebido pelos executivos das unidades de
negcio da organizao quando a TI:
Mantm a disponibilidade das aplicaes e dos sistemas de acordo
com as necessidades do negcio.
Reduz o risco para o negcio (riscos operacionais e de compliance).
Garante a qualidade e consistncia dos servios do ponto de vista do
negcio.
Entrega projetos e servios no prazo, com qualidade e dentro da
janela de oportunidade do negcio (isto signifca que no adianta
entregar no prazo um projeto que deveria ter sido feito h dois
anos).
Pode oferecer solues capacitadoras e diferenciadas para alavancar
novos negcios e negcios existentes, assim como reduzir custos ope-
racionais, de forma proativa.
Entretanto, temos que vincular tudo isto a ganhos fnanceiros, o que no
uma tarefa fcil.
Alm disso, existe um debate muito grande sobre de quem a responsa-
bilidade pela elaborao da anlise de investimentos, que tem a TI como um
dos seus componentes.
Conforme Hunter & Westerman (2009), no existem projetos de TI; na
realidade, todos os projetos so de negcios. Segundo esses autores, a TI deve
mudar a linguagem, como mostra a Tabela 3.17 a seguir.
No diga Diga
Soluo de ERP Transformao da manufatura
Disponibilidade da rede Disponibilidade dos pontos de venda
Ciclo de vida de desenvolvimento de aplicaes Ciclo de vida do desenvolvimento do produto
160 Implantando a Governana de TI 3 edio
No diga Diga
Construir a infraestrutura de TI Suportar o crescimento do negcio
Instalar o CRM Capturar e manter clientes
Tabela 3.17 Comunicar o valor da TI
Em relao a esse debate, nossa posio pode ser entendida pela Tabela
3.18 abaixo.
Projeto/Servio/Soluo
Responsabilidades
Negcio TI
Projetos de negcio onde a TI um
componente essencial.
O negcio tem a
responsabilidade pela anlise
de investimentos e avaliao
do resultado obtido.
TI apoia o negcio para a
anlise de investimentos, mas
a responsabilidade principal
do negcio.
Projetos de novas tecnologias ou
novas solues de TI propostos e
aceitos pelo negcio.
O negcio suporta a TI
forncendo informaes sobre
o negcio para a TI realizar a
anlise de investimentos.
A responsabilidade principal
pela anlise de investimentos e
avaliao de resultados da TI.
Projetos e solues especfcas de
TI para a melhoria dos servios,
reduo de custos operacionais da TI
e otimizao da infraestrutura.
O negcio deve fornecer
parmetros para a TI
poder realizar a anlise de
investimento.
A TI tem a responsabilidade
principal pela anlise de
investimentos.
Disponibilidade dos servios. O negcio deve fornecer
parmetros do negcio para a
TI poder realizar a anlise de
investimento.
A TI tem a responsabilidade
principal pela anlise de
investimentos.
Risco da TI. O negcio deve fornecer
parmetros de perdas se um
risco interromper as operaes.
A TI, juntamente com a rea
de Gesto de Riscos, analisa
as perdas para o negcio
caso ocorrer um risco e pode
associar investimentos para a
mitigao dos riscos.
Tabela 3.18 Responsabilidades por elaborar anlises de investimento
A seguir, so dados alguns exemplos dos parmetros e da apurao do
retorno desses tipos de projetos/servios/solues. A Tabela 3.19 mostra
alguns exerccios recomendados para demonstrar o valor da TI para o
negcio.
O Modelo de Governana de TI 161
Todo esse raciocnio deve ser fruto de um Business Case que realize um
estudo para determinar os benefcios quantitativos e qualitativos de um in-
vestimento.
A sugesto que se faa o Business Case somente para investimentos rele-
vantes e considerados estratgicos pela organizao.
3.6.3 imPlAntAo de sistemA de gerenciAmento de
desemPenho
3.6.3.1 O processo de medio e anlise
O CMMI (SEI, 2010b) nos ajuda em muito para determinarmos um pro-
cesso de medio e anlise.
A comunicao dos resultados dos indicadores no realizada somente
com a captura e a publicao no dashboard. Toda comunicao de resultados
requer que a captura seja administrada, que os resultados sejam analisados
e que as variaes nos resultados sejam entendidas e explicadas para ento
serem publicados.
Alm do mais, temos que ter formas de criar novos indicadores, especifc-
-los e defnir responsabilidades pela coleta, alm de determinar quem pode ter
acesso, quando as medies vo ser capturadas, que tipo de anlise deve ser
realizada e assim por diante.
O CMMI, em seu modelo, prope uma rea de Processo no seu nvel 2 de
maturidade denominada Medio e Anlise.
Tipo do Projeto /
Servio / Soluo
Exemplo Raciocnio para a Criao de Valor
Projetos de negcio
onde a TI um
componente essencial
Implantao de um
sistema de fora de
vendas
No Business Case, temos que levantar a situao
atual de vendas sem o sistema e projetar o
aumento de receita depois do sistema implantado.
Essa diferena ser a entrada no fuxo de caixa.
Os gastos com a implantao so a sada do fuxo
de caixa. A taxa de retorno deve ser maior do que
taxa SELIC estabelecida pelo Conselho Monetrio
Nacional. No fuxo de caixa, deve ser demonstrado
quando o investimento se paga (payback) e quando
o ponto onde o montante de entrada de caixa
igual sada (breakeven).
162 Implantando a Governana de TI 3 edio
Tipo do Projeto /
Servio / Soluo
Exemplo Raciocnio para a Criao de Valor
Projetos de novas
tecnologias ou novas
solues de TI,
propostos e aceitos pelo
negcio
Implantao de
um processo de
gerenciamento do
conhecimento
Aqui, temos que levantar perdas ocasionadas por
perda de conhecimento. Exemplo: um produto que
a organizao produzia no passado que comea
a ser demandado novamente, mas para o qual,
entretanto, a organizao perdeu as especifcaes
ou frmulas e tem que desenvolver o produto
novamente do zero. Esse reinvestimento o valor
da perda.
O ganho ser evitar o reinvestimento novamente
para todos os produtos.
Projetos e solues
especfcas de TI
para a melhoria dos
servios, reduo de
custos operacionais
da TI e otimizao da
infraestrutura
Implantao de um
novo processo de
desenvolvimento de
software, com o objetivo
de encurtar o ciclo de
desenvolvimento
Neste caso, o encurtamento do ciclo de
desenvolvimento poder gerar mais caixa, pois
os novos produtos/ servios do negcio podero
ter seus lanamentos antecipados. Se buscarmos
dados histricos de impossibilidade de antecipao
de lanamento face a atrasos na entrega,
poderemos ver o montante de dinheiro perdido no
passado.
Disponibilidade dos
servios
Aumento da
disponibilidade dos
sistemas que apoiam
um negcio
Neste caso, se aumentarmos a disponibilidade
ou proporcionarmos a disponibilidade necessria
no momento em que o negcio precisa, podemos
auxiliar o negcio a gerar mais caixa. Imaginemos
um negcio onde o fnal de semana representa a
maior parte da receita mensal. Se a disponibilidade
ruim e conseguirmos aument-la, estaremos
ajudando o negcio a gerar mais caixa.
Riscos da TI Aqui podemos ter uma
srie de iniciativas com
o objetivo de reduzir o
negcio exposio ao
risco (probabilidade e
impacto de ocorrncia)
Suponha que atualmente a exposio ao risco
19
de
um negcio, considerando todo o ciclo do processo,
100. Se, com as iniciativas de TI, conseguirmos
reduzir a exposio a 50, o ganho (entrada de
caixa no fuxo de caixa) ser de 50. bvio que as
iniciativas tm que dar o retorno desejado no prazo
estipulado.
Tabela 3.19 Raciocnio para a comunicao do valor
19
Esta rea de Processo tem por objetivo desenvolver e sustentar a capacidade de
medies que utilizada para suportar as necessidades de gerenciamento de informaes.
A Figura 3.43 mostra um esquema dessa rea de processo, com foco nas
prticas das metas especfcas do modelo
20
:
19 Exposio ao risco a probabilidade de perda fnanceira medida atravs da probabilidade de
ocorrncia do risco pela perda fnanceira no caso da ocorrncia do risco.
20 As reas de processo do CMMI so compostas por metas especfcas (que so os processos em si) e
metas genricas (que so elementos capacitadores para que o processo possa ser executado).
O Modelo de Governana de TI 163
A seguir, fornecemos um extrato dos objetivos das prticas especfcas do
CMMI.
Estabelecer os objetivos da medio: o objetivo da prtica estabe-
lecer e manter os objetivos de medies que so derivados das neces-
sidades e objetivos de informaes identifcados.
Os objetivos de medies documentam os propsitos para os quais
as medies e anlises so feitas e especifcam os tipos de aes que
podem ser tomadas com base nos resultados das anlises dos dados.
Estabelecer os objetivos da
medio
Especificar medies
Especificar procedimentos de
coleta e armazenamento de dados
Especificar procedimentos de
anlise
Coletar dados das medies Analisar dados das medies Armazenar dados e resultados
Comunicar resultados
ALINHAR ATIVIDADES DE MEDIO E ANLISE
FORNECER OS RESULTADOS DAS MEDIES
Figura 3.43 Processo de medio e anlise
Adaptado de: SEI (2010b)
As fontes para os objetivos de medies podem ser as necessidades
tcnicas e de gerenciamento do projeto, do produto ou de imple-
mentao do processo.
Os objetivos de medies podem ser restringidos pelos processos
existentes, recursos disponveis ou outras consideraes de medi-
es. necessrio julgar se o valor dos resultados ser proporcio-
nal aos recursos dedicados a este trabalho.
Modifcaes em necessidades e objetivos de informaes iden-
tifcados podem, por sua vez, ser indicadas em consequncia do
processo e dos resultados das medies e anlises.
164 Implantando a Governana de TI 3 edio
Especifcar as medies: o objetivo desta prtica especifcar medi-
das para tratar os objetivos de medies.
Os objetivos de medies so refnados em medidas precisas e
quantifcveis.
As medidas podem ser bsicas ou derivadas. Os dados para as
medidas bsicas so obtidos atravs de medio direta. Os dados
para medidas derivadas provm de outros dados, normalmente,
atravs da combinao de duas ou mais medidas bsicas.
As medidas derivadas normalmente so expressas como razes, n-
dices compostos e outras medidas de resumo agregadas. Elas so,
normalmente, mais confveis quantitativamente e sua interpreta-
o tem mais sentido que as medidas bsicas utilizadas para ger-las.
Especifcar procedimentos de coleta e armazenamento de dados:
o objetivo desta prtica especifcar como os dados de medies sero
obtidos e armazenados.
A especifcao explcita de mtodos de coleta ajuda a assegurar
que os dados corretos esto sendo coletados de forma apropriada.
Ela tambm auxilia a esclarecer ainda mais as necessidades de in-
formaes e os objetivos das medies.
A ateno apropriada aos procedimentos de armazenagem e re-
cuperao ajuda a assegurar que os dados estaro disponveis e
acessveis para uso futuro.
Especifcar os procedimentos de anlise: esta prtica tem por objetivo
especifcar como os dados de medies sero analisados e comunicados.
Especifcar antecipadamente os procedimentos de anlise assegura
que as anlises apropriadas sero executadas e comunicadas para
atender aos objetivos documentados das medies (e, portanto, s
necessidades e aos objetivos de informaes nos quais eles foram
baseados). Esta abordagem tambm garante uma conferncia para
verifcar se os dados necessrios sero de fato coletados.
Coletar dados de medies: esta prtica tem por objetivo obter os
dados de medies especifcados.
Os dados necessrios para a anlise so obtidos e conferidos quan-
to sua inteireza e integridade.
Analisar dados das medies: esta prtica tem por objetivo analisar
e interpretar os dados de medies.
Os dados de medies so analisados conforme planejado, as an-
lises adicionais so conduzidas conforme necessrio, os resultados
O Modelo de Governana de TI 165
so revisados com os stakeholders relevantes e revises necessrias
para anlises futuras so anotadas.
Armazenar os dados e os resultados: esta prtica tem por objetivo
gerenciar e armazenar os dados de medies, especifcaes de medi-
es e resultados de anlises.
Armazenar informaes relacionadas a medies possibilita o uso
futuro pontual e efciente, em termos de custos, dos dados hist-
ricos e resultados. As informaes tambm so necessrias para
fornecer um contexto sufciente para a interpretao dos dados,
dos critrios de medies e dos resultados das anlises.
As informaes armazenadas normalmente incluem:
Planos de medies.
Especifcaes de medidas.
Conjuntos de dados que foram coletados.
Relatrios de anlises e apresentaes.
As informaes armazenadas contm ou fazem referncia s in-
formaes necessrias para entender e interpretar as medidas e
analis-las com relao motivao e aplicabilidade (por exem-
plo, especifcaes de medies usadas em diferentes projetos para
a comparao entre projetos).
Conjuntos de dados para medidas derivadas normalmente po-
dem ser recalculados e no precisam ser armazenados. Entretanto,
pode ser apropriado armazenar resumos baseados nas medidas de-
rivadas (por exemplo, grfcos, tabelas de resultados ou relatrios
descritivos).
Resultados intermedirios das anlises no precisam ser armazena-
dos separadamente, se puderem ser efcientemente reconstrudos.
Comunicar resultados: esta prtica tem por objetivo relatar os resul-
tados das atividades de medies e anlises para todos os stakeholders
relevantes.
Os resultados do processo de medies e anlises so comunica-
dos aos stakeholders relevantes, de uma maneira pontual e fcil de
utilizar, para suportar a tomada de decises e auxiliar na tomada
das aes corretivas.
Os stakeholders relevantes incluem os usurios pretendidos, patro-
cinadores, analistas e fornecedores de dados.
166 Implantando a Governana de TI 3 edio
Avisamos o leitor que, sem um processo defnido para o sistema de geren-
ciamento do desempenho, mesmo mais simplifcado do que este aqui descri-
to, qualquer esforo de medio estar fadado ao fracasso.
3.6.3.2 O mtodo de identifcao de indicadores
Outro componente importante do gerenciamento do desempenho o m-
todo para a identifcao ou descoberta dos indicadores requeridos.
Uma boa alternativa metodolgica para a criao e manuteno dos indi-
cadores nos dada pelo mtodo Goal Question Indicators Method, desenvol-
vido por Robert Park e colegas do Software Engineering Institute da Carnegie
Mellon University (vide Park, 1996).
Este mtodo, embora inicialmente tenha sido desenvolvido para atender pro-
cessos relacionados a software, consistente para aplicao em outros domnios.
O mtodo parte de trs premissas:
Objetivos de medio so derivados de objetivos de negcio.
Modelos mentais fornecem o contexto e o foco para a medio.
O mtodo traduz metas informais em estruturas de medio execu-
tveis.
O mtodo composto por dez etapas:
Identifcao dos objetivos do negcio.
Identifcao do que se deseja aprender.
Identifcao de subobjetivos.
Identifcao de entidades e atributos relacionados aos subobjetivos.
Formalizao dos objetivos da medio.
Identifcao de questes quantifcveis e dos indicadores relacionados.
Identifcao de elementos de dados que devem ser coletados para
construir os indicadores.
Defnio das medies a serem usadas em termos operacionais.
Identifcao das aes que devem ser tomadas para a implantao
das medies.
Preparao de um plano para a implantao das medies.
O Modelo de Governana de TI 167
A Figura 3.44 apresenta o esquema geral do mtodo.
Outra abordagem que merece ser estudada a proposta dada pelo Practi-
cal Software Measurement (vide McGarry et ali. 2002).
Independentemente de qualquer abordagem, importante, na criao dos
indicadores, defnir o que chamamos de metadados dos indicadores, que
so todas as informaes necessrias sobre o indicador que est sendo criado
e que podem ser reutilizadas para outros fns (diversos processos e projetos).
1
Objetivos do
Negcio
Modelo Mental
O que desejamos
atingir?
Para fazer
precisamos de... ?
< o processo >
Consiste em
Mantm
recebe produz
O que eu
quero saber ?
2
Subobjetivos
3
entidades entidades entidades
4
atributos atributos atributos
Objetivos da Medio
Questes
Indicadores
Medies
Definies
5
G1
6
7
8
Q1
I1
M1
G2
Q2 Q3
I2 I3 I4
M1 M1
Checklist de Definio Regras Suplementares Anlise e
Diagnsticos
9 10
Metas
Escopo
Atividades
..........
Plano de
Implementao

Figura 3.44 Modelo de processo para selecionar indicadores
Adaptado de Park (1996)
168 Implantando a Governana de TI 3 edio
A Figura 3.45 apresenta o contedo de um conjunto de metadados de in-
dicadores de produtividade do desenvolvimento de software.

MEDIO DO TAMANHO
DO
SOFTWARE
Em Pontos de Funo
MEDIO DO ESFORO
DE DESENVOLVIMENTO
DO SOFTWARE
Em homens/ms
FRMULA
Ponto de Funo por Homem/
Ms
INDICADOR DE
PRODUTIVIDADE DO
DESENVOLVIMENTO DO
SOFTWARE
Metadados de Medies
identificador da
medio;
nome da medio;
indicadores
relacionados;
elementos de dados;
fonte dos dados;
se manual ou
automatizada;
quando os elementos
de dados devem estar
disponveis;
definio
operacional da
medio;
regras de coleta e
aramazenamento;
responsabilidades;
requisitos de
segurana dos
dados;
quando a medio
deve ser gerada;
tamanho da srie
histrica;
regras de reteno
dos dados.
Folha
de
Tempo
Contagem
manual
Metadados de
Indicadores
identificador do
indicador;
nome do indicador;
objetivos de medio
relacionados;
medies bsicas;
indicadores derivados;
frmula do indicador;
regra de anualizao do
resultado do indicador;
regras de coleta e
armazenamento;
forma de apresentao
do resultado;
modelo de gesto que
apoia;
timeline do indicador;
interpretao dos
resultados;
responsabilidades;
requisitos de segurana
dos dados;
verificao de causa e
efeito;
tamanho da srie
histrica;
regras de reteno dos
dados.
Sistema

Figura 3.45 Exemplos de metadados de indicadores
21
Os metadados dos indicadores equivalem especifcao das medies.
3.6.3.3 O projeto de implantao do sistema de gerenciamento de
desempenho
3.6.3.3.1 Caractersticas de projetos de gerenciamento de desempenho
A implantao de um Sistema de Gerenciamento de Desempenho um
projeto que ir depender de vrios fatores: tcnicos, organizacionais, com-
portamentais e individuais referentes aos gestores. Estes ltimos fatores
21 Ponto de funo uma mtrica de tamanho do software, de acordo com as funcionalidades
identifcadas do ponto de vista do usurio e conforme as caractersticas dos requisitos no funcionais.
Esta mtrica mantida pelo International Function Point Users Group (www.ifpug.org).
O Modelo de Governana de TI 169
so de suma importncia, pois, quando se trata de sistemas de informa-
es gerenciais, h muita dependncia da caracterstica de cada tomador
de deciso. Alguns gostam de detalhes e so centralizadores, outros gos-
tam de ver a fgura como um todo, em nvel mais elevado. Este aspecto
tem um tremendo impacto na forma como desenhamos e comunicamos
os resultados.
Os principais entregveis deste projeto so:
O processo de medio e anlise.
A capacitao de pessoal para a operao do processo e realizao de
anlises e comunicao de resultados.
Os metadados de indicadores.
Interfaces com sistemas de monitoramento e controle de TI.
O dashboard de Governana de TI.
O plano de gerenciamento da mudana organizacional.
Um projeto dessa natureza requer uma estratgia particular, pois muitos
indicadores dependem de processos e controles que no existem ainda e
h, geralmente, grande resistncia por parte das reas de TI em fornecer
informaes, o que requer uma estratgia de gerenciamento da mudana
organizacional.
Alm do mais, existe a questo da qualidade da informao, que depende
das defnies operacionais de cada medio a ser utilizada para formar o
dashboard, assim como a questo da viabilidade de obter as medies. s ve-
zes, o custo de implantar um controle to grande que no compensa obter
a medio. Voc ir encontrar situaes onde a captura da informao mais
vivel se obtida de forma manual.
Outro aspecto importante que, em determinado momento do projeto,
dever que ser decidido quem ser o canal ofcial de comunicao de resul-
tados sobre a Governana de TI na rea de TI (o mesmo vale se estivermos
pensando em construir um dashboard mais abrangente para o gerenciamento
da TI). A determinao do canal ofcial de comunicao serve para evitar
duplicidade de comunicao e tambm que informaes confitantes sobre o
mesmo resultado possam desvirtuar o processo.
170 Implantando a Governana de TI 3 edio
Portanto, as informaes comunicadas por esse canal oficial so as
que iro valer para fins de tomada de deciso. E isto naturalmente de-
pender fortemente do compromisso do executivo responsvel pela rea
de TI.
A implantao do dashboard evolutiva, pois voc certamente no con-
seguir implantar tudo de uma vez s. Ento a estratgia mais indicada
comear por um conjunto pequeno de indicadores que, de preferncia, sejam
vitais. No adianta tambm comunicar resultados se no h ao gerencial
como decorrncia, pois o pessoal que fornece as informaes ir comear a
questionar o porqu do esforo de coleta de medies, se ningum est usan-
do as informaes. Assim, a credibilidade da iniciativa comear a ser questio-
nada e poder ser interrompida.
Entretanto, mesmo que voc j saiba de antemo de quais indicadores voc
necessita para a Governana de TI, voc ainda depende da viso de quem ir
receber a informao e tomar decises com ela. Como falamos no incio deste
captulo, sistemas de informaes gerenciais dependem fortemente das carac-
tersticas individuais dos tomadores de deciso.
O ideal comear atravs de um prottipo, mostrando quem vai usar a
informao. Pode at ocorrer mais de um ciclo de prototipao at que os re-
quisitos estejam estabilizados. Faa, porm, um prottipo funcional e esquea
do PowerPoint. Empregue, para tanto, ferramentas de BI de fcil utilizao.
Neste momento, voc no pode depender fortemente do pessoal de desenvol-
vimento de sistemas.
3.6.3.3.2 As etapas de um projeto de gerenciamento de desempenho
Em seu trabalho Performance Management Strategies: how to create and
deploy efective metrics (TDWI Best Practices Report), Wayne W. Eckerson
(2009) prope a seguinte abordagem para a construo de um dashboard de
desempenho:
Antes de iniciar o projeto:
Estabelecer a estratgia.
Obter patrocnio adequado para o projeto.
Defnir uma metodologia.
O Modelo de Governana de TI 171
Defnir equipe e escopo do projeto.
Durante o projeto:
Defnir requisitos.
Priorizar e normalizar (elaborar os metadados dos indicadores).
Coletar os dados.
Desenvolver o dashboard.
Depois do projeto:
Fazer propaganda do projeto.
Monitorar e revisar os indicadores de desempenho.
Governar o processo.
Fornecer coaching para gerentes e usurios.
A jornada para a implantao de um dashboard de TI segue a sequncia
mostrada pela Figura 3.46, considerando uma estratgia evolutiva.
3.6.3.3.3 Caractersticas de um bom dashboard
De acordo com Eckerson (2009), um dashboard de desempenho faz o en-
capsulamento de mtricas de desempenho em camadas e por sistemas de co-
municao visual que permite aos usurios mensurar, monitorar e gerenciar
a efccia de suas tticas e seu progresso em direo a objetivos estratgicos.
Um dashboard de desempenho pode consistir de um ou mais dashboards,
scorecards, relatrios e ferramentas analticas que processam um conjunto co-
mum de dados e mtricas. Coletivamente, permitem aos usurios identifcar
problemas e oportunidades, colaborar sobre abordagens, tomar aes e ajustar
planos e metas quando necessrio.
Cada dashboard de desempenho emprega um subconjunto de componen-
tes que so mostrados em cada nvel da arquitetura tcnica, com base nas
mtricas e nos objetivos estratgicos que apoia.
Os dashboards normalmente so compostos por:
Estruturas grfcas.
Estruturas de medidores.
Informaes complementares (tabelas, textos explicativos, etc.).
172 Implantando a Governana de TI 3 edio
Plano do projeto
Plano de recursos
Plano de comunicao
Plano da qualidade
Plano de comunicao
Seleo da tecnologia
Identificao de
necessidades das partes
interessadas
Elaborao do modelo de
objetivo
Anlise de viabilidade de
implantao dos
indicadores
Elaborao de prottipos
Implantao do processo
de medio e anlise
Implantao do
(ciclo 1)
Planejamento de
implantao de
indicadores para o ciclo
seguinte
Implantao de controles
para os indicadores do
ciclo seguinte
dashboard
dashboard
Reviso das
necessidades das partes
interessadas
Anlise de viabilidade de
implantao de novos
indicadores
Elaborao de prottipos
Implantao do
(ciclo n)
Planejamento de
implantao de
indicadores para o ciclo
seguinte
Implantao de controles
para os indicadores do
ciclo seguinte
dashboard
Reviso das
necessidades das partes
interessadas
Anlise de viabilidade de
implantao de novos
indicadores
Elaborao de prottipos
Implantao do
(ciclo 2)
Planejamento de
implantao de
indicadores para o ciclo
seguinte
Implantao de controles
para os indicadores do
ciclo seguinte
dashboard
CICLO N CICLO 2 CICLO 1
PLANEJAMENTO
DO PROJETO
Figura 3.46 Etapas de projeto de dashboard
Conforme documento da SQA Systems Quality Assurance (www.spinsp.
org.br), a Gesto do Desempenho procura viabilizar:
O desdobramento da estratgia da organizao.
A verifcao do desempenho requerido, em funo de objetivos e
metas.
O estabelecimento de metas de desempenho.
O monitoramento das metas.
O monitoramento do nvel de desempenho.
Mark D. Lutchen (2003), em seu livro Managing IT as a Business, afrma
que os indicadores de TI devem ser:
Focados em valor.
Baseados em desempenho.
Orientados para a melhoria, no somente sobre produo.
O Modelo de Governana de TI 173
Ainda de acordo com este autor, os indicadores de TI devem ajudar
na identificao de causas razes e orientar a tomada de aes especficas
e comportamentos na organizao de TI, alm de promover esforos co-
operativos entre a TI e o negcio, devendo conter as seguintes proprie-
dades:
Devem ser relevantes.
Devem ser prticos, no sentido de medir aquilo que interessa.
Devem subsidiar a ao prtica.
Devem ser comunicados.
Devem ter proprietrios.
Mark T. Czarnecki (1999), em seu livro Managing by Measuring, por sua
vez, defne os seguintes atributos para indicadores de desempenho:
So simples e fceis de ser entendidos.
Tm signifcado para os interessados ou stakeholders.
So claramente defnidos.
So econmicos para serem coletados.
So verifcveis.
So mensurveis.
So repetveis.
Divulgam uma mensagem consistente com os valores, metas e obje-
tivos da organizao.
Podem demonstrar uma tendncia.
Dirigem as aes corretas.
Atingem o seu propsito.
174 Implantando a Governana de TI 3 edio
A Tabela 3.20, a seguir, apresenta, de acordo com Wayne W. Eckerson
(2009), os tipos de dashboards de desempenho:
Estratgico Ttico Operacional
Foco: Estratgia executiva Otimizao de processo Controle de operaes
Uso: Gerencial Anlise Monitoramento
Usurios: Executivos Gerentes Tcnicos
Escopo: Empresa Departamental Operacional
Mtricas:
Indicadores de
resultados
Indicadores de resultado
e de progresso
Indicadores de progresso
Dados: Sumarizados
Detalhados e
sumarizados
Detalhados
Fontes: Manual, externa Manual/sistemas centrais Sistemas centrais
Ciclo de atualizao: Mensal / trimestral Dirio / semanal Durante o dia
Parecido com: Um scorecard Portal Dashboard
Tabela 3.20 Tipos de dashboards
Adaptado de Eckerson (2009)
Finalizando a conceituao deste autor, as principais caractersticas de
dashboards de desempenho efcazes so:
Quanto menos KPIs, melhor.
Deve ter a capacidade de levar o usurio ao detalhe.
Os usurios devem entender para que servem os indicadores.
O usurio sabe como o resultado dos indicadores afeta o resultado
do negcio.
Os indicadores tm um dono.
O usurio tem que perceber que a informao acurada, entendendo
as fontes da informao, como ela calculada, etc.
Deve permitir que o usurio monitore continuamente o impacto dos
indicadores e faa correlaes.
O Modelo de Governana de TI 175
Deve ter indicadores fnanceiros e no fnanceiros, que demons-
trem o balanceamento entre atividades, por exemplo, uma meta
de produtividade colocada, porm a qualidade no medida
concomitantemente.
Os indicadores no podem mascarar outros indicadores.
Os indicadores devem ser validados por todos os interessados
envolvidos.
Outra classifcao de tipos de dashboards nos dada por Stephen Few
(2006). Segundo este autor, os tipos de dashboards so:
Para propsitos estratgicos: fornecem informaes sumariza-
das que os tomadores de deciso necessitam para monitorar a
sade e oportunidades de negcios. Focam em medies de alto
nvel de desempenho, incluindo previses e comparaes com
metas ou avaliadores de desempenho simples (tais como bom
ou ruim). No necessitam de medies em tempo real. No
so projetados para interaes requeridas para anlises mais de-
talhadas.
Para propsitos analticos: requerem uma abordagem diferente de
projeto. Nesses dashboards, a informao demanda grande contex-
to, com muitas comparaes, histria mais detalhada, avaliadores de
desempenho e visualizao de relacionamentos. Suportam interaes
com os dados, com capacidade de drill-down.
Para propsitos operacionais: so utilizados para monitorar ope-
raes e devem ser projetados diferentemente daqueles que supor-
tam os propsitos estratgicos e analticos. Geralmente so apli-
cados para monitoramento de eventos e ao imediata no caso de
desvios.
176 Implantando a Governana de TI 3 edio
A Figura 3.47 abaixo apresenta um exemplo de um dashboard.
Figura 3.47 Exemplo de um dashboard
3.6.4 gesto do desemPenho dA ti
O monitoramento do desempenho ocorre quando o resultado atingido
comparado com os resultados esperados, a intervalos regulares. Este monito-
ramento deve responder as seguintes perguntas:
Qual o nosso desempenho atual?
H diferenas entre o realizado e o previsto?
O que est causando desvios?
Qual a tendncia do desempenho?
Como estamos em relao a referenciais de mercado (benchmarking)?
O Modelo de Governana de TI 177
Quais eventos causam variao positiva ou negativa no desempe-
nho?
Qual o padro de desempenho?
A Figura 3.48 demonstra esses conceitos.

Evento
Benchmarking
Objetivo de Desempenho
SLAs, OLAs ou UCs
Padro de Desempenho
Tendncia
Tempo
Nveis de
Desempenho

Figura 3.48 Padro de desempenho e informaes comparativas
O modelo de Governana de TI aqui proposto compreende a gesto do
desempenho:
dos processos e servios de TI.
dos nveis de servios.
da estratgia de TI.
de projetos.
do Portflio de TI.
do valor da TI para o negcio.
178 Implantando a Governana de TI 3 edio
A gesto do desempenho dos processos e servios visa verifcar se o ob-
jetivo de TI foi atendido conforme planejado e entender os motivos da
variao positiva ou negativa. Uma vez que se conheam as causas de va-
riao negativa, aes corretivas, preventivas ou de melhorias no processo
devem ser recomendadas, monitoradas e implantadas. Em um momento
posterior, o efeito dessas aes deve ser avaliado para verifcar se geraram o
resultado esperado.
A gesto do desempenho dos nveis de servios visa monitorar continuamen-
te o atendimento aos acordos de nveis de servios. No caso de nveis de servios
de disponibilidade e capacidade, isto deve ser feito em tempo real. No caso do
no atendimento, ou seja, se o desempenho do servio estiver abaixo do nvel
acordado, aes de recuperao devem ser realizadas imediatamente. Caso haja
grande frequncia de no atendimento aos nveis de servios, aes corretivas,
preventivas e de melhorias nos processos que apoiam o servio devem ser reco-
mendadas, monitoradas e implantadas. Aqui tambm, em um momento poste-
rior, o efeito dessas aes deve ser avaliado para verifcar se geraram o resultado
esperado. Se esse resultado no foi obtido, novas aes devem ser tentadas.
A gesto do desempenho da estratgia da TI visa monitorar os indicadores de
progresso, avaliar se os indicadores de resultados foram alcanados e verifcar o
efeito fnal no objetivo estratgico estabelecido no BSC. Por exemplo, se o obje-
tivo estratgico de entrega no prazo elevar de 80% para 90%, devemos ava-
liar se este objetivo foi alcanado atravs das iniciativas determinadas (no BSC)
para atend-lo. O monitoramento dos indicadores de progresso permite avaliar
se os objetivos resultantes de cada iniciativa podero ser atingidos. Caso seja
concludo que o objetivo resultante de cada iniciativa no poder ser atingido,
deve-se iniciar uma ao corretiva, de forma a recuperar o projeto da iniciativa.
Neste caso, as aes de melhoria podero ocorrer em um novo ciclo de
planejamento de TI.
A gesto do desempenho de projeto visa verifcar se o progresso, o custo,
a qualidade e o escopo esto conforme o planejado. Caso haja variao ne-
gativa, deve-se iniciar aes de recuperao, de preveno e de melhorias, de
forma a entregar o produto resultante do projeto de acordo com os requisitos
tcnicos e no tcnicos.
A gesto do desempenho do Portflio de TI serve para avaliar indicadores
resultantes sobre a razo de projetos previstos que foram entregues (por uni-
O Modelo de Governana de TI 179
dade da TI, por unidade de negcio), sobre o objetivo do cumprimento do
oramento e sobre o retorno de investimento agregado esperado pelo conjun-
to de projetos. As causas dos desvios devem ser analisadas e aes de melhoria
devem ser projetadas, monitoradas e implantadas. A gesto do desempenho
do portflio realizada medida que cada projeto entregue, no controle
mensal da execuo oramentria e na avaliao de retorno de investimento,
algum tempo depois do trmino de cada projeto.
A gesto do desempenho do valor da TI para o negcio visa avaliar se os
objetivos de retorno do investimento (benefcios monetrios e no monet-
rios) do projeto foram atingidos. s vezes, esta avaliao somente pode ser
feita meses depois do trmino do projeto. Caso os objetivos no tenham sido
atingidos, deve-se identifcar o porqu e colher lies aprendidas para melho-
rar as prximas anlises de investimento. Dessas lies aprendidas podero
surgir recomendaes de melhoria de processos de TI.
3.7 A comunicAo
A comunicao crtica para a Governana de TI e para a gesto de TI de
uma forma geral.
Geralmente, as reas de TI sofrem o problema de credibilidade perante as
unidades de negcio. Portanto, a comunicao, alm de ser imperativa para a
tomada de deciso, tambm um meio da TI fazer o seu marketing e mudar
essa percepo.
A forma mais efciente de comunicao do desempenho um dashboard
que permita ao executivo consultar e entender, de forma rpida, o desempe-
nho da TI.
Entretanto, h pblicos diferentes com interesses tambm distintos.
Os executivos de negcio esto preocupados com informaes sobre Re-
torno do Investimento, nveis de servios, benefcios dos projetos e servios
ao negcio, produtividade da TI, informaes sobre tratamento de incidentes
crticos e status de projetos prioritrios.
A Governana de TI, por sua vez, preocupa-se com temas como ndices de
satisfao dos clientes e usurios, acordos de nveis de servios, gerenciamento
da estratgia, monitoramento de projetos estratgicos, alinhamento estratgico,
180 Implantando a Governana de TI 3 edio
nveis de maturidade dos processos de TI, riscos e compliance, indicadores de
incidentes, continuidade da TI, formao de recursos, qualidade dos fornece-
dores, indicadores do portflio de TI, valor da TI para o negcio, etc. As infor-
maes tratadas pela Governana de TI esto relacionadas sua funo, que
promover o alinhamento da TI ao negcio, a compliance, o gerenciamento de
riscos, o monitoramento da entrega de valor, o desempenho e a comunicao.
Com grande frequncia, em funo da natureza do trabalho da Governan-
a de TI, preciso identifcar indicadores que sero usados uma vez s, para
permitir anlises de causas de variao em desempenho. Esses indicadores
podem fazer parte de uma base de conhecimento; entretanto, no estaro
presentes no dashboard.
Os executivos de cada rea funcional da TI tm preocupaes estratgicas e
tticas tais como gerenciamento dos nveis de servios, incidentes e problemas,
oramento, o gerenciamento da sua estratgia, recursos humanos, fornecedo-
res, demanda, custos, produtividade, qualidade, inovao e processos, etc.
Por fm, o principal executivo de TI deve estar preocupado com todos esses
temas.
Portanto, ao defnir a comunicao dos resultados da TI para si mesma e para
o negcio, a TI deve identifcar as necessidades das partes interessadas e as carac-
tersticas individuais de cada tomador de deciso. Alguns gostam da fgura em
alto nvel, outros desejam maiores detalhes (ou seja, mais drill-down no sistema).
Teoricamente, poderamos ter um dashboard para a gesto da TI, um dash-
board para a Governana de TI e outro para os executivos de TI. Portanto,
antes de inciar o projeto, temos que nos perguntar qual dashboard iremos
construir, para quem e com qual fnalidade.
O que devemos comunicar, ento, em cada dashboard? Nossa proposio
est a seguir.
Para os executivos de negcio:
Tipo do dashboard: eminentemente estratgico. O gestor cliente da
TI provavelmente no necessitar de informaes analticas, pois
no far anlises. Pode ocorrer que queiram saber os motivos de des-
vios, e neste caso haver a necessidade de haver alguns drill-downs.
Vises: acreditamos que aqui no so necessrias vises do tipo
BSC.
O Modelo de Governana de TI 181
Dashboard de TI para o executivo de negcios
Temas principais de interesse Indicadores/informaes
Criao de valor Retorno do investimento do projeto, atendimento a metas de
negcios e outros benefcios qualitativos.
Acordos de nveis de servios Disponibilidade de aplicaes e servios para o negcio.
Produtividade da TI Oramento de TI / Oramento da organizao.
Oramento de TI / headcount de TI.
Inovao da TI Investimento em inovao de TI no negcio.
Incidentes crticos Informaes para acompanhamento das resolues.
Frequncia de incidentes por categoria.
Continuidade do negcio ndice de negcios com plano de continuidade testado e
mantido.
Riscos da TI para o negcio Principais riscos de TI para o negcio (probabilidade e
impacto).
Montante de exposio ao risco.
Projetos prioritrios Curva S do projeto.
Status do projeto.
Oramento ndice de cumprimento do oramento de TI para a unidade
de negcio.
Demanda Indicadores da demanda de projetos e servios da TI para o
negcio.
% do backlog em relao demanda total.
Tabela 3.21 Temas e indicadores para o dashboard dos executivos de negcio
Para a Governana de TI:
Tipo do dashboard: eminentemente estratgico e analtico. A Go-
vernana de TI pode ter outros nveis de dashboard, em virtude
de que vai necessitar elaborar anlises mais apuradas para identif-
car e entender causas de desvios, de forma que possa recomendar
aes corretivas, preventivas e melhorias.
Vises: Acreditamos que aqui so necessrias vises de BSC, assim
como capacidade de drill-downs, tendo em vista a necessidade de
anlise.
182 Implantando a Governana de TI 3 edio
Dashboard para Governana de TI
Temas principais de interesse Indicadores/informaes
Criao de valor Retorno do investimento do projeto, atendimento a metas de
negcios e outros benefcios qualitativos.
Alinhamento de TI Cumprimento das demandas no portflio de TI.
Indicadores de resultados e de progresso do BSC.
Satisfao dos clientes e usurios ndice de satisfao dos clientes e usurios por servio.
Excelncia operacional e nveis de
servios
Disponibilidade de aplicaes e servios de TI.
Efcincia do atendimento e suporte aos usurios.
Entrega de projetos nos prazos acordados com os gestores.
Produtividade da TI.
ndices de qualidade do desenvolvimento.
ndices de qualidade dos servios de TI.
Custos dos servios.
Compliance ndice de conformidade com regulamentos internos e
externos.
ndice de conformidade da avaliao independente.
Riscos da TI para o negcio Principais riscos de TI para o negcio (probabilidade e
impacto).
Montante de exposio ao risco.
Projetos prioritrios de TI Curva S do projeto.
Status do projeto.
Gerenciamento de recursos e portflio de
TI
ndice de cumprimento do oramento de TI para a unidade
de negcio.
Alocao de recursos pelo portflio de TI.
Disciplina oramentria.
Demanda % do backlog em relao demanda total.
Potencial de futuro Indicadores de treinamento e capacitao do pessoal.
Pessoal certifcado.
Prontido Indicadores de qualidade dos fornecedores.
Capacidade de recursos computacionais para a expanso do
negcio.
Maturidade dos processos de TI.
Razo terceiros sobre o total de pessoal empregado.
Inovao Indicadores de inovao para os processos de negcio.
Indicadores de inovao tecnolgica.
Inovao em TI.
Tabela 3.22 Temas e indicadores para o dashboard de Governana de TI
O Modelo de Governana de TI 183
Numa viso de BSC, o dashboard para a Governana de TI fcaria assim:
Perspectiva do BSC Indicadores
Contribuio ao negcio Retorno do investimento do projeto, atendimento a metas de negcios e
outros benefcios qualitativos.
Cumprimento das demandas no portflio de TI.
Disciplina oramentria.
Exposio ao risco do negcio.
Principais riscos de TI.
Projetos prioritrios do negcio.
Orientao ao cliente / usurio Indice de satisfao dos usurios.
Nveis de servios.
Custos dos servios.
Inovao no negcio.
% do backlog sobre a demanda total.
Excelncia operacional /
processos internos
Indicadores de resultados e de progresso do BSC.
Disponibilidade de aplicaes e servios de TI.
Efcincia do atendimento e suporte aos usurios.
Entrega de projetos nos prazos acordados com os gestores.
Produtividade da TI.
ndices de qualidade do desenvolvimento.
ndices de qualidade dos servios de TI.
Custos dos servios.
ndice de compliance com regulamentos internos e externos.
ndice de compliance com avaliao independente.
Projetos prioritrios de TI.
Potencial Indicadores de treinamento e capacitao do pessoal.
Pessoal certifcado.
Indicadores de qualidade dos fornecedores.
Capacidade de recursos computacionais para a expanso do negcio.
Maturidade dos processos de TI.
Quantidade de terceiros sobre o total de pessoal empregado.
Indicadores de inovao tecnolgica.
Inovao em TI.
Tabela 3.23 Indicadores da Governana de TI em uma perspectiva de BSC
Para os gestores de TI:
Tipo do dashboard: eminentemente estratgico e analtico, consi-
derando seu nvel de interesse.
Vises: acreditamos que, aqui, so necessrias vises de BSC, assim
como capacidade de drill-downs, tendo em vista a necessidade de an-
lise. Entretanto, para o pessoal de monitoramento de eventos, prin-
cipalmente em operaes, so necessrios dashboards operacionais.
184 Implantando a Governana de TI 3 edio
Enquanto a Governana de TI tem uma viso mais agregada, o dash-
board dos gestores tem uma viso mais focada no seu nvel de atuao.
Dashboard para Gestores de TI
Temas principais de interesse Indicadores/informaes
Criao de valor Retorno do investimento do projeto, atendimento a metas de
negcios e outros benefcios qualitativos.
Alinhamento de TI Indicadores de resultados e de progresso do BSC.
Satisfao dos clientes e usurios ndice de satisfao dos clientes e usurios por servio.
Excelncia operacional e nveis de
servios
Disponibilidade de aplicaes e servios de TI.
Efcincia do atendimento e suporte aos usurios.
Entrega de projetos nos prazos acordados com os gestores.
Produtividade da TI.
ndices de qualidade do desenvolvimento.
ndices de qualidade dos servios de TI.
Custos dos servios.
Indicadores de incidentes e problemas.
Indicadores de segurana da informao.
Indicadores de desempenho de processos de TI.
Indicadores de recuperao de servios.
Indicadores de atendimento ao usurio.
Compliance ndice de conformidade com regulamentos internos e externos.
ndice de conformidade da avaliao independente.
Riscos da TI para o negcio Principais riscos de TI para o negcio (probabilidade e impacto).
Montante de exposio ao risco.
Projetos prioritrios de TI Curva S do projeto.
Status do projeto.
Gerenciamento de recursos e portflio
de TI
ndice de cumprimento do oramento de TI para a unidade de
negcio.
Disciplina oramentria.
Reaproveitamento de recursos.
Demanda % do backlog em relao demanda total.
Potencial de futuro Indicadores de treinamento e capacitao do pessoal.
Pessoal certifcado.
Prontido Indicadores de qualidade dos fornecedores.
Capacidade de recursos computacionais para a expanso do
negcio.
Maturidade dos processos de TI.
Quantidade de terceiros sobre o total de pessoal empregado.
Inovao Inovao em TI.
O Modelo de Governana de TI 185
Dashboard para Gestores de TI
Temas principais de interesse Indicadores/informaes
Demanda Indicadores de demandas.
% do backlog.
Tabela 3.24 - Temas e indicadores para o dashboard de Gestores de TI
Para os CIOs:
Tipo do dashboard: eminentemente estratgico.
Vises: acreditamos que aqui, tambm, so necessrias vises de
BSC, assim como a execuo de drill-downs especfcos.
No caso do CIO, o interesse abrange tanto a viso do cliente, a viso da
Governana de TI e a viso dos gestores de TI, mas com foco nos indicadores
principais, de forma que possa ver que o seu negcio est criando valor,
atende aos nveis de servios, tem excelncia operacional e est preparado para
suportar o crescimento do negcio.
Para fnalizar este tpico, necessrio lembrar que cada gestor tem a sua forma
de ver o mundo e de gerenciar. O que foi proposto em termos de medies fruto
de nossa experincia e de observaes em diversas organizaes por todo o Brasil.
3.8 A gesto dA mudAnA orgAnizAcionAl
A implantao da Governana de TI (e a sua manuteno) uma jornada
sem fm.
Entretanto, traz consigo muitas mudanas na forma de fazer as coisas, no
somente operacionais, mas, principalmente, na forma de gerenciar.
O sucesso da implantao da Governana de TI depende fundamental-
mente de um gerenciamento da mudana organizacional.
Conforme Roberto Ziemer (2007), o modelo tradicional de gerenciamen-
to fracassa por enfatizar apenas a mudana (ou seja, aquilo que acontece fora
das pessoas), descuidando da transio, do processo interior de adaptao e
transformao, que um passo necessrio para que as pessoas consigam lidar
com novas situaes.
186 Implantando a Governana de TI 3 edio
Este autor postula que a fase da transio ou da mudana comea com um
trmino, passa por uma zona neutra e tem um reincio.
O trmino representa como a mudana de conscincia acerca de velhas
posturas, comportamentos, identidades, hbitos e crenas, processada. Para
o gerenciamento do trmino, Ziemer prope:
Reconhecer quem perder com a mudana.
Reconhecer a importncia das perdas subjetivas.
Aceitar as reaes emocionais.
Reconhecer as perdas de forma aberta.
Aceitar sintomas de luto.
Compensar as perdas.
Manter as pessoas continuamente informadas sobre as mudanas.
Defnir o que acabou e o que no acabou.
Criar rituais para enfatizar o trmino.
Tratar o passado com respeito.
A zona neutra caracterizada pela indefnio, pela confuso e pela falta
de respostas, pois o indivduo est confnado entre o antigo e o novo jeito de
pensar, entre o conhecido e o desconhecido. A zona neutra considerada o
centro do processo de transio e apresenta vrias ameaas como: aumento de
ansiedade, diminuio da motivao, aumento do absentesmo, retorno de
antigas fragilidades, excesso de responsabilidades, choque entre os conserva-
dores e os futuristas e fragilidades da organizao.
Conforme Ziemer, para gerenciar a zona neutra, necessrio:
Considerar a zona neutra como um perodo natural.
Redefnir a zona neutra.
Criar sistemas temporrios para a zona neutra.
Fortalecer conexes intragrupos.
Estabelecer uma equipe de superviso da transio.
Usar a zona neutra de forma criativa.
O Modelo de Governana de TI 187
O reincio a fase fnal do processo de transio, onde as pessoas comeam a
adotar a mudana. Esta fase possui alguns fatores crticos de sucesso, tais como:
Ser consistente, sem mensagens confitantes.
Assegurar sucesso rpido.
Simbolizar a nova identidade.
Celebrar o sucesso.
Outra abordagem para a gesto de mudana a apresentada por Richard
Barrett em seu livro Building a Values-Driven Organization: a whole system ap-
proach to cultural transformation vide Barrett (2006), que prope um mode-
lo para a transformao organizacional. De acordo com este autor, a mudana
um modo diferente de agir e de fazer o que fazemos agora de uma forma
mais efciente, produtiva e de melhor qualidade, enquanto a transformao
um modo diferente de ser, que envolve mudanas nos nveis mais profundos
de crenas, valores e suposies.
Para que uma mudana seja efetiva, necessrio que as pessoas tenham conhe-
cimentos e habilidades e operem mudanas comportamentais nas demais pessoas.
Para este autor, as variveis crticas da mudana so:
Histrico de mudanas: o histrico mostra a percepo que os pro-
fssionais envolvidos na mudana tm sobre a forma como a organi-
zao costuma implementar mudanas.
Resistncia/prontido: mostra o grau de resistncia nos trs sistemas
de mudana (comunicao, aprendizagem e recompensa).
Cultura: mostra a diferena entre a cultura percebida e a cultura de-
sejada, e se a mudana que est sendo proposta est adequada cul-
tura atual e futura (valores, crenas e comportamentos).
Portanto, a mudana requer que cada pessoa tenha habilidades e conhecimen-
to para agir diferente e ter atitude para agir, ou seja, mudar o seu comportamento.
As razes para falhas, geralmente, so:
Desconhecimento e incerteza sobre o futuro e sobre as razes da
mudana.
Imposio x Participao.
188 Implantando a Governana de TI 3 edio
Comunicao inadequada durante o processo.
Sistema inadequado de recompensa.
Aprendizagem insufciente - tanto tcnica (agir) como comporta-
mental (ser).
Os fatores que devem ser considerados no processo de mudana so:
Comunicao sobre a mudana.
Viso (para onde pretende-se ir).
Motivao para a mudana.
A competncia para a mudana.
Os recursos necessrios para a mudana.
O plano de ao para a mudana.
A Figura 3.49 mostra os impactos de no ter um desses elementos no
processo.
Figura 3.49 Elementos da mudana organizacional
22
22 Esta mesma fgura aparece no Captulo 16 deste livro, que mostra o contexto de mudana sob o
enfoque cultural.
O Modelo de Governana de TI 189
3.9 AvAliAo indePendente
De acordo com o CobiT (ITGI, 2007b), o objetivo da avaliao indepen-
dente : obter avaliao independente (interna ou externa) sobre a conformidade
de TI com leis e regulamentos relevantes; com polticas, padres e procedimentos
organizacionais; com prticas geralmente aceitas e com um efetivo e efciente de-
sempenho de TI.
A avaliao independente realizada por empresas de auditoria e cha-
mada de auditoria de terceira parte, onde a organizao contrata a auditoria
externa.
Organizaes que j possuem governana corporativa madura tm,
em seu sistema de controles internos e gesto de riscos, auditorias peri-
dicas realizadas por empresas especializadas e com contratos de longa
durao.
A auditoria foca nos controles internos aplicados a TI. Seguem abaixo al-
guns exemplos de controles internos em TI:
Em projetos de desenvolvimento de sistemas, a auditoria pode veri-
fcar se estes esto sendo desenvolvidos conforme a metodologia de
desenvolvimento preconizada e utilizando uma metodologia de ge-
renciamento de projetos.
No gerenciamento de servios, a auditoria pode verifcar se os planos
de continuidade de servios foram elaborados e foram testados, se-
guindo normas e polticas da organizao.
Entretanto, a auditoria somente ir verifcar o que foi colocado dentro
do sistema de controle interno da organizao. Nem tudo colocado nesse
sistema, pois depender do grau de risco que o controle representa para o ne-
gcio. Geralmente, mapas de riscos dos processos de negcio apontam quais
controles internos devem ser includos no sistema.
Por exemplo, supondo que a disponibilidade de aplicaes de TI um
risco para certos processos de negcio crticos da organizao. Neste caso,
devem entrar para o sistema de controle interno o processo de gerenciamento
de disponibilidade e o processo de continuidade de servios.
190 Implantando a Governana de TI 3 edio
Porm, a gesto da TI pode incluir outros itens no to crticos para o risco
do negcio, mas importantes para o desempenho dos servios de TI, confor-
me descrito nos acordos de nveis de servios.
Como conselho, sugerimos que somente sejam colocados dentro do sis-
tema de controle interno processos testados e que demonstraram que, efeti-
vamente, agregam valor para o negcio e que permitem uma gesto efcaz e
efciente da TI na organizao.
3.10 riscos e comPliAnce
3.10.1 gesto de riscos
Para o CobiT (ITGI, 2007b), a gesto de riscos procura criar e manter
uma estrutura de gesto de risco. Esta estrutura documenta um nvel comum
e acordado de riscos de TI, estratgias de mitigao e riscos residuais.
Qualquer impacto em potencial nos objetivos da empresa, causado por um
evento no planejado, deve ser identifcado, analisado e avaliado. Estratgias
de mitigao de risco devem ser adotadas para minimizar o risco residual a
nveis aceitveis. O resultado da avaliao deve ser entendido pelas partes
interessadas e expresso em termos fnanceiros, para permitir que as partes
interessadas alinhem o risco a nveis de tolerncia aceitveis.
Os objetivos de controle do CobiT para a gesto de riscos de TI so:
Alinhar a gesto de riscos de TI com o sistema de gesto de riscos
da organizao: signifca que a gesto de riscos da TI deve ser integrada
com a gesto de riscos da organizao. Em organizaes com governana
corporativa madura, estabelecido um sistema de gesto de riscos ope-
racionais j com metodologias estabelecidas e com mapas de risco por
processo de negcio ou por servios (no caso de bancos, o sistema de ges-
to de riscos abrange riscos de crdito, riscos operacionais e de mercado).
Estabelecimento do contexto do risco: signifca estabelecer o con-
texto ao qual a estrutura de avaliao de risco aplicada para assegu-
rar resultados esperados. Isto inclui a defnio dos contextos interno
e externo de cada avaliao de riscos, o objetivo da avaliao e os
critrios a serem usados na avaliao.
O Modelo de Governana de TI 191
Identifcao de eventos: signifca identifcar eventos (importantes
ameaas reais que exploram signifcativas vulnerabilidades) com po-
tenciais impactos negativos nos objetivos ou nas operaes da organi-
zao, incluindo aspectos de negcios, regulamentao, aspectos jurdi-
cos, tecnologia, parcerias de negcio, recursos humanos e operacionais.
Deve-se determinar a natureza do impacto e manter esta informao,
assim como registrar e manter um histrico dos riscos relevantes.
Avaliao de risco: avaliar regularmente a probabilidade e o impac-
to de todos os riscos identifcados, utilizando mtodos qualitativos e
quantitativos. A probabilidade e o impacto associado ao risco ineren-
te e residual devem ser determinados individualmente, por categoria
e com base no portflio da organizao.
Resposta ao risco: signifca desenvolver e manter um processo de
respostas a riscos para assegurar que controles com uma adequada
relao custo-benefcio mitiguem a exposio aos riscos de forma
contnua. O processo de resposta ao risco deve identifcar estratgias
de risco, tais como evitar, reduzir, compartilhar ou aceitar o risco,
determinar responsabilidades e considerar os nveis de tolerncia de-
fnidos.
Manuteno e monitoramento do plano de ao de risco: signi-
fca priorizar e planejar as atividades de controle em todos os nveis
da organizao para implementar as respostas aos riscos identifcadas
como necessrias, incluindo a identifcao de custos, benefcios e
responsabilidade pela execuo. Envolve tambm obter aprovaes
para aes recomendadas e aceitao de quaisquer riscos residuais e
assegurar que as aes aprovadas sejam assumidas pelos donos dos
processos afetados, assim como monitorar a execuo dos planos e
reportar qualquer desvio para a alta direo.
Em termos prticos, este trabalho deve ser feito juntamente com a rea de
gesto de riscos da organizao.
Caso esta rea no exista dentro da sua organizao, voc deve concentrar-
-se nos riscos dos principais processos de negcio, ou seja, naqueles principais
geradores de receitas ou cuja inoperncia possa trazer prejuzos fnanceiros ou
de imagem para a organizao.
Para tanto, voc dever fazer um mapa simples do processo de negcio e
identifcar qual o servio mais importante do apoio da TI. A partir da, dever
192 Implantando a Governana de TI 3 edio
identifcar possveis causas de ocorrncia de riscos e depois levantar eventos
que j tenham ocorrido em relao ao servio e categoriz-los conforme as
causas para identifcar probabilidades de ocorrncia.
Vamos imaginar o seguinte processo de negcio, como mostrado na Figura
3.50, a seguir.
O exemplo da fgura mostra os principais riscos da TI para cada etapa do
processo do negcio e relaciona os principais processos e recursos de TI que
podem ser causadores da ocorrncia do risco.
O investimento necessrio para a mitigao do risco dever ser balizado pelo
nvel de tolerncia de riscos do dono do processo e tambm da administrao.
Se voc for um administrador esperto, importante que obtenha uma
comunicao ofcial do dono do processo sobre a tolerncia ao risco. Mas, de
qualquer forma, voc ter que comunicar essa tolerncia e as probabilidades
de ocorrncia do risco correspondente.
Captura da proposta Processamento Aprovao Faturamento
Risco de Disponibilidade Risco de Integridade
Risco de Disponibilidade
Risco de Integridade
Risco de
Integridade
PROCESSOS DE TI
Gerenciamento de
disponibilidade
Gerenciamento da
continuidade
Gerenciamento da
operao
Aquisio de software
Teste de software
Gerenciamento da mudana
Gerenciamento de dados
Gerenciamento da operao
Aquisio de software
Teste de software
Gerenciamento da mudana
Gerenciamento de dados
Gerenciamento da operao
Gerenciamento de
disponibilidade
Gerenciamento da
continuidade
Gerenciamento da
operao
Aquisio de software
Teste de software
Gerenciamento da mudana
Gerenciamento de dados
Gerenciamento da operao
RECURSOS DE TI
Pessoal capacitado
Geradores e no-breaks
Backup sites
Pessoal capacitado
Ferramentas de
desenvolvimento e teste
Figura 3.50 Exemplo de mapa de risco
Os autores tiveram uma experincia em anos recentes com a avaliao de
um sistema de cobrana em uma empresa de cobrana. Na realidade, o sis-
tema cobria todos os processos de negcio da empresa, estava implementado
em uma plataforma de software obsoleta e era processado em um servidor
PC Pentium sem nenhuma redundncia, sendo que o ambiente era muito
informal e amador. Neste caso, a tolerncia de risco do negcio era altssima.
O Modelo de Governana de TI 193
Numa situao similar a esta voc deve comunicar a administrao sobre
os graves riscos que o negcio est correndo e, obviamente, mostrar as solu-
es e explicar qual o tamanho da perda fnanceira em que a empresa est
incorrendo por no se proteger.
3.10.2 compliance
De acordo com o documento Funo de Compliance, publicado pela
Pricewaterhouse Coopers em 2009, conjuntamente com a Associao Brasi-
leira de Bancos Internacionais e a Federao Brasileira de Bancos (vide ABBI
2009), compliance o dever de cumprir, estar em conformidade e fazer cumprir
regulamentos internos e externos impostos s atividades da instituio.
Aplicando-se isto TI, refere-se conformidade da rea de TI da organiza-
o a regulamentos internos e externos impostos s suas atividades.
Em determinadas organizaes, principalmente instituies fnanceiras e
de seguros em geral, conforme regulamentos do Banco Central e da SUSEP,
deve haver uma rea de compliance com a misso de:
Assegurar, em conjunto com as demais reas, a adequao, o fortalecimen-
to e o funcionamento do Sistema de Controles Internos da Instituio, pro-
curando mitigar os riscos de acordo com a complexidade de seus negcios,
bem como disseminar a cultura de controles para assegurar o cumprimento
de leis e regulamentos existentes. Alm disso, atuar na orientao e cons-
cientizao preveno de atividades e condutas que possam ocasionar
riscos imagem da instituio.
O foco do compliance monitorar os riscos do no atendimento aos regu-
lamentos internos e externos.
Em organizaes com governana corporativa madura, a rea de TI tem re-
presentantes de compliance que seguem os procedimentos da rea responsvel
pelo compliance da organizao.
Neste caso, o responsvel local pelo compliance monitora riscos de com-
pliance em TI, realizando testes sobre controles e comunicando resultados e
gerando indicadores e relatrios de compliance.
194 Implantando a Governana de TI 3 edio
O compliance um tema importante para a Governana de TI, pois asse-
gura que as normas internas e externas estejam sendo respeitadas e seguidas.
O no atendimento s normas internas e externas pode ter como conse-
quncia:
Multas de rgos reguladores por no estar em conformidade.
Problemas de conduta tica trazendo prejuzos para a organizao.
Aumento do custo de operaes da organizao pelo uso de prticas
fracas.
Inefcincia das operaes, prejudicando a qualidade de servios re-
querida pelo negcio.
Altos custos de compliance devidos duplicidade de controles.
Bem, agora que vimos o modelo proposto, vamos discutir os principais
modelos aplicveis Governana de TI.
4
4
os PAPis dA governAnA de ti nA
orgAnizAo
Umas das grandes questes que se coloca sobre a Governana de TI
quanto ao seu papel na organizao de TI e fora dela (ou seja, quem faz o
qu). Nossa experincia tem demonstrado que a falta de papis e respon-
sabilidades bem defnidas um grande obstculo para a implantao da
Governana de TI.
Em determinadas organizaes, algumas funes da Governana de TI
esto integradas Governana Corporativa, como, por exemplo, gesto de
riscos, controles internos, segurana da informao, priorizao de investi-
mentos, oramento de investimentos, e geralmente so executadas por outras
reas da organizao.
A defnio de responsabilidades depende da caracterstica do modelo de
Governana de TI desenhado para a organizao.
O que temos observado no mercado so as seguintes abordagens:
Criao de uma rea ou departamento especfco para lidar com a
Governana de TI, com a funo de dar visibilidade ao CIO acerca da
aderncia das demais reas de TI s estratgias de TI, regras, polticas
e prticas de gesto e operao de servios.
Criao de uma rea ou departamento de Governana de TI com res-
ponsabilidade de dirigir a implantao das polticas, regras e prticas
de gesto e operao de servios.
Alguns profssionais, em geral ligados diretamente ao CIO, so de-
signados para implantar a Governana de TI, mas no h uma rea
especfca para esta fnalidade. Geralmente, o foco recai sobre a im-
plantao de boas prticas de gesto e operao de servios de TI.
196 Implantando a Governana de TI 3 edio
A implantao de Governana de TI um programa para o qual de-
signado um gerente do programa vinculado ao CIO. Por meio dele,
a organizao gerencia a implantao das melhores prticas pelas de-
mais reas de TI. O programa pode ser encerrado quando os objeti-
vos de maturidade dos processos so alcanados.
No h uma organizao, mas somente projetos evolutivos, onde
geralmente o lder da mudana o CIO, que utiliza com fre-
quncia consultorias externas para a implantao das melhores
prticas.
Em nossa viso, acreditamos que a adoo de arqutipos como os anterior-
mente descritos depende das caractersticas de cada organizao.
No h uma melhor abordagem, mas sim a mais adequada para cada orga-
nizao em um determinado momento de sua histria.
Em grandes organizaes, por exemplo, difcilmente encontra-se uma
Governana de TI com poderes para intervir nas reas de TI. Geralmente,
nesses casos, recomendvel que a rea de Governana de TI faa um tra-
balho de induo e promoo, dando a visibilidade para o CIO intervir e
cobrar.
Em organizaes de porte mdio e pequeno, provavelmente o modelo mais
adequado seja uma rea de Governana de TI com mais poderes, que dirija,
de fato, a implantao das melhores prticas, que gerencie o risco de TI e de-
monstre o valor da TI para o negcio.
Lembramos, porm, que a Governana de TI de responsabilidade de
todos, pois quem implanta e mantm as boas prticas e a estratgia de TI so,
de fato, as demais reas de TI.
Considerando nosso modelo genrico, propomos uma distribuio
das responsabilidades sobre a Governana de TI, conforme mostra a
Tabela 4.1.
Os Papis da Governana de TI na Organizao 197
Funes da
Governana
e de
Gesto da TI
Diretoria
Executiva
CIO
Governana
de TI
reas
Funcionais
da TI
reas de
Controle, Risco
e Compliance
Risco e
Compliance
Aprova a poltica
de risco e
compliance da
organizao.
Faz com que
a rea de TI
siga a poltica
de risco da
organizao
e monitora os
riscos da TI
para o negcio.
Segue a poltica
e os mtodos,
porm,
trabalha com
os indicadores
e monitora os
riscos.
Seguem
a poltica,
desenvolvem
e implantam
aes de
mitigao.
Verifcam se
as aes de
mitigao foram
implantadas e
foram efetivas.
Avaliao
Independente
Aprova a poltica
de controles
internos da
organizao.
Faz com que
a rea de TI
siga a poltica
de controles
internos da
organizao
e monitora as
pendncias.
Segue a
poltica, trabalha
com indicadores
e monitora
a resoluo
das no
conformidades.
Seguem a
poltica e
resolvem os
itens no
conformes.
de
responsabilidade
da rea de
auditoria interna
da organizao.
Gesto da
Mudana
Organizacional
Aprova
mudanas
na poltica de
pessoal e de
desenvolvimento
de recursos
humanos.
Aprova o
programa
de mudana
organizacional
e lidera a sua
implantao.
A Governana
de TI pode
montar e dirigir
o programa de
gerenciamento
da mudana.
Participam
no programa
de mudana,
liderando a
mudana na
sua rea,
colocando seu
pessoal para
ser treinado
e capacitado
e implantam
as melhores
prticas em
sua rea.
Alinhamento
Estratgico
Defne e
comunica a
estratgia da
organizao e
decide sobre as
priorizaes de
investimentos,
aprova o
oramento
da rea de
TI e monitora
os projetos
estratgicos de
negcios e TI.
Defne a
estratgia de TI
e a comunica
para as
demais reas
funcionais de
TI, prope as
prioridades
para a Diretoria
Executiva e
gerencia o
Portflio de TI.
Dirige o
processo de
planejamento
de TI e suas
revises, verifca
a aderncia dos
planos de TI
com a estratgia
de TI, estrutura
o Portflio de
TI, e consolida
o oramento
de TI.
Participam na
elaborao da
estratgia de
TI, elaboram,
gerenciam
e implantam
seus planos
internos
alinhados com
a estratgia de
TI, e elaboram
os respectivos
oramentos.
198 Implantando a Governana de TI 3 edio
Funes da
Governana
e de
Gesto da TI
Diretoria
Executiva
CIO
Governana
de TI
reas
Funcionais da TI
reas de
Controle,
Risco e
Compliance
Entrega de
Valor
Monitora os
projetos de
negcios e TI
estratgicos.
Gerencia o
Portflio de TI,
a demanda, o
relacionamento
com clientes e
fornecedores
Monitora o
Portflio de TI,
verifca se os
planos de TI
esto sendo
implantados
e fornece
visibilidade para
o CIO.
Desenvolvem
projetos,
fornecem
servios e geram
inovaes de
acordo com
as melhores
prticas defnidas
pelo plano de TI,
atendem clientes
e gerenciam
servios de
terceiros.
Gerenciamento
de Recursos
Recebe
informes
sobre a
execuo
oramentria
e de
investimentos
da rea de
TI.
Gerencia o uso
de recursos e
defne aes
para a sua
otimizao,
gerencia o
oramento e
investimentos da
rea e reporta-
se Diretoria
Executiva.
Verifca
oportunidades
de otimizao
de recursos,
acompanha a
realizao do
oramento e de
investimentos.
Prope e
implanta aes
para a otimizao
de recursos,
gerencia
os recursos
sob a sua
responsabilidade,
realiza o controle
oramentrio e
de investimentos
em sua rea de
atuao.
Gesto do
desempenho
Gerencia o
desempenho
da TI, gerencia
a estratgia
de TI, solicita
recuperao de
desempenho
para os seus
gerentes,
redefne
estratgias.
Prope
mtodos de
gerenciamento
do desempenho,
mantm o
dashboard de
governana de
TI, monitora o
desempenho
e a criao de
valor da TI e faz
recomendaes.
Avalia a
efetividade
das melhores
prticas sobre a
gerao de valor
e sobre o risco
da TI.
Gerenciam o
desempenho de
seus projetos,
assim como
a estratgia,
os servios e
as inovaes,
realizam
correes,
fornecem os
indicadores para
a Governana de
TI e para o CIO.
Os Papis da Governana de TI na Organizao 199
Funes da
Governana
e de
Gesto da TI
Diretoria
Executiva
CIO
Governana
de TI
reas
Funcionais
da TI
reas de
Controle, Risco
e Compliance
Comunicao Recebe os
informes de
desempenho da
TI e da criao
de valor atravs
de dashboard
executivo,
solicita aes de
recuperao de
melhoria.
Recebe os
informes de
desempenho
e criao de
valor, avalia a
estratgia de
TI e reporta-
se Diretoria
Executiva.
Consolida
indicadores de
desempenho
e de valor e
especfcos de
interesse para
a Governana
de TI e os
comunica ao
CIO. Mantm o
dashboard de TI.
Comunica os
resultados
de seu
desempenho e
criao de valor,
alimentando o
dashboard de
gesto de TI.
Tabela 4.1 Responsabilidades pela Governana de TI
5.
5.
modelos de melhores PrticAs e o
modelo de governAnA de ti
Nas duas ltimas dcadas vem surgindo e sendo elaborada uma srie de
modelos de melhores prticas para TI. Alguns desses modelos so originais
e outros so derivados e/ou evoludos de outros modelos. Os principais
modelos em voga atualmente, citados no meio acadmico e profssional,
relacionados com a Governana de TI, esto apresentados na Tabela 5.1,
a seguir:
Modelo de melhores prticas Escopo do modelo
COBIT Control Objectives for Information and
related Technology
Modelo abrangente aplicvel para a auditoria e o
controle de processos de TI, desde o planejamento da
tecnologia at a monitorao e auditoria de todos os
processos.
Val IT Enterprise Value: Governance of IT
Investments
Modelo que trata da governana dos investimentos de
TI e gerenciamento do portflio desses investimentos.
Risk IT Enterprise Risk: Identify, Govern and
Manage IT Risks
Modelo que trata do gerenciamento dos riscos de TI.
ISO 31000 Trata dos princpios e guias para o gerenciamento de
riscos.
CMMI Capability Maturity Model Integration Desenvolvimento de produtos e projetos de sistemas e
software.
MPS.br Modelo brasileiro para a melhoria do processo de
software.
ITIL Information Technology Infrastructure
Library
Servios de TI, segurana da informao,
gerenciamento da infraestrutura, gesto de ativos e
aplicativos, etc.
Modelos de Melhores Prticas e o Modelo de Governana de TI 201
Modelo de melhores prticas Escopo do modelo
ISO/IEC 20000 Norma abordando requisitos e melhores prticas para o
gerenciamento de servios de TI.
ISO/IEC 27001 e ISO/IEC 27002 Requisitos e cdigo de prtica para a gesto da
segurana da informao.
Modelos ISO International Organisation for
Standardisation
Sistemas da qualidade, ciclo de vida de software, teste
de software, etc.
eSCM-SP Service Provider Capability Maturity
Model
Outsourcing em servios que usam TI de forma
intensiva.
PRINCE2 Project in controlled environment Metodologia de gerenciamento de projetos.
PMBOK Project Management Body of
Knowledge
Base de conhecimento em gesto de projetos.
OPM3 Modelo de maturidade para o gerenciamento de
projetos.
SCRUM Mtodo gil para o gerenciamento de projetos.
BSC Balanced Scorecard Metodologia de planejamento e gesto da estratgia.
Seis Sigma Metodologia para melhoria da qualidade de processos.
SAS 70 Statement on Auditing Standards for
services organizations
Regras de auditoria para empresas de servios.
TOGAF The Open Group Architecture
Framework
Modelo que trata o desenvolvimento e a evoluo de
arquiteturas de TI.
BPM CBOK Business Process Management
Body of Knowledge
Corpo de conhecimento para o gerenciamento de
processos de negcio.
BABOK The Guide to the Business Analysis
Body of Knowledge
Guia de conhecimento para a prtica de anlise de
negcio.
Tabela 5.1 Principais modelos de melhores prticas
A Figura 5.1, a seguir, mostra como esses modelos se posicionam dentro do
nosso modelo de Governana de TI.
202 Implantando a Governana de TI 3 edio
ALINHAMENTO
ESTRATGICO E
COMPLIANCE
DECISO,
COMPROMISSO,
PRIORIZAO E
ALOCAO DE
RECURSOS
ESTRUTURA,
PROCESSOS,
OPERAO E
GESTO
GESTO DO
VALOR E DO
DESEMPENHO
Alinhamento
estratgico
Princpios de TI
Necessidades de
aplicaes
Arquitetura de TI
Infraestrutura de
TI
Objetivos de
desempenho
Capacidade
Sourcing
Segurana da
informao
Competncias
Processos e
organizao
Plano de TI
Mecanismos de
deciso
Portfolio de TI
Projetos
Relacionamento
com usurios
Relacionamento
com
fornecedores
Gesto do
desempenho da
TI
Gesto do valor
da TI
Servios
Inovaes
Critrios de
priorizao
Gesto da
demanda
Val IT
RISK IT
CobiT
Padro de
Portfolio -
PMI
CobiT
ISO/IEC 27000
ITIL
BABOK
BPM CBOK
TOGAF
eSCM
SFIA
BSC
Val IT
CobiT
ITIL
Seis Sigma
PMBOK
PRINCE2
ITIL
eSCM
CMMI
SCRUM
MPS.br
CobiT
BPM CBOK
BABOK
RISK IT
ISO/IEC 20000
ISO/IEC 27000
Seis Sigma
SAS70
ISO
Figura 5.1 Os modelos de melhores prticas no contexto da Governana de TI
Conforme a Figura 5.1, os modelos de melhores prticas auxiliam a im-
plantao da Governana de TI, mas no so panaceias. Para usar estes mo-
delos, importante que a organizao elabore sua prpria arquitetura de pro-
cessos de TI, priorizando o que importante para a agregao de valor para
o negcio e balanceando com os riscos de TI para o negcio, assim como os
riscos para a continuidade, para a fexibilidade futura dos processos e para o
desenvolvimento de novos produtos e servios.
Ao defnir a cadeia de valor e sua arquitetura de processos, podemos em-
pregar vrias diretrizes e prticas de vrios modelos ao mesmo tempo. Por
exemplo, podemos selecionar a rea de processo de Medio e Anlise do
CMMI (no nvel 3) e empreg-la para implantar um processo de medio do
desempenho dos servios de TI.
Como se propaga no mercado, a Governana de TI no se restringe so-
mente implantao desses modelos de melhores prticas. Entretanto, im-
portante conhec-los em termos de objetivos, estruturas e aplicabilidade. Nos
captulos seguintes deste livro veremos uma descrio dos principais modelos
aplicveis no contexto da Governana de TI.
6
6
modelos AbrAngentes de
governAnA de ti
No contexto atual do mercado, existem alguns modelos de referncia que
abordam a Governana de TI de forma holstica, abrangendo os seus prin-
cpios e diretrizes tanto no mbito das organizaes de TI quanto do seu
relacionamento com as demais organizaes que fazem parte da sua cadeia de
valor (clientes, fornecedores, parceiros, etc.).
Entre esses modelos, destacam-se a norma ISO/IEC 38500 e os mo-
delos criados pela ISACA (Information Systems Audit and Control As-
sociation): o CobiT, o Val IT e o Risk IT. Neste captulo, so apresen-
tados de forma resumida os princpios e processos relacionados a esses
modelos.
6.1 iso/iec 38500 governAnA
corPorAtivA de tecnologiA dA informAo
O objetivo desta norma fornecer uma estrutura de princpios para os
dirigentes (incluindo proprietrios, membros do conselho de administrao,
diretores, parceiros, executivos seniores ou similares) utilizarem na avaliao,
no gerenciamento e no monitoramento do uso da tecnologia da informao
em suas organizaes.
A norma j se encontra localizada pela Associao Brasileira de Normas
Tcnicas (ABNT) como Norma Brasileira NBR ISO/IEC 38500:2009.
204 Implantando a Governana de TI 3 edio
6.1.1 APlicAo
Esta norma aplicvel a todas as organizaes, incluindo organizaes p-
blicas e privadas, entidades governamentais e organizaes sem fns lucrativos.
Da mesma forma, aplica-se a organizaes de todos os tamanhos (pequenas e
grandes), independentemente da extenso de seus usos de TI.
Para a norma, Governana Corporativa de TI signifca: avaliar e direcio-
nar o uso da TI para dar suporte organizao e monitorar seu uso para
realizar os planos. Inclui a estratgia e as polticas de uso da TI dentro da
organizao.
6.1.2 objetivos
O propsito da norma promover o uso efcaz, efciente e aceitvel da TI
nas organizaes para:
Garantir s partes interessadas (incluindo consumidores, acionistas e
funcionrios) que, se a norma for seguida, pode-se confar na gover-
nana corporativa de TI na organizao.
Informar e orientar os dirigentes quanto ao uso da TI em suas orga-
nizaes.
Fornecer uma base para uma avaliao objetiva da governana corpo-
rativa de TI.
6.1.3 estruturA dA normA
6.1.3.1 Estrutura para uma boa governana corporativa de TI
A norma preconiza seis princpios que caracterizam uma boa governana
de TI:
Princpio 1 Responsabilidade: os indivduos e grupos dentro da
organizao compreendem e aceitam suas responsabilidades com res-
peito ao fornecimento e demanda de TI. Aqueles responsveis pelas
aes tambm tm autoridade para desempenhar tais aes.
Modelos Abrangentes de Governana de TI 205
Princpio 2 Estratgia: a estratgia de negcio da organizao leva
em conta as capacidades atuais e futuras de TI. Os planos estratgicos
para TI satisfazem as necessidades atuais e contnuas da estratgia de
negcio da organizao.
Princpio 3 Aquisio: as aquisies de TI so feitas por razes
vlidas, com base em anlise apropriada e contnua, com tomada de
deciso clara e transparente. Existe um equilbrio entre benefcios,
oportunidades, custos e riscos, de curto e longo prazo.
Princpio 4 Desempenho: a TI adequada ao propsito de apoiar
a organizao, fornecendo servios, nveis de servio e qualidade de
servio, necessrios para atender aos requisitos atuais e futuros de
negcio.
Princpio 5 Conformidade: a TI cumpre com toda a legislao e
os regulamentos obrigatrios. As polticas e prticas so claramente
defnidas, implementadas e fscalizadas.
Princpio 6 Comportamento humano: as polticas, prticas e de-
cises de TI demonstram respeito pelo comportamento humano,
incluindo as necessidades atuais e futuras de todas as pessoas no
processo.
6.1.3.2 Modelo
A norma preconiza que os dirigentes governem a TI atravs de trs tarefas
principais:
Avaliar o uso atual e futuro da TI.
Orientar a preparao e a implementao de planos e polticas para
assegurar que o uso da TI atenda aos objetivos do negcio.
Monitorar o cumprimento das polticas e o desempenho em relao
aos planos.
206 Implantando a Governana de TI 3 edio
A Figura 6.1 mostra o modelo do ciclo Avaliar-Dirigir-Monitorar.
Dirigir
Avaliar
Monitorar
Governana Corporativa
de TI
Presses do
negcio
Necessidades
do negcio
Processos do Negcio
Projetos de TI Operaes de TI
P
r
o
p
o
s
t
a
s
P
l
a
n
o
s
P
o
l

t
i
c
a
s
D
e
s
e
m
p
e
n
h
o
C
o
n
f
o
r
m
i
d
a
d
e

Figura 6.1 Modelo para governana corporativa de TI
Fonte: ABNT (2009)
Para a norma, avaliar signifca que os dirigentes devem examinar e avaliar
o uso atual e futuro da TI, incluindo estratgias, propostas e arranjos de for-
necimento (interno, externo ou ambos).
Dirigir signifca a designao de responsabilidades, pelos dirigentes, e a
preparao e implementao dos planos e polticas, estabelecendo o direcio-
namento dos investimentos nos projetos e operaes de TI. As polticas de-
vem estabelecer comportamentos no uso da TI na organizao, assim como
incentivar que os gerentes sigam os seis princpios da boa governana de TI.
Por fm, os dirigentes devem monitorar atravs de sistemas de mensurao
apropriados, verifcando se o desempenho est de acordo com os planos e os
objetivos de negcio e se a TI est em conformidade com as obrigaes exter-
nas e prticas internas de trabalho.
Modelos Abrangentes de Governana de TI 207
A Tabela 6.1 mostra o ciclo Avaliar-Dirigir-Monitorar para cada princpio
da norma.
Princpio Avaliar Dirigir Monitorar
Responsabilidade Opes de delegao
de responsabilidades.
Competncias daqueles
a quem for delegada a
responsabilidade pela
tomada de deciso
em TI.
Exigir que os planos
sejam cumpridos
de acordo com as
responsabilidades
delegadas.
Que os mecanismos
apropriados de
governana de TI sejam
estabelecidos.
Que aqueles
que receberam
responsabilidades
reconheam e
compreendem suas
responsabilidades.
O desempenho
daqueles a quem
foi delegada
responsabilidades pela
governana de TI.
Estratgia Os desenvolvimentos
em TI para que esta
esteja apoiando o
negcio.
O alinhamento da
TI com os planos
e polticas da
organizao.
O risco da TI para o
negcio.
A preparao de planos
e polticas para que
a organizao seja
benefciada com o uso
da TI.
Encorajar os dirigentes
a apresentar propostas
para uso inovadores
de TI.
O progresso das
propostas de TI
aprovadas.
Se os benefcios com
a TI esto sendo
alcanados.
Aquisio Opes de fornecimento
da TI.
Orientar para que os
ativos de TI sejam
adquiridos de forma
apropriada.
Certifcar-se de
que os acordos
de fornecimento
daro suporte s
necessidades da
organizao.
Os investimentos de TI.
Compreenso mtua
dos objetivos da
aquisio por parte
da organizao e dos
fornecedores.
208 Implantando a Governana de TI 3 edio
Princpio Avaliar Dirigir Monitorar
Desempenho Proposies dos
gerentes.
Riscos continuidade
do negcio.
Riscos integridade da
informao e proteo
dos ativos de TI.
A efccia e o
desempenho do sistema
de Governana de TI da
organizao.
Assegurar a alocao
de recursos sufcientes,
de forma a garantir
que a TI atenda s
necessidades da
organizao, de
acordo com prioridades
acordadas e restries
oramentrias.
At que ponto a TI d
suporte ao negcio.
Se os recursos e o
oramento foram
priorizados de acordo
com os objetivos do
negcio.
Se as polticas so
seguidas corretamente.
Conformidade At que ponto a
TI cumpre com
as obrigaes de
conformidade interna e
externa (compliance).
Conformidade interna
com o seu sistema de
governana de TI.
Exigir dos responsveis
que:
a TI esteja conforme
com as exigncias
legais.
polticas sejam
estabelecidas e
cumpridas.
aes de TI sejam
ticas.
O cumprimento e
conformidade da TI
por meio de relatos
apropriados e prticas
de auditoria.
As atividades de TI
para assegurar o
cumprimento das
exigncias ambientais,
de privacidade,
de gerenciamento
do conhecimento
estratgico e de
preservao da
memria organizacional.
Comportamento
Humano
As atividades de TI
para garantir que
os comportamentos
humanos sejam
identifcados e
apropriadamente
considerados.
Exigir que as atividades
de TI sejam compatveis
com as diferenas
de comportamento
humano.
Exigir que riscos,
oportunidades,
constataes e
preocupaes possam
ser identifcados e
relatados por qualquer
pessoa a qualquer
momento.
Atividades de TI
para garantir que
os comportamentos
humanos identifcados
permaneam relevantes
e que lhes sejam dadas
a devida ateno.
Tabela 6.1 Princpios da boa governana de TI versus Ciclo avaliar-dirigir-monitorar -
Adaptado de ABNT (2009)
Modelos Abrangentes de Governana de TI 209
6.1.4 benefcios com o uso dA normA
Se usada, a norma assegura que os dirigentes podero avaliar os riscos da
TI para o negcio e aproveitar as oportunidades advindas com o uso da TI.
Entre os principais benefcios, a aplicao correta da governana corporativa
de TI pode ajudar os dirigentes a garantir:
O cumprimento das obrigaes (regulamentares, legislativas, le-
gais, contratuais) relativas ao uso aceitvel da TI (sistemas inade-
quados podem expor os dirigentes ao risco de no cumprir com a
legislao).
Que o uso da TI contribua positivamente para o bom desempenho
da organizao atravs de:
Correta implementao e operao dos ativos de TI.
Clareza quanto responsabilidade e obrigatoriedade em prestar
conta, tanto quanto ao uso quanto proviso da TI para atingir
as metas da organizao.
Continuidade e sustentabilidade do negcio.
Alinhamento da TI com as necessidades do negcio.
Alocao efciente de recursos.
Inovao nos servios, mercados e negcio.
Boas prticas nos relacionamentos com as partes interessadas.
Reduo nos custos da organizao.
Concretizao atual dos benefcios aprovados de cada investimen-
to de TI.
6.1.5 considerAes sobre A normA
Esta norma no objeto de certifcao como a ISO 9001, 14000, 27001,
etc. Entretanto, traz conceitos importantes sobre Governana de TI e que
podem ser teis no entendimento, pela alta direo, de suas responsabilidades
em relao a TI.
Um modelo de arquitetura de direitos decisrios e de processos de TI pode
ser desenvolvido com base nos seis princpios da norma. A questo : como
210 Implantando a Governana de TI 3 edio
fazer chegar esses conceitos at a alta administrao da empresa e fazer com
que compreendam o papel reservado a eles?
Aqui, novamente, aparece a discusso: quanto mais a organizao for
regulada externamente, maior ser a necessidade por compliance e gesto
de riscos de TI, facilitando, portanto, a chegada da mensagem na alta
administrao.
Quanto menos regulao externa houver, mais difcil fca o entendi-
mento da alta administrao (pelo menos esta tem sido a experincia dos
autores). A alternativa sempre procurar o pessoal de auditoria interna
ou externa para fazer um trabalho conjunto, onde os auditores apontam
a necessidade da governana e o responsvel de TI entra com o modelo
apropriado.
6.2 cobit control objectives for
informAtion And relAted technology
6.2.1 histrico do modelo
O CobiT (Control Objectives for Information and related Technology) foi cria-
do em 1994 pela ISACF
23
a partir do seu conjunto inicial de objetivos de con-
trole e vem evoluindo atravs da incorporao de padres internacionais tcni-
cos, profssionais, regulatrios e especfcos para processos de TI. Em 1998, foi
publicada a sua segunda edio, contendo uma reviso nos objetivos de controle
de alto nvel e detalhados, e mais um conjunto de ferramentas e padres para
implementao. A terceira edio foi publicada em 2000 pelo IT Governance
Institute (ITGI), rgo criado pela ISACA com o objetivo de promover um me-
lhor entendimento e a adoo dos princpios de Governana de TI.
O modelo evoluiu novamente em 2005 para a verso 4.0, atravs de pr-
ticas e padres mais maduros (totalmente alinhados a modelos como COSO,
ITIL e ISO/IEC 17799) e em conformidade com as regulamentaes, do foco
mais acentuado na governana de TI nos nveis mais elevados e da ampliao
da sua abrangncia para um pblico mais heterogneo (gestores, tcnicos,
especialistas e auditores de TI).
23 Information Systems Audit and Control Foundation, ligado ISACA (ISAC Association) acesso
atravs do site http://www.isaca.org/ .
Modelos Abrangentes de Governana de TI 211
Em 2007, houve uma atualizao incremental (verso 4.1), cujo foco foi
orientado a uma maior efccia dos objetivos de controle e dos processos de
verifcao e divulgao de resultados. As defnies dos objetivos de controle
foram modifcadas, para serem caracterizadas como diretrizes de prticas de
gesto, mais orientadas ao e consistentes em seu contedo escrito.
6.2.2 objetivos do modelo
Segundo os princpios do ITGI, as informaes corporativas e a tecnologia
necessria para suport-las no podem ser tratadas isoladamente, devendo a TI
ser considerada uma parte integrante da estratgia corporativa, em vez de simples-
mente um meio para torn-la vivel. A prpria defnio de Governana de TI,
presente na verso 4.1 do CobiT, ilustra a importncia da TI dentro da organi-
zao: responsabilidade da alta direo (incluindo diretores e executivos), consiste na
liderana, nas estruturas organizacionais e nos processos que garantem que a tecnologia
da informao da empresa sustente e estenda as estratgias e objetivos da organizao.
O principal objetivo das prticas do CobiT contribuir para o sucesso da
entrega de produtos e servios de TI a partir da perspectiva das necessidades
do negcio, com um foco mais acentuado no controle que na execuo. De
acordo com o ITGI, neste sentido, o CobiT:
Estabelece relacionamentos com os requisitos do negcio.
Organiza as atividades de TI em um modelo de processos genrico.
Identifca os principais recursos de TI, nos quais deve haver mais in-
vestimento.
Defne os objetivos de controle que devem ser considerados para a gesto.
O modelo do CobiT genrico o bastante para representar todos os pro-
cessos normalmente encontrados nas funes da TI e compreensvel tanto
para a operao como para os gerentes de negcios, pois cria uma ponte entre
o que o pessoal operacional precisa executar e a viso que os executivos dese-
jam ter para governar
24
.
24 O CobiT est totalmente alinhado com a estrutura integrada para controles internos do COSO
(Committee of Sponsoring Organizations of the Treadway Comission), que amplamente aceito como
estrutura de controle para governana corporativa e gesto de riscos.
212 Implantando a Governana de TI 3 edio
Para o CobiT, os pilares fundamentais que sustentam o ncleo da Gover-
nana de TI podem ser representados por cinco reas, conforme mostra a
Figura 6.2, cada qual com seu respectivo foco:
Figura 6.2 reas-Foco da Governana de TI, na viso do CobiT
Fonte: IT Governance Institute (2007b)
Alinhamento Estratgico: garantia da ligao entre os planos do ne-
gcio e de TI, manuteno e validao da proposio de valor da TI,
e alinhamento das operaes da empresa com as de TI.
Agregao de Valor: execuo da proposio de valor atravs do tem-
po, assegurando que a TI entregue os benefcios prometidos de acor-
do com a estratgia, concentrando-se em otimizar custos e em com-
provar o valor intrnseco da TI.
Gerenciamento de Recursos: otimizao dos investimentos e da ges-
to adequada dos recursos crticos de TI (aplicaes, informaes,
infraestrutura e pessoas), essenciais para fornecer os subsdios de que
a empresa necessita para cumprir os seus objetivos.
Gerenciamento de Riscos: Conhecimento dos riscos por parte da alta
direo, entendimento claro dos requisitos de compliance e das ten-
dncias da empresa para os riscos, transparncia acerca dos riscos sig-
nifcativos para a empresa e incorporao de responsabilidades para o
gerenciamento dos riscos na organizao.
Medio de Desempenho: Acompanhamento e monitorao da im-
plementao da estratgia, do andamento dos projetos, da utilizao
de recursos, do desempenho dos processos e da entrega dos servios,
Modelos Abrangentes de Governana de TI 213
utilizando, alm das medies convencionais, indicadores de desem-
penho (como, por exemplo, balanced scorecards) que traduzem a es-
tratgia em aes para atingir objetivos mensurveis.
A estrutura do CobiT integra e institucionaliza boas prticas de planeja-
mento e organizao, aquisio e implementao, entrega e suporte, e mo-
nitoramento e avaliao de desempenho de TI. A Governana de TI, quando
implantada de forma integrada, permite que a empresa gerencie de forma
efciente seus investimentos em recursos tecnolgicos e suas informaes,
transformando-as em maximizao de benefcios, oportunidades de negcio e
vantagem competitiva no mercado.
6.2.3 estruturA do modelo
A estrutura (framework) do CobiT foi idealizada de forma a atender
s necessidades de controle da organizao relacionadas Governana de
TI, tendo como principais caractersticas o foco nos requisitos de negcio,
a orientao para uma abordagem de processos, a utilizao extensiva de
mecanismos de controle e o direcionamento para a anlise das medies e
indicadores de desempenho obtidos ao longo do tempo. A seguir, ser dada
uma viso geral da estrutura do modelo, sob o enfoque de cada uma das
suas caractersticas.
6.2.3.1 Foco no negcio
Segundo o CobiT, para fornecer a informao de que a empresa necessita
para atingir as suas metas de negcio, necessrio associ-los s suas metas
de TI, assim como gerenciar e controlar os recursos de TI, utilizando um
conjunto estruturado de processos para garantir a entrega dos servios de TI
requeridos.
O CobiT pressupe ainda que as informaes desejadas devem obedecer a
alguns critrios de controle (requisitos de negcio), de forma que sua utiliza-
o seja proveitosa para os objetivos de negcio. Tais critrios compreendem:
efcincia, efccia, confdencialidade, integridade, disponibilidade, confor-
midade com regulaes e confabilidade.
214 Implantando a Governana de TI 3 edio
Os servios que fornecem as informaes necessrias para que a organizao
atinja seus objetivos so disponibilizados atravs de um conjunto de processos
de TI que utilizam recursos de TI, ou seja, pessoas (habilidades, conhecimen-
tos, ndices de produtividade) e infraestrutura (hardware, sistemas operacionais,
bancos de dados, redes, facilidades, etc.) para executar aplicaes automatizadas
e procedimentos manuais que manipulam e processam as informaes de neg-
cio. O investimento em tais recursos visa criar capacitaes tcnicas (sistemas,
etc.) para suportar as capacitaes desejadas para o negcio (melhorias nas fun-
es de negcio), que sero refetidas nos resultados estratgicos da organizao
(melhoria no desempenho fnanceiro). A Figura 6.3 ilustra a arquitetura empre-
sarial para TI preconizada pelo princpio bsico do CobiT.
Figura 6.3 Princpio bsico do CobiT
Adaptado de IT Governance Institute (2007b)
6.2.3.2 Orientao para processos
O CobiT fornece um modelo padro de referncia e uma linguagem co-
mum, permitindo que todos em uma organizao sejam capazes de distinguir e
gerenciar atividades no mbito da TI. Neste sentido, utilizando como matriz o
ciclo tradicional de melhoria contnua (planejar, construir, executar, monitorar),
Modelos Abrangentes de Governana de TI 215
o CobiT identifcou 34 processos de TI e os distribuiu entre quatro domnios,
que espelham os agrupamentos usuais existentes em uma organizao padro de
TI. A Figura 6.4 ilustra a interao entre estes domnios na estrutura do CobiT.
Figura 6.4 Domnios do CobiT no Framework
Adaptado de IT Governance Institute (2007b)
Planejamento e Organizao (PO): este domnio tem abrangncia
estratgica e ttica e identifca as formas atravs das quais a TI pode
contribuir melhor para o atendimento dos objetivos de negcio, en-
volvendo planejamento, comunicao e gerenciamento em diversas
perspectivas.
Aquisio e Implementao (AI): este domnio cobre identifcao,
desenvolvimento e/ou aquisio de solues de TI para executar a
estratgia de TI estabelecida, assim como a sua implementao e in-
tegrao junto aos processos de negcio. Mudanas e manutenes
em sistemas existentes tambm esto cobertas por este domnio, para
garantir a continuidade dos respectivos ciclos de vida.
216 Implantando a Governana de TI 3 edio
Entrega e Suporte (DS
25
): este domnio cobre a entrega propriamente
dita dos servios requeridos, incluindo gerenciamento de segurana e
continuidade, suporte aos servios para os usurios, gesto dos dados
e da infraestrutura operacional.
Monitorao e Avaliao (ME
26
): este domnio visa assegurar a quali-
dade dos processos de TI, assim como a sua governana e conformi-
dade com os objetivos de controle, atravs de mecanismos regulares
de acompanhamento, monitorao de controles internos e de avalia-
es internas e externas.
A Tabela 6.2, a seguir, mostra questes gerenciais tpicas abordadas e os
processos de TI relativos a cada um dos domnios do CobiT.
Questes Gerenciais Processos de TI
P
O

(
P
l
a
n
e
j
a
m
e
n
t
o

e

O
r
g
a
n
i
z
a

o
)
A estratgia do negcio e a TI esto
alinhadas?
A empresa est otimizando a utilizao
dos seus recursos?
Todos na organizao compreendem as
metas de TI?
Os riscos relacionados TI esto
compreendidos e sendo gerenciados?
A qualidade dos sistemas de TI est
adequada s necessidades do negcio?
PO-1 Defnir um plano estratgico para TI
PO-2 Defnir a arquitetura da informao
PO-3 Determinar a direo tecnolgica
PO-4 Defnir a organizao de TI, os seus
processos e relacionamentos
PO-5 Gerenciar o investimento em TI
PO-6 Comunicar objetivos e direcionamentos
gerenciais
PO-7 Gerenciar os recursos humanos
PO-8 Gerenciar a qualidade
PO-9 Avaliar e gerenciar riscos de TI
PO-10 Gerenciar projetos
A
I

(
A
q
u
i
s
i

o

e

I
m
p
l
e
m
e
n
t
a

o
)
Os novos projetos conseguem entregar
solues que atendem as necessidades
do negcio?
Os novos projetos conseguem ser
entregues dentro do prazo e oramento
planejados?
Os novos sistemas funcionam
adequadamente depois de
implementados?
As mudanas so conduzidas com baixo
impacto nas operaes de negcio
correntes?
AI-1 Identifcar solues automatizadas
AI-2 Adquirir e manter software aplicativo
AI-3 Adquirir e manter infraestrutura tecnolgica
AI-4 Viabilizar operao e utilizao
AI-5 Adquirir recursos de TI
AI-6 Gerenciar mudanas
AI-7 Instalar e aprovar solues e mudanas
25 A sigla DS vem do ingls Delivery and Support.
26 A sigla ME vem do ingls Monitor and Evaluate.
Modelos Abrangentes de Governana de TI 217
Questes Gerenciais Processos de TI
D
S

(
E
n
t
r
e
g
a

e

S
u
p
o
r
t
e
)
Os servios de TI esto sendo entregues
com alinhamento s prioridades do
negcio?
Os custos de TI esto otimizados?
As equipes de trabalho so capazes de
utilizar os sistemas de TI com segurana e
produtividade?
Atributos como confdencialidade,
integridade e disponibilidade esto
implementados de forma adequada?
DS-1 Defnir e gerenciar nveis de servio
DS-2 Gerenciar servios terceirizados
DS-3 Gerenciar desempenho e capacidade
DS-4 Garantir a continuidade dos servios
DS-5 Garantir a segurana dos sistemas
DS-6 Identifcar e alocar custos
DS-7 Educar e treinar usurios
DS-8 Gerenciar central de servios e incidentes
DS-9 Gerenciar a confgurao
DS-10 Gerenciar problemas
DS-11 Gerenciar dados
DS-12 Gerenciar o ambiente fsico
DS-13 Gerenciar operaes
M
E

(
M
o
n
i
t
o
r
a

o

e

A
v
a
l
i
a

o
)
As medies de desempenho da TI
detectam problemas antes que seja tarde
demais?
H garantias de que os controles internos
sejam efcientes e efcazes?
possvel associar diretamente o
desempenho de TI s metas de negcio
estabelecidas anterior mente?
Existem controles para confdencialidade,
integridade e disponibilidade adequados
para garantir a segurana da informao?
ME-1 Monitorar e avaliar o desempenho da TI
ME-2 Monitorar e avaliar os controles internos
ME-3 Assegurar conformidade com requisitos
externos
ME-4 Fornecer governana para a TI
Tabela 6.2 Questes e processos dos domnios do CobiT
Adaptado de IT Governance Institute (2007b)
6.2.3.3 Controle atravs de objetivos
O CobiT defne como controle o conjunto de polticas, procedimentos,
prticas e estruturas organizacionais desenvolvidas para dar uma garantia ra-
zovel de que os objetivos de negcio sero atingidos e de que eventos indese-
jveis sero prevenidos ou mesmo detectados e corrigidos.
Um objetivo de controle defne um resultado desejado ou propsito a ser
atingido atravs da implementao de procedimentos de controle em uma
atividade de TI especfca. O CobiT sustenta ainda que os seus objetivos de
controle constituem os requisitos mnimos para que os processos de TI pos-
sam ser controlados de forma efcaz.
A dinmica de controle bastante trivial: as informaes de controle ex-
tradas da operao de cada processo de TI so comparadas aos objetivos de
218 Implantando a Governana de TI 3 edio
controle (assim como s normas e padres vigentes), e aes corretivas/pre-
ventivas so empreendidas para a melhoria do processo.
Cada processo de TI do CobiT tem uma descrio de processo e vrios ob-
jetivos de controle detalhados. H requisitos de controle genricos, aplicveis
a todos os processos, tais como:
Defnio e divulgao de metas e objetivos especfcos para cada
processo (mensurveis, factveis, realistas, orientados a resultados, ef-
cientes e aderentes aos objetivos do negcio).
Estabelecimento de um dono para o processo, com responsabi-
lidades claras (criao, interao com outros processos, resultados
fnais, medio de desempenho, identifcao de oportunidades de
melhoria).
Repetibilidade, visando a gerao dos resultados esperados de forma
consistente.
Papis e responsabilidades defnidos sem ambiguidades (estabelecidas
de acordo com uma matriz RACI Responsvel, Aprovador, Con-
sultado, Informado).
Defnio e divulgao das polticas, procedimentos e planos relativos
ao processo.
Desempenho do processo medido em relao s respectivas metas.
Podem tambm existir controles especfcos vinculados a aplicaes, inte-
grados aos processos de negcio que os suportam atravs de procedimentos
relacionados a:
Autorizao e criao de dados (preparao, autorizao, coleta de
dados, tratamento de erros e reteno de fontes de dados).
Entrada de dados (autorizao, consistncia e tratamento de erros).
Processamento de dados (garantia de integridade, validao, edio e
tratamento de erros).
Sada de dados (tratamento e reteno, distribuio, balanceamento,
reconciliao, tratamento de erros).
Interfaces (autenticidade, integridade e proteo de informaes im-
portantes durante operaes de transmisso e/ou transporte).
Modelos Abrangentes de Governana de TI 219
6.2.3.4 Direcionamento para medies
Talvez um dos maiores desafos das empresas seja visualizar o nvel de profun-
didade que deve ser adotado pelos mecanismos de controle e medies de de-
sempenho. Em primeiro lugar, necessrio defnir o que deve ser medido, como
e onde obter os dados e em que perspectiva os resultados devem ser agregados.
As empresas devem medir a situao atual, principalmente nos aspectos
onde alguma ao de melhoria necessria, e monitorar estas aes de forma
sistemtica. Finalmente, para decidir qual o ponto certo, deve-se analisar a
relao custo-benefcio do controle.
A abordagem do CobiT para questes como essas compreende:
Modelos de Maturidade: para cada processo de TI, estabelecido
um modelo de maturidade baseado em nveis
27
, atravs do qual uma
organizao poder ser avaliada como:
Nvel 0 (Inexistente): processos de gesto no so aplicados;
Nvel 1 (Inicial/Ad Hoc): processos so espordicos e desorgani-
zados, com abordagens de gesto aplicadas caso a caso.
Nvel 2 (Repetitivo mas Intuitivo): processos seguem um padro
de regularidade, com alta dependncia do conhecimento dos in-
divduos.
Nvel 3 (Defnido): processos so padronizados, documentados
e comunicados.
Nvel 4 (Gerenciado e Mensurvel): processos so monitorados
e medidos quanto conformidade com os procedimentos, e aes
so tomadas quando os resultados no so efetivos.
Nvel 5 (Otimizado): boas prticas so seguidas e automatizadas
com base em resultados de melhorias contnuas e de aes de mo-
delagem de maturidade junto a outras empresas.
Atravs destes modelos de maturidade, a gerncia tem condies de:
Mapear a situao atual da organizao.
Comparar com a situao das melhores organizaes no segmento
(benchmarking).
27 O modelo de maturidade padro do CobiT foi derivado do SW-CMM (Capability Maturity Model para
projetos de software, do Software Engineering Institute).
220 Implantando a Governana de TI 3 edio
Comparar com padres internacionais.
Estabelecer e monitorar passo a passo as melhorias dos processos
rumo estratgia da organizao.
Metas e Medies de Desempenho
28
: demonstram, em trs nveis,
o que o negcio espera da TI (metas de TI), o que o processo de TI
precisa entregar para suportar os objetivos da TI (metas de processo)
e o que precisa acontecer dentro do processo para que o desempenho
requerido seja atingido (metas de atividades). O CobiT usa dois tipos
de indicadores:
Medies de Resultados (Outcome Measures) defnem as medi-
es que informam gerncia se um processo de TI atingiu os
objetivos de negcio tambm denominadas lag indicators.
Indicadores de Desempenho (Performance Indicators) defnem
as medies que informam gerncia o quanto os processos de
TI esto sendo bem executados no sentido de viabilizar o aten-
dimento dos objetivos de negcio tambm denomimadas lead
indicators.
As metas so defnidas de forma que haja correlao entre elas, ou seja, as
metas de negcio devem determinar quantas e quais metas de TI iro suport-
-las e assim por diante.
Analogamente, as medies de resultados em um determinado nvel po-
dem se tornar indicadores de desempenho para o nvel superior. Por exem-
plo, a quantidade de incidentes causados por acesso no autorizado (medio
de resultado do processo) pode ser um indicador de desempenho ligado
meta de TI assegurar que os servios de TI resistam e possam se recuperar
de ataques.
6.2.3.5 Viso integrada do modelo
Em poucas palavras, o CobiT pode ser defnido em funo do princpio
bsico do seu framework: Recursos de TI so gerenciados por Processos de
TI para atingir Metas de TI, que, por sua vez, esto estreitamente ligadas aos
Requisitos do Negcio.
28 Os termos Outcome Measures e Performance Indicators substituram, respectivamente, as siglas
KGI (Key-Goal Indicator) e KPI (Key-Performance Indicators), utilizadas nas verses anteriores do CobiT.
Modelos Abrangentes de Governana de TI 221
Esta viso integrada pode ser visualizada atravs do Cubo CobiT,
ilustrado na Figura 6.5.
E
f
i
c

c
i
a
E
f
i
c
i

n
c
i
a
C
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d
e
I
n
t
e
g
r
i
d
a
d
e
D
i
s
p
o
n
i
b
i
l
i
d
a
d
e
C
o
n
f
o
r
m
i
d
a
d
e
C
o
n
f
i
a
b
i
l
i
d
a
d
e
S
i
s
t
e
m
a
s

A
p
l
i
c
a
t
i
v
o
s
I
n
f
o
r
m
a

o
I
n
f
r
a
e
s
t
r
u
t
u
r
a
P
e
s
s
o
a
s
P
r
o
c
e
s
s
o
s

d
e

T
I
Domnios
Processos
Atividades
o
h
n
e
p
m
e
s
e
D

e
d

s
e
r
o
d
a
c
i
d
n
I
(
"
l
e
a
d

i
n
d
i
c
a
t
o
r
s
"
)
s
o
d
a
t
l
u
s
e
R

e
d

s
e

i
d
e
M
(
"
l
a
g

i
n
d
i
c
a
t
o
r
s
"
)
R
e
c
u
r
s
o
s
d
e

T
I
Requisitos do Negcio

Figura 6.5 Cubo CobiT
Adaptado de IT Governance Institute (2007b)
6.2.3.6 Contedo dos processos de TI
Como integrantes principais do ncleo do CobiT, os processos de TI so
organizados na documentao do modelo de forma a mostrar uma viso com-
pleta sobre como devem ser controlados, gerenciados e medidos. Assim, cada
um dos 34 processos de TI descrito atravs de seus componentes inter-
-relacionados (ver Figura 6.6):
Descrio do processo, representada em forma de cascata, mostrando:
222 Implantando a Governana de TI 3 edio
Mapeamento do processo aos critrios de informao, reas-foco
de Governana de TI e Recursos de TI, medidos atravs de graus
de relacionamento (primrio impacto direto, secundrio in-
funcia indireta ou no aplicvel).
Sumrio das Metas de TI, de processo e de atividade mais impor-
tantes.
Sumrio das mtricas-chave para o processo.
Objetivos de controle detalhados (representando as atividades que os
decompem).
Diretrizes para gerenciamento:
Entradas e sadas.
Matriz de responsabilidades, associando os papis s atividades.
Metas de atividades, de processo e de TI.
Quadro relacionando as medies de resultados e indicadores de
desempenho s metas correspondentes.
Modelo de maturidade utilizado para avaliar o processo em relao
aos benchmarks preestabelecidos.
Figura 6.6 Inter-relacionamentos entre os componentes do CobiT
Fonte: IT Governance Institute (2007b)
Modelos Abrangentes de Governana de TI 223
6.2.3.7 Produtos CobiT complementares
Alm do documento principal CobiT 4.1, que rene o framework, as di-
retrizes de gerenciamento e os objetivos de controle, h outros produtos que
complementam o seu contedo, cada um com um foco especfco (ver site da
ISACA www.isaca.org), tais como:
Board Briefng on IT Governance: guia executivo que aborda o enten-
dimento da importncia da Governana de TI e das suas principais
caractersticas, assim como das responsabilidades da alta direo na
sua conduo.
Building the Business Case for CobiT and Val IT Executive Briefng:
mostra uma viso geral de casos de implantao do CobiT e Val IT
em empresas de diversos segmentos.
Information Security Governance: Guidance for Boards of Directors and
Executive Management, 2nd Edition: apresenta a segurana da infor-
mao nos termos do negcio, assim como ferramentas e tcnicas
para lidar com questes ligadas segurana da informao.
Implementing and Continually Improving IT Governance: fornece uma
abordagem para a implantao da Governana de TI.
CobiT Online: permite aos usurios customizar uma verso do Co-
biT para seu uso prprio, armazenar e manipular sua verso como
desejado. Oferece pesquisas, frequently asked questions, benchmarking
e um ambiente para facilitar a troca de experincias.
CobiT Training: oferece cursos relacionados ao CobiT, incluindo exames.
CobiT Quickstart: fornece uma base de controle para pequenas orga-
nizaes e orienta empresas maiores a darem os primeiros passos na
direo do controle dos seus processos.
CobiT Security Baseline: focaliza os passos principais para a imple-
mentao da segurana da informao em uma empresa, alinhada
com a norma ISO/IEC 17799.
CobiT mappings: mapas de correlao com outros modelos, tais como
CMMI, ITIL, PRINCE 2, PMBOK, ISO/IEC 17799 etc.
CobiT user guide for service managers: Tem por objetivo fornecer
um guia sobre como usar o CobiT no desempenho de um papel
particular.
224 Implantando a Governana de TI 3 edio
CobiT and application control: a management guide: Fornece orien-
tao para executives de negcio, gerentes de negcio, auditores de
TI, bem como para desenvolvedores e implementadores, auditores
internos e outros interessados.
CobiT Control Practices: fornece orientao sobre o valor dos contro-
les e como implement-los.
IT Assurance Guide- using CobiT: fornece diretrizes em alto nvel para
a conduo de iniciativas de teste e validao, visando garantir que
os objetivos de controle do CobiT estejam corretamente implemen-
tados.
IT Control Objectives for Sarbanes-Oxley: esta publicao fornece aos
CIOs, gerentes de TI e profssionais de auditoria e controle ideais de
avaliao e abordagens relativas aos controles internos de relatrios
fnanceiros.
Val IT: complementa o CobiT a partir de uma perspectiva fnanceira
e de negcios, fornecendo diretrizes para que as organizaes geren-
ciem o seu portflio de investimentos de negcio habilitados pela TI
e maximizem os resultados.
6.2.4 APlicAbilidAde do modelo
A partir do alinhamento com os requisitos de alto nvel do negcio e da
boa convivncia com outros padres e modelos de boas prticas existentes no
mercado, o CobiT cobre todo o conjunto de atividades de TI, concentrando-
-se mais em o que deve ser atingido em vez de como atingir, em termos
de governana, gesto e controle. Neste sentido, recomenda-se que o CobiT
seja utilizado no nvel estratgico, com o objetivo de delinear uma estrutura
de controle e gesto baseada em um modelo de processos que seja aplicvel
para toda a empresa.
Entre as vrias oportunidades de aplicao em uma organizao, podem
ser ressaltadas:
Avaliao dos processos de TI: a grande abrangncia do CobiT e o
alto grau de padronizao permite a sua utilizao como um checklist
para avaliar os pontos fortes e os pontos fracos dos seus processos,
servindo como subsdio para a proposio de aes de melhoria.
Modelos Abrangentes de Governana de TI 225
Auditoria dos riscos operacionais de TI: os processos podem ser ava-
liados em conjunto ou isoladamente, e as suas discrepncias em re-
lao aos padres analisadas em relao aos riscos que podem repre-
sentar para o negcio da empresa, em termos de sua probabilidade de
ocorrncia e da severidade do impacto.
Implementao modular da Governana de TI: prticas e padres
relativos a reas e processos especfcos podem ser mapeados para
os processos do modelo (mesmo que baseadas em outros modelos,
como ITIL, CMMI, PMBOK, etc.), de forma a criar uma estrutura
hierrquica de processos de gesto, reutilizando prticas e processos
j existentes.
Realizao de benchmarking: a existncia de modelos de maturidade
para cada processo de TI permite que uma organizao possa montar
uma estratgia baseada na sua situao atual em termos de Governan-
a de TI, utilizando como parmetros de comparao dados de outras
empresas best-in-class, ou padres internacionais de mercado, e esta-
belecendo suas prprias metas de crescimento e melhoria contnua.
Qualifcao de fornecedores de TI: como j acontece com o mercado
de desenvolvimento de software (atravs de modelos como CMMI),
o modelo de maturidade do CobiT tambm pode ser utilizado como
qualifcador na contratao de servios de TI, ou mesmo no estabe-
lecimento de nveis de servio dentro de uma organizao. A gran-
de vantagem da utilizao deste modelo a padronizao, ou seja,
a utilizao dos mesmos critrios para avaliar processos em diversas
organizaes.
Como modelo de Governana de TI, o CobiT pode ser aplicado tanto em
pequenas organizaes como em grandes empresas de TI, desde que esteja
consistente com os objetivos de negcio e com as suas estratgias relacionadas
TI. A implantao de padres e boas prticas pode ser mais bem-sucedida
se for aplicada como um conjunto de princpios e como um ponto de partida
para a adaptao dos processos de TI da empresa, em vez de uma soluo
pronta para todos os problemas. Apesar de estar estreitamente relacionado
ao conceito de auditoria, o framework do CobiT pode ser utilizado de forma
gradual, em conformidade com um planejamento estratgico que estabelea
prioridades para a implementao ou melhoria dos processos de TI.
226 Implantando a Governana de TI 3 edio
Em relao ao pblico-alvo dentro de uma organizao, o CobiT aplic-
vel a usurios com diferentes focos:
Gesto Executiva: fornece orientao acerca da obteno de retorno
sobre os investimentos em TI, auxiliando a balance-los com os riscos
inerentes ao ambiente de TI.
Gesto do Negcio: auxilia a obter maiores garantias sobre o gerenciamen-
to dos servios de TI, prestados por colaboradores internos ou terceirizados.
Gesto de TI: Auxilia a prover os servios de TI adequados para su-
portar a estratgia do negcio, de forma controlada e gerenciada.
Auditores: fornece embasamento para suas concluses e orientao
para a gesto dos controles internos.
6.2.5 benefcios do modelo
A forma atravs da qual o CobiT est estruturado favorece muito o enten-
dimento dos processos de TI e, consequentemente, fornece um excelente guia
para a sua implementao ou melhoria nas organizaes, assim como para a
avaliao da maturidade atual dos processos existentes. A utilizao sistemti-
ca do CobiT como um modelo de gesto poder trazer vrios benefcios para
uma organizao, tais como:
Responsabilidades e protocolos de comunicao bastante claros, tor-
nando a circulao de informaes mais direta e precisa entre os gru-
pos interessados em vrios nveis.
Viso clara acerca da situao atual dos processos de TI e de seus
pontos de vulnerabilidade.
Reduo da exposio a riscos (obviamente, caso sejam tomadas aes
de melhoria preventivas em relao aos pontos negativos dos processos).
Maior solidez e assertividade no planejamento encadeado das aes
de melhoria, devido ao entendimento das dependncias entre os pro-
cessos e dos recursos necessrios a serem envolvidos.
Alta visibilidade, por parte de todos os nveis da organizao, acerca
do impacto dos esforos de melhoria nos processos de TI e dos seus
refexos nos processos de negcio, atravs das medies de resultados
e dos indicadores de desempenho.
Modelos Abrangentes de Governana de TI 227
Reduo dos custos operacionais e de propriedade do acervo de TI
(aplicativos, infraestrutura).
Melhoria da imagem perante os clientes, atravs do aumento do
grau de satisfao e da confabilidade em relao aos servios de
TI.
Em suma, utilizando o CobiT, uma organizao poder estabelecer
bases mais slidas para um melhor retorno sobre os investimentos em
TI.
Recentemente, foi formada pela ISACA uma fora-tarefa para determinar
se h a necessidade de um esquema formal de avaliao baseado no CobiT
4.1. Esta fora-tarefa decidiu adotar a ISO/IEC 15504, que o padro para
avaliao de processos, e recomendou que os processos Cobit possam ser ava-
liados com base em um esquema formal de avaliao, visando melhorar o
rigor e a confabilidade de avaliaes de processos.
Em 2011, foi publicado o Process Assessment Model (PAM), cuja fnalidade
fornecer uma base para a avaliao dos processos de TI de uma organizao,
tendo como referncia o CobiT 4.1 e a ISO/IEC 15504.
6.3. o frAmework vAl it
6.3.1 histrico do modelo
Este modelo foi desenvolvido como resposta necessidade de demons-
trao do retorno que a TI fornece para o negcio, visto que, na maioria das
vezes, os executivos de negcio no conseguem visualizar o retorno dos inves-
timentos de TI para o negcio.
Quem est frente da iniciativa o IT Governance Institute (ITGI), que
reuniu representantes de empresas e da academia para desenvolver o modelo,
considerando tanto metodologias j existentes como emergentes e o desenvol-
vimento de pesquisas.
O modelo foi publicado para uso da comunidade de TI em 2006 e, em
2008, foi publicada a sua verso 2.0.
228 Implantando a Governana de TI 3 edio
6.3.2 objetivos do modelo
Os objetivos do Val IT so:
Auxiliar a gerncia para assegurar que as organizaes obtenham o
mximo de retorno dos investimentos em TI para suporte ao negcio,
a um custo razovel e com um nvel de risco conhecido e aceitvel.
Prover diretrizes, processos e prticas de apoio para subsidiar a Dire-
toria e a gesto executiva no entendimento e no desempenho dos seus
respectivos papis, em relao aos investimentos de TI.
O Val IT pode ser considerado um modelo que estende e complementa o
CobiT, uma vez que aborda a tomada de decises em relao aos investimen-
tos em TI e a realizao efetiva dos benefcios, enquanto o CobiT tem foco
na execuo.
6.3.3 estruturA do modelo
De acordo com o IT Governance Institute (2008), os princpios norteado-
res do Val IT so:
Investimentos de TI sero gerenciados como um portflio de inves-
timentos.
Investimentos de TI incluiro o conjunto completo de atividades que
so requeridas para atingir o valor para o negcio.
Investimentos em TI sero gerenciados atravs do seu ciclo de vida
econmico.
Prticas de entrega de valor reconhecero que h diferentes tipos de
investimentos, os quais sero avaliados e gerenciados diferentemente.
Prticas de entrega de valor defniro e monitoraro mtricas chaves e
respondero rapidamente a quaisquer mudanas ou desvios.
Prticas de entrega de valor envolvero todos os interessados relevantes
e atribuiro responsabilidades pelo resultado de forma apropriada para
a entrega das capacitaes e a realizao dos benefcios para o negcio.
Prticas de entrega de valor sero continuamente monitoradas, ava-
liadas e melhoradas.
Modelos Abrangentes de Governana de TI 229
O modelo formado por quatro domnios e 22 processos. O modelo tam-
bm apresenta a rgua de maturidade em relao a cada um dos seus dom-
nios.
A Figura 6.7 mostra o esquema do modelo.
Estabelecer uma liderana
informada e comprometida
Alinhar e integrar a gesto
do valor ao planejamento
financeiro da organizao
Definir e implementar
processos
Estabelecer o
monitoramento efetivo da
governana
Definir as caractersticas do
portfolio
Aperfeioar continuamente
as prticas da gesto do
valor
Estabelecer a direo
estratgica e o mix de
investimentos alvos
Avaliar e selecionar
programas para receber
fundos
Determinar a
disponibilidade e fontes
dos fundos
Monitorar e comunicar o
desempenho do portfolio
de investimento
Gerenciar a disponibilidade
de recursos humanos
Otimizar o desempenho do
portfolio de investimento
Entender o programa
candidato e opes de
implementao
Desenvolver em detalhe o
Business Case do
programa candidato
Desenvolver o plano do
programa
Lanar e gerenciar o
programa
Desenvolver os custos e
benefcios do ciclo de vida
Atualizar os portfolios
operacionais de TI
Atualizar o Business Case
Monitorar e comunicar
sobre o programa
Encerrar o programa
Desenvolver e avaliar o
Business Case inicial do
programa
GOVERNANA DO
VALOR (VG)
GERENCIAMENTO
DO PORTFOLIO
(PM)
GERENCIAMENTO
DO
INVESTIMENTO
(IM)
Figura 6.7 Modelo Val IT
Fonte: IT Governance Institute (2008)
Os domnios preconizados pelo modelo so:
Governana do Valor (VG): estabelece o framework de governana,
incluindo a defnio de portflio requerido para gerenciar investi-
mentos e os servios de TI resultantes, ativos e recursos.
Gerenciamento do Portflio (PM): estabelece o direcionamento es-
tratgico para os investimentos, as caractersticas do portflio de in-
vestimento e as restries de recursos e fundos a partir das quais as
decises sobre o portflio tm que ser feitas.
Gerenciamento do Investimento (IM): defne os programas poten-
ciais baseado em requisitos do negcio, determina se devem ser con-
230 Implantando a Governana de TI 3 edio
siderados para anlise posterior e desenvolve os Business Cases para os
programas de investimentos candidatos para avaliao pelo gerencia-
mento do portflio.
Para o modelo, as prticas gerenciais so caractersticas de processos bem-
-sucedidos.
O domnio de Governana do Valor contm seis processos:
VG1 Estabelecer uma liderana informada e comprometida: estabe-
lecer uma liderana informada e comprometida em um frum de lide-
rana e uma subordinao do CIO conforme a importncia da TI para
a organizao. Desenvolver um entendimento adequado dos elementos
chaves da governana e abordagens claras na estratgia da empresa para
TI. Assegurar o alinhamento e a integrao do negcio com a TI.
VG2 Defnir e implementar processos: defnir um framework de go-
vernana para a gesto do valor de TI, incluindo os processos de suporte.
Avaliar a qualidade e cobertura dos processos atuais, defnir os requisitos
dos futuros processos de forma que forneam o controle e a visibilidade
necessria e permitir ligaes ativas entre estratgia, portflio, programas
e projetos. Estabelecer as estruturas organizacionais e implementar os
processos considerando os papis e as responsabilidades correspondentes.
VG3 Defnir as caractersticas do portflio: defnir os diferentes
tipos de portflio. Defnir as categorias em cada portflio, incluindo
seu peso relativo. Desenvolver e comunicar como essas categorias se-
ro avaliadas comparativamente e de forma transparente. Defnir os
requisitos para os pontos de reviso para cada categoria.
VG4 Alinhar e integrar a gesto do valor ao planejamento fnanceiro
da organizao: rever as prticas atuais de elaborao do oramento da
organizao, identifcar e, subsequentemente, implementar as mudan-
as necessrias para o emprego de prticas de planejamento fnanceiro e
gesto de valor, visando facilitar a preparao de Business Cases, a toma-
da de deciso sobre investimentos e a gesto dos investimentos.
VG5 Estabelecer o monitoramento efetivo da governana: identi-
fcar as mtricas e metas de resultado para o gerenciamento dos pro-
cessos de gesto do valor a serem monitorados, bem como identifcar
abordagens, mtodos, tcnicas e processos para capturar e comunicar
as informaes sobre essas medies. Estabelecer como os desvios ou
Modelos Abrangentes de Governana de TI 231
problemas sero identifcados e monitorar e comunicar os resultados
das aes de remediao.
VG6 Aperfeioar continuamente as prticas de gesto do valor:
rever as lies aprendidas da gesto do valor. Planejar, iniciar e moni-
torar as mudanas necessrias para aperfeioar a gesto do valor e os
processos de gerenciamento do portflio e do investimento.
O domnio de Gerenciamento do Portflio contm seis processos:
PM1 Estabelecer a direo estratgica e um mix de investimentos
alvos: rever e assegurar, claramente, a estratgia do negcio e identifcar
e comunicar oportunidades para TI infuenciar ou apoiar a estratgia.
Defnir um mix apropriado de investimentos baseado em taxa de retor-
no, grau de risco e tipos de benefcios para os programas no portflio
que implementam a estratgia. Ajustar a estratgia do negcio quando
necessrio e traduzi-la para a estratgia e os objetivos de TI.
PM2 Determinar a disponibilidade e fontes de fundos: determinar
as fontes potenciais de fnanciamento para os programas, os nveis de
fnanciamentos que podem ser obtidos e os mtodos necessrios para
obt-los. Determinar as implicaes da fonte de fnanciamento sobre
as expectativas de retorno.
PM3 Gerenciar a disponibilidade de recursos humanos: criar e
manter os recursos humanos do negcio e da TI. Entender a deman-
da atual e futura por recursos humanos para apoiar os investimentos
apoiados em TI e identifcar restries e escassez. Criar e manter pla-
nos tticos para o gerenciamento de RH. Monitorar e rever os planos
e as estruturas organizacionais e ajustar quando necessrio.
PM4 Avaliar e selecionar programas para receber fundos: avaliar
os Business Cases dos programas, atribuir um score, tomar decises e
comunic-las com base na viso geral do portflio de investimento
e nos scores individuais de cada programa. Subsequentemente, alocar
os fundos, revisar os programas em seus pontos de controle, mover
os programas selecionados para o portflio de investimentos ativos,
ajustando as metas, as previses e o oramento do negcio.
PM5 Monitorar e comunicar o desempenho do portflio de inves-
timento: fornecer uma viso abrangente e exata do desempenho do
portflio de investimento, no tempo requerido, de forma a permitir
232 Implantando a Governana de TI 3 edio
revises do progresso em relao s metas do negcio por parte dos
stakeholders chaves.
PM6 Otimizar o desempenho do portflio de investimento: rever
periodicamente o desempenho do portflio de investimento e otimi-
zar para novas oportunidades, sinergias e mudanas de riscos. Aps
a otimizao, rever contra a estratgia do negcio e o mix de investi-
mentos e fazer nova priorizao dos programas, se necessrio.
O domnio de Gerenciamento do Investimento contm dez processos:
IM1 Desenvolver e avaliar o Business Case inicial do programa: reco-
nhecer oportunidades de investimento, classifcar essas oportunidades
de acordo com as categorias do portflio e identifcar o patrocina-
dor do negcio. Clarifcar os resultados esperados para o negcio e
fornecer uma viso de alto nvel para todas as iniciativas requeridas
para atingir os resultados e como podem ser medidos. Fornecer uma
estimativa inicial de benefcios e de custos, bem como as premissas e
os principais riscos, e obter a concordncia formal dos stakeholders.
Determinar se a oportunidade merece um Business Case detalhado,
considerando o alinhamento com a estratgia, benefcios e gastos, li-
mitaes de recursos e aderncia ao portflio de investimento.
IM2 Entender o programa candidato e opes de implementao:
envolver todos os stakeholders chaves para desenvolver e documentar
um completo entendimento dos resultados esperados para o negcio
a partir do programa candidato, considerando como os resultados
sero medidos, o escopo total de cada iniciativa requerida para atingir
os resultados, os riscos envolvidos e o impacto em todos os aspectos
da organizao. Identifcar e avaliar cursos de ao alternativos para
obter os resultados para o negcio.
IM3 Desenvolver o plano do programa: defnir e documentar todos
os projetos requeridos para atingir os resultados do programa para o
negcio. Especifcar os requisitos de recursos e os mtodos de obt-
-los. Fornecer um cronograma que leve em considerao as interde-
pendncias entre os diversos programas.
IM4 Desenvolver os custos e benefcios do ciclo de vida: preparar
um oramento para o programa, com base nos custos do seu ciclo de
vida. Listar todos os benefcios intermedirios e fnais para o negcio
Modelos Abrangentes de Governana de TI 233
em uma lista de benefcios e planejar como sero obtidos. Identifcar e
documentar as metas de resultados esperadas, incluindo seu mtodo de
mensurao e abordagem de mitigao. Submeter oramentos, custos,
benefcios e planos associados para reviso, refnamento e aprovao.
IM5 Desenvolver, em detalhe, o Business Case do programa candi-
dato: desenvolver um Business Case abrangente e completo do pro-
grama, contemplando propsito, objetivos, abordagens e escopo,
dependncias, riscos, pontos de controle e impactos de mudanas
organizacionais. Incluir uma avaliao do valor, considerando o ci-
clo de vida do investimento em termos de custos e benefcios, taxa
de retorno esperada, alinhamento estratgico e principais premis-
sas. Fornecer tambm um plano do programa cobrindo os projetos
componentes, plano de realizao de benefcios, a abordagem para
o gerenciamento de riscos, gerenciamento da mudana e a estrutura
para o gerenciamento do programa. Atribuir responsabilidades pelo
atendimento aos benefcios, controle de custos, controle de riscos e
pela coordenao entre os mltiplos projetos. Obter concordncia e
aceitao das responsabilidades.
IM6 Lanar e gerenciar o programa: planejar, alocar recursos e comis-
sionar os projetos necessrios para atender aos resultados do programa.
Planejar recursos para projetos posteriores e liberar oramento somente
aps os estgios de reviso do programa. Gerenciar o desempenho do
programa contra critrios chaves, identifcar desvios do plano e tomar
aes de remedio imediatas. Monitorar o desempenho de cada pro-
jeto individualmente contra seus critrios, identifcar impactos poten-
ciais sobre o desempenho do programa e tomar aes de remedio
quando necessrio. Monitorar os benefcios durante o desenvolvimento
do programa, verifcando os benefcios obtidos at o ponto de reviso,
avaliar probabilidades de atendimento abaixo ou acima dos resultados
e comunicar o progresso dos benefcios a partir dos pontos de controle.
Iniciar aes corretivas a tempo para os desvios signifcantes do plano.
IM7 Atualizar os portflios operacionais de TI: refetir as mudanas
resultantes no programa de investimento sobre os servios relevantes
de TI, ativos e recursos.
IM8 Atualizar o Business Case: atualizar o Business Case do progra-
ma para refetir o status atual sempre que ocorrer qualquer mudana
em custos e benefcios projetados, riscos e oportunidades.
234 Implantando a Governana de TI 3 edio
IM9 Monitorar e comunicar sobre o programa: monitorar o de-
sempenho de todo o programa e de todos os projetos e comunicar
para os Comits Executivos apropriados, a tempo, na forma comple-
ta e exata, cobrindo a entrega de capacidades tcnicas e de negcio,
aspectos operacionais da entrega de servios, impacto sobre recursos,
resultados e benefcios obtidos para o negcio. A comunicao deve
incluir o desempenho do plano do programa em termos de crono-
grama e oramento, completude e qualidade de funcionalidades en-
tregues, o status de controles internos e da mitigao de riscos e a
manuteno da aceitao pelas responsabilidades.
IM10 Encerrar o programa: trazer o programa para seu encerra-
mento e remov-lo do portflio de investimento quando houver con-
cordncia das partes interessadas de que os benefcios foram alcan-
ados ou que no sero alcanados com os critrios de avaliao do
programa.
A rgua de maturidade do modelo similar utilizada pelo CobiT.
6.3.4 APlicAbilidAde do modelo
Este modelo demonstra claramente as seguintes aplicaes:
O planejamento e a gesto de investimentos em TI.
A gesto de programas de investimento em TI.
A gesto do portflio de TI.
A implementao de um processo para o planejamento e a gesto de
investimentos e do portflio de TI.
Acreditamos que o Val IT umas das peas que faltam em TI para que ela
demonstre o valor que gera para o negcio.
Entretanto, a implantao de seus processos demanda uma mudana cul-
tural bastante intensa, alm de mtodos e tcnicas analticas sobre itens de
informao (por exemplo, dados de custos dos atributos dos processos empre-
sariais, dados de concorrentes, da indstria) relevantes para o negcio e para
a operao de TI e que envolvem uma cadeira organizacional de responsabi-
Modelos Abrangentes de Governana de TI 235
lidades relativamente complexa. A Tabela 6.3 apresenta as responsabilidades
pelas atividades, conforme preconizado pelo Val IT.
Atividade
Responsabilidade pela
prestao de contas
Responsabilidade pela execuo
Governana de Valor
Estabelecer uma liderana
informada e comprometida
Board CEO (Chief Executive Offcer)
Defnir e implementar processos CEO CFO (Chief Financial Offcer) e
CEO
Defnir as caractersticas do
portflio
Board CEO, CFO e CIO
Alinhar e integrar a gesto do valor
ao planejamento fnanceiro da
organizao
Board CFO
Estabelecer o monitoramento
efetivo da governana
Board CFO
Aperfeioar continuamente as
prticas de gesto de valor
Board Executivos e gerentes do negcio
Gerenciamento do Portflio
Estabelecer a direo estratgica e
o mix de investimentos
Board e CIO CEO, CFO e CIO
Determinar disponibilidade e fontes
de fundos
CFO CFO, CIO e gerncias do negcio
Gerenciar a disponibilidade de
recursos humanos
Gerncia do negcio Gerente do programa e CIO
Avaliar e selecionar programas
para receber fundos
Gerncia executiva Comit de investimentos e servios
e VMO
Monitorar e comunicar o
desempenho do portflio de
investimentos
VMO (Value Management Offcer) VMO
Otimizar o desempenho do portflio
de investimento
Gerncia executiva Comit de investimentos e
gerncias de negcios
Gerenciamento do investimento
Desenvolver e avaliar o Business
Case inicial do programa
Patrocinador do negcio Gerncia de negcios
Entender o programa candidato e
desenvolver o plano do programa
Patrocinador do negcio Gerente do programa
236 Implantando a Governana de TI 3 edio
Atividade
Responsabilidade pela
prestao de contas
Responsabilidade pela execuo
Gerenciamento do investimento
Desenvolver os custos e benefcios
do ciclo de vida
Patrocinador do negcio Gerente do programa
Desenvolver em detalhe o
Business Case do programa
Patrocinador do negcio Gerente do programa, CFO e CIO
Lanar e gerenciar o programa Gerente do programa Gerncia de negcios e CIO
Atualizar os portflios operacionais
de TI
CIO Gerente do programa e Escritrio
de gerenciamento do programa
Atualizar o Business Case Patrocinador do negcio Gerente do programa, CFO e CIO
Monitorar e comunicar sobre o
programa
Patrocinador do negcio Gerente do programa
Tabela 6.3 Responsabilidades sobre a gesto do valor
Do ponto de vista da Governana de TI, o Val IT complementar ao
nosso modelo e ao CobiT e tambm pode ser usado para avaliar o retorno de
todo tipo de iniciativas de implementao de processos de TI baseados nas
melhores prticas, tais como CMMI, ITIL, PMBOK etc.
6.3.5 benefcios do modelo
Atualmente, um dos grandes problemas para o CIO demonstrar o valor
dos investimentos em TI. Muitas vezes um investimento necessrio para
responder a um crescimento vegetativo do negcio (ou seja, o valor manter
o negcio sustentado) ou para mitigar riscos (que uma coisa que depende
muito da cultura organizacional de cada organizao). Em ambos os casos, os
executivos do negcio no entendem por que gastar tanto dinheiro com TI.
Acreditamos que a implantao desses processos deve ser precedida de uma
estratgia de educao dos executivos de negcio. No um processo unilate-
ral da TI, como pode ser visto na tabela de responsabilidades.
O entendimento dos executivos de negcio acerca da TI, seu potencial e
seu impacto no negcio facilitaria a implantao desse modelo.
Podemos vislumbrar os seguintes benefcios com a utilizao do modelo
Val IT:
Modelos Abrangentes de Governana de TI 237
Aumenta o entendimento e a transparncia dos custos, riscos e bene-
fcios dos investimentos de TI.
Aumenta a probabilidade da seleo dos melhores investimentos, ou
seja, aqueles que trazem maiores benefcios e retorno para o negcio.
Aumento da possibilidade de sucesso dos investimentos.
Obteno de maior controle sobre a realizao dos benefcios dos
investimentos de TI.
Investimentos alinhados com a estratgia da empresa.
Possibilidade de alinhar rapidamente os investimentos face s mu-
danas no negcio.
O CIO consegue demonstrar o valor dos investimentos em TI.
A comunicao entre TI e negcio fca facilitada.
6.4. o frAmework risk it
6.4.1 histrico do modelo
Este modelo foi desenvolvido como parte da iniciativa de riscos de TI da
ISACA, e para o seu desenvolvimento foram consultados vrios especialistas
ao redor do globo. O modelo dedicado a auxiliar no gerenciamento de riscos
relacionados a TI e um complemento do CobiT.
A primeira verso do modelo foi publicada em 2009.
6.4.2 objetivos do modelo
Os objetivos do modelo so:
Integrar o gerenciamento de risco de TI com o Sistema de Geren-
ciamento de Riscos da Organizao (Enterprise Risk Management
ERM).
Tomar decises bem informadas sobre a extenso dos riscos, assim
como sobre a tolerncia e o apetite por riscos da organizao.
Entender como responder aos riscos.
238 Implantando a Governana de TI 3 edio
6.4.3 estruturA do modelo
De acordo com ISACA (2009), os princpios fundamentais do modelo so:
A efetiva governana dos riscos de TI est sempre conectada aos ob-
jetivos do negcio:
O risco de TI tratado como um risco do negcio, em vez de ser
um tipo de risco separado, e a abordagem abrangente e multi-
funcional.
O foco est no resultado do negcio. A TI apoia o atingimento
dos objetivos do negcio, e os riscos so expressos em termos do
impacto que tm sobre o atendimento dos objetivos ou da estra-
tgia do negcio.
Toda anlise de riscos contempla uma anlise de dependncia do
processo de negcio em relao a recursos de TI, tais como aplica-
es, infraestrutura, servios e pessoas.
O gerenciamento de riscos de TI um habilitador do negcio e
no um inibidor. O risco de TI deve ser visto sob dois ngulos:
protege contra a destruio do valor e permite a criao de valor
(risco positivo).
A efetiva governana dos riscos de TI alinha o gerenciamento dos
riscos relacionados a TI com o Sistema de Gerenciamento de Riscos
da organizao:
A quantidade de riscos com que a empresa est disposta a lidar
claramente defnida.
O processo de tomada de deciso da organizao considera o con-
junto completo de consequncias e oportunidades em funo dos
riscos de TI.
O apetite por riscos de TI da organizao refete sua flosofa de
gerenciamento de riscos e infuencia a sua cultura e o seu estilo
operacional.
A viso de risco integrada para toda a organizao.
Existe atestao e aprovao do ambiente de controle.
A efetiva governana dos riscos de TI faz o balanceamento dos custos
e benefcios para gerenciar os riscos de TI:
Os riscos so priorizados e tratados em linha com o apetite e a
tolerncia aos riscos.
Modelos Abrangentes de Governana de TI 239
Controles so implementados para tratar dos riscos baseados em
uma anlise de custo-benefcio.
Os controles existentes so fortalecidos ou alavancados para tratar
de mltiplos riscos ou trat-los de forma mais efciente.
A gesto efetiva dos riscos de TI promove uma comunicao aberta e
honesta sobre os riscos de TI:
Informao transparente, aberta, exata e no tempo requerido so-
bre os riscos de TI compartilhada e serve como base para a to-
mada de deciso relacionada aos riscos de TI.
Consideraes, princpios e mtodos de gerenciamento de riscos
so integrados por toda a organizao.
Constataes tcnicas so traduzidas em termos de negcio.
A gesto efetiva dos riscos de TI estabelece o tom correto da alta admi-
nistrao, enquanto defne e refora a responsabilidade por operar as
atividades da organizao dentro de limites conhecidos de tolerncia:
Pessoas-chave, infuenciadores, responsveis pelos negcios e a
Direo Executiva esto engajados no gerenciamento de riscos.
As responsabilidades sobre a propriedade do risco esto claramen-
te defnidas e aceitas, com o direcionamento sendo demonstrado
atravs de polticas e procedimentos, e do nvel correto de reforo.
Uma cultura de conscientizao para os riscos promovida a par-
tir da Alta Administrao, assegurando que aqueles que esto en-
volvidos com a gesto operacional dos riscos trabalhem dentro
das premissas estabelecidas.
Decises sobre riscos so tomadas por pessoas autorizadas com o
foco na gesto do negcio (por exemplo, investimentos em TI,
fnanciamento de projetos, mudanas signifcativas no ambiente
de TI, avaliaes de riscos, monitoramento e testes dos controles).
A gesto efetiva dos riscos de TI promove a melhoria contnua e
parte das atividades dirias:
Em virtude da natureza dinmica do risco, o gerenciamento de
riscos um processo iterativo e permanente.
dada ateno a mtodos consistentes de avaliao, papis e res-
ponsabilidades, ferramentas tcnicas e critrios por toda a orga-
nizao, em especial: identifcao dos processos-chave e riscos
associados, entendimento dos impactos sobre os resultados do
negcio e identifcao de gatilhos que indicam quando o fra-
mework ou seus componentes devem ser atualizados.
240 Implantando a Governana de TI 3 edio
As prticas de gerenciamento de riscos so priorizadas e embuti-
das nos processos de tomada de deciso.
As prticas de gerenciamento de riscos so diretas e fceis de usar
e contm elementos para detectar ameaas e riscos potenciais,
preveni-los e mitig-los.
Para o modelo, as categorias de riscos de TI so:
Riscos para a agregao de benefcios/valor pela TI: associados com
a perda de oportunidades de uso da TI para melhorar a efcincia e
efccia dos processos de negcio ou para promover novas iniciativas
de negcio.
Riscos para a entrega de projetos e programas de TI: associa-
dos com a contribuio da TI para melhorar o negcio ou para
o desenvolvimento de novas solues, na forma de programas e
projetos.
Riscos para a entrega de operaes e servios de TI: associados
com todos os aspectos de desempenho dos sistemas e servios
de TI, que podem trazer a reduzir ou mesmo destruir o valor da
empresa.
Para o modelo, Risco de TI : o risco do negcio associado com uso, pro-
priedade, operao, envolvimento, infuncia e adoo da TI dentro da em-
presa e consiste de eventos e condies relacionados com a TI que podem ter
potencial para impactar o negcio.
A Figura 6.8 mostra que os riscos de TI se relacionam com todos os demais
riscos da organizao.
Risco da Organizao
RISCOS RELACIONADOS COM TI
Risco Ambiental
Risco de
Mercado
Risco de
Crdito
Risco
Operacional
Risco
Estratgico
Riscos para Entrega de
Operaes e Servios
Riscos para Entrega de
Programas e Projetos
Riscos para Agregao
de Benefcios/Valor
Risco de
Compliance
Figura 6.8 Relacionamento entre os riscos da organizao
Adaptado de: ISACA (2009)
Modelos Abrangentes de Governana de TI 241
O modelo estruturado em atividades chaves, processos e domnios.
A Figura 6.9 mostra o esquema do modelo.
Figura 6.9 Framework de Riscos de TI
Adaptado de: ISACA (2009)
Assim como o CobiT, o Risk IT Framework tambm composto por um
Guia Gerencial, um quadro RACI (Responsible, Accountable, Consulted and
Informed) e um esquema de mtricas e entradas e sadas dos processos e mo-
delo de maturidade.
Agora vamos detalhar um pouco mais os processos de cada domnio.
242 Implantando a Governana de TI 3 edio
O domnio de Governana do Risco composto por trs processos e de-
zesseis atividades:
RG1 Estabelecer e manter uma viso comum dos riscos: assegurar
que as atividades de gerenciamento de riscos estejam alinhadas com
a capacidade da organizao de lidar com perdas relacionadas TI e
com a tolerncia subjetiva das lideranas ao risco. Este processo tem
as seguintes atividades:
RG1.1 Realizar a avaliao dos riscos da organizao.
RG1.2 Propor limites para a tolerncia aos riscos de TI.
RG1.3 Aprovar a tolerncia aos riscos de TI.
RG1.4 Alinhar a poltica de riscos de TI.
RG1.5 Promover uma cultura de conscientizao para os riscos
de TI.
RG1.6 Encorajar uma comunicao efetiva sobre os riscos de
TI.
RG2 Integrar com o Sistema de Gerenciamento de Riscos da Or-
ganizao: integrar a estratgia e as operaes de riscos de TI com
as decises estratgicas sobre riscos que so tomadas no mbito da
organizao. Este processo tem como atividades:
RG2.1 Estabelecer e manter as responsabilidades pelo gerencia-
mento dos riscos de TI.
RG2.2 Coordenar as estratgias de risco de TI e da organizao.
RG2.3 Adaptar as prticas de risco de TI s prticas de riscos da
organizao.
RG2.4 Prover recursos adequados para o gerenciamento de riscos.
RG2.5 Auditar de forma independente o gerenciamento dos
riscos de TI.
RG3 Tomar decises de negcios conscientes dos riscos: Assegurar
que as decises da organizao considerem todas as oportunidades e
consequncias da dependncia do sucesso da TI. Este processo tem as
seguintes atividades:
RG3.1 Obter o apoio da administrao para a abordagem de
anlise dos riscos de TI.
RG3.2 Aprovar a anlise dos riscos de TI.
Modelos Abrangentes de Governana de TI 243
RG3.3 Embutir consideraes de riscos de TI na tomada das
decises estratgicas de negcio.
RG3.4 Aceitar os riscos de TI.
RG3.5 Priorizar as atividades de resposta ao risco.
O domnio de Avaliao do Risco composto por trs processos e quatorze
atividades.
RE1 Coletar dados: obter dados relevantes para identifcao, anli-
se e comunicao dos riscos. Este processo tem as seguintes atividades:
RE1.1 Estabelecer e manter um modelo para a coleta de dados.
RE1.2 Coletar dados no ambiente operacional.
RE1.3 Coletar dados sobre eventos de risco.
RE1.4 Identifcar fatores de risco.
RE2 Analisar o risco: coletar informaes teis para apoiar as deci-
ses relativas a riscos que levem em considerao os fatores de riscos
relevantes para o negcio. Este processo tem as seguintes atividades:
RE2.1 Defnir o escopo da anlise do risco.
RE2.2 Estimar o risco de TI.
RE2.3 Identifcar opes de resposta ao risco.
RE2.4 Realizar um peer review na anlise dos riscos de TI.
RE3 Manter o perfl do risco: manter um inventrio completo e
atualizado de todos os riscos e atributos conhecidos, recursos de TI,
capacidades e controles, no contexto dos produtos, processos e servi-
os do negcio. Este processo tem as seguintes atividades:
RE3.1 Mapear os recursos de TI que apoiam os processos de
negcio.
RE3.2 Determinar a criticidade dos recursos de TI para o ne-
gcio.
RE3.3 Entender as capacidades da TI.
RE3.4 Atualizar os componentes dos cenrios de riscos de TI.
RE3.5 Manter os registros e o mapa de riscos de TI.
RE3.6 Desenvolver indicadores de riscos de TI.
244 Implantando a Governana de TI 3 edio
O domnio de Resposta ao Risco composto por trs processos e treze
atividades.
RR1 Articular os riscos: assegurar que as informaes sobre a reali-
dade das exposies ao risco e as oportunidades estejam disponveis,
no tempo adequado, para as pessoas corretas, para que haja uma res-
posta apropriada. Este processo tem as seguintes atividades:
RR1.1 Comunicar os resultados da anlise dos riscos.
RR1.2 Comunicar as atividades de gerenciamento dos riscos e a
situao de conformidade.
RR1.3 Interpretar os resultados das auditorias independentes
de TI.
RR1.4 Identifcar as oportunidades relacionadas TI.
RR2 Gerenciar os riscos: assegurar que as iniciativas para aproveitar
oportunidades e reduzir os riscos sejam gerenciadas como um portf-
lio. Este processo tem as seguintes atividades:
RR2.1 Inventariar os controles.
RR2.2 Monitorar o alinhamento operacional com os limites de
tolerncia aos riscos.
RR2.3 Responder s exposies a riscos e oportunidades iden-
tifcadas.
RR2.4 Implementar controles.
RR2.5 Comunicar o progresso do plano de ao para os riscos.
RR3 Reagir aos eventos: assegurar que as iniciativas para aproveitar
oportunidades ou para limitar as perdas com os eventos relacionados
TI sejam ativadas em tempo hbil e sejam efetivas. Este processo
tem as seguintes atividades:
RR3.1 Manter planos de respostas a incidentes.
RR3.2 Monitorar o risco de TI.
RR2.3 Iniciar respostas aos incidentes.
RR2.4 Comunicar lies aprendidas a partir dos eventos de risco.
A rgua de maturidade do modelo similar preconizada pelo CobiT.
Modelos Abrangentes de Governana de TI 245
6.4.4 APlicAbilidAde do modelo
Em organizaes altamente integradas (internamente e externamente)
com apoio de TI, a gesto dos riscos que a TI representa para o negcio
um imperativo, apesar de ser um aspecto da gesto, na maioria das vezes,
negligenciado.
Nas instituies fnanceiras e em grandes corporaes brasileiras, po-
dem ser encontrados sistemas avanados de gerenciamento de riscos cor-
porativos. Os riscos de TI so considerados riscos corporativos. Em alguns
modelos, o foco o atendimento de requisitos de compliance externos
como a Sarbanes-Oxley, limitando o gerenciamento de riscos de TI a esses
requisitos.
A implantao de um sistema de gerenciamento de riscos de TI, assim
como de riscos corporativos, requer uma mudana cultural signifcativa den-
tro das organizaes.
Difcilmente ser possvel implantar um sistema de avaliao de riscos de
TI sem que haja integrao com a gesto dos riscos corporativos. Apesar de o
modelo ser bastante compreensvel, de difcil implantao para a maioria das
organizaes, pois quem deve liderar essa mudana a Alta Administrao.
Acreditamos, porm, que o nvel de envolvimento do CIO na implantao
fundamental, pois pode comear a infuenciar seus gerentes e os executivos
de negcio a considerarem os riscos de TI para o desempenho da organizao.
Obviamente, o principal executivo de TI deve necessariamente ter acesso
Alta Administrao para que isto ocorra. Na realidade, esta uma jornada de
longo prazo.
A Tabela 6.4 d uma ideia acerca dos envolvimentos necessrios e da forma
como o modelo preconiza as responsabilidades sobre o gerenciamento dos riscos.
Atividade
Responsabilidade pela
prestao de contas
Responsabilidade pela
execuo
Governana do Risco
Realizar a avaliao dos riscos da
organizao.
CEO CRO (Chief Risk Offcer) e CIO
Propor limites para a tolerncia
aos riscos de TI.
Gerentes de negcio CIO
246 Implantando a Governana de TI 3 edio
Atividade
Responsabilidade pela
prestao de contas
Responsabilidade pela
execuo
Aprovar a tolerncia aos riscos
de TI.
Board Comit de Riscos da organizao
Alinhar a poltica de riscos de TI. CEO CRO, CIO, CFO, gerentes de
negcios, donos de processos,
recursos humanos e funes de
controle de riscos
Promover uma cultura de
conscientizao para os riscos
de TI.
Board
CEO, CRO, CIO, CFO, gerentes
de negcios, donos de processos,
recursos humanos, funes de
controle de riscos, compliance e
auditoria e o Comit de Riscos
Encorajar uma comunicao
efetiva sobre os riscos de TI.
Gerentes de negcio
Board, CEO, CRO, CIO, CFO,
Comit de Riscos, donos dos
processos, funes de controle
de riscos, recursos humanos e
compliance e auditoria
Estabelecer e manter as
responsabilidades pelo
gerenciamento dos riscos de TI.
Board CEO, CRO, CIO e CFO
Coordenar as estratgias de risco
de TI e da organizao.
Board CEO, CIO e gerentes de negcio
Adaptar as prticas de risco
de TI s prticas de riscos da
organizao.
CIO
CIO e funes de controle de
risco
Prover recursos adequados para
o gerenciamento de riscos.
Board
CEO, CIO e donos dos
processos de negcio
Auditar de forma independente o
gerenciamento dos riscos de TI.
Board Board
Obter o apoio da administrao
para a abordagem de anlise dos
riscos de TI.
CRO
CRO e funes de controle de
riscos
Aprovar a anlise dos riscos. Comit de Riscos da organizao
CRO e donos dos processos de
negcio
Embutir consideraes de riscos
de TI na tomada das decises
estratgicas de negcio.
CIO
CIO e funes de controle de
riscos
Modelos Abrangentes de Governana de TI 247
Atividade
Responsabilidade pela
prestao de contas
Responsabilidade pela
execuo
Aceitar os riscos de TI. Gerentes de negcio
CIO, Comit de Riscos e donos
dos processos de negcio
Priorizar as atividades de
resposta ao risco.
CRO
CIO, donos dos processos de
negcio e funes de controle
de risco
Avaliao do Risco
Estabelecer e manter um modelo
para a coleta de dados.
CRO CRO
Coletar dados no ambiente
operacional.
CRO CRO
Coletar dados sobre eventos de
risco.
CRO CIO
Identifcar fatores de risco. CRO
CIO e funes de controle de
riscos
Defnir o escopo da anlise do
risco.
Gerentes de negcio
CRO, gerentes de negcio,
dono do processo de negcio e
funes de controle de riscos
Estimar o risco de TI. Gerentes de negcio
Comit de Riscos, dono do
processo de negcio e funes
de controle de riscos
Identifcar opes de resposta
ao risco.
Gerentes de negcio
Comit de Riscos, dono do
processo de negcio e funes
de controle de riscos
Realizar um peer review na
anlise dos riscos de TI.
CRO CRO
Mapear os recursos de TI que
apoiam os processos de negcio.
Gerentes de negcio CIO e gerentes de negcio
Determinar a criticidade dos
recursos de TI para o negcio.
Gerente de negcios
CIO e dono do processo de
negcio
Entender as capacidades da TI. CIO CIO
Atualizar os componentes dos
cenrios de riscos de TI.
Dono do processo de negcio
CIO e funes de controle de
risco
248 Implantando a Governana de TI 3 edio
Atividade
Responsabilidade pela
prestao de contas
Responsabilidade pela
execuo
Manter os registros e o mapa de
riscos de TI.
CRO
CIO e dono do processo de
negcio
Desenvolver indicadores de
riscos de TI.
CRO Funes de controle de risco
Resposta ao Risco
Comunicar os resultados da
anlise dos riscos.
Gerente de negcio
CRO, donos dos processos de
negcio e funes de controle de
riscos
Comunicar as atividades de
gerenciamento dos riscos e a
situao de conformidade.
Comit de Riscos CIO
Interpretar os resultados das
auditorias independentes de TI.
CRO CRO e CIO
Identifcar as oportunidades
relacionadas TI.
Gerente do negcio
CIO, donos do processo de
negcio e funes de controle de
riscos
Inventariar os controles. CRO
CRO e funes de controle de
riscos
Monitorar o alinhamento
operacional com os limites de
tolerncia aos riscos.
Gerente do negcio
Dono do processo e funes de
controle de riscos
Responder s exposies
a riscos e oportunidades
identifcadas.
CEO CIO e gerente de negcio
Implementar controles. CEO CIO e gerente de negcio
Comunicar o progresso do plano
de ao para os riscos.
Dono do processo de negcio CIO
Manter planos de respostas a
incidentes.
Dono do processo de negcio
CIO e funes de controle de
riscos
Monitorar o risco de TI. Dono do processo de negcio
Funes de controle de risco e
compliance/auditoria
Iniciar respostas aos incidentes. Dono do processo de negcio
Gerente do negcio e funes de
controle de risco
Comunicar lies aprendidas a
partir dos eventos de risco.
CRO
CRO, CIO e funes de controle
de riscos
Tabela 6.4 Matriz de responsabilidades no gerenciamento dos riscos
Modelos Abrangentes de Governana de TI 249
6.4.5 benefcios do modelo
Os principais benefcios da aplicao do modelo na organizao so, de
acordo com a ISACA:
Reduzir perdas para a organizao em funo de um evento de risco
que tenha impacto na sua operao de gerao de produtos e servios.
Reduzir perdas para a organizao em funo do no investimento
em novas oportunidades com o apoio da TI.
Prover um guia abrangente para o gerenciamento dos riscos relacio-
nados TI.
Entender como capitalizar sobre um investimento j realizado no sistema
de controles internos para o gerenciamento dos riscos relacionados TI.
Entender como o gerenciamento de riscos relacionados TI permite
a efcincia dos processos de negcio, melhora a qualidade e reduz
perdas e custos.
Integrar o gerenciamento de risco com o ERM (Enterprise Risk Ma-
nagement System) da organizao.
Fornecer uma linguagem comum acerca de riscos para toda a organizao.
Promover as responsabilidades pelos riscos em toda a organizao.
Entender o perfl completo de risco da organizao e sua exposio ao
risco, de forma a utilizar melhor os recursos da organizao.
A implantao do gerenciamento de risco na organizao, que, in-
tegrada com o seu ERM, fornece indicativos para o mercado da boa
governana corporativa, aumentando assim seu valor (benefcio iden-
tifcado pelos autores deste livro).
250 Implantando a Governana de TI 3 edio
6.5 A integrAo entre os modelos
A Figura 6.10 apresenta a viso da ISACA (2009) acerca da integrao
entre o Risk IT, o Val IT e o CobiT.
Gerenciamento do
Risco
Gesto dos
Processos de TI
Eventos
Relacionados a TI
Gerenciamento do
Valor
Identificar Riscos
e
Oportunidades
RISK IT VAL IT
COBIT

Figura 6.10 Integrao Risk IT, Val IT e CobiT
Adaptado de: ISACA (2009)
De acordo com a ISACA, esta integrao ocorre da seguinte forma:
O Risk IT fornece os elementos para a governana dos riscos, sua
identifcao, gerencia e comunica o risco, porm o CobiT estabelece
os controles necessrios para a TI mitigar os riscos.
Quando o risco identifcado uma oportunidade para a TI melhorar
processos, alinhar-se a mudanas ou mesmo implementar iniciativas
de mitigao, entra em cena o Val IT, pois ele estabelece os proces-
sos necessrios para a anlise dos investimentos, fornecendo para o
Modelos Abrangentes de Governana de TI 251
gerenciamento dos riscos os elementos de retorno do investimento
das iniciativas, de forma que possa verifcar se vale a pena ou no
implement-las (supondo que uma iniciativa de mitigao tivesse um
custo para o seu ciclo de vida maior do que a exposio ao risco, no
valeria a pena investir nela).
As aes de mitigao geralmente recaem sobre a melhoria dos pro-
cessos de TI preconizados pelo CobiT.
6.6 certificAes isAcA
Existem quatro programas avanados de certifcao profssional, patro-
cinados pela ISACA, relacionados aos preceitos do CobiT (todos os exames
exigem comprovao de experincia anterior):
CISA (Certifed Information Systems Auditor): destinado a avaliar o
grau de profcincia e excelncia nas disciplinas de auditoria, controle
e segurana em TI. Este exame tem sido considerado um dos mais
efcazes instrumentos de certifcao em mbito global.
CISM (Certifed Information Security Manager): destinado aos profs-
sionais especialistas, que trabalham no planejamento, gerenciamento,
acompanhamento e execuo de atividades relacionadas segurana
da informao em uma organizao. Este exame avalia a viso global
do profssional sobre o tema, com foco em cinco assuntos: governan-
a de segurana da informao, gesto de riscos, gesto de programas
de segurana da informao, gesto de segurana da informao e
gesto de respostas a eventos.
CGEIT (Certifed in the Governance of Enterprise IT): esta certifcao
visa reconhecer os indivduos que possuem conhecimentos, experi-
ncia e habilidades profssionais em nvel necessrio e sufciente para
maximizar a contribuio que a TI oferece para o atendimento aos
objetivos de negcio da organizao e, ao mesmo, tempo, gerenciar
e mitigar os riscos inerentes TI para o negcio. Este exame ava-
lia a profcincia e experincia do profssional nos seguintes temas:
framework de governana de TI, alinhamento estratgico, entrega de
valor, gerenciamento de risco, gerenciamento de recursos e gerencia-
mento do desempenho.
252 Implantando a Governana de TI 3 edio
CRISC (Certifed in Risk and Information Systems Control): certif-
cao projetada para profssionais que tm experincia prtica com
identifcao de risco, avaliao, resposta ao risco, monitoramento de
riscos, projeto e implantao de controle em sistemas de informao
e manuteno e monitoramento de controles em sistemas de infor-
mao, abrangendo o contedo dos frameworks CobiT e Risk IT.
Para obteno dessas certifcaes, os postulantes devem:
Passar em um exame especfco.
Demonstrar as qualifcaes e experincia profssionais requeridas,
fornecendo as evidncias de prtica conforme o tipo de certifcao.
Aderir formalmente ao Cdigo de tica da ISACA.
Aderir poltica de educao profssional continuada da ISACA (que
envolve uma quantidade mnima de horas anuais em treinamentos e
atividades de contribuio profsso).
Para a manuteno do certifcado, o postulante dever evidenciar 120
CPEs ao longo de trs anos. Isto demonstrado pela participao em ativi-
dades educacionais dos quais participa e atividades que demonstrem a sua
contribuio para a profsso, como ministrar cursos no tema, participar em
pesquisas da ISACA, etc.
Alm desses programas avanados, a ISACA tambm oferece o CobiT Foun-
dation, um modelo de certifcao profssional mais generalista, direcionado
queles que querem se familiarizar com os conceitos e processos presentes no
CobiT e tambm com os aspectos bsicos da sua implementao na prtica.
6.7 A evoluo do cobit
A ISACA tem como uma das suas flosofas melhorar continuamente seus
modelos relacionados Governana de TI.
Est prevista para o primeiro semestre de 2012 a publicao da verso 5.0
do CobiT
29
, que apresenta mudanas substanciais em relao verso atual,
conforme mostra a Figura 6.11.
29 Neste momento, em que estamos revisando esta terceira edio do livro (janeiro de 2012), a verso
encontra-se ainda em reviso fnal.
Modelos Abrangentes de Governana de TI 253
Estabelecer e
manter o sistema
de Governana
Assegurar a
otimizao de
recursos
Assegurar a
entrega de
valor
Assegurar a
gesto de
riscos
Comunicar aos
stakeholders
Monitorar e
avaliar o
desempenho
Monitorar e
avaliar
requisitos
externos
Monitorar e
avaliar
controles
Prover
garantia
Gerenciar a
organizao de TI
e recursos
humanos
Definir e gerenciar o
framework de controles
internos de TI
Gerenciar os
processos de
TI
Gerenciar riscos
relacionados a TI
Gerenciar
inovao e
tecnologias
emergentes
Gerenciar as
relaes com
o negcio
Definir a
estratgia
de TI
Gerenciar
acordos de
servios
Gerenciar a
arquitetura
corporativa
Gerenciar
finanas e
investimentos
Gerenciar a
qualidade
Gerenciar o
portflio
Gerenciar
programas e
projetos
Definir requisitos e
identificar solues
Gerenciar o
conhecimento
Permitir a
mudana
organizacional
Estabelecer e
manter solues
Aceitao e transio
da mudana
Gerenciar
mudanas
Gerenciar
disponibilidade e
capacidade
Gerenciar
operaes
Gerenciar
solicitaes e
incidentes
Gerenciar
fornecedores
Gerenciar e operar
controles de
processos de negcio
Gerenciar a
configurao
Gerenciar a segurana
Gerenciar a
continuidade
dos servios de
TI
Gerenciar
problemas
G1 G2 G3 G4 G5
APO1
APO2 APO3
APO4
APO5
APO6
APO7
APO8
APO9
APO10
APO11 APO12
BAI1
BAI2
BAI3
BAI4
BAI5
BAI6
BAI7
BAI8
DSM1
DSM2
DSM3
DSM4
DSM5
DSM6
DSM7
DSM8
MAI1
MAI2
MAI3
MAI4
Alinhar, Planejar e Organizar
Construir, Adquirir e Implementar
Entregar, Suportar e Manter
Monitorar,
Avaliar e
Informar
Processos para o Gerenciamento da TI da Organizao
Alinhamento
Processos para a Governana da TI da Organizao
Figura 6.11 CobiT 5.0 Framework
Adaptado de: ISACA (2010a)
De acordo com ISACA (2010a), so muitas novidades esperadas, a saber:
Conecta-se a outros modelos de referncia como ITIL e padres ISO.
Refora os outros modelos e padres como Risk IT, Val IT, Board
Briefng, Te Business Model for Information Security BMIS, Fra-
mework for IT Assurance etc.
Trata da governana e do gerenciamento da tecnologia da informao
de forma abrangente.
Inclui elementos conhecidos, como domnios e processos, prticas de
gerenciamento e matrizes RACI.
Apresenta uma srie de novos processos como gerenciar o conheci-
mento, gerenciar a inovao e tecnologias emergentes, gerenciar os
processos de TI, gerenciar o portflio, gerenciar e monitorar contro-
les de processos de negcio, permitir a mudana organizacional etc.
254 Implantando a Governana de TI 3 edio
Apresentar uma nova arquitetura de produtos tais como: CobiT 5
para risco, para valor, para recursos, para processos, para aplicaes,
para gerenciamento de pessoas, para segurana da informao, para
compliance, para projetos, para servios de TI etc.
Nossa anlise preliminar que a nova verso do framework tratar de temas
dos quais sentimos falta para uma gesto efetiva de TI, dentre eles a gesto
do conhecimento, a gesto da mudana organizacional e o gerenciamento das
relaes com o negcio, alm de reforar os processos especfcos de Gover-
nana de TI.
Para fnalizar este captulo, lembramos que a ISACA mantm vrios mo-
delos e padres adicionais relativos tecnologia da informao e que com-
plementam o tema Governana de TI, tais como padres para auditoria de
sistemas de informao, modelo de negcios para a segurana da informao
- BMIS, padres para controle de sistemas e um framework para garantia da
TI (ITAF).
7
7
modelos PArA gerenciAmento de
servios de ti
De acordo com a ITIL V3, um servio um meio de entregar valor aos
clientes, facilitando o atingimento dos resultados que os clientes desejam,
tirando deles a propriedade dos custos e riscos especfcos. Pela perspectiva
do cliente, a criao do valor de um servio uma funo de duas variveis: a
utilidade (possui o desempenho desejado ou reduo das restries de desem-
penho) e a garantia (disponibilidade, capacidade, continuidade e segurana
sufcientes para o uso).
O gerenciamento de servios pode ser defnido como um conjunto de
capacitaes organizacionais especializadas para fornecer valor aos clientes na
forma de servios, ou seja, de transformar recursos em servios valiosos. Tais
capacitaes podem ser vistas como processos e funes para gerenciar servi-
os ao longo do seu ciclo de vida.
Neste captulo, so apresentados, de forma resumida, os princpios e pro-
cessos de dois modelos que tm sido utilizados em todo o mundo como
base para a implementao de boas prticas de Gerenciamento de Servios
de TI: a ITIL (biblioteca de melhores prticas) e a ISO/IEC 20000 (nor-
ma aplicvel a organizaes que fornecem servios de TI). Alm disso, so
mencionados tambm o CMMI for Services e o MOF (Microsoft Operations
Framework).
256 Implantando a Governana de TI 3 edio
7.1 itil informAtion technology
infrAstructure librAry
7.1.1 histrico do modelo
A ITIL (Information Technology Infrastructure Library) foi desenvolvida
pelo CCTA (Central Computer and Telecommunications Agency) no fnal dos
anos 80, a partir de uma encomenda do governo britnico, que no estava
satisfeito com o nvel de qualidade dos servios de TI a ele prestado. Neste
cenrio, foi solicitado o desenvolvimento de uma abordagem de melhores
prticas para gerenciar a utilizao efciente e responsvel dos recursos de TI,
independentemente de fornecedores e aplicvel a organizaes com necessi-
dades tcnicas e de negcio distintas. Em abril de 2001, o CCTA foi incor-
porado ao OGC
30
(Ofce of Government Commerce), que hoje o organismo
responsvel pela evoluo e divulgao da ITIL.
A verso 3 da ITIL (denominada V3), lanada em maio de 2007, repre-
senta uma grande evoluo em relao verso anterior, pois organiza os
processos de gerenciamento de servios em uma estrutura de ciclo de vida de
servio. Alm disso, a ITIL V3 demonstra a maturidade que a disciplina de
gerenciamento de servios de TI adquiriu ao longo do tempo, trazendo e en-
fatizando conceitos como integrao da TI ao negcio, portflios dinmicos
de servios e mensurao do valor do negcio, e fornecendo uma base slida
para a convergncia com outros padres e modelos de gesto e governana,
tais como ISO/IEC 20000, CobiT, CMMI, PMBOK, eSCM-SP, etc.
Entre as extenses que a ITIL V3 traz em relao verso anterior, esto
estratgias de servios para modelos de sourcing e de compartilhamento de
servios, abordagens de retorno sobre o investimento (ROI) para servios,
prticas de desenho de servios, um sistema de gerenciamento de conheci-
mento sobre os servios e o gerenciamento de requisies.
Foi publicada pelo OGC uma atualizao
31
da ITIL V3, composta por
mudanas relativamente leves, visando sobretudo:
30 O OGC um rgo independente subordinado Secretaria-Chefe do Tesouro britnico, focado na
melhoria dos processos de contratao e gesto de servios privados pelo setor pblico.
31 Nesta terceira edio do livro, foi utilizada como fonte a ITIL V3, publicada com 2007, uma vez que a
atualizao da ITIL (2011) encontra-se em estado de maturao aps seu recente lanamento.
Modelos para Gerenciamento de Servios de TI 257
Corrigir alguns erros e inconsistncias identifcados no texto, nas f-
guras e nos relacionamentos entre os cinco livros.
Incorporar sugestes de melhoria e solues de problemas apresenta-
das pela comunidade (usurios, fornecedores e instrutores), analisa-
das e recomendadas pelo Comit de Controle de Mudanas e apro-
vadas pela OGC, no sentido de aumentar a clareza, a consistncia, a
preciso e a completude.
Revisar o livro de Estratgia de Servio para tornar a explicao de
alguns conceitos mais clara, concisa e acessvel.
7.1.2 objetivos do modelo
A ITIL um agrupamento das melhores prticas utilizadas para o geren-
ciamento de servios de tecnologia de informao de alta qualidade, obtidas
em consenso aps dcadas de observao prtica, pesquisa e trabalho de pro-
fssionais de TI e processamento de dados em todo o mundo. Devido sua
abrangncia e profundidade, a ITIL tem se frmado continuamente como um
padro mundial de fato para as melhores prticas para o gerenciamento de
servios de TI.
Como um framework, o principal objetivo da ITIL prover um conjun-
to de prticas de gerenciamento de servios de TI testadas e comprovadas
no mercado (organizadas segundo uma lgica de ciclo de vida de servios),
que podem servir como balizadoras, tanto para organizaes que j possuem
operaes de TI em andamento e pretendem empreender melhorias quanto
para a criao de novas operaes. A adoo das prticas da ITIL pretende
levar uma organizao a um grau de maturidade e qualidade que permita o
uso efcaz e efciente dos seus ativos estratgicos de TI (incluindo sistemas de
informao e infraestrutura de TI), sempre com o foco no alinhamento e na
integrao com as necessidades dos clientes e usurios.
A ITIL V3, com a sua abordagem de ciclo de vida, permite que se tenha
uma viso do gerenciamento de servios pela perspectiva do prprio servio,
em vez de focar em cada processo ou prtica por vez. Esta caracterstica reala
mais um importante objetivo, que mensurar e gerenciar o valor que os ser-
vios de TI efetivamente adicionam ao negcio.
Nesta edio, devido retirada recente dos exames da ITIL V2 do merca-
do, faremos referncia ITIL V3 simplesmente como ITIL.
258 Implantando a Governana de TI 3 edio
7.1.3 estruturA do modelo
7.1.3.1 Viso geral do modelo
A ITIL pode ser considerada uma fonte de boas prticas utilizada pelas
organizaes para estabelecer e melhorar suas capacitaes em gerenciamento
de servios.
O Ncleo da ITIL composto por cinco publicaes (conforme mostra a
fgura 7.1), cada uma delas relacionada a um estgio do ciclo de vida do ser-
vio, contendo orientaes para uma abordagem integrada de gerenciamento
de servios
32
:
Figura 7.1 O Ncleo da ITIL
Adaptado de OGC (2007a)
32 Em conformidade com os requisitos da norma ISO/IEC 20000.
Modelos para Gerenciamento de Servios de TI 259
Estratgia do Servio: orienta sobre como as polticas e processos de
gerenciamento de servio podem ser desenhadas, desenvolvidas e im-
plementada como ativos estratgicos ao longo do ciclo de vida de
servio. Entre os tpicos abordados nesta publicao, esto os ativos
de servio, o catlogo de servios, gerenciamento fnanceiro, geren-
ciamento do portflio de servios, desenvolvimento organizacional,
riscos estratgicos etc.
Desenho do Servio: fornece orientao para o desenho e desenvol-
vimento dos servios e dos processos de gerenciamento de servios,
detalhando aspectos do gerenciamento do catlogo de servios, do
nvel de servio, da capacidade, da disponibilidade, da continuidade,
da segurana da informao e dos fornecedores, alm de mudanas
e melhorias necessrias para manter ou agregar valor aos clientes ao
longo do ciclo de vida de servio.
Transio do Servio: orienta sobre como efetivar a transio
de servios novos e modificados para operaes implementadas,
detalhando os processos de planejamento e suporte transio,
gerenciamento de mudanas, gerenciamento da configurao e
dos ativos de servio, gerenciamento da liberao e da distribui-
o, teste e validao de servio, avaliao e gerenciamento do
conhecimento.
Operao do Servio: descreve a fase do ciclo de vida do gerencia-
mento de servios que responsvel pelas atividades do dia a dia,
orientando sobre como garantir a entrega e o suporte a servios
de forma efciente e efcaz e detalhando os processos de gerencia-
mento de eventos, incidentes, problemas, acesso e de execuo de
requisies.
Melhoria Contnua do Servio: orienta, atravs de princpios, pr-
ticas e mtodos de gerenciamento da qualidade, sobre como fazer
sistematicamente melhorias incrementais e de larga escala na qua-
lidade do servio, nas metas de efcincia operacional, na continui-
dade do servio etc., com base no modelo PDCA preconizado pela
ISO/IEC 20000.
Os processos da ITIL encontram-se distribudos entre os cinco estgios,
conforme a Tabela 7.1 (note que todos os processos de Entrega de Servios e
Suporte a Servios da verso anterior permanecem no modelo).
260 Implantando a Governana de TI 3 edio
Publicaes Processos Funes
Estratgia do servio - Gerenciamento Financeiro de TI.
- Gerenciamento do Portflio de Servios.
- Gerenciamento da Demanda.
Desenho do Servio - Gerenciamento do Catlogo de Servios.
- Gerenciamento do Nvel de Servio.
- Gerenciamento da Capacidade.
- Gerenciamento da Disponibilidade.
- Gerenciamento da Continuidade do Servio.
- Gerenciamento da Segurana da Informao.
- Gerenciamento de Fornecedores.
Transio do Servio - Gerenciamento de Mudanas.
- Gerenciamento de Ativos de Servio e da
Confgurao.
- Gerenciamento da Liberao e Distribuio.
- Validao e Teste do Servio.
- Avaliao.
- Gerenciamento do Conhecimento.
Operao do Servio - Gerenciamento de Eventos.
- Gerenciamento de Incidentes.
- Execuo de Requisies.
- Gerenciamento de Problemas.
- Gerenciamento do Acesso.
- Central de Servios.
- Gerenciamento Tcnico.
- Gerenciamento das Operaes
de TI.
- Gerenciamento de Aplicaes.
Melhoria Contnua do
Servio
- Relato do Servio.
- Medio do Servio.
Tabela 7.1 Processos e Funes da ITIL
A seguir, descreveremos sucintamente alguns dos aspectos importantes de
cada estgio do ciclo de vida de servio, na viso da ITIL.
7.1.3.2 Estratgia do Servio
Esta publicao defne os princpios bsicos que norteiam o gerenciamento
de servios, mostrando como uma organizao pode transform-lo em um
ativo estratgico e orientando como esta pode operar e crescer com sucesso a
longo prazo. Algumas questes comuns relacionadas a como implementar o
gerenciamento de servios so abordadas, tais como:
Quais servios oferecer e para quem?
Como se diferenciar dos competidores?
Modelos para Gerenciamento de Servios de TI 261
De que forma possvel criar o conceito de valor de servio, fazendo-o
circular efetivamente entre os grupos interessados e os clientes?
Como gerenciar os aspectos fnanceiros dos servios?
Como defnir a qualidade do servio e como melhor-la?
Como alocar recursos de forma efciente atravs de um portflio de
servios e como resolver confitos de demanda entre eles?
7.1.3.2.1 Conceitos e princpios da Estratgia do Servio
Uma das propriedades importantes de um servio deve ser a sua capacida-
de de encapsulamento, ou seja, de isolar dos clientes a sua complexidade es-
trutural, detalhes tcnicos e operaes de baixo nvel, expondo a eles somente
a sua interface de utilizao. Um servio tambm pode ser considerado um
sistema fechado (no qual os resultados tm infuncia na sua realimentao)
ou aberto (no qual o fuxo de resoluo unidirecional).
Recursos e capacitaes so considerados ativos de servio de uma organiza-
o e constituem a base para a criao de valor para o servio. Como recursos,
podem ser considerados itens como pessoas, informao, aplicaes, infraestru-
tura e capital fnanceiro. Capacitaes so desenvolvidas ao longo do tempo e
podem incluir gerenciamento, organizao, processos, conhecimento e pessoas.
A ITIL considera que os provedores de servios podem ser internos (reas
da prpria organizao, menos arriscadas e fexveis), unidades de servios
compartilhados (risco e fexibilidade mdios) ou externos (mais arriscado e
fexveis). As estruturas de servio evoluram da cadeia de valor bsica para o
de rede de valor, incorporando relacionamentos com fornecedores substitutos
e complementares, alm dos usuais entre o fornecedor, o provedor de servio,
o negcio e o cliente.
7.1.3.2.2 As etapas da estratgia do servio
A estratgia do servio pode ser desenvolvida atravs de quatro etapas:
Defnir o mercado: estabelecer a relao entre o servio e a estratgia (o
servio oferecido dentro de uma estratgia, ou vice-versa); entender o
cliente e as oportunidades embutidas nos seus resultados de sada espe-
rados (resultados no atingidos podem ser alvos de potenciais servios).
262 Implantando a Governana de TI 3 edio
Desenvolver as ofertas: a partir da descoberta do espao de mercado
a ser focado, defnir os servios com base na proposta de valor que
estes podem agregar aos ativos e resultados esperados dos clientes;
estabelecer o Portflio de Servios (que representa os compromissos
e investimentos feitos por um provedor de servios para todos os
clientes e espaos de mercado) e os Catlogos de Servio (a parte
do portflio visvel para o cliente e que gera receita). A fgura 7.2
mostra os principais elementos de um portflio e de um catlogo
de servios
33
.
Figura 7.2 Elementos do Portflio de Servio e do Catlogo de Servios
Adaptado de OGC (2007a)
Desenvolver os ativos estratgicos: dentro da tica de um sistema
fechado, quando um provedor aumenta o potencial de um servio,
aumenta tambm o potencial de desempenho dos ativos dos clien-
tes atendidos; estes, por sua vez, promovem o aumento da demanda
pelo servio que ir reduzir a capacidade ociosa do provedor. Esta
lgica ressalta a importncia de tratar o gerenciamento de servios
como um ativo estratgico e desenvolver corretamente a rede de
valor.
Preparar para a execuo: avaliar estrategicamente as ofertas, estabe-
lecer objetivos, alinhar os ativos do servio com os resultados espe-
rados e com as necessidades dos clientes, defnir os fatores crticos
de sucesso, priorizar os investimentos e procurar formas de apoiar
o crescimento e a expanso do negcio, explorando o potencial dos
espaos de mercado atendidos.
33 O Pipeline de Servios contm os servios que esto em desenvolvimento para um determinado
cliente ou espao de mercado, prestes a serem liberados pelo processo de Transio de Servio.
Modelos para Gerenciamento de Servios de TI 263
7.1.3.2.3 Os processos da Estratgia do Servio
Alm do desenvolvimento da estratgia descrito anteriormente, so trs os
processos de gerenciamento de servios que fazem parte do escopo da estra-
tgia do servio:
Gerenciamento Financeiro: visa gerenciar o ciclo fnanceiro do Portf-
lio de Servios de TI de uma organizao, de forma a prover a sustenta-
o econmica necessria para a execuo dos seus servios. Conceitos
e mtodos efetivos tais como valorizao de servios, modelagem da
demanda e otimizao do portflio e do fornecimento de servios so
fundamentais para que seja possvel a quantifcao do valor dos ser-
vios de TI e dos ativos envolvidos na prestao destes servios, assim
como para que o planejamento fnanceiro seja confvel. As atividades
relacionadas contabilizao dos custos dos servios devem assegurar
a conformidade com os aspectos regulatrios aos quais a organizao
est sujeita. Questes como a estrutura de custos a ser adotada (centro
de custos, de lucro, de resultado, etc.) e a opo pela cobrana (ou
no) so decises chaves a serem tomadas pelo gestor de servios.
O Retorno sobre o Investimento (ROI) recebe ateno especial na ITIL,
como uma medida da habilidade de utilizar os ativos para a gerao de valor
adicional, ou seja, como uma forma de justifcar o investimento em servios.
O ROI pode ser calculado de forma pr-programada, ps-programada (retro-
ativa) ou mesmo para identifcar necessidades do negcio que dependem do
gerenciamento de servios.
Gerenciamento do Portflio de Servios: mtodo que visa governar os
investimentos em gerenciamento de servios atravs da empresa e geren-
ci-los para que adicionem valor ao negcio
34
. Este processo estabelece
que h duas categorias de servios: os servios de negcio (defnidos pelo
prprio negcio) e os servios de TI (fornecidos pela TI ao negcio, mas
que este no reconhece como dentro de seus domnios). Embora a linha
entre estes dois portflios de servios seja tnue, ambos podem ser ge-
renciados individualmente (dependendo da perspectiva de cada cliente),
mas sempre considerando as inter-relaes existentes.
34 Os mtodos de gerenciamento de portflio de servios, projetos e de TI so tcnicas que viabilizam a
governana. As diferenas entre eles esto nos detalhes de implementao.
264 Implantando a Governana de TI 3 edio
Gerenciamento da Demanda: visa gerenciar de forma sncrona os
ciclos de produo dos servios (que consomem demanda) e os
ciclos de consumo dos servios (que geram mais demanda). Por
exemplo, o aumento da quantidade de funcionrios do cliente cer-
tamente intensifcar a atividade do negcio, o que poder acar-
retar em crescimento da demanda de incidentes e requisies de
servios.
A anlise da dinmica do negcio poder permitir o estabelecimento de
padres de atividades de negcio e de perfs de usurios, que podem ser com-
binados para a composio de pacotes de servios customizados. Por exemplo,
pode haver um pacote especfco de servios para executivos seniores que via-
jam muito, necessitam fortemente de assistncia tcnica e precisam ter altssi-
ma disponibilidade 24 horas por dia para os assuntos de negcio. Estes con-
ceitos tm sido bastante utilizados por provedores de servios que oferecem
solues de full outsourcing de TI a seus clientes.
7.1.3.2.4 A infuncia da Estratgia do Servio na organizao
O desenvolvimento da estratgia deve levar em considerao o estilo de
gesto organizacional dominante na empresa, pois ele poder ser crucial
na concepo da estrutura organizacional mais adequada para o servio.
Estes estilos podem ser representados em estgios (similares a nveis de
maturidade):
1 Rede: entrega de servios rpida, informal e sob demanda (o de-
safo a liderana).
2 Diretivo: equipe habilidosa em gesto para dirigir a estratgia
e gerentes com responsabilidades funcionais (o desafo a auto-
nomia).
3 Delegao: mais poder para os gerentes (o desafo o controle).
4 Coordenao: uso de sistemas formais para melhorar a coordena-
o (o desafo a burocracia).
5 Colaborao: Forte sintonia com o negcio, maior fexibilidade,
com gerentes altamente habilitados em trabalho de equipe e resolu-
o de confitos.
Modelos para Gerenciamento de Servios de TI 265
Analogamente, a estratgia precisa estar aderente ao padro de departa-
mentalizao da empresa (por funo, produto, mercado/cliente, geografa,
processo, etc.), assim como cultura organizacional.
Ainda falando de organizao, um ltimo ponto de ateno a estratgia
de sourcing (caso esta seja uma possibilidade). Neste sentido, deve-se defnir o
que terceirizar, qual(is) estrutura(s) de sourcing a serem utilizadas (insourcing,
servios compartilhados, full outsourcing, contrato nico com subcontratados,
consrcio, outsourcing seletivo), se haver vrios fornecedores, quais sero as
interfaces, os papis e as responsabilidades, os fatores crticos de sucesso e o
modelo de governana a ser adotado
35
.
7.1.3.2.5 A implementao da estratgia no ciclo de vida do servio
A Estratgia do Servio est no corao do ciclo de vida do servio, repre-
sentando a grande fonte de requisitos para todas as demais disciplinas que a
implementam. A melhoria contnua do servio fornece realimentao para
todas as demais disciplinas, atravs das suas medies e avaliaes. A fgura
7.3 ilustra esta inter-relao entre as disciplinas da ITIL:
Implementao da Estratgia
Requisitos de
Desenho do Servio
Estratgia
do Servio
Desenho do
Servio
Transio
do Servio
Operao do
Servio
Melhoria
Contnua do
Servio
Requisitos de
Transio do Servio
Requisitos de
Operao do Servio
Medio e Avaliao
- Portfolio de Servios
- Catlogo de Servios
Medio e Avaliao
Figura 7.3 Sistema fechado de planejamento e controle para a estratgia
Adaptado de OGC (2007a)
35 Neste ponto, a ITIL recomenda a ISO/IEC 20000.
266 Implantando a Governana de TI 3 edio
A estratgia, entretanto, deve ser implementada dentro do espao de solu-
es delimitado pelas restries impostas pelo negcio, tais como utilidade,
garantia, capacidade mxima, preo, questes de licenciamento, padres e
regulaes, recursos, valores morais e ticos, etc.
Aspectos tecnolgicos tambm so importantes no desenho da estratgia,
notadamente as necessidades de automao dos servios, as interfaces entre
os servios habilitadas ou no por TI (desde processos manuais at canais de
autoatendimento) e as ferramentas a serem utilizadas (tais como simuladores,
modelos analticos, etc.).
7.1.3.3 Desenho do Servio
Este estgio do ciclo de vida tem como foco o desenho e a criao de ser-
vios de TI cujo propsito ser realizar a estratgia concebida anteriormente.
Atravs do uso das prticas, processos e polticas de TI vigente, os servios de-
vem ser construdos de forma a assegurar a qualidade da entrega, a satisfao
dos clientes, a efcincia dos custos e a facilidade de coloc-los em produo.
A ITIL defne o Desenho do Servio como o desenho de servios de TI
apropriados e inovadores, incluindo suas arquiteturas, processos, polticas e
documentao, para atender os requisitos do negcio atuais e futuros.
7.1.3.3.1 Aspectos bsicos do Desenho do Servio
Esta publicao descreve os princpios e fundamentos bsicos do Desenho
do Servio, abordando cinco aspectos importantes que precisam ser conside-
rados neste momento:
O desenho de um novo servio ou a alterao de um servio existente
deve ser encarado como o projeto de uma soluo completa, com
alto grau de aderncia aos requisitos estabelecidos pelo negcio. Tais
requisitos, assim como todos os recursos e capacitaes necessrias
para o servio, devem estar de acordo com a estratgia estabelecida
pela organizao.
Desenhar os sistemas e ferramentas de gerenciamento (principalmen-
te o Portflio de Servios), para que sejam capazes de apoiar os servi-
os em todos os momentos do ciclo de vida.
Modelos para Gerenciamento de Servios de TI 267
Desenhar as arquiteturas tecnolgicas e de gesto (servios, apli-
caes, dados/informao, infraestrutura e ambiente) para que te-
nham as capacitaes necessrias para operar os servios de forma
consistente.
Desenhar os processos e TI e de Gerenciamento de Servios, assim
como papis, responsabilidades e habilidades relacionados, para
que sejam capazes de operar, apoiar e manter os servios, assim
como criar ferramentas que permitam a integrao entre organi-
zaes.
Desenhar as mtricas e mtodos para medio da qualidade do pro-
cesso de desenho do servio, em termos do seu progresso, conformi-
dade (com requisitos corporativos, de governana, regulao), efc-
cia e efcincia.
Recomenda-se que os planos para o desenho, a transio e a operao des-
tes aspectos incluam abordagens para anlise de impacto tcnico, comercial e
organizacional, gerenciamento de riscos, da comunicao, empacotamento e
critrios de aceitao a serem aplicados sobre a entrega do servio, assim como
infuncias externas de outros modelos de referncia (CobiT, CMMI, ISO
27001, ISO 9001, ISO/IEC 20000, etc.).
Aps o desenho do servio, algumas atividades so necessrias ainda antes
do incio do estgio de Transio do Servio. Caso haja envolvimento de ou-
tros fornecedores, importante avaliar solues alternativas e providenciar a
obteno da soluo escolhida. O projeto (ou programa) de desenvolvimento
da soluo de servio deve considerar atividades de criao, ajuste ou reutili-
zao dos componentes do servio.
Neste sentido, a utilizao de abordagens como SOA (Service Oriented Ar-
chitecture) e BSM (Business Service Management) pode ser importante para
desenvolver servios de TI fexveis e reutilizveis, que possam ser comparti-
lhados por vrias reas de negcio, e para garantir que estes componentes de
TI estejam integrados aos objetivos do negcio. O modelo a ser utilizado para
o desenho e desenvolvimento do servio depende da escolha do modelo de
entrega do servio
36
.
36 Tais modelos envolvem estratgias de sourcing, tais como insourcing, outsourcing, co-sourcing, multi-
sourcing, BPO (Business Process Outsourcing), ASP (Application Service Provision) e KPO (Knowledge
Process Outsourcing).
268 Implantando a Governana de TI 3 edio
7.1.3.3.2 Os processos do Desenho do Servio
O estgio de Desenho do Servio suportado por um conjunto de sete
processos de Gerenciamento de Servios, descritos mais abaixo nesta seo. A
fgura 7.4 mostra como estes processos se encaixam dentro de uma viso mais
abrangente do Desenho do Servio.
Desenho
do Servio
Processos-chaves do
Desenho do Servio
Novos Requisitos
Estratgias e
restries
Pacote de Desenho
do Projeto
Novos servios
em operao
Estratgia
do Servio
Transio
do Servio
Operao
do Servio
Arquiteturas
Mtodos
de Medio
Portfolio de
Servios
Catlogo
de
Servios
Analisar requisitos,
documentar e
acordar
Desenhar a soluo
do servio
Avaliar solues
alternativas
Obter a soluo
preferida
Desenvolver a
soluo
Gerenc. do
Nvel de
Servio:
poltica, planos,
requisitos, ANSs,
ANOs, relatrios
Capacidade:
poltica, planos,
Sistema de Ger.
Capacidade,
relatrios,
dimensionamento,
previses
Disponibilidade:
poltica, planos,
critrios de desenho,
anlise de riscos,
Sistema de Ger.
Disponibilidade,
relatrios,
programaes
Continuidade:
poltica, planos,
anlise de impacto
no negcio, planos
de continuidade
(negcio e TI),
anlise de riscos,
relatrios,
programaes
Segurana:
poltica, planos,
anlise de riscos,
relatrios,
classificao,
controles
Fornecedor:
poltica, planos,
relatrios,
base de dados
de fornecedores
e contratos,
contratos
Gerenciamento
do Catlogo de
Servios
Gerenciamento
do Nvel de
Servio
Gerenciamento
da Capacidade
Gerenciamento
da
Disponibilidade
Gerenciamento
da Continuidade
do Servio de TI
Gerenciamento
daSegurana da
Informao
Gerenciamento
de Fornecedores
Insumos de processos de outras reas, incluindo: Gerenciamento de Eventos, Incidentes, Problemas, Execuo de Requisies, Acesso, Mudana,
Configurao, Conhecimento, Liberao e Distribuio (planejamento, avaliao de riscos, montagem e teste, aceitao), Finanas, Portfolio de
Servios,Demanda
Figura 7.4 Viso dos processos do estgio de Desenho do Servio
Adaptado de OGC (2007b)
Gerenciamento do Catlogo de Servios: garante uma fonte nica
de informaes consistentes e atualizadas sobre todos os servios que
esto operacionais e sobre aqueles que esto sendo preparados para
entrar em operao. O Catlogo de Servios tem duas subdivises:
Catlogo de Servios de Negcio: contm a viso do cliente sobre
os servios de TI e os seus relacionamentos com os processos e
estruturas organizacionais do negcio.
Catlogo de Servios Tcnicos: contm detalhes tcnicos de todos
os servios entregues ao cliente, e os seus relacionamentos com
Modelos para Gerenciamento de Servios de TI 269
os servios de suporte, itens de confgurao, componentes e ser-
vios compartilhados necessrios entrega do servio ao cliente.
Gerenciamento do Nvel de Servio: visa manter e melhorar a qualidade
dos servios de TI atravs de um ciclo contnuo de atividades envolven-
do planejamento, coordenao, elaborao, estabelecimento de acordo
de metas de desempenho e responsabilidades mtuas, monitoramento e
divulgao de nveis de servio (em relao aos clientes), de nveis opera-
cionais (em relao a fornecedores internos) e de contratos de apoio com
fornecedores de servios externos
37
. Este processo tambm responsvel
pela elaborao e manuteno de um Plano de Melhoria dos Servios
38
,
um programa com aes priorizadas de melhoria para os servios.
Gerenciamento da Capacidade: assegura que a capacidade da infra-
estrutura de TI absorva as demandas evolutivas do negcio de forma
efcaz e dentro do custo previsto, balanceando a oferta de servios em
relao demanda e otimizando a infraestrutura necessria presta-
o dos servios de TI.
Gerenciamento da Disponibilidade: visa assegurar que os servios de
TI sejam projetados para atender e preservar os nveis de disponi-
bilidade e confabilidade requeridos pelo negcio, minimizando os
riscos de interrupo atravs de atividades de monitoramento fsico,
soluo de incidentes e melhoria contnua da infraestrutura e da or-
ganizao de suporte.
Gerenciamento da Continuidade do Servio de TI: desdobramento
do processo de gerenciamento da continuidade do negcio, que visa
assegurar que todos os recursos tcnicos e servios de TI necessrios
(incluindo sistemas, redes, aplicaes, Central de Servios, suporte
tcnico, telecomunicaes etc.) possam ser recuperados dentro de um
tempo preestabelecido.
Gerenciamento da Segurana da Informao: abrange processos rela-
cionados garantia da confdencialidade, integridade e disponibilida-
de de dados, assim como segurana dos componentes de hardware
e software, da documentao e dos procedimentos. Desta forma, este
processo alinha a segurana da TI com a segurana do negcio e as-
37 Em ingls, SLA (Service Level Agreement), OLA (Operational Level Agreement) e UC (Underpinning
Contract).
38 Em ingls, SIP (Service Improvement Plan).
270 Implantando a Governana de TI 3 edio
segura que a segurana da informao seja gerenciada efetivamente
durante todo o ciclo de vida dos servios
39
.
Gerenciamento de Fornecedores: gerencia fornecedores e os contra-
tos necessrios para suportar os servios por eles prestados, visando
prover um servio de TI com qualidade transparente para o negcio,
assegurando o valor do investimento feito.
7.1.3.3.3 Atividades relacionadas tecnologia para o Desenho do
Servio.
Face s necessidades de desenho de arquiteturas tecnolgicas para o servi-
o, o estgio de Desenho do Servio poder envolver atividades relacionadas
a disciplinas tais como:
Engenharia de Requisitos: compreende o entendimento e a docu-
mentao dos requisitos dos usurios e dos negcios, alm da garantia
de rastreabilidade das mudanas em cada requisito
40
.
Gerenciamento de Dados e Informaes: aborda as formas de
planejamento, coleta, gerao, organizao, utilizao, controle,
divulgao e descarte de dados e informaes por parte de uma
organizao.
Gerenciamento de Aplicaes: envolve o ciclo de vida dos itens de
software responsveis por funcionalidades especfcas que suportam
diretamente a execuo de servios de TI e de processos de negcio.
7.1.3.3.4 A implementao do Desenho do Servio e suas implicaes
organizacionais e tecnolgicas
Para implementar os processos de Desenho do Servio, uma organizao
deve analisar o impacto no negcio, defnir os requisitos de nvel de servio,
avaliar os riscos, executar as atividades de implementao (propriamente di-
tas) e medir o processo.
39 Este processo substituiu a publicao Gerenciamento da Segurana da verso anterior da ITIL e
est totalmente alinhado com os preceitos da ISO 27001.
40 Este um ponto de convergncia com modelos familiares Engenharia de Software, tais como
CMMI, etc.
Modelos para Gerenciamento de Servios de TI 271
O Desenho do Servio traz a necessidade da defnio de uma matriz de
responsabilidades, na qual as atribuies de cada funo devem estar bastante
claras. Dentro do contexto do Gerenciamento de Servios de TI, despontam
funes como Gestor do Catlogo de Servios, Gestor do Nvel de Servio,
Gestor de Disponibilidade e assim por diante.
Analogamente, h a necessidade de aquisio ou desenvolvimento de fer-
ramentas para automatizar atividades de desenho do servio (processos, infra-
estrutura, software, etc.) e para aumentar a efccia, a efcincia, a segurana
e a qualidade do gerenciamento do servio, durante a sua operao contnua.
Obviamente, no basta somente ter as ferramentas, pois a dependncia de
processos e, principalmente, das pessoas um fator crtico para o sucesso da
sua implantao.
7.1.3.4 Transio do Servio
O estgio de Transio do Servio tem como principal objetivo colocar
no ambiente de produo, em plena operao, um servio que acabou de sair
do estgio de Desenho do Servio, garantindo o cumprimento dos requisitos
preestabelecidos de custo, qualidade e prazo e que haja impacto mnimo nas
operaes atuais da organizao.
Um processo de transio de servios, quando efetivo, agrega valor signif-
cativo a uma organizao provedora de servios, uma vez que assegura que os
novos servios possam ser utilizados de forma a maximizar o valor das opera-
es do negcio e, principalmente, demonstra a capacidade da organizao de
gerenciar mudanas em seus servios de forma consistente.
Entre as caractersticas importantes deste estgio do ciclo de vida de servi-
o, podem ser relacionadas:
Defnio de um Sistema de Gerenciamento da Confgurao, no
qual existe uma Base de Dados de Gerenciamento da Confgurao
integrada (que pode ser produto da unio de vrias bases e bibliotecas
de mdias locais), camadas de integrao de informao e de processa-
mento de conhecimento (em um nvel intermedirio) e uma camada
de apresentao.
Processos focados na gesto da mudana organizacional, no plane-
jamento e suporte transio, na validao, no teste e na avaliao
272 Implantando a Governana de TI 3 edio
dos servios a serem liberados para produo e no gerenciamento do
conhecimento acerca de todos os aspectos envolvidos na transio.
Defnio de um Sistema de Gesto do Conhecimento sobre Servios
como uma ferramenta poderosa para a tomada de decises mais rpi-
das e precisas acerca dos servios.
7.1.3.4.1 Princpios da Transio do Servio
A ITIL estabelece polticas explcitas formais focadas em aspectos impor-
tantes para o processo de transio, tais como:
Implementao de todas as mudanas no Portflio ou Catlogo de
Servios atravs do processo de transio.
Adoo de um framework comum e de padres conhecidos para me-
lhorar a integrao das partes envolvidas na transio.
Maximizao da reutilizao de processos e sistemas j existentes.
Integrao dos planos de transio s necessidades do negcio, visan-
do maximizar o valor das mudanas.
Gerenciamento dos relacionamentos com todas as partes interessadas
(stakeholders) nos servios.
Desenvolvimento de sistemas e processos para facilitar a transferncia
de conhecimento e o suporte s decises.
Planejamento dos pacotes de liberao e distribuio.
Antecipao e gerenciamento das correes de desvios identifcados
na transio.
Gerenciamento proativo de recursos atravs de vrias instncias do
processo de transio de servios.
Deteco antecipada de falhas (no incio do ciclo de vida do servio),
visando reduzir custos de correo.
Garantia da qualidade do processo de transio e do servio novo ou
alterado j em operao.
7.1.3.4.2 Os processos da Transio do Servio
Pode-se dizer que o estgio de Transio do Servio tem similaridade com
o ciclo de vida de um projeto, com produtos bem defnidos e data prevista
Modelos para Gerenciamento de Servios de TI 273
para acabar. Um dos processos importantes deste estgio o de Planejamento
e Suporte Transio, que visa planejar e coordenar os recursos necessrios
para colocar um servio novo ou modifcado no ambiente de produo, den-
tro do custo, do prazo e da qualidade estimados.
Para tal, deve-se, entre outras atividades, avaliar constantemente a adern-
cia dos planos de transio estratgia, integrar os planos junto ao cliente e
aos demais fornecedores, gerenciar progresso, mudanas, problemas, riscos
e desvios, alm de prover todos os envolvidos do suporte necessrio para o
cumprimento dos objetivos e trabalhar na monitorao e melhoria contnua
do desempenho do processo de transio.
Alm do processo de planejamento e suporte, o estgio de Transio do
Servio suportado por mais seis processos de Gerenciamento de Servios,
descritos a seguir nesta seo. A relao entre estes processos no mbito da
Transio do Servio pode ser visualizada na Figura 7.5.
Figura 7.5 O Escopo da Transio do Servio - Adaptado de OGC (2007c)
Gerenciamento de Mudanas: visa assegurar o tratamento sistemti-
co e padronizado de todas as mudanas ocorridas no ambiente ope-
274 Implantando a Governana de TI 3 edio
racional, minimizando assim os impactos decorrentes de incidentes/
problemas relacionados a estas mudanas na qualidade do servio e
melhorando, consequentemente, a rotina operacional da organizao.
Gerenciamento de Ativos de Servio e da Confgurao: abrange iden-
tifcao, registro, controle e verifcao de ativos de servio e itens de
confgurao (componentes de TI, tais como hardware, software e do-
cumentao relacionada), incluindo suas verses, componentes e in-
terfaces, dentro de um repositrio centralizado. Fazem parte tambm
do escopo deste processo a proteo da integridade dos ativos e itens
de confgurao ao longo do ciclo de vida do servio contra mudanas
no autorizadas e o estabelecimento e a manuteno de um Sistema de
Gerenciamento da Confgurao completo e preciso.
Gerenciamento da Liberao e da Distribuio: abrange o gerencia-
mento do tratamento de um conjunto de mudanas em um servio de
TI, devidamente auto rizadas (incluindo atividades de planejamento,
desenho, cons truo, confgurao e teste de itens de software e har-
dware), visando criar um conjunto de componentes fnais e implant-
-los em bloco em um ambiente de produo, de forma a adicionar
valor ao cliente, em conformidade com os requisitos estabelecidos na
estratgia e no desenho do servio.
Validao e Teste do Servio: relacionado garantia da qualidade de
uma liberao, incluindo todos os seus componentes de servio, os
servios resultantes e a capacitao do servio por ela viabilizada. Um
servio validado e testado est pronto para o uso dentro dos propsi-
tos para os quais foi desenhado e construdo.
Avaliao: visa criar meios padronizados e consistentes para avaliar
o desempenho de uma mudana no contexto de uma infraestrutura
de TI e servios j existente, confrontando-o com as metas previstas,
registrando e gerenciando os desvios encontrados.
Gerenciamento do Conhecimento: visa garantir que a informao
correta seja entregue no local apropriado, para uma pessoa que tenha
competncia para atuar no tempo certo, habilitando a tomada de
decises informadas. Para tal, a ITIL possui o conceito de Sistema de
Gerenciamento do Conhecimento sobre Servios, que pode ser visto
como uma base de conhecimento mais ampla, contendo informaes
tais como experincia da equipe, requisitos, habilidades e expectativas
dos fornecedores e parceiros, histrico de confguraes, etc.
Modelos para Gerenciamento de Servios de TI 275
So tambm atividades comuns ao estgio de Transio do Servio aquelas
relacionadas ao gerenciamento da comunicao e de compromissos assumi-
dos e ao gerenciamento da mudana organizacional, no mbito de todos os
stakeholders.
7.1.3.4.3 A Implementao da Transio do Servio e suas
implicaes organizacionais e tecnolgicas
A implementao dos processos de Transio do Servio em uma organiza-
o deve comear pela justifcativa da sua importncia estratgica para o neg-
cio (uma vez que eles no so visveis para o cliente), passando pelo desenho
de seus padres, polticas e relacionamentos e chegando institucionalizao
do processo, levando em considerao aspectos de mudana cultural, do en-
tendimento dos riscos e da medio de valor adicionado organizao.
A Transio do Servio acrescenta na matriz de responsabilidades mais al-
gumas funes, dentro do contexto do Gerenciamento de Servios de TI, tais
como Gestor da Confgurao, Gestor de Mudanas, Gestor de Ativos de
Servio, Gerente de Teste de Servio e assim por diante.
Tecnologicamente, h uma gama de ferramentas que podero apoiar a
Transio do Servio, tais como:
Sistema de Gerenciamento da Confgurao (incluindo a integrao
das bases de dados de gerenciamento da confgurao).
Ferramentas de colaborao e workfow.
Automao de testes, gerenciamento de massas de teste.
Automao de distribuio de liberaes de software e da logstica de
hardware.
Ferramentas de gesto do conhecimento, tais como dashboards, ge-
renciamento eletrnico de documentos, gesto de contedo, etc.
7.1.3.5 Operao do Servio
O estgio de Operao do Servio bastante crtico dentro do ciclo de vida
do servio, pois erros na conduo, no controle e na gesto das atividades do
dia a dia operacional podero comprometer totalmente a disponibilidade do
276 Implantando a Governana de TI 3 edio
servio, mesmo que ele tenha sido muito bem desenhado e que sua imple-
mentao em produo tenha sido um sucesso.
A Operao do Servio inclui em seu escopo todas as atividades recorren-
tes necessrias para entregar e suportar os servios. Seu objetivo coordenar
e executar tais atividades dentro dos nveis de servio estabelecidos com os
clientes.
Esta publicao da ITIL V3 possivelmente a mais familiar para os co-
nhecedores da verso anterior, pois abriga os processos mais conhecidos de
Suporte a Servios (gerenciamento de incidentes e problemas) e a funo
de Central de Servios. Entretanto, uma importante mudana foi a separao
dos conceitos de incidente, evento e requisio de servios, o que melhorou
signifcativamente o entendimento.
7.1.3.5.1 Princpios da Operao do Servio
Um dos maiores desafos deste estgio de Operao do Servio seguir
processos, funes e atividades que visam a regularidade da entrega dos ser-
vios nos nveis preestabelecidos, dentro de um ambiente sujeito a mudanas
frequentes e, muitas vezes, imprevisveis. Um dos papis da Operao do Ser-
vio encontrar um ponto de equilbrio entre conjuntos de prioridades total-
mente confitantes, para minimizar riscos. A tabela 7.2 ilustra estes confitos
e os riscos de pender para um dos lados.
Tema Posies Conflitantes Riscos nos Extremos
Visualizao
Viso externa do negcio (conjunto
de servios de TI)
Altos nveis de desempenho sem saber como
foram atingidos.
Visao interna de TI (conjunto de
componentes de tecnologia)
No atender os requisitos do cliente.
Compor-
tamento
Estabilidade Ignorar requisitos de mudana no negcio.
Responsividade Gastar demais em mudanas.
Foco
Foco em Custo
Perder qualidade do servio devido aos cortes
pesados de custos.
Foco em Qualidade
Gastar muito para entregar nveis de servios
maiores do que os estritamente necessrios.
Modelos para Gerenciamento de Servios de TI 277
Tema Posies Conflitantes Riscos nos Extremos
Atuao
Reatividade No suportar a estratgia do negcio.
Proatividade
Tendncia a ajustar servios que no esto com
problemas, aumentando a taxa de mudanas.
Tabela 7.2 Confitos a serem resolvidos pela Operao do Servio (e riscos associados aos extremos)
As equipes de Operao do Servio devem sempre estar conscientes de que
so provedoras de servios para o negcio e que uma das habilidades mais
importantes a serem exercidas a comunicao. O quanto antes a Operao
do Servio se envolver nas atividades de desenho e transio, menores sero os
riscos de problemas inesperados durante a fase recorrente.
7.1.3.5.2 Os processos da Operao do Servio
O estgio de Operao do Servio suportado por um conjunto de cinco
processos de Gerenciamento de Servios, descritos a seguir nesta seo. A f-
gura 7.6 mostra como estes processos se relacionam neste contexto.
Incidente
Evento
Exceo Tipo
Advertncia
Informao
Gerenciamento
de Incidentes
Gerenciamento
de Problemas
Gerenciamento
de Mudanas
Interveno
Humana
Resposta
Automtica
Registro
Filtro
Problema
Mudana
Alerta
Execuo de
Requisies /
Gerenciamento
de Acesso
Requisio
de Servio

Figura 7.6 Processos da Operao do Servio
Adaptado de OGC (2007d)
278 Implantando a Governana de TI 3 edio
Gerenciamento de Eventos: monitora todos os eventos que ocorrem
na infraestrutura de TI, para atestar a normalidade da operao. Caso
sejam detectadas condies de exceo, este processo deve escalonar
para resoluo tcnica ou para atuao hierrquica. Eventos podem
ser excees (incidentes, problemas, mudanas), advertncias ou pe-
didos de informao, que tero tratamentos distintos.
Gerenciamento de Incidentes: visa restaurar a operao normal de
um servio no menor tempo possvel, de forma a minimizar os im-
pactos adversos para o negcio, garantindo que os nveis de qualidade
e disponibilidade sejam mantidos dentro dos padres acordados (tra-
ta o efeito e no a causa).
Gerenciamento de Problemas: visa minimizar os impactos adversos
de incidentes e problemas para o negcio, quando causados por fa-
lhas na infraestrutura de TI, assim como prevenir que incidentes re-
lacionados a estas falhas ocorram novamente. Pode ter uma atuao
reativa (resoluo de problemas em resposta a um ou mais incidentes)
ou proativa (identifcando e resolvendo problemas e falhas conheci-
das antes da ocorrncia dos incidentes).
Execuo ou cumprimento de Requisies: trata requisies dos
usurios que no foram geradas por um incidente, mas que foram
originadas a partir de uma solicitao de servio
41
ou de uma simples
solicitao de informao.
Gerenciamento do Acesso: controla o acesso de usurios ao direito
de utilizar os servios, garantindo-o queles que foram previamente
autorizados e restringindo-o a todos os demais. Consiste na execuo
das polticas e aes defnidas anteriormente nos processos de Ge-
renciamento da Disponibilidade e Gerenciamento da Segurana da
Informao (Desenho do Servio).
So executadas tambm, no escopo da Operao do Servio, atividades
operacionais de todos os demais processos de Gerenciamento de Servios de
TI.
41 Na verso anterior da ITIL, as Service Requests eram tratadas da mesma forma que os incidentes, o
que foi resolvido na ITIL V3.
Modelos para Gerenciamento de Servios de TI 279
7.1.3.5.3 As funes da Operao do Servio
Funo defnida pela ITIL como um conceito lgico referente a pessoas
e medidas automatizadas que executam um determinado processo, atividade,
ou uma comunicao entre eles. A Operao do Servio possui quatro fun-
es, a seguir:
Central de Servios (Service Desk): funo destinada a responder rapi-
damente a questes, reclamaes e problemas dos usurios, de forma
a permitir que os servios sejam executados com o grau de qualidade
esperado. Pode ser implementada de forma centralizada, local ou vir-
tual, nas modalidades de:
Central de Atendimento (Call Center): nfase no atendimento
de um grande nmero de chamadas telefnicas.
Help Desk: visa gerenciar, coordenar e resolver incidentes no me-
nor tempo possvel, assegurando que nenhuma chamada seja per-
dida, esquecida ou ignorada.
Central de Servios (Service Desk): abordagem global, que per-
mite a integrao dos processos de negcio infraestrutura de
gerenciamento dos servios de TI.
Gerenciamento Tcnico (Technical Management): funo relacio-
nada aos grupos, reas ou equipes que possuem experincia e co-
nhecimento tcnico especializado para suportar a operao. Deve
tambm garantir que haja recursos treinados para desenhar, cons-
truir, fazer as transies, operar e melhorar a tecnologia utilizada
nos servios.
Gerenciamento das Operaes de TI (IT Operations Manage-
ment): funo relacionada a grupos, reas ou equipes respons-
veis pela execuo das atividades dirias da operao (tais como
gerenciar a cadeia de parceiros em uma rea de Procurement ou
receber materiais enviados por clientes em uma rea de Logsti-
ca). Esta funo se subdivide em Controle de Operaes e Geren-
ciamento de Facilidades.
Gerenciamento de Aplicaes (Application Management): funo
responsvel por gerenciar aplicaes ao longo de seu ciclo de vida
que desempenha um importante papel no desenho, no teste e nas
melhorias das aplicaes que suportam servios de TI. Aborda o
ciclo de vida completo das aplicaes de software relacionadas
280 Implantando a Governana de TI 3 edio
implementao de servios de TI, incluindo atividades de desen-
volvimento (levantamento de requisitos, planejamento, desenho,
construo e teste) e de gerenciamento (implantao, operao,
suporte e otimizao)
42
.
7.1.3.5.4 Atividades comuns da Operao do Servio
Alm dos processos e funes, h um conjunto de atividades tcnicas alta-
mente especializadas cujo objetivo garantir que a tecnologia requerida para a
entrega e o suporte aos servios esteja funcionando em perfeito estado. Entre
estas atividades, fguram:
Monitorao e controle.
Operaes de TI (gerenciamento de console, programao de jobs,
backup e recuperao, impresso).
Gerenciamento do mainframe.
Gerenciamento e suporte a servidores.
Gerenciamento de redes.
Armazenamento de dados.
Administrao de banco de dados.
Gerenciamento de servios de diretrio.
Suporte a desktops.
Gerenciamento de middleware.
Gerenciamento da Internet/Web.
Gerenciamento de facilidades e datacenters, etc.
7.1.3.5.5 A Implementao da Operao do Servio e suas
implicaes tecnolgicas
A implementao dos processos de Operao do Servio em uma orga-
nizao pode comear pelo gerenciamento das mudanas no ambiente atual
da operao e pela utilizao de processos de gerenciamento de projetos nas
aes de melhoria que representarem mudanas signifcativas na infraestru-
tura ou nos processos. Avaliar e gerenciar os riscos da operao e a alocao
42 Esta funo substituiu a publicao Gerenciamento de Aplicaes da verso anterior da ITIL.
Modelos para Gerenciamento de Servios de TI 281
antecipada dos colaboradores nos estgios de desenho e transio tambm so
boas prticas a serem consideradas.
Tecnologicamente, h uma gama de ferramentas que podero apoiar a
Operao do Servio, tais como:
Ferramentas de autoajuda para o usurio (para minimizar a quanti-
dade de eventos).
Sistema de Gerenciamento da Confgurao integrado, que deve
permitir que todos os itens de confgurao fquem armazena-
dos juntamente com seus atributos relevantes em uma localidade
centralizada.
Controle remoto de estaes.
Ferramentas de diagnstico.
Elaborao de relatrios e dashboards de indicadores.
7.1.3.6 Melhoria Contnua do Servio
Os servios de TI devem continuamente ser alinhados e, principalmente,
integrados s necessidades do negcio (que so dinmicas por natureza), atra-
vs da identifcao e da implementao de aes de melhoria para o suporte
aos processos de negcio.
Este o propsito principal do estgio de Melhoria Contnua do Servi-
o. Seu escopo contm atividades que suportam o planejamento contnuo
da melhoria de processos, tais como anlise das informaes gerenciais e
das tendncias quanto ao atingimento dos nveis de servio e dos resultados
desejados pelos servios, avaliaes de maturidade e auditorias internas pe-
ridicas, pesquisas de satisfao junto aos clientes, gerenciamento do Plano
de Melhoria de Servios (criado pelo processo de Gerenciamento do Nvel
de Servio) e identifcao de oportunidades de melhoria. Os conceitos aqui
presentes so suportados tambm pelos frameworks, modelos, padres e sis-
temas de qualidade mais utilizados no mercado, tais como CobiT, CMMI,
PMBOK, etc.
Os benefcios de uma implementao bem-sucedida da Melhoria Con-
tnua do Servio podem ser mensurados atravs de mtricas focadas, por
exemplo, na quantidade de falhas, na realizao de melhorias e em concei-
282 Implantando a Governana de TI 3 edio
tos como retorno sobre o investimento (ROI) e valor sobre o investimento
(VOI).
As oportunidades de melhoria dos servios podem ser encontradas em v-
rios pontos do ciclo de vida de servio. A Figura 7.7 mostra a interao da
Melhoria Contnua do Servio com os demais estgios.
Melhoria Contnua do Servio
Atividades esto embutidas no ciclo de vida do servio
Estratgias de Servio
Estratgias, Polticas,
Padres
Resultados
Resultados
Resultados
Desenho do Servio
Planos para criar e modificar
servios e processos de
gerenciamento de servio
Transio do Servio
Gerenciar a transio de
um servio novo ou modificado
ou de um processo de
gerenciamento de servios no
ambiente de produo
Operao do Servio
Operaes dirias de servios
e de processos de
gerenciamento de servios
Retorno /
Lies Aprendidas
para Melhoria
Retorno /
Lies Aprendidas
para Melhoria
Retorno /
Lies Aprendidas
para Melhoria
Retorno /
Lies Aprendidas
para Melhoria
Retorno /
Lies Aprendidas
para Melhoria
Figura 7.7 Melhoria Contnua do Servio e o Ciclo de Vida de Servio
Adaptado de OGC (2007e)
7.1.3.6.1 Princpios da Melhoria Contnua do Servio
Um programa de melhoria sempre deve estar vinculado s oportunidades
de mudana organizacional e por isto deve ser conduzido por uma equipe que
possua representatividade e autoridade para promov-las e onde haja papis
e responsabilidades bem defnidas. Neste estgio, importante tambm estar
atento s infuncias externas (regulaes, concorrncia, requisitos de clientes,
etc.) e internas (estruturas organizacionais, cultura, capacidade) que podem
ser fontes para oportunidades de melhoria
43
.
43 Um dos mtodos que pode ser til para identifcar tais fontes a anlise SWOT, que ressalta os
pontos fortes, os pontos fracos, as oportunidades e as ameaas para o negcio.
Modelos para Gerenciamento de Servios de TI 283
Outras fontes de valores de referncia podem ser obtidas atravs de bench-
markings ou da anlise de dados histricos. Os processos de Gerenciamento
do Nvel de Servio, Gerenciamento de Problemas e de Gerenciamento do
Conhecimento podem ser considerados chaves para este processo, pois forne-
cem uma base importante de conhecimento medido e estruturado acerca dos
servios, sobre a qual as aes de melhoria podem ser planejadas e conduzidas
adequadamente.
Por fm, um dos princpios mais importantes deste estgio a medio do
servio. Basicamente, medies so realizadas para validar decises tomadas,
direcionar atividades para o atingimento de metas, justifcar direcionamentos
necessrios e/ou identifcar pontos onde necessrio intervir com mudanas
ou aes corretivas. Por isto, no basta medir simplesmente, mas importante
saber por que medir, quando parar de medir e tambm se os resultados des-
tas medies esto sendo teis para alguma rea da organizao. Da mesma
forma, simplesmente melhorar algo no sufciente, pois deve-se estabelecer
a viso de futuro, fxar referncias iniciais e metas a serem atingidas e avaliar
posteriormente se houve sucesso ou no. Estes conceitos esto ilustrados na
Figura 7.8:
Metas
Identificar:
- Viso
- Estratgia
- Metas Tticas
- Metas Operacionais
1) Definir o que voc
deve medir
2) Definir o que voc
pode medir
3) Obter os dados
Quem?
Como?
Quando?
Integridade dos dados?
4) Processar os dados.
Frequncia?
Formato?
Sistema?
Acurcia?
5) Analisar os dados.
Relacionamentos?
Tendncias?
De acordo com o plano?
Alvos atingidos?
Ao corretiva?
6) Apresentar e utilizar a
informao, sumrio de
avaliao, planos de ao,
etc.
7) Implementar ao
corretiva
Figura 7.8 Processo de Melhoria em 7 Passos
Adaptado de OGC (2007e)
284 Implantando a Governana de TI 3 edio
7.1.3.6.2 Processos da Melhoria Contnua do Servio
Alm do Processo de Melhoria em 7 Passos, a Melhoria Contnua do Ser-
vio suportada por mais dois processos de Gerenciamento de servios, des-
critos a seguir:
Relato do Servio: envolve a composio de relatrios de servio
a partir dos dados coletados e monitorados durante a entrega do
servio, alm da identifcao do seu objetivo, do pblico-alvo e da
utilizao planejada para as informaes contidas nestes relatrios.
Medio do Servio: visa prover informaes sobre o servio dentro
de uma viso completa orientada integrao com o negcio. Para
tal, recomenda-se a criao de um modelo de medio de servio
que estabelea diferentes nveis para a medio e para a visualizao
atravs de relatrios:
Componente: medies acerca de aspectos fsicos e tcnicos,
como disponibilidade, desempenho, capacidade, falhas, mu-
danas etc.
Servio: medies sobre aspectos funcionais e de relacionamento
direto com o cliente (pesquisas de satisfao, reclamaes, quali-
dade do servio).
Processos que suportam os servios: medies de progresso, con-
formidade, efccia, efcincia.
Scorecards de Servios: vises estticas peridicas de um servio
em particular.
Dashboard de Servios: contm as mesmas medidas dos scorecards
de servios, mas disponibilizadas em tempo real para a TI e para
os negcios.
Scorecard de TI ou Balanced Scorecard: vises de alto nvel com
consolidaes das medies, visando refetir as metas e os objeti-
vos tticos e estratgicos.
Recomenda-se que os resultados das medies e das melhorias efetuadas
sempre estejam associados a benefcios para a organizao que podero ser
avaliados de forma quantitativa como retorno ou valor sobre o investimento.
Assim, torna-se mais fcil a comunicao e mesmo a justifcativa para manu-
teno e crescimento do programa de melhoria contnua.
Modelos para Gerenciamento de Servios de TI 285
Vrios mtodos e tcnicas podem ser utilizados neste estgio, como
forma de garantir consistncia, tanto na execuo das medies e aes
de melhoria quanto nos relatos de informaes. Entre eles, podem ser
relacionadas avaliaes formais, benchmarkings, Balanced Scorecard, an-
lise SWOT, alm das prticas dos demais processos de Gerenciamento de
Servios de TI.
7.1.3.6.3 A Implementao da Melhoria Contnua do Servio e suas
implicaes organizacionais e tecnolgicas
Os processos de Melhoria Contnua do Servio em uma organizao po-
dem ser implementados a partir de vrios caminhos. Um deles a abordagem
por servio, na qual um ponto de melhoria de um determinado servio
escolhido como piloto; a abordagem do ciclo de vida focaliza as interfaces
deste estgio com os demais estgios; na abordagem por grupo funcional, o
piloto pode ser feito sobre uma equipe responsvel por ativos com alto grau
de falhas. Em qualquer abordagem, muito importante considerar o grau de
maturidade dos processos de gerenciamento de servios de TI da organizao.
Quanto menos maduros estes processos, mais difcil a aplicao do Processo
de Melhoria em 7 Passos.
Conforme dito anteriormente, melhorias implicam em mudanas organi-
zacionais. Na maioria dos casos, a introduo da ITIL certamente comear
por aes de melhoria em operaes ou servios que j esto em produo.
Assim, deve-se pensar em criar mecanismos de gesto de mudanas organiza-
cionais (desde a sua identifcao at a institucionalizao), alm de estratgias
e planos de comunicao por toda a organizao.
A matriz de responsabilidades da organizao requer, para os processos
de Melhoria Contnua do Servio, habilidades especfcas para obteno de
dados (preciso, acurcia, experincia tcnica), processamento dos dados
(mtodo, habilidades numricas, programao), anlise dos dados (perfl
analtico, modelagem, inovao) e apresentao/utilizao da informao
(gerenciamento, comunicao, tratamento de situaes complexas e incer-
tas, etc.). Alm destas, reforada a necessidade de um Gerente de Melho-
ria Contnua de Servios e de um Gerente de Nvel de Servio (neste l-
286 Implantando a Governana de TI 3 edio
timo caso, devido s implicaes deste processo no programa de melhoria
contnua).
Tecnologicamente, h uma gama de ferramentas que podero apoiar a
Melhoria Contnua do Servio (alm daquelas j mencionadas nos demais
estgios), tais como:
Ferramentas para anlise estatstica.
Ferramentas de business intelligence e gerao de relatrios.
7.1.4 APlicAbilidAde do modelo
As prticas da ITIL so compatveis com vrias modalidades de prestao
de servios de TI, tanto locais quanto remotas, que necessitem de uma forte
abordagem de gesto. Pela nfase dada aos aspectos tecnolgicos e sua abor-
dagem de integrao aos requisitos do negcio, o modelo tem sido bastante
uti lizado em projetos e operaes contnuas envolvendo itens de infraestrutu-
ra, tais como manuteno de equipamentos, gerenciamento de redes, suporte
utilizao de aplicaes e outsourcing de processos de impresso, entre outros.
Quando associado s prticas de modelos especfcos orientados a software
(como o CMMI, por exemplo), a ITIL pode ser aplicada a servios especfcos
de gerenciamento de servios relacionados a aplicaes, tais como manuten-
es, operaes de fbrica de software, outsourcing de desenvolvimento, etc.
Atravs da funo de Gerenciamento de Aplicaes, tais modelos tambm po-
dem ser utilizados de forma complementar ITIL, no mbito das aplicaes
que suportam os servios de TI.
O advento da ITIL V3 trouxe ao modelo uma gama de possibilidades
de aplicao nas organizaes, das grandes corporaes at as empresas de
pequeno porte, das empresas com alto grau de maturidade em seus processos
at aquelas que ainda esto iniciando seus passos na busca da qualidade de
servios.
O ciclo de vida de servio pode ser utilizado a partir de seu primeiro est-
gio, a Estratgia do Servio. Esta abordagem bastante indicada para situa-
es nas quais uma organizao esteja concebendo novos servios para ofere-
cer ao seu mercado, ou esteja repensando os seus investimentos com foco no
seu Portflio de Servios e nos Catlogos de Servios atuais e futuros.
Modelos para Gerenciamento de Servios de TI 287
Entretanto, a grande maioria das organizaes j possui servios consoli-
dados, em operao por muito tempo. Para estas, o sucesso das suas inicia-
tivas de TI depende muito de uma gesto efetiva do seu Portflio de TI que
coordene os investimentos e os esforos entre seus projetos, ativos, processos
e servios de TI. Para estes casos, parece lgico iniciar o ciclo de vida pelas
atividades da Melhoria Contnua do Servio.
Desta forma, a utilizao das informaes oriundas da anlise da base de
conhecimento da organizao (nveis de servio, histrico de problemas e re-
clamaes, aes corretivas e preventivas passadas ou em curso, pesquisas de
satisfao, demandas dos clientes e das reas internas, anlises de gaps, avalia-
es internas de desempenho, benchmarkings, etc.), analisadas sob a gide da
estratgia de negcios e de TI, certamente resultar em um plano de melhoria
dos servios focado no valor que deve ser adicionado ao negcio.
Deve ser dada ateno especial ao estgio de Transio do Servio, que
representa o umbral a ser cruzado por um servio que foi concebido e dese-
nhado para atender os requisitos do negcio e que est prestes a ser lanado
operao junto aos clientes e usurios. nesta fase que este servio deve passar
por todos os testes necessrios para atestar a sua capacidade de satisfazer os n-
veis exigidos pelo negcio e que tambm deve ser preparado para distribuio
pelos seus vrios usurios. As abordagens de gerenciamento de projetos (PMI,
PRINCE 2, etc.) certamente sero de muita valia neste momento.
Em geral, qualquer que seja o ponto de entrada, recomenda-se que a im-
plementao do modelo seja feita de forma gradual, partindo de um escopo
reduzido de operaes como piloto e promovendo roll-outs sucessivos para as
demais operaes, respeitando sempre as interdependncias existentes entre
os processos de gesto e os requisitos de disponibilidade e continuidade dos
servios. Devem ser consideradas tambm com muita ateno as questes re-
lacionadas estrutura organizacional e tecnologia que suportam os servios,
de forma que os seus pontos fortes sejam aproveitados ao mximo e que as
eventuais mudanas possam ser efetuadas com impacto mnimo na disponi-
bilidade e na continuidade do negcio.
Assim como todos os modelos de melhores prticas, a ITIL tambm pode
precisar de adaptaes em funo das caractersticas de cada organizao de
TI, dos tipos de servios previstos em seu catlogo e dos nveis de servio exi-
gidos. Da mesma forma, uma organizao deve sempre considerar os desafos,
288 Implantando a Governana de TI 3 edio
os fatores crticos de sucesso e os riscos internos sua estrutura, assim como
aqueles inerentes adoo de um modelo de qualidade.
7.1.5 benefcios do modelo
Vrias organizaes tm relatado benefcios com a adoo e implemen-
tao da ITIL como modelo de melhores prticas em gerenciamento de TI,
conforme mostram os exemplos a seguir
44
:
Corte dos custos operacionais em 6% a 8%.
Reduo de 10% na quantidade de chamadas do help desk.
Reduo de 40% nos custos de suporte.
Aumento da taxa de atingimento do tempo de resposta para inciden-
tes em servios relacionados Internet, de 60% para 90%.
Redues superiores a 40% na indisponibilidade dos sistemas.
Aumento signifcativo no ROI dos servios de TI.
Economia da ordem de grandeza de centenas de milhares de dlares.
Medies feitas pelo Gartner Group mostram que a migrao de uma si-
tuao onde no h qualquer processo de Gerenciamento de Servios de TI
para a adoo completa das melhores prticas poder reduzir o custo total de
propriedade (TCO) de uma organizao em cerca de 48%
45
.
Alm dos resultados quantitativos, a implementao do Gerenciamento
de Servios de TI atravs da ITIL poder trazer resultados qualitativos, tais
como:
Melhoria da satisfao dos clientes.
Reduo gradativa dos custos de treinamento, principalmente se o
padro ITIL se tornar corporativo.
Melhoria da disponibilidade dos sistemas e aplicaes.
Melhoria da produtividade das equipes de servios (j que todos os
envolvidos conhecem seus papis e responsabilidades).
Reduo dos custos relacionados aos incidentes e problemas, devido
deteco e eliminao antecipada.
44 Fonte: Pink Elephant, 2006. The Benefts of ITIL White Paper.
45 Fonte: site www.itilsurvival.com
Modelos para Gerenciamento de Servios de TI 289
Reduo dos custos indiretos que infuenciam substancialmente o
custo total de propriedade (manuteno, suporte etc.).
Melhor utilizao dos recursos de TI.
Maior clareza no custeio dos servios.
Aplicao de uma viso organizacional ao trabalho dos indivduos.
Melhoria da satisfao interna dos colaboradores.
Reduo da rotatividade dos colaboradores.
Outros benefcios podero ser percebidos indiretamente, tais como a redu-
o do custo das oportunidades de negcio perdidas (as melhores prticas da
ITIL tm sido utilizadas como embasamento tcnico para anlise e seleo de
propostas de prestao de servios) ou da falta de capacitao para o atendi-
mento dos servios.
Com a ITIL V3 e a sua viso atravs do ciclo de vida do servio, alguns
benefcios adicionais podem ser relacionados:
Subsdios concretos para justifcar investimentos em TI (atravs de
fatos e dados extrados da prpria organizao).
Maior clareza na demonstrao do retorno sobre os investimentos
(ROI) e do valor dos investimentos (VOI) nos servios de TI.
Viso clara do Portflio de Servios, como ferramenta estratgica de
priorizao dos investimentos nos servios de TI.
Maior fexibilidade para adaptao s organizaes de vrios tipos e
nveis de maturidade.
Aumento da convergncia com outros modelos de melhores prticas
em uso no mercado.
Direcionamento da TI para a integrao (e no simplesmente o ali-
nhamento) com o negcio, com base no valor que ela representa.
Medies de desempenho dos servios e de seus componentes, desdo-
bradas com base no valor do negcio.
Relao direta entre os ativos de servios de TI e os servios do ne-
gcio.
290 Implantando a Governana de TI 3 edio
7.1.6 certificAes relAcionAdAs
7.1.6.1 Foco individual
O esquema de qualifcao da ITIL baseia-se em um sistema de crditos
cumulativos, que permite trs nveis de certifcao:
Nvel Bsico (Foundation): Mais generalista, destina-se a prover os
profssionais de bons fundamentos acerca dos conceitos chaves, da
terminologia e dos processos da ITIL (vale 2 crditos).
Nvel Intermedirio: possui um grau maior de especializao, pode
ser atingido atravs de uma das duas correntes de conhecimento, con-
forme a preferncia do postulante:
Corrente do Ciclo de Vida: possui um mdulo para cada um dos
cinco estgios do ciclo de vida (Estratgia do Servio, Desenho do
Servio, Transio do Servio, Operao do Servio e Melhoria
Contnua do Servio), cada um deles valendo 3 crditos.
Corrente da Capacitao: possui quatro mdulos, representando
agrupamentos de capacitaes (Portflio de Servios e Gerencia-
mento do Relacionamento, Desenho e Otimizao do Servio,
Monitorao e Controle do Servio, Operao e Suporte ao Ser-
vio), cada um deles valendo 4 crditos.
Nvel Avanado: possui o curso Gerenciando atravs do Ciclo de
Vida, que aborda a viso completa sobre a abordagem de ciclo de vida
no contexto do Gerenciamento de Servios de TI e vale 5 crditos.
Ao acumular um mnimo de 22 crditos, o profssional poder receber o
Diploma ITIL de Profssional Avanado em Gerenciamento de Servio (ou
ITIL Expert).
A Figura 7.9, a seguir, mostra o esquema completo de certifcao da ITIL.
Modelos para Gerenciamento de Servios de TI 291
Diploma ITIL
de Profissional
Avanado em Gerenciamento
de Servio
Estratgia
do
Servio
Desenho
do
Servio
Transio
do
Servio
Operao
do
Servio
Melhoria
Contnua
do
Servio
Mdulos do Ciclo de Vida de Servios da ITIL
Portfolio de
Servios e
Gerenciamento
do
Relacionamento
Desenho e
Otimizao
do Servio
Monitorao e
Controle do
Servio
Operao
e Suporte
ao
Servio
Mdulos de Capacitao em Servios da ITIL
3 3 3 3 3 4 4 4 4
Gerenciando atravs do Ciclo de Vida
5 5
ITIL Foundations para Gerenciamento do Servio
15 crditos 16 crditos
2 crditos
Mnimo de 22 pontos para conseguir o Diploma.
C
o
r
r
e
n
t
e

d
o

C
i
c
l
o

d
e

V
i
d
a

d
o
s

S
e
r
v
i

o
s C
o
r
r
e
n
t
e

d
e

C
a
p
a
c
i
t
a

e
s

n
o
s

S
e
r
v
i

o
s
Figura 7.9 Esquema de Certifcao da ITIL
Adaptado de ITSMF (2007)
Um profssional considerado qualifcado em um dos nveis de certifca-
o da ITIL aps um exame de qualifcao profssional ministrado por um
dos seguintes institutos ofciais (acompanhado por um comit de represen-
tantes da OGC e do itSMF
46
):
APM Group (APMG), uma empresa global autorizada a fornecer
servios de validao e certifcao.
EXIN (Examination Institute for Information Science in the Ne-
therlands).
7.1.6.2 Foco Organizacional
Pelo seu alto grau de correlao, a ISO/IEC 20000 (apresentada a seguir
neste livro) um padro internacional altamente recomendado para certifcar
organizaes quanto utilizao de melhores prticas em Gerenciamento de
Servios de TI, como as descritas pela ITIL.
46 IT Service Management Forum, organizao sem fns lucrativos, fundada no Reino Unido em 1991 e
com representaes em vrios pases (inclusive o Brasil), cuja misso ajudar a desenvolver e promover
as melhores prticas e os padres no Gerenciamento de Servios de TI.
292 Implantando a Governana de TI 3 edio
7.2 iso/iec 20000
7.2.1 histrico do modelo
Publicada inicialmente em 2000, pela BSI
47
, a norma BS 15000 (British
Standards Institution Standard for IT Service Management) foi o primei-
ro padro mundial especifcamente direcionado para o Gerenciamento de
Servios de TI. Esta norma, que j estava alinhada com as diretrizes da
ITIL, tinha foco acentuado nas disciplinas de suporte e entrega de servios
de TI.
A partir de recomendaes de seus primeiros usurios, a BS 15000 foi re-
escrita e publicada novamente em 2002, estruturada em duas partes: especif-
cao (contendo os requisitos bsicos da norma) e cdigo de prtica (conten-
do diretrizes de suporte detalhadas para a especifcao). Como publicaes
complementares, havia um caderno de autoavaliao para as organizaes, em
relao satisfao dos requisitos e um guia gerencial para o Gerenciamento
de Servios de TI.
Entretanto, o fato de ser uma norma britnica difcultava bastante a sua
difuso em mbito mundial. Para ilustrar esta situao, at o fnal de 2005,
havia apenas cerca de 50 empresas certifcadas na BS 15000 em todo o mun-
do (a maioria delas nos continentes europeu e asitico). Neste cenrio, a In-
ternational Organization for Standardization (ISO), em conjunto com o Inter-
national Eletrotechnical Comission (IEC), evoluiu a BS 15000 para o padro
internacional ISO/IEC 20000 em dezembro de 2005.
A evoluo desta norma para um padro internacional aumentou a rele-
vncia da norma para organizaes de TI situadas em outros mercados, tais
como os Estados Unidos e a Amrica Latina. Alm disso, como padro inter-
nacional, ela fornece um entendimento comum acerca do gerenciamento de
servios de TI em todo o mundo, uma vez que cobre os aspectos responsveis
por 80% dos gastos totais em TI da maioria das organizaes.
Em novembro de 2010, foi publicada a segunda edio da Parte 1 da
norma, incluindo melhorias tais como refnamento de algumas defnies,
alinhamento mais prximo com a ISO 9001, a ISO/IEC 27001 e a ITIL
V3, a introduo do conceito de Sistema de Gesto de Servios (SGS) e a
47 British Standards Institution
Modelos para Gerenciamento de Servios de TI 293
juno de algumas clusulas visando maior clareza e coeso conceitual (por
exemplo, reunio de todos os requisitos do SGS em uma nica clusula e
anexao do processo de Gerenciamento de Liberaes aos processos de
controle).
As partes 1 e 2 da norma ISO/IEC 20000 foram localizadas pela ABNT
(Associao Brasileira de Normas Tcnicas), em 2008, para o mercado brasi-
leiro. Hoje existem edies em lngua portuguesa de todas as cinco partes da
norma. A segunda edio da Parte 1 (ISO/IEC 20000-1:2010) j possui uma
edio brasileira (ABNT NBR ISO/IEC 20000-1:2011), publicada em 2011.
7.2.2 objetivos do modelo
Regulamentar um padro para o Gerenciamento de Servios de TI atravs
da uniformizao dos conceitos e da viso dos processos que o implementam,
permitindo assim que os provedores de servios de TI compreendam os meios
atravs dos quais podero planejar, executar, verifcar e melhorar continua-
mente a qualidade dos servios entregues, em conformidade com os requisitos
estabelecidos junto ao negcio e a seus clientes.
Esta norma pode ser utilizada em conjunto com outras normas, tais como
a ISO 9001:2000 e a ISO/IEC 27001, com um foco especfco no Gerencia-
mento de Servios de TI.
7.2.3 estruturA do modelo
7.2.3.1 Diviso dos documentos
A ISO/IEC 20000 est estruturada em cinco partes:
Parte 1 Requisitos do Sistema de Gesto de Servios: consiste na
especifcao formal da norma e defne os requisitos para o gerencia-
mento de servios, dentro de um nvel aceitvel de qualidade e em
conformidade com os requisitos do negcio. Esta parte descreve o
que deve ser levado em considerao na implementao do gerencia-
mento de servios de TI, visando certifcao dos processos relacio-
nados em relao aos requisitos da norma.
294 Implantando a Governana de TI 3 edio
Parte 2 Cdigo de Prtica: guia prtico que contm um conjunto
de diretrizes baseadas na experincia do mercado, para orientar as
empresas de servios a planejarem melhorias em seus servios ou a se
prepararem para serem auditadas e certifcadas na norma, em relao
a cada um dos requisitos presentes na Parte 1 da norma.
Parte 3 Diretrizes de Escopo: contm orientaes para defnio do
escopo e da aplicabilidade da norma aos diversos tipos de organiza-
es de servios de TI.
Parte 4 Modelo de Referncia de Processos: bastante til para a
defnio dos processos de Gerenciamento de Servios de TI, em
alinhamento com a ISO/IEC 15504-2 Auditoria de processos de
TI.
Parte 5 Exemplo de Plano de Implementao: apoio preparao
para a implementao de um Sistema de Gerenciamento de Servios
de TI.
Neste livro, daremos foco s duas primeiras partes, que foram as primeiras
a serem publicadas e que contm o ncleo da Norma.
7.2.3.2 O Sistema de Gesto de Servios
A ISO/IEC 20000 tem como espinha dorsal um Sistema de Gesto de Ser-
vios (SGS) que dirige e controla as atividades de gerenciamento de servios do
provedor de servios. O SGS inclui todas as polticas, os objetivos, os planos, os
processos, os documentos e os recursos de gerenciamento de servios requeridos
para o desenho, a transio, a entrega e a melhoria dos servios e para atender
os requisitos preconizados pela norma. A Figura 7.10 mostra a viso do SGS na
perspectiva da norma:
Modelos para Gerenciamento de Servios de TI 295
Figura 7.10: Sistema de Gesto de Servios, na viso da ISO/IEC 20000
Adaptado de ISO (2010)
7.2.3.3 Contedo
A Parte 1 da norma ISO/IEC 20000 est estruturada em nove sees, con-
forme descrito a seguir:
Escopo: nesta seo, so enumerados os propsitos e cenrios para
os quais a norma recomendada e o Sistema de Gesto de Servios
apresentado.
Referncias Normativas: nesta seo, referenciada a Parte 2 da nor-
ma (Diretrizes para aplicao dos sistemas de gesto de servios)
48
.
Termos e Defnies: estabelecido um glossrio contendo a termi-
nologia e as defnies aplicveis aos propsitos da norma. Vrios dos
termos contidos nesta seo fazem parte do contexto da ITIL.
Requisitos gerais para um sistema de gesto de servios: esta seo
especializa requisitos que tambm so encontrados em outras normas
ISO para o foco do Sistema de Gesto de Servios:
48 A segunda edio da Parte 2 da norma est em vias de ser publicada.
296 Implantando a Governana de TI 3 edio
Responsabilidade da Direo: estabelece a importncia do com-
prometimento da Alta Administrao com as atividades de desen-
volvimento, implementao e melhoria do Sistema de Gesto de
Servios da organizao, do estabelecimento de uma poltica de
gerenciamento de servios, da defnio de autoridades e respon-
sabilidades, alm da designao de um representante da direo
para o sistema.
Governana de processos operados por outras partes: estabele-
ce a necessidade de que o provedor demonstre governana sobre
processos que estejam sendo operados por outras partes (grupos
internos, clientes, fornecedores etc.), o que deve ocorrer por meio
de processos como o Gerenciamento do Nvel de Servio e o Ge-
renciamento de Fornecedores.
Gerenciamento da documentao: estabelece a necessidade de
criar, manter e controlar documentos e registros que garantam a
efetividade do planejamento, da operao e do controle do geren-
ciamento de servio, tais como polticas, planos, acordos de nvel
de servio, procedimentos, etc.
Gerenciamento de recursos: estabelece a necessidade do provi-
mento de recursos humanos, tcnicos, fnanceiros e de informa-
o para o SGS. No caso dos recursos humanos, refora a impor-
tncia da defnio das competncias necessrias para a operao
do SGS, enfatizando a importncia de aes de desenvolvimento
profssional e de conscientizao acerca dos papis e responsabili-
dades junto aos colaboradores.
Estabelecimento e melhoria do SGS: defne o escopo do SGS e
aborda a aplicao do ciclo de melhoria contnua (Plan-Do-Che-
ck-Act) sobre uma abordagem integrada dos processos de geren-
ciamento de servios, conforme mostra a Figura 7.11.
Modelos para Gerenciamento de Servios de TI 297
Plan
(Planejar o
Sistema de
Gesto de
Servios)
Check
(Monitorar, medir
e revisar)
Act
(Melhoria
contnua)
Do
(Implementar o
Sistema de
Gesto de
Servios)
Sistema de Gesto de
Servios
Processos de
Gerenciamento de
Servios
Servios
Figura 7.11: Metodologia Plan-Do-Check-Act, na viso da ISO/IEC 20000
Adaptado de ISO (2010)
Desenho e transio de servios novos ou modifcados: esta clusula
visa assegurar que servios novos e/ou mudanas em servios possam
ser planejados, desenhados, desenvolvidos, entregues e gerenciados,
considerando aspectos tais como escopo, oramento, alocao de re-
cursos, nveis de servio e processos j existentes, etc. Neste ponto,
percebe-se um total alinhamento com as prticas de desenho de ser-
vios e transio de servios da ITIL V3.
Processos de entrega de servio: esta seo descreve a abordagem da
norma para os processos relacionados entrega de servios:
Gerenciamento do nvel de servio: visa defnir, acordar, regis-
trar e gerenciar nveis de servio, abordando elementos importan-
tes como o catlogo de servios e os acordos de nvel de servio.
Relatos de servio: visa a gerao de relatrios contendo infor-
maes claras, confveis e concisas sobre o gerenciamento de
298 Implantando a Governana de TI 3 edio
servio, de forma a subsidiar, no tempo adequado, a tomada de
decises e a comunicao entre todos os envolvidos.
Gerenciamento da continuidade e disponibilidade do servio:
visa garantir que os compromissos assumidos junto aos clientes
em relao continuidade e disponibilidade do servio possam
ser cumpridos em todas as circunstncias, abordando a importn-
cia de aes de monitorao, planejamento e testes.
Oramento e contabilizao para servios
49
: abrange polticas
e processos para oramento e contabilizao dos componentes
envolvidos no gerenciamento de servios de TI (ativos, recursos
compartilhados, servios externos, pessoal, licenas etc.), alocao
de custos diretos e indiretos aos servios e controles e autorizaes
fnanceiras.
Gerenciamento da capacidade: visa garantir que o provedor de
servio tenha sempre capacidade sufciente para atender as de-
mandas atuais e futuras, em conformidade com as necessidades
de negcio do cliente.
Gerenciamento da segurana da informao: com total ali-
nhamento norma ISO/IEC 17799, este processo visa gerenciar
efetivamente a segurana da informao em todas as atividades
do servio, abordando a avaliao de riscos para os ativos confor-
me sua criticidade, o estabelecimento de controles para garantir
a segurana e a disponibilidade da informao e o tratamento de
mudanas e incidentes de segurana, em conformidade com os
requisitos de segurana exigidos pelo negcio.
Processos de relacionamento: descrevem os aspectos do relaciona-
mento do provedor de servios dentro da cadeia de valor que engloba
a prestao do servio, ou seja, com os clientes que recebem o servio
e com seus demais fornecedores de produtos, recursos e outros ser-
vios:
Gerenciamento de relaes de negcio: visa o estabelecimen-
to e a manuteno de um bom relacionamento com os clientes,
baseado no entendimento das diretrizes de negcio, abordando
aes como revises regulares do servio, processo de tratamento
de reclamaes e medio da satisfao do cliente.
49 Por ser considerada uma atividade opcional, a cobrana (integrante do processo de Gerenciamento
Financeiro para Servios de TI, da ITIL) no coberta pela norma ISO/IEC 20000.
Modelos para Gerenciamento de Servios de TI 299
Gerenciamento de fornecedores
50
: visa garantir a proviso de
servios aos clientes com qualidade e transparncia, atravs do
gerenciamento da cadeia completa de fornecedores (diretos e sub-
contratados), abordando o gerenciamento dos contratos desde o
incio ate a resciso, dos nveis de servio estabelecidos e dos even-
tuais confitos de interesses.
Processos de resoluo: englobam os processos de gerenciamento de
incidentes, requisies de servio e de problemas, assim como a sua
priorizao e o estabelecimento e manuteno de solues de contorno.
Gerenciamento de incidentes e requisies de servio: visa
restaurar o nvel de servio acordado o mais rpido possvel, ou
responder a requisies de servio, enfatizando o tratamento dife-
renciado que deve ser dado aos incidentes mais crticos.
Gerenciamento de problemas: visa minimizar a interrupo do
negcio atravs da identifcao proativa (preveno) e do geren-
ciamento dos problemas durante todo o seu ciclo de vida, englo-
bando registro, classifcao, identifcao da causa raiz, resolu-
o, comunicao, acompanhamento e encerramento.
Processos de controle: englobam os processos que tratam os compo-
nentes dos servios e das mudanas pelas quais estes passam ao longo
do tempo.
Gerenciamento da confgurao: visa defnir e controlar os com-
ponentes do servio e da infraestrutura relacionada, mantendo atu-
alizadas as informaes de sua confgurao, englobando atividades
de planejamento, identifcao dos itens de confgurao, controle
das alteraes e da situao de cada item no seu ciclo de vida (desde a
aquisio at o descarte) e auditoria das informaes de confgurao.
Gerenciamento de mudanas: visa garantir que todas as mudan-
as sejam avaliadas adequadamente, aprovadas pelas instncias
necessrias, implementadas conforme o seu planejamento e re-
visadas em relao ao atingimento dos objetivos, satisfao dos
clientes e existncia de efeitos colaterais aps a sua implantao.
Gerenciamento de liberao e implantao: abrange o estabele-
cimento de uma poltica para liberao de mudanas, assim como
o planejamento integrado, a criao das unidades de liberao, os
testes de aceitao, a documentao, a distribuio, a instalao e
a avaliao ps-liberao, incluindo tambm aes de reverso ou
correo em caso de falha.
50 A seleo e contratao de fornecedores no coberta pela norma ISO/IEC 20000.
300 Implantando a Governana de TI 3 edio
7.2.4 APlicAbilidAde do modelo
Devido ao alto grau de aderncia, a norma ISO/IEC 20000 pode ser vista
como um instrumento para certifcar uma organizao de TI quanto efeti-
vidade do seu processo de implementao do gerenciamento de um (ou mais)
servio(s) de TI, sob a tica das prticas da ITIL.
O escopo para esta adoo deve ser estabelecido conforme a estratgia da
organizao, podendo abranger desde um servio especfco dentro de uma
das operaes at a totalidade dos servios prestados. Analogamente ITIL,
recomenda-se que a certifcao seja feita de forma gradual, partindo de um
escopo reduzido de operaes como piloto e, posteriormente, estendendo a
certifcao para as demais operaes.
A norma ISO/IEC 20000 aplicvel a organizaes cuja misso envolve o
fornecimento de servios de TI para seus clientes, sejam estes externos (como
no caso das empresas especializadas em servios de TI) ou internos (reas ou
departamentos de TI dentro de empresas). Operaes baseadas em cadeias
de fornecimento de servios (com fornecedores principais, subcontratados,
etc.) e que requerem processos consistentes e padronizados em todos os seus
elos, tambm podero ser focadas por esta norma, uma vez que ela abrange o
gerenciamento dos contratos e dos nveis de servio em consonncia com os
requisitos do negcio.
Em suma, organizaes que visam prover o mercado de servios de TI de for-
ma consistente, segura, padronizada e continuamente monitorada e melhorada
so potenciais aspirantes certifcao em relao norma. Por ser um padro
internacional, a ISO/IEC 20000 pode servir como base para comparao com
as melhores prticas do mercado e para avaliaes independentes das operaes.
A norma ISO/IEC 20000 pode ser adotada em conjunto com a ISO 9001,
especializando os requisitos relativos realizao do produto (item 7) dentro
do contexto do gerenciamento de servios de TI. Isto signifca que organi-
zaes que j possuem um sistema de gesto da qualidade bem estruturado
podero avaliar as possibilidades de reaproveitamento de alguns de seus ativos
de processos e de informao j existentes para os esforos de preparao para
a adoo da ISO/IEC 20000.
Cabe tambm ressaltar que, no mercado brasileiro, vrias empresas esto
incluindo, em suas RFPs (Requests for Proposals) para contratao de servios,
Modelos para Gerenciamento de Servios de TI 301
requisitos relacionados padronizao e utilizao das melhores prticas de
mercado para gerenciamento de servios de TI. Operaes que souberem de-
monstrar consistentemente a sua habilidade para prover servios que atendam
os requisitos de negcio dos clientes e para gerenci-los, buscando sempre a
sua melhoria contnua, podero ter na certifcao ISO/IEC 20000 um fator
qualifcador adicional para a sua pontuao.
7.2.5 benefcios do modelo
Para uma organizao de TI, a opo pela certifcao dos processos de
gerenciamento de servios na norma ISO/IEC 20000 poder trazer, alm da-
queles relacionados adoo da ITIL (j enumerados neste livro), benefcios
tais como:
Demonstrao clara de confabilidade e consistncia nos servios de
TI, atributos cruciais para a sobrevivncia do negcio e para o seu
potencial crescimento.
Melhoria na comunicao interna, devido maior proximidade e si-
nergia entre a Alta Administrao e as equipes que atuam no geren-
ciamento dos servios de TI.
Maior comprometimento por parte de todas as reas e profssionais
envolvidos, devido ao estabelecimento claro de responsabilidades pe-
los processos.
Aumento da produtividade das equipes, devido ao estabelecimento
de polticas e processos que precisam ser conhecidos por todos os
envolvidos.
Melhor aproveitamento das habilidades dos profssionais envolvidos
nos processos, em sintonia com as competncias requeridas para a sua
execuo.
Estabelecimento de uma cultura formal de melhoria contnua dos
servios de TI, sempre alinhada s necessidades do negcio e dos
clientes.
Reduo do time-to-market de novos servios e de modifcaes nos
servios existentes.
Maior previsibilidade para os resultados dos servios, dada a nfase
que a norma atribui s atividades de planejamento e oramento.
302 Implantando a Governana de TI 3 edio
Maior acurcia dos relatrios de servios, subsidiando com maior
preciso a tomada de decises relacionadas ao negcio.
Entrega dos servios de TI para o cliente com maior transparncia
e uniformidade, atravs de mecanismos de integrao da cadeia de
fornecimento, englobando tanto fornecedores diretos como sub-
contratados.
Maior efetividade no controle dos riscos relacionados operao dos
servios.
Melhoria da imagem da organizao de TI e da qualidade percebida
dos seus servios por parte de seus clientes e fornecedores.
Possibilidade de estabelecimento de um sistema integrado de gesto,
atravs da operao conjunta com outras normas, tais como a ISO
9001:2000 e a ISO/IEC 17799.
Estabelecimento de um mecanismo para educao e aumento da
conscientizao das equipes atravs das auditorias regulares de
certifcao.
A certifcao obtida atravs de auditores qualifcados e independen-
tes pode ser considerada uma referncia no mercado, em relao
utilizao das melhores prticas de gerenciamento de servios de TI.
Analogamente aos demais modelos de qualidade, a adoo da ISO/IEC
20000 no garante que os servios de TI prestados por uma organizao certi-
fcada sejam isentos de problemas ou que proporcionem o retorno fnanceiro
desejado, mas estabelece um alicerce consistente para que os servios de TI
cada vez mais possam estar alinhados aos requisitos de negcio.
7.2.6 certificAes relAcionAdAs
7.2.6.1 Foco organizacional
A certifcao de uma organizao de TI nos requisitos da norma ISO/
IEC 20000 deve ser obtida atravs de uma auditoria independente, a ser
conduzida por um organismo independente credenciado pelo itSMF para
esta fnalidade, denominado RCB (Registered Certifcation Body). Alm do
certifcado ofcial de conformidade, a organizao certifcada ganha o di-
Modelos para Gerenciamento de Servios de TI 303
reito de utilizao do logo ofcial da norma em suas peas de marketing e
de ter seu nome includo em um web site exclusivo (www.isoiec20000cer-
tifcation.com).
O processo de preparao para a certifcao deve ser conduzido como
um projeto formal, que deve ter como premissa o patrocnio e o comprome-
timento da Alta Administrao da organizao com o seu sucesso. Entre as
atividades e tarefas recomendadas para este projeto, destacam-se:
Defnio clara do escopo da certifcao, ou seja, qual(is) servio(s)
e/ou operao(es) da organizao estaro sujeitas verifcao de
aderncia aos requisitos da norma.
Estabelecimento de uma equipe para conduzir o projeto, com um co-
ordenador formal e devidamente treinada na interpretao da norma
e nos princpios de gerenciamento de servios de TI.
Realizao de uma anlise prvia dos processos atuais (gap analy-
sis) para identifcar o grau de aderncia aos requisitos da norma,
como subsdio para o planejamento das aes de melhoria dentro
do projeto.
Execuo de aes corretivas e preventivas sobre os processos relacio-
nados ao gerenciamento de servios de TI, visando corrigir as defci-
ncias e mitigar os riscos potenciais existentes.
Capacitao dos colaboradores envolvidos com os servios e as ope-
raes integrantes do escopo de certifcao, acerca dos processos de
gerenciamento de servios de TI.
Realizao de auditorias internas para avaliao do progresso do
projeto.
Estabelecimento e reforo permanente da cultura de melhoria cont-
nua, utilizando as no conformidades encontradas e as aes corretivas
correspondentes como alavancadores motivacionais dos colaboradores.
O projeto termina com as atividades formais de pr-auditoria e de audito-
ria de certifcao, realizadas pelo organismo certifcador selecionado.
Ainda no existem mtricas ofciais para estimativa de prazo e custo de
um projeto de certifcao, pois esta depende de fatores intangveis, tais
como o nvel de conformidade atual, a qualidade e o detalhamento da
304 Implantando a Governana de TI 3 edio
documentao existente, e o tamanho e a complexidade da operao esco-
lhida como escopo.
No Brasil, atualmente, j existem algumas empresas certifcadas na ISO/
IEC 20000 e vrias outras organizaes que esto com seus projetos de prepa-
rao para certifcao em andamento. Em geral, os organismos certifcadores
so os mesmos que realizam auditorias em relao s demais normas ISO.
7.2.6.2 Foco individual
Existem atualmente trs esquemas direcionados s certifcaes individuais
relacionadas norma ISO/IEC 20000:
EXIN.
itSMF International.
APMG Group.
O EXIN tem utilizado a ISO/IEC 20000 como direcionador para as
suas certifcaes em Gerenciamento de Servios de TI. Seu esquema de
certifcao possui uma estrutura sustentada por um exame de fundamen-
tos e fortalecida por uma camada intermediria de certifcaes: cinco delas
no nvel profssional (das quais trs delas devem ser obtidas) e, opcional-
mente, uma no nvel associado). A partir deste ponto, o profssional pode
seguir duas carreiras distintas: a de consultor/gerente (com duas certifca-
es) e/ou a de auditor interno (uma certifcao). Existe ainda uma certi-
fcao ponte de fundamentos para aqueles que possuem a certifcao de
Fundamentos ITIL V2 ou V3.
Modelos para Gerenciamento de Servios de TI 305
A fgura 7.12 ilustra o esquema de certifcao do EXIN.
Figura 7.12: Esquema de Certifcao do EXIN
Fonte: Site do EXIN (www.exin-itsm.com)
J o esquema de certifcao do itSMF International possui dois certifca-
dos relevantes:
ISO/IEC 20000 Consultant: prov conhecimento acerca dos bene-
fcios da implementao de um Sistema de Gesto de Servios de TI
e do impacto que a conformidade com a ISO/IEC 20000 tem nas
operaes dirias de uma organizao.
ISO/IEC 20000 Auditor: apresenta os requisitos da norma ISO/
IEC 20000 e aplica os fundamentos de auditoria para a norma, em
conformidade com a norma ISO 19011, formando auditores inter-
nos no Sistema de Gesto de TI.
306 Implantando a Governana de TI 3 edio
Por sua vez, o esquema de certifcao do APMG Group possui trs
certifcaes:
ISO/IEC 20000 Foundation: avalia o conhecimento dos candida-
tos sobre o contedo e os requisitos da norma.
ISO/IEC 20000 Practitioner: testa a habilidade dos candidatos
em aplicar o contedo da norma em organizaes certifcadas ou que
esto buscando a certifcao.
ISO/IEC 20000 Auditor: Avalia o entendimento dos candidatos
acerca dos princpios do Gerenciamento de Servios de TI, do conte-
do e dos requisitos da norma.
Para todos os esquemas de certifcao descritos, h empresas no Brasil
credenciadas para aplicar treinamentos e exames.
7.3 cmmi for services
O CMMI-SVC tem o propsito de ser um guia para a implantao das
melhores prticas do CMMI para organizaes provedoras de servios, sendo
que essas melhores prticas esto focadas nas atividades para fornecer servios
com qualidade para os clientes e usurios fnais.
Este modelo, em sua verso 1.3, de 2010, exibe a mesma estrutura do
CMMI for Development e adota o mesmo esquema de certifcao, de ma-
turidade e capacidade. Foi desenvolvido levando em considerao o prprio
CMMI e outros modelos como ITIL, CobiT, ISO/IEC 20000 e o Informa-
tion Technology Services Capability Model ITSCMM.
O CMMI-SVC composto por 24 reas de processos especfcas e um
conjunto de prticas genricas alocadas conforme os nveis de maturidade
da representao por estgios e compartilha algumas reas de processo do
CMMI for Development.
As Tabelas 7.3, 7.4, 7.5 e 7.6 apresentam uma breve descrio de cada uma
das reas de processo, conforme os nveis de maturidade.
Modelos para Gerenciamento de Servios de TI 307
Nvel de
Maturidade
rea de Processo Descrio
Gesto da confgurao (CM) Estabelecer e manter a integridade
dos produtos de trabalho usando a
identifcao de confgurao, controle da
confgurao, o status da confgurao e
as auditorias de confgurao.
Medio e anlise (MA) Desenvolver e sustentar uma capacidade
de medio usada para apoiar as
necessidades de informaes gerenciais.
Garantia da qualidade do processo e
produto (PPQA)
Fornecer ao pessoal de servios e gerncia
avaliaes objetivas acerca dos processos e
dos produtos de trabalho associados.
Nvel 2
Gesto de requisitos (RM) Gerenciar os requisitos de produtos e dos
componentes dos produtos e assegurar o
alinhamento entre eles e os requisitos dos
planos e produtos de trabalho.
Gesto do acordo com o fornecedor
(SAM)
Gerenciar a aquisio de servios e
produtos de fornecedores.
Entrega do servio (SD) Entregar os servios de acordo com os
acordos com os clientes.
Controle e monitorao do trabalho
(WMC)
Fornecer um entendimento do trabalho
que est sendo executado, de forma
que aes corretivas possam ser
tomadas quando o desempenho desvia
signifcativamente do plano.
Planejamento do trabalho (WP) Estabelecer e manter planos para defnir
as atividades do trabalho.
Tabela 7.3 CMMI-SVC Processos do nvel 2
Adaptado de: SEI (2010c)
Nvel de
Maturidade
rea de Processo Descrio
Nvel 3
Gesto da capacidade e disponibilidade
(CAM)
Assegurar o desempenho efetivo do
sistema de servio e assegurar que
os recursos so fornecidos e usados
efetivamente para apoiar os requisitos dos
servios.
308 Implantando a Governana de TI 3 edio
Nvel de
Maturidade
rea de Processo Descrio
Nvel 3 Anlise e resoluo de deciso (DAR) Analisar possveis decises usando um
processo formal de avaliao que analisa
alternativas identifcadas contra critrios
estabelecidos.
Resoluo e preveno de incidentes
(IRP)
Assegurar a resoluo efetiva e no tempo
acordado de incidentes de servios, assim
como a preveno de incidentes de forma
apropriada.
Gesto integrada do trabalho (IWM) Estabelecer e gerenciar o trabalho e o
envolvimento de interessados relevantes
de acordo com processos defnidos e
integrados, que sejam customizveis a
partir do conjunto padro de processos.
Defnio do processo organizacional
(OPD)
Estabelecer e manter um conjunto de ativos
de processos organizacionais, tais como
padres do ambiente de trabalho, regras e
guias de orientao para as equipes.
Nvel de
Maturidade
rea de Processo Descrio
Nvel 3
Foco no processo organizacional (OPF) Planejar, implementar e entregar melhorias
nos processos organizacionais com base
no completo entendimento dos pontos
fortes e fracos dos processos e ativos de
processos da organizao.
Treinamento organizacional (OT) Desenvolver habilidades e conhecimentos
de pessoas de forma que elas possam
desempenhar seus papis de maneira
efetiva e efcaz.
Gesto de riscos (RSKM) Identifcar os problemas potenciais antes
que eles ocorram, de forma que as
atividades de riscos possam ser planejadas
e acionadas quando necessrio ao longo
do ciclo de vida do produto ou trabalho,
visando mitigar impactos adversos no
atendimento aos objetivos.
Continuidade do servio (SCON) Estabelecer e manter planos para
assegurar a continuidade dos servios
durante qualquer interrupo das
operaes normais.
Desenvolvimento do sistema de servios
(SSD)
Analisar, projetar, desenvolver, integrar,
verifcar e validar sistemas de servios,
incluindo os componentes do sistema
de servio, para satisfazer acordos de
servios existentes ou futuros.
Modelos para Gerenciamento de Servios de TI 309
Nvel de
Maturidade
rea de Processo Descrio
Nvel 3 Transio do sistema do servio (SST) Entregar novas ou signifcantes mudanas
nos componentes do sistema de servios
enquanto gerencia o seu impacto nos
servios em execuo.
Gesto estratgica do servio (STSM) Estabelecer e manter padres de
servios de acordo com as necessidades
estratgicas e dos planos.
Tabela 7.4 CMMI-SVC Processos do nvel 3
Adaptado de: SEI (2010c)
Nvel de
Maturidade
rea de Processo Descrio
Nvel 4 Desempenho do processo organizacional
(OPP)
Estabelecer e manter um entendimento
quantitativo do desempenho de processos
selecionados, no conjunto de processos da
organizao, em apoio ao atendimento dos
objetivos de qualidade e de desempenho
do processo e fornecer dados de
desempenho, baselines e modelos para
gerenciar quantitativamente o trabalho.
Gesto quantitativa do trabalho (QWM) Gerenciar quantitativamente o trabalho
para atender aos objetivos de qualidade
e desempenho do processo estabelecido
para o trabalho.
Tabela 7.5 CMMI-SVC Processos do nvel 4
Adaptado de: SEI (2010c)
Nvel de
Maturidade
rea de Processo Descrio
Nvel 5
Gesto do desempenho organizacional
(OPM)
Gerenciar proativamente o desempenho da
organizao para atender aos objetivos do
negcio.
Anlise e resoluo de causas (CAR) Identifcar causas de resultados selecionados
e tomar aes para melhorar o desempenho
do processo.
Tabela 7.6 CMMI-SVC Processos do nvel 5
Adaptado de: SEI (2010c)
310 Implantando a Governana de TI 3 edio
Os principais benefcios do CMMI-SVC podem ser distribudos pelos es-
tgios de maturidade atingidos por uma organizao de servios, como mos-
tra a Tabela 7.7 abaixo.
Nvel de Maturidade Benefcios
2 - Gerenciado O servio gerenciado e entregue conforme o planejado.
O servio atende aos requisitos do cliente.
Os acordos com os clientes e fornecedores so gerenciados.
O provedor de servios adquire a capacidade de medir o desempenho do
servio.
Recursos esto disponveis para a execuo dos servios.
Os processos so mantidos em perodos de pico de demanda.
3 - Definido O provedor de servio emprega processos defnidos.
O servio tem garantias de continuidade e disponibilidade.
O servio tem capacidade de expanso planejada.
Os processos so melhorados continuamente.
Processos podem ser adaptados para atendera situaes especfcas.
Ganhos de produtividade medida que os ativos de processos so gerenciados.
4 Gerenciado
Quantitativamente
Os processos so gerenciados a partir de objetivos de desempenho.
A qualidade e o desempenho do processo so compreendidos de forma
estatstica.
O desempenho do processo entendido e previsvel.
A capacidade do processo compreendida.
5 - Otimizado Os processos so melhorados continuamente com o entendimento dos objetivos
do negcio e as necessidades de desempenho.
A organizao compreende as causas de variao nos processos.
Os processos so melhorados continuamente e atravs de inovaes.
Os resultados das melhorias so analisados quando ao seu efeito no
desempenho do processo.
O foco sobre a melhoria da organizao como um todo.
Tabela 7.7 Benefcios do CMMI-SVC
Adaptado de: SEI (2010c)
Este modelo , de certa forma, equivalente ISO/IEC 20000, em termos
de certifcao para um provedor de servio. Entretanto, bem mais rigoro-
so quando considerados os nveis 4 e 5 de maturidade (melhoria contnua
efetiva e permanente). Requer, naturalmente, uma grande mudana cultural
da organizao, que pode ser conseguida ao longo do tempo, medida que a
organizao vai adquirindo maturidade.
Todavia, no contexto do mercado brasileiro, os provedores de servios es-
to atualmente optando pela a obteno da certifcao ISO/IEC 20000.
Modelos para Gerenciamento de Servios de TI 311
7.4 microsoft oPerAtions frAmework (mof)
umA breve viso
O MOF o modelo da Microsoft para gesto de servios de TI e baseado
no modelo ITIL, atravs da adoo, adaptao e combinao do seu conjunto de
melhores prticas ao ambiente Microsoft (veja no site www.microsoft.com/mof ).
O MOF composto por cinco componentes:
Modelo de processos (Process Model).
Revises gerenciais da operao (Operations Management Reviews).
Funes de gerenciamento de servios (Service Management Functions).
Modelo de processo de equipe (Team Model Process).
Disciplina de gesto de riscos para operaes (Risk Management Dis-
cipline for Operations).
A Figura 7.13 fornece uma viso geral do modelo de processo do MOF.
O modelo de processos contempla as revises gerenciais da operao e as
funes gerenciais de servios.
Otimizando
Mudando
Operando
Suportando
Reviso da iniciao
Reviso da prontido
da liberao
Reviso da operao
Reviso dos SLAs
Central de Servios
Gerenciamento de incidentes
Gerenciamento de problemas
Gerenciamento de mudanas
Gerenciamento da configurao
Gerenciamento da liberao
Monitoramento e controle do servio
Administrao do sistema
Administrao da rede
Administrao de servios de diretrios
Administrao da segurana
Gesto do armazenamento
"job scheduling"
Gerenciamento do nvel de servio
Gerenciamento da capacidade
Gerenciamento da disponibilidade
Gerenciamento da segurana
Engenharia da infraestrutura
Gerenciamento financeiro
Gerenciamento da fora de trabalho
Gerenciamento da continuidade do servio
Figura 7.13 MOF: modelo de processos
312 Implantando a Governana de TI 3 edio
De acordo com a descrio do modelo pela Microsoft, o quadrante Mu-
dando inclui os processos e procedimentos requeridos para identifcar, rever,
aprovar e incorporar mudanas no ambiente gerenciado de TI. Mudanas
incluem hardware e software, assim como processos e procedimentos.
O quadrante Operando consiste na operao do ambiente, sistemas, mo-
nitoramento do ambiente, programao da produo, etc. O quadrante Su-
portando consiste na Central de Servios e no gerenciamento de incidentes e
problemas. O quadrante Otimizando foca o gerenciamento dos nveis e dos
custos dos servios e o planejamento da melhoria e das mudanas. O com-
ponente de Revises Gerenciais da Operao prev quatro tipos de revises:
Reviso da iniciao: garante que novos projetos de sistemas, implan-
taes de servios, etc., estejam aderentes aos requisitos para a opera-
o e aos padres e procedimentos.
Reviso de prontido da liberao: garante ao cliente, ao pessoal de
TI e a outros interessados que a aplicao ou o servio a ser liberado
para operao esteja em conformidade com os requisitos do negcio
e de operao da TI.
Reviso da operao: visa a avaliao do desempenho dos servios de
TI pelo prprio pessoal de operao de servios, assim como o esta-
belecimento de planos de melhoria do desempenho.
Reviso dos acordos de nveis de servio (SLAs): consiste na reviso
conjunta de TI e clientes sobre os nveis de servio, avaliao do de-
sempenho, mudanas que podem afetar os SLAs e a prpria reviso
dos nveis de servio.
O componente de Funes de Gerenciamento de Servios consiste nos
servios de TI fornecidos aos usurios, considerando cada um dos quadrantes
do MOF, conforme mostrou a Figura 7.13. O componente de Modelo de
Processo de Equipe compreende uma srie de princpios de desenvolvimento
e gesto de equipes, assim como estabelece os papis no contexto do MOF e
as competncias requeridas para a gesto e entrega dos servios de TI.
O ltimo componente, Disciplina de Gesto de Riscos para Operaes,
contempla uma metodologia para o planejamento e gerenciamento de riscos
de implantao e operao dos servios de TI.
8
8
modelos PArA Processos
de softwAre
Provavelmente os processos de software sejam aqueles para os quais mais
modelos de melhores prticas foram desenvolvidos ao longo dos anos. Entre
esses modelos, fguram tcnicas de engenharia de software, metodologias e
padres para as vrias etapas do desenvolvimento, adaptaes de mtodos de
gerenciamento de projetos etc.
Entretanto, o que tem fcado cada vez mais evidente que os processos
de software precisam ser tratados de forma integrada e interdisciplinar, ou
seja, abrangendo aspectos tcnicos de engenharia, de gerenciamento de
projetos e operaes de sustentao, de controle de artefatos e de gerencia-
mento de requisitos no funcionais, notadamente daqueles relacionados
infraestrutura. Abordagens integradas desta natureza esto presentes nos
modelos de maturidade criados para avaliar e acreditar as organizaes de
software.
Neste captulo, so apresentados de forma resumida os princpios e
processos de dois modelos de maturidade que tm sido utilizados como
base de boas prticas para processos de software: o CMMI (na modali-
dade para o processo de Desenvolvimento) e o MR-MPS (modelo brasi-
leiro para melhoria do processo de software), e citaremos brevemente as
normas ISO/IEC 12207 e ISO/IEC 9126, tambm aplicveis a processos
de software.
314 Implantando a Governana de TI 3 edio
8.1 cmmi - cAPAbility mAturity model
integrAtion
8.1.1 histrico do modelo
A partir de uma encomenda feita pelo DoD (Departamento de Defesa
norte-americano), o SW-CMM (Capability Maturity Model para Software)
foi criado em 1991 pelo Software Engineering Institute (SEI), da Carnegie
Mellon University (CMU), como um modelo de qualidade para o processo de
engenharia de software. O mercado de empresas de software havia, ento, en-
contrado nele uma de suas principais referncias como modelo de qualidade.
As diferentes necessidades das organizaes originaram variaes aplicveis
a outras disciplinas, tais como engenharia de sistemas, aquisio de software,
gesto e desenvolvimento de mo de obra e desenvolvimento integrado de
produtos e processos. Entretanto, cada um destes modelos possua sua prpria
arquitetura e abordagem de implementao, o que difcultava a sua utilizao
por organizaes que possuam processos integrados envolvendo vrias destas
disciplinas, devido aos altos custos de treinamento, avaliao e aes de me-
lhoria.
Diante deste cenrio, o CMMI (Capability Maturity Model Integration) foi
criado pelo SEI em 2002 como um modelo evolutivo em relao aos vrios
CMMs, com o objetivo de combinar as suas vrias disciplinas em uma estru-
tura nica, fexvel e componentizada, que pudesse ser utilizada de forma in-
tegrada por organizaes que demandavam processos de melhoria em mbito
corporativo. Alm da integrao, o modelo tornou mais claros alguns aspectos
que antes eram implcitos, tais como a diferenciao entre os conceitos de
organizao e empresa, a valorizao dos processos de verifcao e vali-
dao e a evoluo da caracterstica Medio e Anlise (comum a todas as
KPAs do CMM) para se tornar uma importante rea de Processo do CMMI.
Em agosto de 2006, o SEI publicou a verso 1.2 do CMMI, incorporando
uma srie de melhorias e simplifcaes em relao verso anterior. Entre
elas, esto a unifcao do tratamento das disciplinas de engenharia de softwa-
re, engenharia de sistemas, desenvolvimento integrado de produto e processo
e terceirizao em um s documento, denominado CMMI para Desenvol-
vimento e a adoo de uma nova arquitetura para o modelo (inspirada no
Modelos para Processos de Software 315
conceito de constelaes) que permitisse a sua expanso para outros focos,
tais como aquisies e entrega de servios.
O SEI publicou, em novembro de 2010, a verso 1.3 do CMMI, incluin-
do melhorias signifcativas, tais como o refnamento das reas de processo dos
nveis mais altos de maturidade para refetir outros modelos de melhores pr-
ticas do mercado (tais como mtodos geis, Lean Seis Sigma, etc.), a simplif-
cao do seu modelo de arquitetura e maior clareza nos termos do glossrio. A
principal mudana foi a eliminao das metas e prticas genricas dos nveis 4
e 5 de maturidade, assim como dos nveis de capacitao 4 e 5, uma vez que
a aplicao dos nveis 1 a 3 nas reas de processo dos maiores nveis de matu-
ridade tem se mostrado sufciente para os objetivos de qualidade do modelo.
8.1.2 objetivos do modelo
O principal propsito do CMMI fornecer diretrizes baseadas em me-
lhores prticas para a melhoria dos processos e habilidades organizacionais,
cobrindo o ciclo de vida de produtos e servios completos, nas fases de con-
cepo, desenvolvimento, aquisio, entrega e manuteno. Neste sentido,
suas abordagens envolvem a avaliao da maturidade da organizao ou a
capacitao das suas reas de processo, o estabelecimento de prioridades e a
implementao de aes de melhoria.
8.1.3 estruturA do modelo
8.1.3.1 Viso geral do modelo
Cada organizao possui o seu prprio modus operandi e, consequente-
mente, uma forma particular de gerenciar mudanas nos seus processos orga-
nizacionais. Esta realidade, assim como o fato de que existem organizaes de
diversos tamanhos, contemplada pelo CMMI, que oferece duas abordagens
distintas para a sua implementao: a Abordagem por Estgios e a Aborda-
gem Contnua. Atendendo a requisitos de componentizao, a verso 1.3
do CMMI apresenta tais abordagens reunidas em um mesmo documento,
dentro do escopo de cada constelao.
316 Implantando a Governana de TI 3 edio
Uma constelao uma coleo de componentes gerada a partir do fra-
mework CMMI, que engloba um modelo fundamental, seus materiais de
treinamento e documentao relacionada a avaliaes, abrangendo uma
rea de interesse especfca. A expanso das constelaes para contedos
especfcos adicionais feita atravs de adies. As seguintes constelaes
(que so complementares entre si) fazem parte do escopo da verso 1.3 do
CMMI
51
:
CMMI para Desenvolvimento (CMMI-DEV): prov diretrizes para
monitorar, mensurar e gerenciar processos de desenvolvimento.
CMMI para Servios (CMMI-SVC): prov diretrizes para entrega de
servios dentro das organizaes e para clientes externos.
CMMI para Aquisies (CMMI-ACQ): prov diretrizes para suporte
s decises relacionadas aquisio de produtos e servios.
Os principais componentes da estrutura do CMMI esto representados na
fgura 8.1 e defnidos a seguir:
Metas
Genricas
Metas
Especficas
Elaboraes de
Prticas Genricas
Produtos de
Trabalho Tpicos
Subprticas Subprticas
Prticas
Especficas
Prticas
Genricas
rea de Processo
Objetivo
Notas
Introdutrias
reas de Processo
Relacionadas
Requerido Esperado Informativo Legenda:
Figura 8.1 Componentes da estrutura do CMMI-DEV
Fonte: SEI (2010b)
51 Neste captulo, ser abordada apenas a constelao CMMI-DEV, devido sua aplicabilidade aos
processos de software. As demais constelaes sero brevemente abordadas no captulo sobre modelos
para sourcing.
Modelos para Processos de Software 317
reas de Processo: conjunto de prticas inter-relacionadas que, quan-
do executadas coletivamente, satisfazem um conjunto de metas con-
sideradas importantes para realizar melhorias signifcativas em uma
determinada rea (possuem, como subcomponentes informativos, um
objetivo, notas introdutrias e outras reas de processo relacionadas).
Metas Especfcas: metas relacionadas a uma determinada rea de
processo, que descrevem o que deve ser realizado para assegurar que
esta esteja efetivamente implementada.
Prticas Especfcas: descries das atividades consideradas importan-
tes para o atendimento de suas respectivas metas especfcas. Podem
ser detalhadas em subprticas e possuem como sadas os produtos de
trabalho tpicos.
Metas Genricas: metas comuns, compartilhadas por mltiplas reas
de processo, que, quando atingidas dentro de uma rea de processo
especfca, podem indicar se esto sendo planejadas e implementadas
de forma efetiva, replicvel e controlada.
Prticas Genricas: descries das atividades consideradas importan-
tes para o atingimento das suas respectivas metas genricas e que ga-
rantem a institucionalizao efetiva, repetvel e controlada das reas
de processo. As prticas genricas podem ser divididas em subprticas
e conter derivaes especfcas (elaboraes) relacionadas a cada rea
de processo em que so aplicadas.
Componentes Informativos de Suporte: informaes adicionais ne-
cessrias para a descrio de um componente:
Notas: incluem detalhamento, fundamentao terica ou restri-
es/premissas relacionadas ao componente.
Exemplos: texto ou lista de itens para melhor clarifcar um con-
ceito ou atividade descrita.
Referncias: indicao de que h informaes adicionais ou mais
detalhadas para um componente na descrio de outras reas de
processo relacionadas.
Os componentes do modelo CMMI tambm podem ser classifcados em
categorias que refetem o modo como devem ser interpretados:
Requeridos: absolutamente necessrios para a implementao de uma
rea de processo. Exemplos: Metas Especfcas e Metas Genricas.
318 Implantando a Governana de TI 3 edio
Esperados: compem uma implementao tpica de uma rea de pro-
cesso, porm aceitando alternativas que produzam resultados satisfa-
trios. Exemplos: Prticas Especfcas e Prticas Genricas.
Informativos: auxiliam no entendimento detalhado das metas e pr-
ticas e das formas como podem ser implementadas. Exemplos: sub-
prticas, notas, referncias, exemplos de produtos de trabalho, etc.
8.1.3.2 reas de processo
Seguindo uma estrutura baseada no inter-relacionamento funcional entre
as metas, dentro de uma viso de melhoria corporativa de processos, o CMMI
sugere que as suas 22 reas de processo sejam agrupadas em quatro categorias
de afnidade (visando suportar a abordagem contnua de implementao):
Gesto do Processo: agrupa reas de processos que manipulam pro-
cessos no mbito da organizao, permeando todos os projetos (ver
Tabela 8.1):
rea de Processo Objetivo
Foco no Processo
Organizacional (OPF)
Planejar, implementar e entregar melhorias no processo organizacional
(incluindo o processo padro e os derivados de adaptaes), com base no claro
entendimento dos seus pontos fortes e fracos.
Defnio do Processo
Organizacional (OPD)
Estabelecer e manter uma biblioteca (re)utilizvel de componentes do processo
organizacional, incluindo polticas, descries de processos, modelos de
ciclos de vida, critrios e diretrizes para adaptao do processo, repositrio de
mtricas e demais itens de documentao relacionados.
Treinamento
Organizacional (OT)
Desenvolver as habilidades e o conhecimento das pessoas, de forma que elas
possam desempenhar seus papis no processo organizacional de forma efetiva.
Desempenho
do Processo
Organizacional (OPP)
Estabelecer e manter uma viso quantitativa do desempenho dos processos
padres e prover modelos e baselines de desempenho, visando melhorar a
gesto dos projetos atravs de mtricas de processo e produto.
Gesto do
Desempenho
Organizacional (OPM)
Gerenciar proativamente o desempenho da organizao para atingir os seus
objetivos de negcio.
Tabela 8.1 reas de Processo da Categoria Gesto do Processo
Fonte: SEI (2010b)
Modelos para Processos de Software 319
Gesto do Projeto: envolve reas de processo que tratam aspectos de
planejamento, monitorao e controle relacionados exclusivamente a
projetos (ver Tabela 8.2):
rea de Processo Objetivo
Planejamento do Projeto
(PP)
Estabelecer e manter planos que defnam as atividades dos projetos, envolvendo
a elaborao de estimativas, o estabelecimento do nvel adequado de interao
com os grupos envolvidos e a obteno de compromissos.
Controle e Monitorao
do Projeto (PMC)
Permitir uma visibilidade adequada do progresso do projeto, de forma que
possam ser tomadas aes corretivas apropriadas quando o seu desempenho
apresentar desvios signifcativos em relao ao planejado (replanejamento,
estabelecimento de novos acordos e/ou mitigao de riscos).
Gesto do Acordo com
o Fornecedor (SAM)
Gerenciar a aquisio de produtos de fornecedores externos para os quais
existe um acordo formal (produtos e/ou componentes entregveis ao cliente, ou
mesmo ferramentas e ambientes operacionais para o projeto).
Gesto Integrada do
Projeto (IPM)
Planejar e gerenciar o projeto e o envolvimento dos principais grupos
interessados, de acordo com um processo defnido e integrado, derivado do
processo padro da organizao.
Gesto de Requisitos
(REQM)
Gerenciar os requisitos tcnicos e no tcnicos absorvidos ou gerados por
um projeto, identifcando as inconsistncias em relao aos planos e produtos
do projeto e tratando de forma adequada as mudanas necessrias e seus
impactos.
Gesto de Riscos
(RSKM)
Identifcar problemas potenciais antes de sua ocorrncia, para que possam ser
planejadas e executadas aes de tratamento de riscos, visando a mitigao
de impactos negativos nos objetivos, ao longo do ciclo de vida do projeto ou
produto.
Gesto Quantitativa do
Projeto (QPM)
Gerenciar quantitativamente (atravs de mtricas) o processo defnido do
projeto, visando o atingimento dos objetivos preestabelecidos de desempenho
de qualidade e processo.
Tabela 8.2 reas de Processo da Categoria Gesto do Projeto
Fonte: SEI (2010b)
Engenharia: agrupa reas de processo
52
relacionadas ao ciclo de vida
de desenvolvimento e manuteno de produtos, assim como ga-
rantia do seu funcionamento e da sua aderncia s especifcaes (ver
Tabela 8.3):
52 As reas de processo Integrao do Produto, Verifcao e Validao, dentro do CMMI-DEV,
possuem adies abrangendo testes de software, hardware e sistemas.
320 Implantando a Governana de TI 3 edio
rea de Processo Objetivo
Desenvolvimento de
Requisitos (RD)
Gerar, analisar, defnir e validar requisitos do cliente, assim como seus
desdobramentos para os requisitos do produto e dos seus componentes, em
conformidade com as necessidades dos grupos interessados.
Soluo Tcnica (TS) Projetar, desenvolver e implementar alternativas de solues para o
atendimento de requisitos preestabelecidos, podendo envolver a criao e/ou
aquisio de produtos, componentes de produtos ou servios relacionados.
Integrao do Produto
(PI)
Montar o produto a partir dos seus componentes e entreg-lo ao cliente,
garantindo o seu funcionamento de forma integrada em relao a todas as
interfaces internas e externas.
Verifcao (VER) Garantir que um determinado produto satisfaa os respectivos requisitos para
os quais foi desenvolvido.
Validao (VAL) Demonstrar que um determinado produto ou componente de produto atinge os
resultados esperados depois de colocado em operao no ambiente fnal.
Tabela 8.3 reas de Processo da Categoria Engenharia
Fonte: SEI (2010b)
Suporte: qualifca processos cujas atividades so distribudas ao lon-
go de um projeto de desenvolvimento ou manuteno de produto e
cujos objetivos so atingidos indiretamente atravs da sua execuo
(ver Tabela 8.4):
rea de Processo Objetivo
Gesto da Confgurao
(CM)
Estabelecer e manter a integridade dos produtos de trabalho atravs de
identifcao, controle, verifcao e monitoramento constante da situao da
sua confgurao.
Garantia da Qualidade
do Processo e do
Produto (PPQA)
Prover aos integrantes das equipes uma visibilidade mais clara do andamento
dos processos e dos produtos gerados atravs de avaliaes objetivas
em relao s especifcaes, da identifcao de no conformidades e do
acompanhamento de aes corretivas.
Medio e Anlise (MA)
Desenvolver e manter uma capacitao de medio para suportar as
necessidades de informaes gerenciais, em termos de conceitos, tcnicas e
mecanismos de execuo.
Anlise de Decises e
Resoluo (DAR)
Analisar possveis decises utilizando um processo de avaliao formal, que
considera alternativas identifcadas em relao a critrios preestabelecidos.
Anlise e Resoluo de
Causas (CAR)
Identifcar causas de defeitos e outros problemas e tomar aes corretivas para
prevenir a sua ocorrncia futura.
Tabela 8.4 reas de Processo da Categoria Suporte
Fonte: SEI (2010b)
Modelos para Processos de Software 321
8.1.3.3 A abordagem de implementao por estgios
Esta abordagem pode ser considerada uma evoluo direta do CMM,
uma vez que tambm baseada em cinco nveis de maturidade: Inicial
(1), Gerenciado (2), Defnido (3), Gerenciado Quantitativamente (4) e
Otimizado (5).
Um nvel de maturidade pode ser considerado um degrau evolucionrio
para a melhoria do processo organizacional como um todo e consiste em pr-
ticas especfcas e genricas que integram um conjunto predefnido de reas de
processo. O cumprimento das metas especfcas e genricas correspondentes
a estas reas de processo um pr-requisito para o atingimento do nvel de
maturidade correspondente.
A Figura 8.2 ilustra a inter-relao entre os componentes estruturais do
CMMI, conforme a abordagem por estgios:
Figura 8.2 Estrutura do CMMI na abordagem por estgios - Adaptado de SEI (2010b)
A Tabela 8.5 mostra as reas de processo que precisam ser desenvolvidas
para que cada um dos nveis de maturidade do CMMI seja atingido pela or-
ganizao:
Nvel 5
(Otimizado)
Gesto do Desempenho Organizacional (OPM)
Anlise e Resoluo de Causas (CAR)
Nvel 4
(Gerenciado
quantitativamente)
Desempenho do Processo Organizacional (OPP)
Gesto Quantitativa do Projeto (QPM)
322 Implantando a Governana de TI 3 edio
Nvel 3
(Defnido)
Desenvolvimento de Requisitos (RD)
Soluo Tcnica (TS)
Integrao do Produto (PI)
Verifcao (VER)
Validao (VAL)
Foco no Processo Organizacional (OPF)
Defnio do Processo Organizacional (OPD)
Treinamento Organizacional (OT)
Gesto Integrada do Projeto (IPM)
Gesto de Riscos (RSKM)
Anlise de Decises e Resoluo (DAR)
Nvel 2
(Gerenciado)
Gesto de Requisitos (REQM)
Planejamento do Projeto (PP)
Controle e Monitorao do Projeto (PMC)
Gesto do Acordo com o Fornecedor (SAM)
Medio e Anlise (MA)
Garantia da Qualidade do Processo e do Produto (PPQA)
Gesto da Confgurao (CM)
Tabela 8.5 reas de processo por nveis de maturidade
Cada nvel de maturidade possui algumas caractersticas que merecem desta-
que e devem ser levadas em considerao nas suas iniciativas de implementao:
Nvel 2 (Gerenciado):
O foco direcionado para prticas de gesto de projetos, indi-
cando que, em uma organizao ainda imatura, mais prioritrio
aprender a planejar, controlar e gerenciar os projetos do que inves-
tir em tcnicas e metodologias de desenvolvimento de produtos.
Gerenciar projetos envolve gerenciar, durante o seu andamento, os
requisitos estabelecidos junto aos grupos interessados, a qualidade e
a integridade dos produtos gerados, a aderncia aos processos exis-
tentes e os acordos formalizados com os fornecedores envolvidos.
H uma preocupao explcita em relao criao de uma infra-
estrutura para medio e anlise dos processos, para viabilizar o
seu controle e gerenciamento efetivo.
Nvel 3 (Defnido):
O foco est no processo de engenharia de produtos, que espelha
as fases de um ciclo de vida padro: Concepo (Desenvolvi-
mento de Requisitos), Anlise e Desenho (Soluo Tcnica),
Testes e Implantao (Integrao do Produto, Verifcao e
Validao).
Modelos para Processos de Software 323
O modelo fomenta a criao de um ambiente organizacional
orientado integrao entre equipes de trabalho e ao comparti-
lhamento de conhecimentos e habilidades.
O estmulo a prticas de gesto de riscos e tomada de deciso
baseada em anlises formais fortalece as responsabilidades e os
compromissos assumidos.
Nvel 4 (Gerenciado Quantitativamente):
A gesto quantitativa baseada em medies e indicadores cobre,
de forma integrada, todo o conjunto de processos organizacionais,
assim como os projetos e respectivos produtos, como instrumento
de suporte para o atendimento dos objetivos de desempenho de
processo e de qualidade.
Os projetos e seus produtos, assim como o processo organizacio-
nal, so controlados estatisticamente.
Nvel 5 (Otimizado):
O conceito de inovao organizacional integra os processos de
gesto de mudanas tanto em processos como na tecnologia.
A importncia da anlise e da resoluo das causas dos desvios
explicitamente enfatizada.
8.1.3.4 A abordagem contnua de implementao
Atravs desta abordagem, o CMMI permite que cada uma de suas reas de
processo seja implementada de forma independente e evolutiva, agrupando
suas prticas genricas e especfcas em quatro nveis de capacitao:
Nvel 0 (Incompleto): o processo no executado ou parcialmente
executado, ou seja, uma (ou mais) das metas especfcas de sua rea de
processo no satisfeita.
Nvel 1 (Executado): o processo satisfaz todas as metas especfcas de
sua rea de processo e realiza o trabalho necessrio para gerar os seus
produtos.
Nvel 2 (Gerenciado): o processo planejado e executado de acor-
do com polticas organizacionais, utiliza pessoal habilitado e recursos
adequados para gerar sadas de forma controlada e envolve os grupos
interessados adequados, alm de ser monitorado, controlado, revisa-
324 Implantando a Governana de TI 3 edio
do, avaliado quanto conformidade com sua descrio e ao desem-
penho previsto nos seus planos.
Nvel 3 (Defnido): o processo gerenciado e adaptado a partir de um
conjunto de processos padronizados da organizao, que, por sua vez,
tambm evoluem continuamente.
Cada nvel de capacitao tem apenas uma meta genrica que descreve o
grau de institucionalizao que a organizao deve atingir no processo atravs
das prticas genricas relacionadas.
A Figura 8.3 ilustra a inter-relao entre os componentes estruturais do
CMMI, conforme a abordagem contnua:
rea de Processo
Prticas
Especficas
Prticas
Genricas
Metas Especficas Metas Genricas
Nveis de
Capacitao
Figura 8.3 Estrutura do CMMI na abordagem contnua
Adaptado de SEI (2010b)
Uma organizao pode acompanhar a sua evoluo na abordagem cont-
nua do CMMI atravs de um perfl de nveis de capacitao, que consiste
em uma viso das reas de processo e dos seus respectivos nveis de capacita-
o, extrada em vrios momentos dentro do programa de melhoria.
Estes perfs peridicos podem ser comparados a um perfl alvo que re-
presente os objetivos de melhoria da organizao. Os perfs alvo podem ser
dispostos em sequncia ao longo do tempo, de forma que a organizao tenha
objetivos sucessivos de melhoria, caracterizando uma estratgia denominada
target staging. Ao adotar esta estratgia, deve-se atentar para o fato de que h
interdependncias entre as prticas genricas e outras prticas ou reas de pro-
cesso e que uma prtica genrica no poder ser considerada implementada
enquanto todas as suas dependncias no estiverem atendidas.
Modelos para Processos de Software 325
8.1.3.5 Equivalncia entre as abordagens de implementao
A opo pela abordagem contnua no exclui a possibilidade de utiliza-
o da abordagem por estgios. A organizao poder estabelecer perfs alvos
para o atingimento dos prprios nveis de maturidade, atravs da estratgia de
equivalent staging. Esta estratgia baseia-se em uma relao de equivalncia,
onde so estabelecidos os nveis de capacitao (NCs) que cada rea de pro-
cesso (AP) deve atingir na abordagem contnua, para que um determinado
nvel de maturidade (NMs, na abordagem por estgios) seja atingido pela
organizao, conforme mostra a Tabela 8.6.
Nveis de Capacitao (Abordagem Contnua)
reas de Processo
por Nvel de
Maturidade
(Abord. por
Estgios)
NC 1
(Executado)
NC 2
(Gerenciado)
NC 3
(Defnido)
APs NM 2
(Gerenciado)
Perfil Alvo p/ NM 2
APs NM 3
(Defnido)
Perfil Alvo p/ NM 3
APs NM 4 (Quant.
Gerenciado)
Perfil Alvo p/ NM 4
APs NM 5
(Otimizado)
Perfil Alvo p/ NM 5
Tabela 8.6 Equivalncia entre abordagens por estgios e contnua
Adaptado de SEI (2010b)
Por exemplo, para que uma organizao atinja o Nvel de Maturidade 4
(abordagem por estgios), todas as reas de processo relativas aos nveis 2,
3 e 4 de maturidade devem estar no Nvel de Capacitao 3 (abordagem
contnua).
326 Implantando a Governana de TI 3 edio
8.1.4 APlicAbilidAde do modelo
O CMMI pode ser implementado em quaisquer organizaes cujo foco
seja o desenvolvimento de produtos (sistemas em geral, software, hardware,
etc.) para o atendimento de necessidades de clientes externos ou internos,
utilizando ou no recursos e/ou servios terceirizados.
A abordagem por estgios mais recomendada para organizaes que j
esto familiarizadas com a incorporao de melhorias nos seus processos or-
ganizacionais atravs de grandes saltos de qualidade, tais como aquelas que j
possuem um nvel de maturidade do CMM/CMMI ou que possuem modelos
de qualidade baseados na melhoria simultnea e integrada de vrios processos.
A abordagem contnua mais recomendada para organizaes que pre-
ferem uma evoluo gradual na sua capacitao, processo a processo, pos-
sibilitando uma maior diluio do investimento a ser feito no programa de
melhoria ao longo do tempo (organizaes de menor porte tambm podem
ter mais facilidade para utilizar o modelo nesta abordagem). Entretanto, sero
requeridos maiores esforos para gerenciar a evoluo segregada de cada pr-
tica e as interdependncias necessrias para viabilizar a equivalncia com os
nveis de maturidade da abordagem por estgios.
A utilizao de uma estratgia como o equivalent staging pode ser bastante
rica para empresas que utilizam a abordagem contnua, mas que necessitem
realizar benchmarkings em relao a outras organizaes (para esta fnalidade,
os nveis de maturidade tm sido utilizados h muito tempo).
8.1.5 benefcios do modelo
De acordo com resultados de desempenho relatados ao SEI em 2005 refe-
rentes a mais de 25 organizaes de grande porte, a implementao do CMMI
trouxe benefcios quantifcveis bastante signifcativos ao longo do tempo, nas
seguintes categorias (ver Tabela 8.7):
Categoria Mdia Alguns Exemplos
Custo Reduo de 20% Reduo de 20% nos custos de unidades de software.
Reduo de 15% nos custos de remoo de defeitos.
Queda de 4,5% na taxa de overhead dos projetos.
Queda de 42% nos custos de retrabalho.
Melhoria e estabilizao dos ndices de desempenho de custos.
Modelos para Processos de Software 327
Categoria Mdia Alguns Exemplos
Prazo Melhoria de 37% Aumento do percentual de milestones atingidos com sucesso de 50%
para aproximadamente 85%.
Reduo do nmero mdio de dias de atraso de aproximadamente 50
para menos de 10.
Variao mdia do prazo realizado em relao ao previsto reduzida
de cerca de 130 dias para menos de 20 dias.
Produtividade Aumento de 62% Aumento de 92% na quantidade de linhas de cdigo por pessoa/dia.
Aumento de 100% no nmero de releases de software liberadas por ano.
Aumento de 50% na soluo de requisies de mudana em relao
ao plano.
Qualidade Aumento de 50% Atingimento da meta de 20 +/- 5 defeitos a cada 1000 linhas de cdigo.
Apenas 2% dos defeitos encontrados no sistema em produo.
Reduo de 7% na quantidade de requisies de mudana no
ambiente de produo.
Satisfao
dos Clientes
Aumento de 14% Aumento de 55%, em com parao ao desempenho atingido pelo
SW-CMM Nvel 2.
Aumento de 10%, em comparao ao desempenho atingido pelo
SW-CMM Nvel 5.
Retorno
sobre o
Investimento
4,7 : 1 Retorno de 5:1 em relao s horas investidas em atividades de
qualidade.
Retorno de 24:1 devido sincronizao da confgurao de cdigo
entre localidades distintas (organizao no Nvel 5).
Tabela 8.7 Benefcios Quantitativos da Utilizao do CMMI
Fonte: Pgina ofcial do CMMI no site do SEI ( www.sei.cmu.edu/cmmi/ )
Tomando como base a abordagem por estgios, podem tambm ser rela-
cionados outros benefcios (alguns deles intangveis) que a qualifcao em
cada nvel de maturidade poder trazer para uma organizao:
Nvel 2 (Gerenciado):
Maior grau de previsibilidade para os projetos.
Melhor controle dos acordos com fornecedores de produtos e servios.
Maior segurana na criao de uma base de medies operacio-
nais, fundamentais para o acompanhamento e o gerenciamento
dos projetos.
Nvel 3 (Defnido):
Maior robustez na execuo dos processos e nos produtos, atravs
do uso da integrao do produto, verifcao, validao e de tc-
nicas de gesto de riscos.
328 Implantando a Governana de TI 3 edio
Maior envolvimento da organizao no estabelecimento de um
ambiente orientado integrao das equipes.
Melhoria na comunicao interna e externa.
Maior acurcia nas tomadas de deciso, atravs do uso de mto-
dos formais de anlise e resoluo.
Nvel 4 (Gerenciado Quantitativamente):
Maior preciso no gerenciamento dos projetos, atravs da utiliza-
o de indicadores de desempenho baseados em medies extra-
das desde o nvel 2.
Nvel 5 (Otimizado):
Tratamento adequado de todas as formas de inovaes e mudan-
as possveis, tanto nos processos quanto na tecnologia, e de seus
refexos no processo organizacional.
Maior acurcia no tratamento dos problemas, atravs da resolu-
o das causas comuns de variao.
Atravs da utilizao da abordagem contnua, uma quantidade maior de
empresas e organizaes de menor porte poder aderir ao modelo CMMI, de
uma forma gradual e compatvel com suas restries operacionais e oramen-
trias, contribuindo assim para a universalizao dos conceitos e modelos
de qualidade.
8.1.6 certificAes relAcionAdAs
No h, para o CMMI, o conceito de certifcao individual ou empresa-
rial. A qualifcao de organizaes nos nveis de maturidade feita atravs de
avaliaes formais.
A implementao do CMMI nas organizaes pode ser avaliada atravs de
mtodos desenvolvidos a partir de critrios de alto nvel defnidos pelo SEI
(ARC)
53
. De acordo com este documento, tais mtodos agrupam-se em trs
classes, conforme as exigncias em termos de grau de confabilidade, custo,
durao e necessidade de qualifcao ofcial. A Tabela 8.8 apre senta as prin-
cipais caractersticas destas classes:
53 ARC Appraisal Requirements for CMMI.
Modelos para Processos de Software 329
Caractersticas Classe A Classe B Classe C
Tipos de evidncias objetivas
colhidas
Documentos e
entrevistas
Documentos e
entrevistas
Documentos ou
entrevistas
Qualifcao Formal Sim No No
Cobertura de uma Unidade
Organizacional
Requerida No requerida No requerida
Tamanho da Equipe No mnimo 4 No mnimo 2 No mnimo 1
Requisitos para o Lder da
Avaliao
Avaliador Ofcial
Pessoa treinada e
experiente
Pessoa treinada e
experiente
Tabela 8.8 Caractersticas principais das classes de avaliao
Fonte: SEI (2011)
Classe A: seguem todos os critrios do ARC, abrangendo todas as
fontes de dados (entrevistas e anlise de documentao), e so as ni-
cas consideradas vlidas para qualifcao formal no Relatrio de Per-
fl de Maturidade
54
do SEI.
Classe B: so subconjuntos da Classe A (tambm abrangendo duas
fontes de dados) e no geram qualifcao formal, sendo recomenda-
das para avaliaes iniciais ou avaliaes de prontido.
Classe C: so subconjuntos da Classe B, podendo abranger uma das
duas fontes de dados possveis e tambm no geram qualifcao for-
mal, podendo ser utilizadas em autoavaliaes peridicas conduzidas
pelos grupos de suporte da organizao.
Um dos mtodos de avaliao mais conhecidos e aplicados para qualifca-
o formal e benchmarking o SCAMPI
55
A (Classe A), no qual os avaliadores
observam, escutam e leem informaes que so transformadas em anotaes
(podendo originar registros de desvios e/ou pontos fortes), que posteriormen-
te integraro os resultados fnais.
A preparao para uma avaliao SCAMPI envolve atividades tais como:
Defnio dos objetivos da avaliao (incluindo escopo/unidades or-
ganizacionais a serem avaliadas e nvel de maturidade a ser atingido).
54 O Maturity Profle Report emitido duas vezes ao ano e contm os resultados estatsticos ofciais
acerca das qualifcaes obtidas at o momento, considerando organizaes em todo o mundo.
55 SCAMPI Standard CMMI Appraisal Method for Process Improvement.
330 Implantando a Governana de TI 3 edio
Planejamento da avaliao (incluindo estimativas de prazo, esforo e
custo, defnio do team leader e dos team members que comporo a
banca da avaliao, cronograma de atividades, logstica de acesso, etc.).
Treinamento da equipe de avaliao.
Preparao das unidades organizacionais (incluindo coleta de evidn-
cias objetivas da implementao das prticas).
Reviso e anlise das evidncias coletadas.
Avaliao de prontido (para verifcar se tanto a equipe de avaliao
quanto as unidades organizacionais alvo esto aptas a passarem pela
avaliao ofcial).
A cada trs anos as organizaes devero ser novamente submetidas a uma
avaliao ofcial de mesmo nvel ou superior, para que suas credenciais junto
ao SEI sejam mantidas.
8.2 mr-mPs
8.2.1 histrico do modelo
No incio do sculo XXI, era usual para as empresas brasileiras de software
a utilizao da norma ISO 9000 como modelo de qualidade, em vez de mode-
los especfcos orientados a processos de software (tais como o CMM Capa-
bility Maturity Model). Alm disso, os altos custos necessrios para a obteno
de um nvel de maturidade nesses modelos (considerando a avaliao por um
SEI Partner) difcultavam a adoo desses modelos, principalmente pelas pe-
quenas e mdias empresas.
Neste cenrio, a SOFTEX lanou, em dezembro de 2003, o programa
MPS.BR (Melhoria do Processo de Software Brasileiro), um programa de
longo prazo que tem como espinha dorsal o modelo MR-MPS, baseado no
CMMI-DEV, na ISO 15504
56
e nas melhores prticas de engenharia de soft-
ware. Uma de suas metas disseminar o modelo por todo o pas, com custo e
prazos razoveis, tanto para o mercado de pequenas empresas (foco principal)
quanto para as grandes organizaes.
56 Esta norma trata de um modelo de avaliao de software desenvolvido a partir do projeto SPICE
europeu.
Modelos para Processos de Software 331
Este programa coordenado pela Associao para Promoo da Excelncia
do Software Brasileiro (SOFTEX)
57
e tem apoio de diversas instituies go-
vernamentais (entre as quais o Ministrio da Cincia e Tecnologia MCT, a
Financiadora de Estudos e Projetos FINEP, o Servio Brasileiro de Apoio s
Micro e Pequenas Empresas SEBRAE e o Banco Interamericano de Desen-
volvimento BID) e no governamentais (tais como o CenPRA Centro de
Pesquisas Renato Archer, Programa de Engenharia de Sistemas e Computao
da UFRJ, Universidade Catlica de Braslia, CESAR Centro de Estudos e
Sistemas Avanados de Recife, CELEPAR Companhia de Informtica do
Paran), assim como de algumas empresas privadas.
O perodo de 2004 a 2007 foi destinado ao projeto de implantao do
programa MPS.BR, com os lanamentos das verses 1.0 (maio de 2005),
1.1 (maio de 2006) e 1.2 (junho de 2007) do modelo MR-MPS, e os trs
anos seguintes (2008 a 2011) s atividades de consolidao. Em junho de
2009 (com atualizao em setembro), foi lanado o modelo de referncia
MR-MPS:2009, que implementou diversas melhorias, entre as quais a com-
patibilidade com a norma internacional ISO 12207:2008
58
.
8.2.2 objetivos do modelo
De acordo com SOFTEX (2009a), uma das metas do programa MPS.BR
defnir e aprimorar um modelo de melhoria e avaliao de processo de soft-
ware, visando preferencialmente s micro, pequenas e mdias empresas, de
forma a atender as suas necessidades de negcio e ser reconhecido nacional
e internacionalmente como um modelo aplicvel indstria de software. O
modelo MPS estabelece um modelo de processos de software e um processo
e um mtodo de avaliao de processos. Esta estrutura fornece sustentao
e garante que o modelo MPS esteja sendo empregado de forma coerente
com as suas defnies. O modelo MPS estabelece tambm um modelo de
negcio para apoiar a sua adoo pelas empresas brasileiras desenvolvedoras
de software.
57 A SOFTEX uma organizao da sociedade civil de interesse pblico, cujo objetivo aumentar
a competitividade da indstria brasileira de software por meio de aes de capacitao, inovao,
qualidade e atuao no mercado.
58 Norma especfca acerca de processos do ciclo de vida do software.
332 Implantando a Governana de TI 3 edio
8.2.3 estruturA do modelo
8.2.3.1 Viso geral do modelo
O modelo MPS formado por trs componentes:
Modelo de Referncia (MR-MPS), composto por um Guia Geral que
o descreve, por um Guia de Aquisio de software e servios correlatos
e um conjunto de Guias de Implementao focados em cada um dos
seus sete nveis de maturidade e tambm em organizaes especfcas
(que adquirem software, Fbricas de Software e Fbricas de Testes).
Mtodo de Avaliao (MA-MPS), contendo requisitos para os avalia-
dores lderes, avaliadores adjuntos e Instituies Avaliadoras.
Modelo de Negcio (MN-MPS), descrevendo regras de negcio ge-
rais para implementao, avaliao, organizao de grupos de empre-
sas, certifcao de consultores e programas de treinamento.
A fgura 8.4 mostra a estrutura na qual o Modelo de Referncia (MR-MPS)
est baseada. Os elementos desta estrutura sero abordados nas sees a seguir.
Figura 8.4 Estrutura do MR-MPS, mostrando seus principais elementos
Adaptado de SOFTEX (2009a)
Modelos para Processos de Software 333
8.2.3.2 Os nveis de maturidade
Assim como acontece no CMMI, os nveis de maturidade do modelo MPS
estabelecem patamares de evoluo dos processos e representam estgios de
melhoria para a implementao de processos em uma organizao.
A cada nvel de maturidade est associado um conjunto de processos e um
conjunto de atributos de processos cujo atendimento necessrio. Isto signi-
fca que, para alcanar um determinado nvel de maturidade do MR-MPS,
os objetivos e resultados esperados dos processos devem ser atendidos, e os
resultados esperados dos atributos de processo estabelecidos para aquele nvel
tambm devem ser atendidos.
O MR-MPS possui sete nveis de maturidade, conforme mostra a tabela 8.9:
A Em Otimizao
B Gerenciado Quantitativamente
C Defnido
D Largamente Defnido
E Parcialmente Defnido
F Gerenciado
G Parcialmente Gerenciado
Tabela 8.9 Nveis de Maturidade do MR-MPS
Fonte: SOFTEX (2009a)
8.2.3.3 Os processos do MR-MPS
O MR-MPS possui dezenove processos, distribudos entre os nveis de
maturidade. Isto signifca que cada processo est associado ao nvel de ma-
turidade onde aparece a necessidade que o seu primeiro atributo de processo
esteja atendido. De acordo com SOFTEX (2009a), os processos so:
Nvel G Parcialmente Gerenciado:
Gerncia de Projetos (GPR): estabelece e mantm planos que
defnem as atividades, os recursos e as responsabilidades do pro-
jeto e fornece informaes sobre o andamento do projeto que
334 Implantando a Governana de TI 3 edio
permitem a realizao de correes quando houver desvios signi-
fcativos no seu desempenho. O propsito deste processo evolui
medida que a organizao cresce em maturidade.
Gerncia de Requisitos (GRE): gerencia os requisitos do pro-
duto e dos componentes do produto do projeto, identifcando
inconsistncias entre os requisitos, os planos do projeto e os pro-
dutos de trabalho do projeto.
Nvel F Gerenciado:
Aquisio (AQU): gerenciar a aquisio de produtos (e servios,
desde que sejam parte integrante do produto fnal para o cliente)
que satisfazem s necessidades expressas pelo adquirente.
Gerncia de Confgurao (GCO): estabelece e mantm a in-
tegridade de todos os produtos de trabalho de um processo ou
projeto, disponibilizando-os para todos os envolvidos.
Gerncia de Portflio de Projetos (GPP): inicia e mantm proje-
tos que sejam necessrios, sufcientes e sustentveis, de forma a aten-
der os objetivos estratgicos da organizao. Este processo ainda:
compromete o investimento e os recursos organizacionais
adequados;
estabelece a autoridade necessria para executar os projetos
selecionados;
executa a qualifcao contnua de projetos para confrmar que
eles justifcam a continuidade dos investimentos ou podem ser
redirecionados para justifcar.
Garantia da Qualidade (GQA): garante que os produtos de tra-
balho e a execuo dos processos estejam em conformidade com
os planos, procedimentos e padres estabelecidos.
Medio (MED): coleta, armazena, analisa e relata os dados rela-
tivos aos produtos desenvolvidos e aos processos implementados
na organizao e em seus projetos, de forma a apoiar os objetivos
organizacionais.
Nvel E Parcialmente Defnido:
Avaliao e Melhoria do Processo Organizacional (AMP): de-
termina o quanto os processos padro da organizao contribuem
para alcanar os objetivos de negcio da organizao e para apoiar
a organizao a planejar, realizar e implantar melhorias contnuas
nos processos, com base no entendimento de seus pontos fortes
e fracos.
Modelos para Processos de Software 335
Defnio do Processo Organizacional (DFP): estabelece e
mantm um conjunto de ativos de processo organizacional e pa-
dres do ambiente de trabalho usveis e aplicveis s necessidades
de negcio da organizao.
Gerncia de Recursos Humanos (GRH): fornece organizao
e aos projetos os recursos humanos necessrios e mantm suas
competncias adequadas s necessidades do negcio.
Gerncia de Reutilizao (GRU): gerencia o ciclo de vida dos
ativos reutilizveis.
OBS.: a partir do nvel E, a gerncia de projetos (processo GPR) passa
a ser realizada com base no processo defnido para o projeto e nos planos
integrados.
Nvel D Largamente Defnido:
Desenvolvimento de Requisitos (DRE): defne os requisitos do
cliente, do produto e dos componentes do produto.
Integrao do Produto (ITP): integra os componentes do pro-
duto, realizando um produto consistente com seu projeto, e de-
monstra que os requisitos funcionais e no funcionais so satisfei-
tos para o ambiente alvo ou equivalente.
Projeto e Construo do Produto (PCP): desenvolve e imple-
menta solues para atender aos requisitos.
Validao (VAL): confrma que um produto ou componente do
produto atender a seu uso pretendido quando colocado no am-
biente para o qual foi desenvolvido.
Verifcao (VER): confrma que cada servio e/ou produto de
trabalho do processo ou do projeto atende apropriadamente os
requisitos especifcados.
Nvel C Defnido:
Gerncia de Decises (GDE): analisa possveis decises crticas
usando um processo formal, com critrios estabelecidos, para ava-
liao das alternativas identifcadas.
Desenvolvimento para Reutilizao (DRU): identifca oportu-
nidades de reutilizao sistemtica de ativos na organizao e, se
possvel, estabelece um programa de reutilizao para desenvolver
ativos a partir de engenharia de domnios de aplicao.
336 Implantando a Governana de TI 3 edio
Gerncia de Riscos (GRI): Identifca, analisa, trata, monitora e
reduz continuamente os riscos em nvel organizacional e de pro-
jeto.
Nvel B Gerenciado Quantitativamente:
O nvel B no possui processos especfcos. Neste nvel, a gerncia
de projetos (processo GPR) passa a ter um enfoque quantitativo,
refetindo a alta maturidade que se espera da organizao e todos
os processos devem satisfazer os atributos de processos relaciona-
dos a medio e controle.
Nvel A Em Otimizao:
O nvel A no possui processos especfcos. Neste nvel, todos os
processos selecionados para anlise de desempenho devem satis-
fazer os atributos de processo relacionados a medio e controle e
pelo menos um processo deve ser objeto de melhorias e inovaes
contnuas.
8.2.3.4 Os atributos de processos do MR-MPS
A capacidade de um processo, no MR-MPS, refete o grau de refnamento
e institucionalizao com que este processo executado na organizao. Esta
capacidade representada por um conjunto de atributos de processo descritos
em termos de resultados esperados. medida que a organizao evolui nos
nveis de maturidade, um maior grau de capacidade deve ser atingido na exe-
cuo do processo.
O MR-MPS possui nove atributos de processos, conforme mostra a tabela
8.10:
Atributo de Processo: Mede o quanto...
AP1.1 O processo executado. o processo atinge o seu propsito.
AP2.1 O processo gerenciado. a execuo do processo gerenciada.
AP2.2 Os produtos de trabalho do
processo so gerenciados.
produtos de trabalho produzidos pelo processo so gerenciados
apropriadamente.
AP3.1 O processo defnido. um processo padro mantido para apoiar a implementao do
processo defnido.
AP3.2 O processo est implementado. o processo padro efetivamente implementado como um
processo defnido para atingir seus resultados.
Modelos para Processos de Software 337
Atributo de Processo: Mede o quanto...
AP4.1 O processo medido. os resultados de medio so usados para assegurar que a
execuo do processo atinja os seus objetivos de desempenho
e apoie o alcance dos objetivos de negcio defnidos.
AP4.2 O processo controlado. o processo controlado estatisticamente para produzir
um processo estvel, capaz e previsvel dentro de limites
estabelecidos.
AP5.1 O processo objeto de
melhorias e inovaes.
as mudanas no processo so identifcadas a partir da anlise
de defeitos, problemas, causas comuns de variao do
desempenho e da investigao de enfoques inovadores para a
defnio e implementao do processo.
AP5.2 O processo otimizado
continuamente.
as mudanas na defnio, gerncia e desempenho do
processo tm impacto efetivo para o alcance dos objetivos
relevantes de melhoria do processo.
Tabela 8.10 Atributos de Processo do MR-MPS
Fonte: SOFTEX (2009a)
Para atingir um nvel de maturidade, esperado que todos os proces-
sos relativos a este nvel atendam aos resultados esperados dos prprios
processos, assim como os resultados esperados dos atributos dos processos
correspondentes quele nvel (e tambm aos processos de todos os nveis
anteriores.
Por exemplo: uma organizao que atinge o nvel F atende todos os atri-
butos de processo dos nveis G e F, para todos os processos correspondentes
ao nvel de maturidade F (que compreende tambm o nvel G). Ao atingir o
nvel F, os processos do nvel de maturidade G devem ser executados com um
nvel de capacidade.
A tabela 8.11 mostra, para cada nvel de maturidade do MR-MPS, os seus
processos, os atributos de processo que precisam ser atingidos por cada proces-
so, alm de uma equivalncia com os nveis de maturidade do CMMI-DEV.
338 Implantando a Governana de TI 3 edio
Nvel de
Maturidade
Processos do Nvel de Maturidade
Atributos de
Processo
Correspondentes
Equivalncia
com o CMMI
G Parcialmente
gerenciado
Gerncia de requisitos (GRE)
Gerncia de projetos (GPR)
AP1.1
AP2.1
NVEL 2
F Gerenciado
Aquisio (AQU)
Gerncia de Confgurao (GCO)
Gerncia de Portflio de Projetos (GPP)
Garantia da Qualidade (GQA)
Medio (MED)
AP1.1
AP2.1
AP2.2
E Parcialmente
defnido
Avaliao e Melhoria do Processo Organizacional
(AMP)
Defnio do Processo Organizacional (DFP)
Gerncia de Recursos Humanos (GRH)
Gerncia de Reutilizao (GRU)
Gerncia de Projetos (GRP) - evoluo
AP1.1
AP2.1
AP2.2
AP3.1
AP3.2
NVEL 3 D Largamente
defnido
Desenvolvimento de Requisitos (DRE)
Integrao do Produto (ITP)
Projeto e Construo do Produto (PCP)
Validao (VAL)
Verifcao (VER)
AP1.1
AP2.1
AP2.2
AP3.1
AP3.2
C Defnido
Gerncia de decises (GDE)
Desenvolvimento para Reutilizao (DRU)
Gerncia de riscos (GRI)
AP1.1
AP2.1
AP2.2
AP3.1
AP3.2
B Gerenciado
quantitativamente
Gerncia de Projetos (GPR) evoluo
No h processos especfcos para este nvel.
AP1.1
AP2.1
AP2.2
AP3.1
AP3.2
AP4.1
AP4.2
NVEL 4
A Em
otimizao
No h processos especfcos para este nvel. AP1.1
AP2.1
AP2.2
AP3.1
AP3.2
AP4.1
AP4.2
AP5.1
AP5.2
NVEL 5
Tabela 8.11 Nveis de maturidade do MR MPS, seus atributos de processo correspondentes e
sua relao com o CMMI-DEV
Fonte: SOFTEX (2009a)
Modelos para Processos de Software 339
8.2.4 APlicAbilidAde do modelo
Assim como o CMMI, o MR-MPS pode ser implementado em quaisquer
organizaes que tenham foco no desenvolvimento de software (sejam elas
internas a uma empresa ou fornecedores externos), incluindo aquelas que pos-
suem caractersticas de operao contnuas (tais como fbricas de software e
fbricas de testes).
A diviso em sete nveis de maturidade permite que seja possvel imple-
mentar, avaliar e melhorar os processos (para o atendimento dos atributos de
processos) em prazos mais curtos e de forma mais gradual. Este fato confgura
uma situao bastante adequada para as micro, pequenas e mdias empresas
desenvolvedoras de software, devido aos menores custos de implementao
e avaliao e possibilidade de atingir resultados de melhoria de processos e
maturidade em intervalos menores de tempo.
A implementao de um modelo de maturidade nos moldes do MR-MPS
pode ser um diferencial para tais organizaes, diante das exigncias cada vez
maiores apresentadas pelos clientes em suas RFIs (Requests for Informations) e
RFPs (Request for Proposals) para contratao de produtos e servios de software.
Apesar do foco do modelo estar mais direcionado s pequenas e mdias
empresas, o modelo tambm plenamente aplicvel a organizaes de maior
tamanho, sejam elas pblicas ou privadas.
Este modelo tem sido bastante procurado pelas empresas brasileiras, a par-
tir de programas de fomento melhoria da qualidade de software promovidos
pela SOFTEX. Em alguns casos, vrias empresas se associam para contratar
em conjunto servios de consultoria especializada na implementao do mo-
delo.
Alm das organizaes que tm interesse em utilizar o MR-MPS para a
melhoria dos seus processos de software, outras empresas tambm fazem parte
deste ecossistema, tendo participao atuante nos esforos de preparao e
avaliao:
Instituies Implementadoras (II), credenciadas para prestar servi-
os de consultoria de implementao do modelo.
Instituies Avaliadoras (IA), credenciadas para prestar servios de
avaliao segundo o mtodo de avaliao MA-MPS.
340 Implantando a Governana de TI 3 edio
8.2.5 benefcios do modelo
De acordo com resultados de desempenho relatados SOFTEX em uma
pesquisa realizada em 2010 com 156 empresas ver SOFTEX (2011) , a
adoo do modelo MPS teve um ndice notrio de mais de 92% de satisfao.
A pesquisa ainda revela que as empresas que adotaram o modelo obtiveram
como benefcios:
Categoria Empresas Iniciando o Modelo
Empresas nos Nveis E a A de
Maturidade
Maior satisfao dos seus
clientes
62,5% 85,7%
Maior efetividade na conduo de
projetos maiores (tamanho mdio
dos projetos)
45 pontos de funo (mediana) 215 pontos de funo (mediana)
Maior preciso em suas
estimativas de prazo
Aproximadamente 70% 100%
Maior produtividade de suas
equipes
45 pontos de funo/ms 55,33 pontos de funo/ms
Tabela 8.12 Benefcios Quantitativos da Utilizao do Modelo MR-MPS
Fonte: SOFTEX (2011)
Foi identifcada tambm uma maior tendncia para apresentar os bene-
fcios esperados pela aplicao das tcnicas da disciplina de Engenharia de
Software (em termos de prazo, custo, produtividade e qualidade).
Alm disso, na anlise da variao dos indicadores em relao aos anos an-
teriores foi identifcado aumento no faturamento e na quantidade de clientes
no pas, alm de reduo no prazo e no custo mdio dos projetos.
8.2.6 certificAes relAcionAdAs
Neste modelo, as avaliaes sero conduzidas por uma Instituio creden-
ciada para Avaliao IA (Instituio Avaliadora) , e a implantao poder
ser realizada por uma Instituio credenciada para Implantao (Instituio
Implementadora).
Modelos para Processos de Software 341
O processo de avaliao do modelo MPS envolve atividades tais como:
Contratar a avaliao (pesquisar instituies avaliadoras e estabelecer
um contrato).
Preparar a realizao da avaliao (viabilizar, planejar e preparar a
avaliao, conduzir a avaliao inicial, completar a preparao da ava-
liao).
Realizar a avaliao fnal (conduzir a avaliao fnal e avaliar a execu-
o do processo de avaliao).
Documentar os resultados da avaliao (relatar e registrar os resultados).
A avaliao de maturidade do modelo MPS deve ser realizada por uma equipe
composta por membros internos (representantes da unidade organizacional) e
membros externos (avaliador lder, avaliadores adjuntos da Instituio Avalia-
dora e, opcionalmente, avaliadores em formao indicados pela SOFTEX). A
durao da avaliao e a quantidade (mnima e mxima) de avaliadores propor-
cional capacidade exigida para cada nvel de maturidade. Uma avaliao pode
durar de um a cinco dias e contar com uma equipe de trs a nove avaliadores.
A avaliao tem validade por dois anos. Ao fnal desses dois anos, a em-
presa dever passar por nova avaliao para manter a maturidade adquirida j
avaliada ou evoluir o nvel de maturidade.
Neste modelo, empresas em regime de cooperativa tambm podem ser
avaliadas conjuntamente.
8.3 iso/iec 12207
8.3.1 viso gerAl do modelo
A ISO/IEC 12207 orientada para Processos do Ciclo de Vida do Soft-
ware. O objetivo desta norma criar um framework que possibilite uma
linguagem comum para a criao e o gerenciamento do software.
A criao desta norma foi motivada justamente pelo fato de que existe
uma mirade de padres que criam difculdades na engenharia e na gesto do
software, notadamente na integrao de produtos e servios.
342 Implantando a Governana de TI 3 edio
A norma cobre o ciclo de vida do software, desde a sua concepo at o seu
descarte, os processos para aquisio e suprimento de produtos de software e
servios, assim como os processos para controle e melhoria.
Esta norma no aplicada para certifcao de processos em um esquema
formal. Entretanto, pode ser imposta por associaes de um pas ou uma em-
presa como condio de realizar um negcio. Nestes casos, tais instituies
devem especifcar e tornar pblico o conjunto de processos, atividades e tarefas
requeridas e que vo constituir a conformidade com este padro internacional.
A limitao desta norma que ela no especifca como implementar ou
desempenhar as atividades e tarefas includas nos processos.
A Figura 8.5 apresenta o esquema da norma.
Figura 8.5 Estrutura da ISO/IEC 12207
Modelos para Processos de Software 343
Processos Fundamentais
O processo de Aquisio defne as atividades do comprador (a organi-
zao que adquire o sistema, produto de software ou servio de soft-
ware) e compreende as seguintes atividades: iniciao (defnio da
necessidade), preparao de request for proposal, preparao de contra-
to, monitoramento do fornecedor e aceitao do produto ou servio.
O processo de Fornecimento defne as atividades do fornecedor (a
organizao que fornece o sistema, produto de software ou servio
de software para o comprador) e compreende as seguintes atividades:
iniciao (reviso dos requisitos), preparao de resposta, contrata-
o, planejamento, execuo e controle, reviso e avaliao e entrega.
O processo de Desenvolvimento defne as atividades do desenvolve-
dor (a organizao que defne e desenvolve o produto de software)
e compreende as seguintes atividades: implementao do processo
(seleo do ciclo de vida acordado), anlise dos requisitos do sistema,
projeto da arquitetura do sistema, anlise dos requisitos do software,
projeto da arquitetura do software, projeto detalhado do software,
teste e codifcao do software, integrao do software, teste de qua-
lifcao do software, integrao do sistema, teste de qualifcao do
sistema, instalao do software e suporte de aceitao do software.
O processo de Operao defne as atividades do operador (a organiza-
o que fornece o servio de operao de um sistema computadorizado
no ambiente real para seus usurios) e compreende as seguintes ativi-
dades: implementao do processo (gesto de incidentes, problemas e
mudana), teste operacional, operao do sistema e suporte ao usurio.
O processo de Manuteno defne atividades do mantenedor (a orga-
nizao que fornece o servio de manuteno do produto de softwa-
re, ou seja, gerenciamento das modifcaes do produto de software
para mant-lo atualizado e adequado para sua operao). Este proces-
so compreende as seguintes atividades: implementao do processo
(recebimento de solicitaes e interface com gesto da confgurao),
anlise de problemas e modifcaes, implementao da modifcao,
migrao e desativao do software.
344 Implantando a Governana de TI 3 edio
Processos de Apoio
O processo de Documentao defne atividades para o registro da in-
formao produzida pelos processos do ciclo de vida e compreende as
seguintes atividades: implementao do processo (contedo e formato
dos documentos), projeto e desenvolvimento, produo e manuteno.
O processo de Gerncia de Confgurao defne as seguintes ati-
vidades: implementao do processo (plano e procedimentos),
identifcao da confgurao, controle da confgurao, status da
confgurao, avaliao da confgurao, gesto das verses e da
entrega.
O processo de Garantia da Qualidade defne as atividades para asse-
gurar, objetivamente, que o produto de software e os processos este-
jam em conformidade com os requisitos especifcados e aderentes aos
planos estabelecidos
59
. Compreende as seguintes atividades: imple-
mentao do processo, garantia do produto, garantia do processo e
garantia da qualidade do sistema.
O processo de Verifcao defne as atividades (para o comprador, o
fornecedor ou uma terceira parte independente) de verifcao dos
produtos de software na profundidade requerida em funo do proje-
to de software. Compreende as seguintes atividades: implementao
do processo e verifcao (contrato, processo, requisitos, projeto, c-
digo, integrao e documentao).
O processo de Validao defne as atividades (para o comprador, o
fornecedor ou uma terceira parte independente) de validao dos
produtos dos projetos de software. Compreende as seguintes ativi-
dades: implementao do processo e validao (testes de aceitao
do software).
O processo de Reviso Conjunta defne as atividades para avaliar
o status dos produtos de uma atividade. Este processo pode ser
empregado por duas partes, onde uma rev o trabalho do outro
em um frum conjunto. Compreende as seguintes atividades: im-
plementao do processo, revises de gesto do projeto e revises
tcnicas.
59 Revises conjuntas, auditorias, verifcao e validao podem ser usadas como tcnicas de Garantia
da Qualidade.
Modelos para Processos de Software 345
O processo de Auditoria defne atividades para determinar a con-
formidade com os requisitos, planos e contratos. Compreende as se-
guintes atividades: implementao do processo e auditoria.
O processo de Resoluo de Problema defne um processo para ana-
lisar e remover problemas, independentemente de sua natureza e ori-
gem. Compreende as seguintes atividades: implementao do proces-
so e resoluo de problemas.
Processos Organizacionais
O processo de Gerncia defne as atividades bsicas de gesto, incluin-
do a gesto do projeto durante o processo de ciclo de vida. Compre-
ende as seguintes atividades: iniciao e defnio do escopo, planeja-
mento, execuo e controle, reviso, avaliao e encerramento.
O processo de Infraestrutura defne as atividades bsicas para o esta-
belecimento da estrutura de suporte de um processo de ciclo de vida.
Compreende as seguintes atividades: implementao do processo,
estabelecimento da infraestrutura (hardware, software, ferramentas,
metodologias, padres e instalaes) e manuteno da infraestrutura.
O processo de Melhoria defne atividades para estabelecer, avaliar,
medir, controlar e melhorar o processo de ciclo de vida. Compreen-
de as seguintes atividades: estabelecimento do processo, avaliao do
processo e melhoria do processo.
O processo de Treinamento defne atividades para prover e manter
o pessoal treinado. Compreende as seguintes atividades: implemen-
tao do processo, desenvolvimento de materiais de treinamento e
implementao do plano de treinamento.
8.3.2 APlicAbilidAde do modelo
Do nosso ponto de vista, este um modelo bastante apropriado para a
grande maioria das empresas, principalmente no tocante ao desenvolvimento
de software, seja internamente ou por terceiros. Pode-se usar este modelo
tambm em processos de outsourcing, defnindo todos os padres a serem
utilizados e tambm os ciclos de vida.
346 Implantando a Governana de TI 3 edio
Como um modelo aberto em termos do como fazer, pode ser integrado com
outras iniciativas, tais como ISO 9001, PMBOK, COBIT e at mesmo o CMMI.
8.4 iso/iec 9126
8.4.1 viso gerAl do modelo
A ISO/IEC 9126 trata da avaliao do produto de software do ponto de
vista das suas caractersticas de qualidade. A norma aplicvel para quem faz
aquisio e/ou desenvolvimento de software, usurios, assim como para quem
fornece suporte, manuteno ou realiza auditoria de software.
Assim como a ISO/IEC 12207, esta norma tambm no aplicada com o
objetivo de obter uma certifcao atravs de um esquema de reconhecimento
mtuo. A norma sugere sua aplicao nas seguintes situaes:
Defnir os requisitos de qualidade do software.
Avaliar especifcaes de software para verifcar se satisfazem os requi-
sitos de qualidade durante o desenvolvimento.
Descrever caractersticas e atributos do software implementado.
Avaliar o software desenvolvido antes de ser entregue.
Avaliar o software antes da aceitao.
A norma sugere a avaliao dos atributos da qualidade do software relacio-
nados a Funcionalidade, Confabilidade, Usabilidade, Efcincia, Manuteni-
bilidade e Portabilidade.
Funcionalidade: um conjunto de atributos que satisfazem necessidades
implcitas e explcitas .
Os subconjuntos de requisitos de qualidade funcionais so:
Adequabilidade: atributo do software relacionado presena e ade-
quao de um conjunto de funes para tarefas especfcas.
Exatido: atributos do software relacionados com a proviso do resul-
tado ou efeito acordado e esperado.
Modelos para Processos de Software 347
Interoperabilidade: atributo do software relacionado sua habilidade
para interagir com sistemas especifcados.
Compliance: atributos que fazem com que o software esteja aderente
a padres relacionados ou a convenes ou regulamentos em leis e
prescries similares.
Segurana: atributos do software relacionados sua habilidade para
prevenir acessos no autorizados (sejam acidentais ou deliberados) a
programas e dados.
Confabilidade: um conjunto de atributos relacionados capacidade do sof-
tware de manter seu nvel de desempenho, conforme as condies estabeleci-
das por um perodo de tempo estabelecido.
Subconjuntos de requisitos de qualidade de confabilidade so:
Maturidade: atributos do software relacionados frequncia de falhas
por defeito no software.
Tolerncia a falhas: atributos do software relacionados com sua
habilidade para manter um nvel de desempenho especifcado em
casos de falhas do software ou mau funcionamento de interfaces
especifcadas.
Capacidade de recuperao: atributos do software relacionados com
a sua capacidade de restabelecer seu nvel de desempenho e recuperar
os dados diretamente afetados em caso de falhas, assim como com o
tempo e esforos necessrios para sua recuperao.
Usabilidade: um conjunto de atributos relacionados ao esforo para usar o
software ou na avaliao individual de tal uso, por um ou mais usurios.
Subconjuntos de requisitos de qualidade de usabilidade so:
Facilidade de entendimento: atributos do software relacionados
ao esforo do usurio para reconhecer o conceito lgico e sua
aplicao.
348 Implantando a Governana de TI 3 edio
Facilidade de aprendizagem: atributos do software relacionados ao
esforo do usurio aprender sua aplicao.
Facilidade de operao: atributos do software relacionados ao esforo
do usurio para operar e controlar a operao do software.
Efcincia: um conjunto de atributos que dizem respeito relao entre o
nvel de desempenho do software e a quantidade de recursos usada, sob
condies estabelecidas.
Subconjuntos de requisitos de qualidade de efcincia so:
Comportamento do tempo: atributos do software relacionados com
os tempos de processamento e resposta, assim como as taxas de
throughput no desempenho de suas funes.
Comportamento de recursos: atributos do software relacionados com
a quantidade de recursos usados e a durao da sua utilizao no de-
sempenho de suas funes.
Manutenibilidade: um conjunto de atributos relacionados ao esforo
necessrio para realizar modifcaes especifcadas.
Subconjuntos de requisitos de qualidade de manutenibilidade so:
Facilidade de anlise: atributos de software relacionados ao esforo
necessrio para diagnosticar defcincias ou causas de falhas ou para
identifcar partes a serem modifcadas.
Facilidade de mudana: atributos do software relacionados ao esforo
necessrio para a modifcao, remoo de falhas ou para mudanas
de ambiente.
Estabilidade: atributos do software relacionados ao risco de efeitos
inesperados de modifcaes.
Facilidade de teste: atributos do software relacionados ao esforo ne-
cessrio para validar o software modifcado.
Modelos para Processos de Software 349
Portabilidade: um conjunto de atributos de software relacionados habilida-
de do software ser transferido de um ambiente para outro.
Subconjuntos de requisitos de qualidade de portabilidade so:
Capacidade de adaptao: atributos do software relacionados opor-
tunidade para a sua adaptao a diferentes ambientes sem a aplicao
de outras aes ou meios do que aqueles providos para o propsito
do software considerado.
Facilidade de instalao: atributos do software relacionados ao esfor-
o necessrio para instalar o software no ambiente especifcado.
Nvel de conformidade: atributos que fazem o software ser aderente a
padres ou convenes relacionados portabilidade.
Facilidade de substituio: atributos relacionados oportunidade do
software substituir outro software no mesmo ambiente.
8.4.2 APlicAbilidAde do modelo
Esta norma pode ser aplicada para avaliao e aceitao de softwares-pro-
dutos ou softwares desenvolvidos ou adquiridos pela empresa, conforme os
requisitos estabelecidos para cada uma das caractersticas da qualidade espe-
radas para o software. Da mesma forma, esta norma pode auxiliar na espe-
cifcao de condies do teste de aceitao ou do processo de validao de
softwares que a empresa adquire.
8.5 ibm rational Unified proceSS umA
breve viso
O RUP, como conhecido, um framework passvel de adaptao, orienta-
do principalmente para o desenvolvimento de projetos de software. De acor-
do com Kruchten (2000), um processo de engenharia de software, um pro-
cesso de produto e tambm um framework de processo. Ainda conforme este
autor, o RUP captura elementos das melhores prticas do desenvolvimento
moderno do software e baseia-se nos seguintes fundamentos:
350 Implantando a Governana de TI 3 edio
Desenvolvimento iterativo do software.
Gesto de requisitos.
Uso de arquiteturas baseadas em componentes.
Modelagem visual do software.
Verifcao contnua da qualidade do software.
Controle de mudanas no software.
O RUP foi desenvolvido pela Rational, que foi adquirida pela IBM (atu-
almente um produto IBM). Combina um ciclo de vida de desenvolvimento
de software baseado no modelo espiral, juntamente com processos para a ges-
to do projeto. A Figura 8.6 apresenta brevemente o modelo do RUP.
Figura 8.6 Modelo RUP
Adaptado de Kruchten 2000
Modelos para Processos de Software 351
O ciclo de vida composto por quatro fases: concepo, elaborao, cons-
truo e transio.
A fase de Concepo consiste em estabelecer o escopo do projeto, os cri-
trios de aceitao e o que no far parte do produto, em defnir os cenrios
de comportamento do produto, defnir a arquitetura para atender o cenrio,
estimar os custos e prazos para o projeto como um todo e estimar riscos.
A fase de Elaborao consiste em analisar o domnio do problema, estabe-
lecer a arquitetura do produto, desenvolver o plano do projeto e eliminar os
elementos de alto risco do projeto, assim como demonstrar que a arquitetura
ir apoiar a viso do produto dentro do custo e do prazo estimado.
A fase de Construo consiste no desenvolvimento das funcionalidades, na
integrao de componentes ao produto e na fnalizao de verses operacio-
nais do produto.
A fase de Transio consiste em mover o produto de software para a comu-
nidade de usurios.
A RUP, como framework, emprega, para o desenvolvimento de seus arte-
fatos, a linguagem de modelagem Unifed Modeling Language ou UML. Os
principais artefatos do RUP so:
Solicitaes dos interessados (stakeholders requests).
Viso (vision).
Business Case.
Lista de riscos (risk list).
Glossrio (glossary).
Especifcao suplementar (supplementary specifcation).
Modelo de caso de uso (case use model).
Plano de desenvolvimento do software (software development plan)
Documento da arquitetura do software (software architecture document).
Plano de teste (test plan).
Modelo de anlise (analysis model).
Modelo de projeto (design model).
Plano de implantao (deployment plan).
Modelo de implementao (implementation model).
352 Implantando a Governana de TI 3 edio
O RUP traz em seu framework o conceito de iteraes, que so evolues
do produto medida que se avana no ciclo de vida, ou seja, trabalha com
verses intermedirias at se chegar verso defnitiva. Com isto, de acordo
com o que preconiza, a RUP consegue reduzir riscos e acomodar mudanas
nos requisitos ao longo do projeto.
Os workfows da RUP organizam os elementos dos processos (pessoas, ati-
vidades e artefatos) em uma sequncia de atividades que produzem resultados
que agregam valor e que mostram as interaes entre as pessoas.
O RUP consiste em nove workfows bsicos, sendo seis de engenharia
e trs de suporte. Os de engenharia so: modelagem de negcio, requisi-
tos, anlise e projeto, implementao, teste e entrega (deployment). Os de
suporte so: gesto de projetos, gesto da mudana e da confgurao e
ambiente.
8.6 microsoft solutions frAmework umA
breve viso
O MSF a soluo da Microsoft para os seguintes tipos de projetos (vide
www.microsoft.com/msf ):
Desenvolvimento de software.
Implantao de software (sistemas operacionais, software de gesto
da confgurao etc.).
Implantao de pacotes como Sistemas Integrados de Gesto, etc.
Qualquer combinao dos itens acima.
De acordo com a Microsoft, o MSF um framework que pode ser adapta-
do pelo usurio em funo de suas necessidades particulares.
Os principais componentes do modelo so:
Princpios fundamentais do modelo.
Modelos de equipe e de processo.
Disciplinas do modelo.
Modelos para Processos de Software 353
Os princpios fundamentais consistem em: promover a comunicao aber-
ta, dar autonomia para a equipe, trabalhar em direo ao compartilhamento
da viso, estabelecer claramente as responsabilidades, focar a entrega de valor
para o negcio, manter-se gil e esperar mudanas, investir em qualidade e
aprender com todas as experincias.
O modelo de equipe determina alguns papis, habilidades e conhecimen-
tos para o sucesso de projetos de tecnologia da informao. Os papis so
os relativos a: gesto do programa, desenvolvimento, teste, gesto da release,
experincia do usurio e do gerente do produto.
O modelo de processos consiste no ciclo de vida de desenvolvimento do
projeto propriamente e comporta as seguintes grandes fases: desenvolvimen-
to da viso, planejamento, desenvolvimento, estabilizao e implantao. De
acordo com a Microsoft, este modelo uma combinao dos ciclos de vida
cascata e espiral.
As disciplinas do modelo so: gerncia de projetos (que se baseia no PM-
BOK e no PRINCE2), gerenciamento de risco e gesto da prontido, que
diz respeito defnio, avaliao, mudana e evoluo das habilidades das
equipes do projeto ao longo do ciclo de vida do projeto.
9
9
modelos PArA gerenciAmento de
Projetos
Entre as disciplinas mais relevantes no contexto da Governana de TI, est
o gerenciamento das iniciativas de implementao de novos elementos ou de
elementos modifcados no contexto da TI. Tais iniciativas se materializam em
projetos, que por sua vez podem ser organizados em programas e/ou portflios.
Neste captulo, apresentamos alguns dos modelos mais conhecidos para
esta disciplina: Os modelos do PMI (Project Management Institute) para Ge-
renciamento de Projetos (PMBOK), Gerenciamento de Programas e Geren-
ciamento de Portflios, a metodologia europeia PRINCE 2 e o mtodo para
desenvolvimento gil SCRUM.
9.1 Pmbok project management Body of
Knowledge
9.1.1 histrico do modelo
O PMBOK foi desenvolvido contando com a colaborao de vrias deze-
nas de profssionais afliados ao PMI e de origens diversas. A primeira verso
do PMBOK foi publicada em 1996, a segunda verso em 2000, a terceira
verso em 2004 e a quarta e atual em 2008.
9.1.2 objetivos do modelo
De acordo com PMI (2008), o principal objetivo do Guia PMBOK
identifcar o subconjunto do corpo de conhecimentos em gerenciamento de
projetos que amplamente reconhecido como boa prtica.
Modelos para Gerenciamento de Projetos 355
Ainda conforme o PMI:
Fornece e promove um vocabulrio comum para a profsso de geren-
ciamento de projetos.
V o padro como uma referncia base para o desenvolvimento e
certifcao profssional.
No um modelo completo.
No uma metodologia.
um guia para os processos de gerenciamento de projetos, ferramen-
tas e tcnicas.
Para o PMI, um projeto : um empreendimento temporrio desen-
volvido para criar um produto, servio ou resultado nico. A natureza
temporria dos projetos indica que ele tem um incio e um fim bem
definidos. O fim alcanado quando os objetivos do projeto foram aten-
didos ou quando o projeto finalizado em virtude de que seus objetivos
no podem ser alcanados, ou quando a necessidade do projeto no existe
mais.
A gerncia do projeto, por sua vez, : a aplicao de conhecimento, ha-
bilidades, ferramentas e tcnicas s atividades do projeto para atender aos
requisitos do projeto.
9.1.3 estruturA do modelo
O que mudou em relao terceira edio:
Foi includa uma abordagem para a discusso dos fatores ambientais
da organizao e dos ativos de processos organizacionais.
Foi includa uma abordagem para discusso de requisies de
mudana, aes preventivas, aes corretivas e reparao de de-
feitos.
Os processos diminuram de 44 para 42. Dois processos foram exclu-
dos, dois processos foram adicionados e seis processos foram recon-
fgurados em quatro processos.
Para clarifcar, foi feita uma distino entre o plano de gerenciamento
do projeto e os documentos usados para gerenciar o projeto.
356 Implantando a Governana de TI 3 edio
A distino entre a informao no Project Charter e a Declarao do
Escopo do projeto foi clarifcada.
Um diagrama de fuxo para cada processo foi criado para mostrar as
entradas e sadas entre os processos.
Um novo apndice foi adicionado para tratar das habilidades inter-
pessoais que um gerente de projeto utiliza quando est gerenciando
o projeto.
9.1.3.1 reas de conhecimento do gerenciamento de projetos
O modelo est estruturado em nove reas de conhecimento em gerencia-
mento de projetos, conforme mostra a Figura 9.1.
Figura 9.1 reas de conhecimento do PMBOK
Adaptado de PMI (2008a)
Modelos para Gerenciamento de Projetos 357
Os processos de gerenciamento de projetos, representados pelas nove reas
de conhecimento, so agrupados, de acordo com o modelo, em:
Grupo de processos de iniciao: que defne um novo projeto ou
uma nova fase do projeto pela obteno da autorizao para iniciar o
projeto ou a fase.
Grupo de processos de planejamento: so os processos executa-
dos para estabelecer o escopo total do esforo, definir e refinar
objetivos e desenvolver o curso de ao requerido para obter esses
objetivos.
Grupo de processos de execuo: so os processos executados para
completar o trabalho defnido no plano de gerenciamento do projeto
que satisfaz as especifcaes do projeto.
Grupo de processos de monitoramento e controle: consiste nos
processos requeridos para controlar, rever e regular o progresso do
desempenho do projeto; identifcar quaisquer reas nas quais mu-
danas no plano so requeridas e iniciar as mudanas correspon-
dentes.
Grupo de processos de encerramento: consiste nos processos que
fnalizam todas as atividades por todos os grupos de processo de
gerenciamento, para completar a formalizao do projeto ou da
fase.
A tabela 9.1 apresenta o relacionamento entre as reas de conhecimento e
os grupos de processo de gerenciamento de projetos.
358 Implantando a Governana de TI 3 edio
reas de
Conhecimento
Grupos de Processos de Gerenciamento de Projetos
Iniciao Planejamento Execuo
Monitoramento e
Controle
Encerramento
4.
Gerenciamento
da integrao do
projeto
4.1
Desenvolver
o termo de
abertura do
projeto
4.2 Desenvolver
o plano de
gerenciamento do
projeto
4.3 Orientar
e gerenciar a
execuo do
projeto
4.4 Monitorar
e controlar o
trabalho do projeto
4.5 Realizar o
controle integrado
do projeto
4.6 Encerrar o
projeto ou fase
5.
Gerenciamento
do escopo do
projeto
5.1 Coletar
requisitos
5.2 Defnir
escopo
5.3 Criar a EAP
5.4 Verifcar
escopo
5.5 Controlar
escopo
6.
Gerenciamento
do tempo do
projeto
6.1 Defnir
atividades
6.2 Sequenciar
atividades
6.3 Estimar
os recursos das
atividades
6.4 Estimar
a durao das
atividades
6.5 Desenvolver
o cronograma
6.6 Controlar o
cronograma
7.
Gerenciamento
dos custos do
projeto
7.1 Estimar os
custos
7.2 Determinar
o oramento
7.3 Controlar os
custos
8.
Gerenciamento
da qualidade do
projeto
8.1 Planejar a
qualidade
8.2 Realizar
a garantia da
qualidade
8.3 Realizar
o controle da
qualidade
9.
Gerenciamento
dos recursos
humanos do
projeto
9.1 Desenvolver
o plano de
recursos humanos
9.2 Mobilizar
a equipe do
projeto
9.3
Desenvolver
a equipe do
projeto
9.4 Gerenciar
a equipe do
projeto
Modelos para Gerenciamento de Projetos 359
reas de
Conhecimento
Grupos de Processos de Gerenciamento de Projetos
Iniciao Planejamento Execuo
Monitoramento e
Controle
Encerramento
10.
Gerenciamento
das
comunicaes
do projeto
10.1
Identifcar
as partes
interessadas
10.2 Planejar as
comunicaes
10.3 Distribuir
informaes
10.4
Gerenciar as
expectativas
das partes
interessadas
10.5 Reportar o
desempenho
11.
Gerenciamento
dos riscos do
projeto
11.1 Planejar
o gerenciamento
dos riscos
11.2 Identifcar
os riscos
11.3 Realizar a
anlise qualitativa
dos riscos
11.4 Realizar
a anlise
quantitativa dos
riscos
11.5 Planejar
a resposta aos
riscos
11.6 Monitorar e
controlar os riscos
12.
Gerenciamento
das aquisies
do projeto
12.1 Planejar as
aquisies
12.2 Conduzir
as aquisies
12.3 Administrar
as aquisies
12.4 Encerrar
as aquisies
Tabela 9.1 Processos de gerenciamento de projetos e reas de conhecimento
Adaptado de PMI (2008a)
360 Implantando a Governana de TI 3 edio
9.1.3.2 Processos de gerenciamento de projetos
A Figura 9.2 mostra as interaes entre os grupos de processos de geren-
ciamento de projetos.
Figura 9.2 Interaes dos processos de gerenciamento de projetos
Adaptado de PMI (2008a)
9.1.3.2.1 Grupo de processos de iniciao
Este grupo formado pelos processos responsveis pela autorizao formal
para iniciar um novo projeto ou uma fase do projeto. Os processos que fazem
parte deste grupo so:
Desenvolver o termo de abertura do projeto: desenvolve um docu-
mento que autoriza, formalmente, um projeto ou uma fase e docu-
Modelos para Gerenciamento de Projetos 361
menta os requisitos iniciais que satisfazem as necessidades e expecta-
tivas das partes interessadas.
Identifcar as partes interessadas: identifca todas as partes ou orga-
nizaes impactadas pelo projeto e documenta as informaes rele-
vantes relacionadas aos seus interesses, seu envolvimento e o impacto
sobre o sucesso do projeto.
9.1.3.2.2 Grupo de processos de planejamento
Os processos de planejamento tm por objetivo a elaborao dos artefa-
tos relativos ao planejamento, tais como plano de gerenciamento do projeto,
plano de gerenciamento do escopo, cronogramas, oramentos, detalhamento
do escopo, plano de gerenciamento de riscos, qualidade, recursos humanos,
comunicaes, plano de gerenciamento de aquisies etc.
Desenvolver o plano de gerenciamento do projeto: documenta as
aes necessrias para defnir, preparar, integrar e coordenar todos
os planos auxiliares. O plano de gerenciamento do projeto torna-se
a fonte primria de informao sobre como o projeto ser planejado,
executado, monitorado e controlado e encerrado.
Coletar os requisitos: defne e documenta as necessidades das partes
interessadas para atender aos objetivos do projeto.
Defnir o escopo: desenvolve uma descrio detalhada do projeto e
do produto.
Criar a EAP: realiza a subdiviso das principais entregas do projeto e
do trabalho do projeto em componentes menores e mais facilmente
gerenciveis.
Defnir atividades: identifca aes especfcas a serem desempenha-
das para produzir as entregas do projeto.
Sequenciar atividades: identifca e documenta os relacionamentos en-
tre as atividades do projeto.
Estimar os recursos da atividade: realiza estimativa sobre os tipos e
quantidades de materiais, pessoal, equipamentos ou fornecimentos
requeridos para desempenhar cada atividade.
362 Implantando a Governana de TI 3 edio
Estimar a durao das atividades: realiza estimativa do nmero de
perodos de trabalho que sero necessrios para completar atividades
especfcas com os recursos estimados.
Desenvolver o cronograma: analisa as sequncias das atividades, suas
duraes, recursos necessrios e restries, visando criar o cronogra-
ma do projeto.
Estimar os custos: desenvolve uma estimativa dos recursos monet-
rios necessrios para executar as atividades do projeto.
Determinar o oramento: agrega os custos estimados das atividades
individuais ou pacotes de trabalho para estabelecer uma linha de base
dos custos autorizada.
Planejar a qualidade: identifca os requisitos e/ou padres de quali-
dade do projeto e do produto, alm de documentar como o projeto
atingir a conformidade.
Desenvolver o plano de recursos humanos: identifca e documenta pa-
pis, responsabilidades, habilidades necessrias e relaes hierrquicas
do projeto, alm de criar um plano de gerenciamento de pessoal.
Planejar as comunicaes: determina as necessidades de informao
das partes interessadas no projeto e defne uma abordagem de co-
municao.
Planejar o gerenciamento de riscos: defne como conduzir as ativida-
des de gerenciamento dos riscos de um projeto.
Identifcar os riscos: determina os riscos que podem afetar o projeto e
documenta suas caractersticas.
Realizar a anlise qualitativa de riscos: prioriza os riscos para anlise
ou ao adicional atravs da avaliao e combinao de sua probabi-
lidade de ocorrncia e impacto.
Realizar anlise quantitativa de risco: analisa numericamente o efeito
dos riscos identifcados nos objetivos gerais do projeto.
Planejar as respostas a riscos: desenvolve opes e aes para aumen-
tar as oportunidades e reduzir as ameaas aos objetivos do projeto.
Planejar as aquisies: documenta as decises de compras do pro-
jeto, especifcando a abordagem e identifcando fornecedores em
potencial.
Modelos para Gerenciamento de Projetos 363
9.1.3.2.3 Grupo de processos de execuo
Contm os processos executados para completar o trabalho defnido no
plano de gerenciamento do projeto que satisfaz as especifcaes do projeto.
Orientar e gerenciar a execuo do projeto: realiza o trabalho de-
fnido no plano de gerenciamento do projeto para atingir os seus
objetivos.
Realizar a garantia da qualidade: audita os requisitos de qualidade
e os resultados da medio do controle da qualidade para garantir
que sejam usados os padres de qualidade e defnies operacionais
apropriadas.
Mobilizar a equipe do projeto: confrma a disponibilidade dos recur-
sos humanos e obtm a equipe necessria para terminar as designa-
es do projeto.
Desenvolver a equipe do projeto: realiza a melhoria de competncias,
da interao da equipe e do ambiente global da equipe para aprimo-
rar o desempenho do projeto.
Gerenciar a equipe do projeto: acompanha o desempenho dos mem-
bros da equipe, fornece feedback, resolve questes e gerencia mudan-
as para otimizar o desempenho do projeto.
Distribuir as informaes: coloca as informaes relevantes disposi-
o das partes interessadas no projeto, conforme planejado.
Gerenciar as expectativas das partes interessadas: comunica e interage
com as partes interessadas para atender s suas necessidades e resolver
as questes medida que ocorrerem.
Conduzir aquisies: obtm respostas dos fornecedores, seleciona um
fornecedor e adjudica o contrato.
9.1.3.2.4 Grupo de processos de monitoramento e controle
Consiste dos processos requeridos para controlar, rever e regular o progres-
so do desempenho do projeto; identifcar quaisquer reas nas quais mudanas
no plano so requeridas e iniciar as mudanas correspondentes.
Monitorar e controlar o trabalho do projeto: acompanha, avalia e re-
gula o progresso para atender aos objetivos de desempenho defnidos
364 Implantando a Governana de TI 3 edio
no plano de gerenciamento do projeto. O monitoramento inclui re-
latrios de status, medies de progresso e previses. Os relatrios de
desempenho fornecem informaes sobre o desempenho do projeto
com relao a escopo, cronograma, custo, recursos, qualidade e risco,
que podem ser usadas como entradas para outros processos.
Realizar o controle integrado de mudanas: avalia todas as solicita-
es de mudana, aprovao e gerenciamento de mudanas em en-
tregas, ativos de processos organizacionais, documentos e planos de
gerenciamento do projeto.
Verifcar o escopo: formaliza a aceitao das entregas terminadas do
projeto.
Controlar o escopo: processo de monitoramento do andamento do
escopo do projeto e do produto e gerenciamento das mudanas feitas
na linha de base do escopo.
Controlar o cronograma: monitora o andamento do projeto para atu-
alizao do seu progresso e gerencia as mudanas feitas na linha de
base do cronograma.
Controlar os custos: monitora o andamento do projeto para atualiza-
o do seu oramento e gerencia as mudanas feitas na linha de base
dos custos.
Realizar o controle da qualidade: monitora e registra os resultados
da execuo das atividades de qualidade para avaliar o desempenho e
recomendar as mudanas necessrias.
Reportar o desempenho: coleta e distribui informaes sobre desempe-
nho, inclusive relatrios de andamento, medies de progresso e previses.
Monitorar e controlar os riscos: implementa planos de respostas aos
riscos, acompanha os riscos identifcados, monitora os riscos residuais,
identifca novos riscos e avalia o processo de risco durante todo o projeto.
Administrar as aquisies: gerencia os relacionamentos das aquisies
e monitora o desempenho dos contratos, fazendo mudanas e corre-
es quando necessrio.
9.1.3.2.5 Grupo de processos de encerramento
Consiste nos processos que fnalizam todas as atividades por todos os gru-
pos de processo de gerenciamento, para completar a formalizao do projeto
ou da fase.
Modelos para Gerenciamento de Projetos 365
Encerrar o projeto ou fase: fnaliza todas as atividades de todos os
grupos de processos de gerenciamento para terminar formalmente o
projeto ou a fase.
Encerrar as aquisies: fnaliza cada aquisio do projeto.
9.1.4 APlicAbilidAde do modelo
O corpo de conhecimento em gerenciamento de projetos pode ser aplica-
do em projetos de qualquer natureza, inclusive para qualquer tipo de projeto
de tecnologia da informao, que nosso interesse aqui.
A nfase do modelo sobre a gesto de projetos e no sobre a engenharia
de desenvolvimento do produto resultante do projeto. Por exemplo, podemos
utilizar o modelo para a gesto dos projetos de software e sistemas, mas no
para o processo metodolgico do desenvolvimento do software.
O PMBOK, para ser utilizado de forma consistente em uma organizao de
TI, necessita de adaptaes em funo dos tipos, portes e riscos dos projetos.
Alm do mais, deve ser estabelecido um processo de gerenciamento de projetos
que interligue, de forma lgica e coerente, as boas prticas entre si. Adicional-
mente, formulrios especfcos devem ser elaborados para o uso do processo.
O modelo tambm pode ser aplicado em ferramentas de gerenciamento de
projetos existentes no mercado, sendo que algumas ferramentas podem apoiar
total ou parcialmente as boas prticas do modelo.
Como toda inovao, a implantao do gerenciamento de projetos na or-
ganizao tambm no uma tarefa fcil. Necessita de forte comprometimen-
to das lideranas da organizao e dos executivos e gerentes de TI.
Nossa experincia na implantao de escritrio de projetos e de metodolo-
gias e processos de gerenciamento de projetos tem demonstrado que h fortes
resistncias, tanto do pessoal de TI como do pessoal de negcios, para adotar
novas formas de gerenciar projetos. Geralmente no so processos sustent-
veis. O padro, a metodologia, etc. podem at existir, mas no so seguidos
de forma consistente.
366 Implantando a Governana de TI 3 edio
9.1.5 benefcios do modelo
De acordo com uma pesquisa realizada em 2003 pelo Center for Business
Practices (2003) em organizaes de variados portes, os seguintes benefcios
foram obtidos com a implantao da gesto de projetos:
38,6% foi a melhoria na estimativa de prazo.
33% foi a melhoria na estimativa de esforo e de custo.
38% foi a melhoria na satisfao dos clientes.
37% foi a melhoria no alinhamento dos projetos com as estratgias
do negcio.
22% foi a melhoria no time-to-market.
32% foi a melhoria na qualidade.
32,5% foi a melhoria na entrega dos projetos dentro do oramento.
26% foi a melhoria na utilizao das horas de trabalho.
32% foi a melhoria no desempenho do prazo.
23% foi a melhoria na produtividade do staf do projeto.
23% foi a melhoria no tempo de resposta.
38% foi a melhoria na estimativa do prazo.
33% foi a melhoria nas estimativas de custo.
13% foi a melhoria na estimativa de defeitos.
O ROI total observado foi de 28%.
9.1.6 certificAes relAcionAdAs
O Project Management Institute mantm duas certifcaes profssionais re-
lativas a gerenciamento de projetos:
O Project Management Professional (ou PMP, como mais conheci-
do), voltado para gerentes de projetos.
O Certifed Associate in Project Management (ou CAPM), projetado
para gerentes de projetos iniciantes e para profssionais que partici-
pam de projetos, mas sem responsabilidade pelo gerenciamento.
Modelos para Gerenciamento de Projetos 367
Cabe atentar para o fato de que o PMI no certifca a organizao, somente
profssionais.
9.2 PAdro PArA gesto de Portflio
9.2.1 histrico do modelo
Este padro nasceu da necessidade de prover as organizaes de instrumen-
tos que lhe possibilitem a ligao da estratgia de negcio com a sua realizao
e faz parte de um processo de maturidade organizacional, em relao ao cam-
po da gesto de projetos.
Em 2003, foi identifcada a necessidade de criao de um padro para
Port flio de Projetos, juntamente com o de Programas.
Neste mesmo ano, foi formada equipe responsvel por desenvolver o novo
padro. Entre maio e julho de 2005, o padro foi publicado e mantido como
Exposure Draft para colher sugestes da comunidade mundial de gesto de
projetos, recebendo cerca de 455 comentrios e sugestes (mais da metade
foi aprovada e incorporada). Em outubro de 2005, o padro foi submetido
aprovao pela Equipe de Padres do PMI.
Participaram como voluntrios na realizao do padro 416 profssionais,
membros do PMI, representando 36 pases. Em 2006, o padro foi publicado
e entregue comunidade internacional. Agora j se encontra em sua segunda
edio (publicada em 2008), alinhada com a ltima verso do PMBOK.
9.2.2 objetivos do modelo
O objetivo do modelo descrever melhores prticas, reconhecidas gene-
ricamente, associadas ao gerenciamento do portflio. Genericamente reco-
nhecidas signifca que o conhecimento e as prticas descritas so aplicveis,
na maior parte do tempo, na maioria dos portflios, sendo que h um grande
consenso sobre a sua utilidade e valor.
Sua aplicao intencionada para qualquer tipo de organizao (privadas,
terceiro setor e governamentais).
368 Implantando a Governana de TI 3 edio
9.2.3 estruturA do modelo
9.2.3.1 Conceitos em Gesto de Portflio
De acordo com o padro, Gesto de Portflio : uma coleo de projetos
e/ou programas e outros trabalhos que so agrupados para facilitar a gesto
efetiva do trabalho para atender os objetivos estratgicos do negcio. A fgura
9.3 mostra este conceito.
Figura 9.3 Portflio, programas e projetos viso geral
adaptado de PMI (2008b)
Outras caractersticas do portflio so:
Compreende iniciativas atuais e futuras.
No temporrio como projetos e programas.
A organizao pode ter vrios portflios (como Portflio de TI, para
uma rea especfca).
Em determinado momento, o portflio refete os objetivos estratgi-
cos da organizao.
Compreende os trabalhos que tm que ser feitos e no os que devem
ser feitos.
O gerenciamento do portflio a gesto coordenada dos componentes do
portflio para atingir os objetivos organizacionais especfcos.
Modelos para Gerenciamento de Projetos 369
No contexto organizacional, o portflio de projetos o que faz a liga-
o da estratgia da organizao com a operao. A fgura 9.4 mostra esta
ligao.
Figura 9.4 O contexto organizacional do gerenciamento do Portflio
Adaptado de PMI (2008b)
370 Implantando a Governana de TI 3 edio
9.2.3.2 Viso geral do modelo
O padro, analogamente ao PMBOK, especifca grupos de processos e
reas de conhecimento. Os grupos de processos so:
Grupo de processos de alinhamento: assegura a disponibilidade de
informaes relacionadas s metas estratgicas as quais o portflio
ter que apoiar, assim como regras operacionais para avaliar compo-
nentes e a construo do portflio.
Grupo de processos de monitoramento e controle: conduz atividades
necessrias para assegurar que o portflio, como um todo, est sendo
desempenhado para atingir mtricas predeterminadas pela organiza-
o. (mtricas como ROI Return on Investments, NPV Net Present
Value etc.).
As reas de conhecimento so:
Governana do Portflio: compreende processos para selecionar e
fnanciar os investimentos, monitorar e controlar o portflio de in-
vestimentos, comunicar decises sobre o portflio de investimentos
e seus componentes e assegurar que o portflio continue com o seu
alinhamento com os objetivos estratgicos.
Gerenciamento do Risco do Portflio: o risco do portflio um con-
junto de eventos ou condies que, se ocorrerem, tero um ou mais
efeitos, tanto negativos como positivos, em pelo menos um dos ob-
jetivos estratgicos que o portflio apoia. Um risco pode ter uma ou
mais causas que, se ocorrerem, traro efeitos que impactaro em um
ou mais critrios de sucesso do portflio.
A Tabela 9.2 apresenta o relacionamento entre as reas de conhecimento e
os processos de gerenciamento do portflio.
Modelos para Gerenciamento de Projetos 371
Grupos de Processo de Gerenciamento do Portflio
reas de Conhecimento Grupo de Processos de
Alinhamento
Grupo de Processos de
Monitoramento e Controle
Governana do Portflio 4.1 Identifcar componentes 4.9 Rever e comunicar o
desempenho do portflio
4.2 Categorizar componentes 4.10 Monitorar as mudanas na
estratgia dos negcios
4.3 Avaliar componentes 4.7 Comunicar o ajuste no portflio
4.4 Selecionar componentes
4.5 Priorizar componentes
4.6 Balancear o portflio
4.8 Autorizar componentes
Gerenciamento do Risco
do Portflio
5.1 Identifcar riscos do portflio 5.4 Monitorar e controlar os riscos
do portflio
5.2 Analisar os riscos do portflio
5.3 Desenvolver as respostas aos
riscos do portflio
Tabela 9.2 Mapeamento dos grupos de processos, processos e reas de conhecimento
Adaptado de PMI (2008b)
A Figura 9.5 apresenta a viso dos grupos de processos de Gerenciamento
de Portflio.
9.2.3.3 Processos de alinhamento
Os processos deste grupo devem garantir o alinhamento dos projetos e pro-
gramas aos objetivos estratgicos da organizao. De acordo com o padro,
o alinhamento deve ser realizado durante o planejamento anual da empresa.
Identifcar componentes: cria uma lista atualizada, com informaes
sufcientes, sobre componentes (projetos e iniciativas) novos e exis-
tentes que sero gerenciados pelo portflio.
Categorizao de componentes: associa os componentes identifcados a
categorias relevantes do negcio usando um conjunto de fltros e crit-
rios para a subsequente avaliao, seleo, priorizao e balanceamento.
A equipe de gerenciamento do portflio defne as categorias com base
372 Implantando a Governana de TI 3 edio
no plano estratgico. Os componentes de um determinado portflio
tm metas comuns e podem ser mensurados da mesma independente
de sua origem na organizao. A categorizao dos componentes per-
mite que a organizao faa o balanceamento dos seus investimentos e
os riscos entre todas as categorias e objetivos estratgicos.
CONTEXTO DOS PROCESSOS DE PLANEJAMENTO ESTRATGICO E DE NEGCIOS
GRUPO DE PROCESSOS
DE ALINHAMENTO
GRUPO DE PROCESSOS
DE MONITORAMENTO E
CONTROLE 4.1 - Identificar componentes
4.2 - Categorizar componentes
4.3 - Avaliar componentes
4.4 - Selecionar componentes
5.1 - Identificar riscos do
portflio
5.2 - Analisar riscos do portflio
4.5 - Priorizar componentes
5.3 - Desenvolver respostas aos
riscos do portflio
4.6 - Balancear o portflio
4.7 - Comunicar ajustes no
portflio
4.8 - Autorizar componentes
5.4 - Monitorar e controlar os
riscos do portflio
4.9 - Rever e comunicar o
desempenho do portflio
4.10 - Monitorar as mudanas
na estratgia de negcios
Figura 9.5 Grupos de processos de gerenciamento do Portflio
Adaptado de PMI (2008b)
Avaliar componentes: obtm todas as informaes pertinentes para
avaliar os componentes com o propsito de compar-los para facili-
tar o processo de seleo
60
. A equipe de gerenciamento do portflio
obtm e sumariza informaes de cada componente. As informaes
podem ser qualitativas e quantitativas e vm de vrias fontes dentro
da organizao. Repete o processo de obteno de informao at que
o nvel requerido de completude seja atendido. Grfcos, quadros,
documentos e recomendaes so produzidos para apoiar o processo
de seleo. Por sua defnio, o gerenciamento do portflio somente
60 Em metodologias de deciso como a AHP, por exemplo (j citada anteriormente), antes do processo de
seleo e da priorizao propriamente dita construda a rvore dos critrios de deciso. Posteriormente
so estabelecidos pesos e critrios numricos para a rvore de deciso, que so aplicados no momento
da priorizao propriamente dita.
Modelos para Gerenciamento de Projetos 373
pode selecionar projetos alinhados com a estratgia do negcio e que
atendem a certos critrios.
Selecionar componentes: produz um conjunto de componentes da
organizao baseado nas recomendaes da avaliao e conforme os
critrios de seleo. O processo de seleo produz uma lista de compo-
nentes com as informaes necessrias para o processo de priorizao.
Identifcar os riscos do portflio: determina quais riscos podem afetar
o portflio e documentar suas caractersticas. Um portflio compre-
ende diferentes categorias de componentes, de forma que cada cate-
goria pode ter um impacto diferente no gerenciamento do risco.
Analisar riscos do portflio: inclui mtodos para a priorizao dos
riscos identifcados do portflio. A organizao pode melhorar o de-
sempenho do portflio focando nos riscos mais prioritrios. A anlise
de riscos determina a prioridade usando a sua probabilidade de ocor-
rncia, seu impacto nos objetivos do portflio, tais como melhorias
no negcio, retorno do investimento, assim como outros fatores. A
anlise considera tambm a tolerncia de riscos da organizao e das
partes interessadas.
Priorizar os componentes: o propsito classifcar os componentes,
por ordem de prioridade, dentro de cada categoria (ex.: inovao,
reduo de custos, crescimento, manuteno e operaes), horizonte
temporal do investimento (curto, mdio e longo prazo), riscos versus
retorno do portflio e foco organizacional (tais como clientes, forne-
cedores), de acordo com os critrios estabelecidos.
Desenvolver respostas aos riscos do portflio: desenvolve opes e
determina aes para aproveitar oportunidades e reduzir ameaas aos
objetivos do portflio. Inclui a identifcao e a atribuio de respon-
sabilidade ao dono do risco para cada resposta ao risco acordada. O
plano de respostas aos riscos trata os riscos conforme a sua prioridade,
colocando recursos e atividades no oramento, no cronograma e no
plano de gerenciamento do portflio.
Balancear o portflio: o propsito deste processo o mix de compo-
nentes do portflio com o maior potencial para apoiar as iniciativas
estratgicas da organizao. O balanceamento do portflio apoia al-
guns dos principais benefcios do gerenciamento do portflio, tais
como a habilidade para planejar e alocar recursos (tais como fnan-
ceiros, ativos fsicos, ativos de TI e recursos humanos) de acordo com
374 Implantando a Governana de TI 3 edio
a direo estratgica e a possibilidade para maximizar o retorno do
portflio, de acordo com o perfl de risco da organizao.
Comunicar ajustes no portflio: a equipe de gerenciamento do portf-
lio comunica mudanas no portflio para as partes interessadas para
alinhar as expectativas e fornecer um bom entendimento do impacto
da mudana. Baseado em feedback, a organizao pode avaliar o im-
pacto das mudanas no desempenho das metas do portflio e nas es-
tratgias do negcio. O propsito de comunicar os ajustes no portflio
satisfazer as necessidades das partes interessadas, resolver questes e
assegurar que o portflio esteja sob controle para atingir as metas.
Autorizar componentes: o propsito deste processo alocar, formal-
mente, os recursos requeridos para executar os componentes selecio-
nados e comunicar formalmente as decises de balanceamento.
9.2.3.4 Processos de monitoramento e controle
Este grupo de processos conduz as atividades necessrias para assegurar
que o portflio como um todo est sendo executado conforme as mtricas
determinadas pela organizao.
Monitorar e controlar os riscos do portflio: este processo aplica tcni-
cas, tais como varincia e anlises de tendncias, que requerem o uso de
dados de desempenho gerados durante a execuo dos componentes.
Outros propsitos do processo incluem determinar se as premissas do
portflio esto sendo mantidas, se os riscos mudaram, se as polticas de
gerenciamento de riscos esto sendo seguidas e se as reservas de con-
tingncia de custo e prazos devem ser alteradas em funo dos riscos.
Rever e comunicar o desempenho do portflio: o propsito deste
processo obter e comunicar os indicadores de desempenho e rever
o portflio conforme ciclos dentro de uma frequncia predetermi-
nada pela organizao. Todos os componentes so revisados. Outro
propsito assegurar que, no portflio, s existam componentes que
contribuem para o alcance dos objetivos estratgicos da organizao.
Para desempenhar esta tarefa, a equipe de gerenciamento do portflio
tem que adicionar, realizar nova priorizao e excluir componentes
que no estejam alinhados com as estratgias.
Monitorar mudanas na estratgia de negcios: processo que permite
ao portflio responder a mudanas na estratgia da organizao. Mu-
Modelos para Gerenciamento de Projetos 375
danas incrementais na estratgia geralmente no requerem mudan-
as no portflio. Entretanto, mudanas signifcativas no ambiente de
negcio frequentemente resultam em um novo direcionamento estra-
tgico impactando o portflio neste caso, impacto na categorizao
e nas prioridades, requerendo um novo balanceamento.
9.2.4. APlicAbilidAde do modelo
O padro pode ser aplicado em organizaes que percebem que a reali-
zao da estratgia do negcio deve ser implementada a partir de iniciativas
representadas por programas e projetos.
Um aspecto importante do conceito que a implantao das iniciativas
que vo concretizar a estratgia da empresa ou instituio deve maximizar o
retorno esperado, seja este fnanceiro, social e/ou de outras naturezas.
Podemos empregar este conceito para TI, no contexto do Portflio de TI,
que no deixa de ser um portflio de investimentos e que tambm tem pro-
jetos e programas.
Acreditamos que o gerenciamento de portflio o principal instrumento
para o alinhamento dos projetos e das iniciativas s estratgias do negcio e
que sua implantao deve ser perseguida por toda organizao, eliminando
aquilo que no agrega valor.
Entretanto, um bom desempenho do portflio depende de uma boa gesto
dos projetos e programas.
9.2.5 benefcios do modelo
O que signifca no ter um Portflio de Projetos?
Muitas demandas sem alinhamento com o negcio.
Aumento do custo da operao, pois toda demanda tratada por TI,
independentemente de sua importncia para o negcio.
Os bons projetos podem morrer de fome, sem recursos.
Projetos errados so selecionados.
Muitos projetos cancelados, pois se descobre muito mais tarde que
no eram prioritrios.
Os novos produtos podem no estar dando suporte estratgia etc.
376 Implantando a Governana de TI 3 edio
Acreditamos que fcam bvios para o leitor a importncia e os benefcios
de ter um Portflio de Projetos.
A experincia dos autores em suas observaes em diversas organizaes
empresariais e outras instituies governamentais atesta que um dos grandes
problemas de TI a gesto da demanda de servios, principalmente para siste-
mas. O Portflio de TI resolveria grande parte deste problema, que atormenta
todos os CIOs.
9.2.6 certificAes relAcionAdAs
Ainda no h certifcaes especfcas relacionadas Gesto de Portflio
de Projetos.
9.3 PAdro PArA gesto de ProgrAmAs
9.3.1 histrico do modelo
Este padro nasceu da necessidade de prover as organizaes de instrumen-
tos que lhe possibilitem a gesto integrada de projetos cujos benefcios sejam
correlacionados.
Em 2003, foi identifcada a necessidade de criao de um padro para Ges-
to de Programas, juntamente com o de Gesto de Portflio, e foi formado o
grupo para o seu desenvolvimento. Este padro comeou a ser desenvolvido
em 2004 e seu primeiro draft foi fnalizado neste mesmo ano.
Entre maro e agosto de 2005, o padro foi publicado e mantido como
Exposure Draft para colher sugestes da comunidade mundial de gesto de
projetos, recebendo cerca de 465 comentrios e sugestes (mais da metade foi
aprovada e incorporada). Em dezembro de 2005, o padro foi submetido
aprovao da Equipe de Padres do PMI.
Participaram como voluntrios na realizao do padro 416 profssionais,
membros do PMI, representando 36 pases. Em 2006, o padro foi publicado
e entregue comunidade internacional.
Em 2008, foi publicada a segunda edio deste padro.
Modelos para Gerenciamento de Projetos 377
9.3.2 objetivos do modelo
Este padro uma ligao essencial para o entendimento sobre como dire-
cionar a estratgia da organizao por potencializar as capacidades de entrega
de componentes inter-relacionados. Tambm fornece informaes claras, com-
pletas, relevantes e reconhecidas de forma geral sobre o gerenciamento de pro-
gramas, como boas prticas para a maioria dos programas, a qualquer tempo.
Reconhecidas de forma geral signifca que o conhecimento e as prticas
descritas so aplicveis, na maior parte do tempo, na maioria dos programas,
sendo que h um grande consenso sobre a sua utilidade e o seu valor. O termo
boas prticas signifca que h uma concordncia geral de que a aplicao das
habilidades, ferramentas e tcnicas ali mencionadas pode auxiliar nas chances
de sucesso de vrios tipos de projetos. No signifca que so aplicadas unifor-
memente em todos os tipos de projetos. A organizao ou a equipe do projeto
responsvel por determinar o que apropriado para cada tipo de projeto.
9.3.3 estruturA do modelo
9.3.3.1 Conceituao da Gesto de Programas
De acordo com o padro, um programa : um grupo de projetos gerencia-
dos de forma coordenada para obter benefcios que no estariam disponveis
se os projetos fossem gerenciados individualmente.
Gesto de Programa, ainda conforme o padro, : a gesto centralizada e
coordenada de um programa para atingir os seus benefcios e objetivos estrat-
gicos. Envolve o alinhamento de vrios projetos para alcanar os objetivos do
programa e permitir a otimizao ou integrao de custos, prazos e esforo.
A fgura 9.6 mostra o relacionamento de programas com o portflio, os
projetos e o ciclo de vida de programas.
378 Implantando a Governana de TI 3 edio
Figura 9.6 Interao de programas com o portflio e os projetos
Adaptado de PMI (2008c)
A Gesto de Programas est focada na gesto dos benefcios a serem atingi-
dos pelo programa, a partir da contribuio individual de cada projeto, como
mostra a Figura 9.7.
Modelos para Gerenciamento de Projetos 379
Figura 9.7 Gesto dos benefcios do programa
Adaptado de PMI (2008c)
9.3.3.2 Viso geral do modelo
O padro apresentado em um grupamento de processos de gerenciamen-
to de programas e em reas de conhecimento.
Os processos do padro de Gesto de Programas so agrupados de forma
similar ao de Gesto de Projetos (PMBOK), ou seja: grupo de processos de
iniciao, planejamento, execuo, monitoramento e controle e encerramento.
As reas de conhecimento so: gerenciamento integrado do programa, ge-
renciamento do escopo do programa, gerenciamento do tempo do programa,
gerenciamento do custo do programa, gerenciamento da qualidade do progra-
ma, gerenciamento dos recursos humanos do programa, gerenciamento das
comunicaes do programa, gerenciamento do risco do programa, gerencia-
mento das aquisies do programa, gerenciamento fnanceiro do programa,
gerenciamento dos stakeholders do programa e gerenciamento da governana
do programa.
A Tabela 9.3 apresenta o relacionamento entre as reas de conhecimento e
os grupos de processos.
Voc poder observar na tabela que o padro estabelece que as reas de
conhecimento que abordam o gerenciamento do custo do programa, o geren-
380 Implantando a Governana de TI 3 edio
ciamento da qualidade do programa e o gerenciamento dos recursos humanos
do programa devem ser tratadas no nvel de cada projeto e iniciativa que est
sob o programa.
reas de
Conhecimento
Grupos de Processos de Gerenciamento de Programas
Iniciao Planejamento Execuo
Monitoramento
e Controle
Encerramento
4. Gerenciamento
da integrao do
programa
4.1 Iniciar
o programa
4.2 Desenvolver
o plano de
gerenciamento do
programa
4.3 Desenvolver
a infraestrutura
do programa
4.4 Dirigir
e gerenciar a
execuo do
programa
4.5 Gerenciar
os recursos do
programa
4.6 Monitorar
e controlar o
desempenho do
programa
4.7 Gerenciar
os problemas do
programa
4.8 Encerrar o
programa
5. Gerenciamento
do escopo do
programa
5.1 Planejar
o escopo do
programa
5.2 Defnir
metas e objetivos
do programa
5.3 Desenvolver
os requisitos do
programa
5.4 Desenvolver
a arquitetura do
programa
5.5 Desenvolver
a EAP do
programa
5.6 Gerenciar
a arquitetura do
programa
5.7
Gerenciar as
interfaces dos
componentes
5.8 Monitorar
e controlar
o escopo do
programa
6. Gerenciamento
do tempo do
projeto
6.1 Desenvolver
o cronograma do
programa
6.2 Monitorar
e controlar o
cronograma do
programa
7. Gerenciamento
do custo do
programa
De acordo com o padro, estas reas de conhecimento so tratadas em nvel de cada
componente (projetos e iniciativas)
8. Gerenciamento
da qualidade do
programa
9. Gerenciamento
dos recursos
humanos do
programa
Modelos para Gerenciamento de Projetos 381
reas de
Conhecimento
Grupos de Processos de Gerenciamento de Programas
Iniciao Planejamento Execuo
Monitoramento
e Controle
Encerramento
10.
Gerenciamento
das
comunicaes
do programa
10.1 Planejar as
comunicaes
10.2 Distribuir
as informaes
10.3
Comunicar o
desempenho do
programa
11.
Gerenciamento
dos riscos do
programa
11.1 Planejar
os riscos do
programa
11.2 Identifcar
os riscos do
programa
11.3 Analisar
os riscos do
programa
11.4 Planejar
as respostas
aos riscos do
programa
11.5 Monitorar
e controlar
os riscos do
programa
12.
Gerenciamento
das aquisies
do programa
12.1 Planejar
as aquisies do
programa
12.2 Conduzir
as aquisies
do programa
12.3
Administrar as
aquisies do
programa
12.4 Encerrar
as aquisies do
programa
13.
Gerenciamento
das finanas do
programa
13.1
Estabelecer
o
framework
fnanceiro
do
programa
13.2
Desenvolver o
plano fnanceiro
do programa
13.3 Estimar
os custos do
programa
13.4 Elaborar
o oramento
dos custos do
programa
13.5 Monitorar
e controlar as
fnanas do
programa
14.
Gerenciamento
dos stakeholders
do programa
14.1
Planejar o
gerenciamento
dos stakeholders
do programa
14.2 Identifcar
os stakeholders
do programa
14.3 Engajar
os stakeholders
do programa
14.4
Gerenciar as
expectativas dos
stakeholders do
programa
382 Implantando a Governana de TI 3 edio
reas de
Conhecimento
Grupos de Processos de Gerenciamento de Programas
Iniciao Planejamento Execuo
Monitoramento
e Controle
Encerramento
15. Governana
do programa
15.1 Planejar
e estabelecer
a estrutura de
governana do
programa
15.2 Planejar
auditorias
15.3 Planejar
a qualidade do
programa
15.4 Aprovar
a iniciao de
componentes
15.5 Prover
superviso da
governana
15.6 Gerenciar
os benefcios do
programa
15.7 Monitorar
e controlar as
mudanas no
programa
15.8 Aprovar
a transio dos
componentes
Tabela 9.3 Mapeamento dos grupos de processos, processos e reas de conhecimento de programas
Adaptado de PMI (2008c)
9.3.3.3 Processos de iniciao
O incio de um programa comea como resultado de um plano estratgi-
co para atender uma iniciativa no portflio. H uma srie de atividades que
so desenvolvidas antes da iniciao do programa, resultando em desenvol-
vimento de conceitos de produtos e servios, requisitos iniciais e orientaes
para defnir limites oramentrios. A iniciao do programa tambm pode
compreender o agrupamento de projetos propostos ou existentes, com base
em critrios especfcos ou em funo dos benefcios. O incio do programa
tambm requer a autorizao formal do programa por parte dos stakeholders,
assim como estimativas iniciais, ainda incompletas, de esforo e custos. Tam-
bm pode ocorrer a necessidade de realizar estudos de viabilidade.
Iniciar o programa: frequentemente, o incio do programa um con-
ceito organizacional de um estado futuro do ambiente organizacio-
nal. Inicialmente este conceito pode estar incompleto, e o prop-
sito da iniciao do programa fornecer um processo que auxilia
na defnio das expectativas do programa. A iniciao do programa
assegura que a autorizao e a iniciao do programa esto ligadas s
operaes vigentes da organizao ou aos seus objetivos estratgicos.
Estabelecer o framework fnanceiro do programa: este processo iden-
tifca o ambiente fnanceiro para o programa, assim como os fundos
disponveis para os pontos de controle do programa. O estabeleci-
Modelos para Gerenciamento de Projetos 383
mento do framework fnanceiro do programa tem que ocorrer logo no
incio do programa e feito conjuntamente com a organizao que
fnancia o programa. Em virtude do volume de investimento envolvi-
do no programa, a organizao que fnancia faz vrias recomendaes
ao gerenciamento do programa e para as decises feitas pelos lderes
tcnicos e pelo gerente do programa. O ambiente fnanceiro do pro-
grama depende do tipo de programa e da sua forma de fnanciamento
(se est sendo fnanciado inteiramente por uma organizao ou intei-
ramente fnanciado por uma organizao externa).
9.3.3.4 Processos de planejamento
Este grupo compreende os processos necessrios para criar a fundao do
programa e posicion-lo para a sua execuo bem-sucedida. Esses processos
envolvem a formalizao do escopo do trabalho a ser executado pelo progra-
ma e a identifcao dos entregveis que satisfaro as metas e os benefcios do
programa.
Desenvolver o plano de gesto do programa: consolida planos auxi-
liares como o de gesto de benefcios, comunicao, custo, contratos,
interfaces, escopo, compras, qualidade, recursos, riscos etc. O produ-
to deste processo o Plano de Gerenciamento do Programa.
Planejar o escopo do programa: o objetivo deste processo desen-
volver uma declarao de escopo detalhada. As suas sadas principais
so a declarao do escopo do programa e o plano de gerenciamento
do escopo. A declarao do escopo defne os limites do programa. O
plano de gerenciamento do escopo determina como o escopo ser
gerenciado ao longo da execuo do programa.
Defnir as metas e objetivos do programa: estabelece as metas e os obje-
tivos gerais do programa, assim como quais entregas devero ser feitas.
Planejar e estabelecer a estrutura de governana do programa: identi-
fca as metas da governana, defne a estrutura da governana, papis
e responsabilidades para os elementos da governana e assegura o ali-
nhamento com os objetivos da governana.
Identifcar os stakeholders do programa: trata da identifcao formal
dos stakeholders do programa e cria o seu registro. O registro serve
como a entrada principal para o processo do plano de gerenciamento
384 Implantando a Governana de TI 3 edio
dos stakeholders do programa, bem como para distribuir relatrios do
programa e outros tipos de comunicao.
Desenvolver o plano de gerenciamento do programa: consolida as sa-
das de outros processos de planejamento, incluindo o planejamento
estratgico, e cria um conjunto consistente e coerente de documentos
que possam ser usados para guiar a execuo e o controle do programa.
Desenvolver a infraestrutura do programa: auxilia o gerente do pro-
grama a defnir e estabelecer a estrutura organizacional do programa
na qual o trabalho ser executado, juntamente com a infraestrutura
tcnica que ir apoiar o trabalho.
Desenvolver os requisitos do programa: facilita o desenvolvimento e a
identifcao formal dos requisitos e especifcaes do programa para
atender aos seus objetivos e metas.
Desenvolver a arquitetura do programa: defne a estrutura dos com-
ponentes do programa e identifca seus inter-relacionamentos.
Desenvolver a EAP do programa: produz a estrutura analtica do pro-
grama, que comunica, na perspectiva do programa, um entendimen-
to claro e declaraes de objetivos tcnicos e os produtos fnais ou
resultados do trabalho a ser executado.
Desenvolver o cronograma do programa: determina a ordem de tem-
po de cada componente necessrio para produzir os produtos do pro-
grama que devem ser executados, as estimativas de prazo para cada
componente, a identifcao de pontos de controle signifcantes du-
rante a execuo do programa.
Desenvolver o plano fnanceiro do programa: facilita o desenvolvi-
mento do oramento do programa e o cronograma de pagamentos
dos componente.
Estimar os custos do programa: agrega todos os custos do programa
a partir de cada componente. Inclui todas as atividades do programa,
as atividades dos projetos e as atividades no relacionadas ao progra-
ma. As estimativas so apresentadas para aprovao pelos tomadores
de deciso e para o seu fnanciamento.
Elaborar o oramento dos custos do programa: estabelece o plano
fnanceiro do programa baseado nos oramentos de cada projeto, em
atividades no relacionadas a projetos ou em outras restries fnan-
ceiras que impem os limites monetrios.
Modelos para Gerenciamento de Projetos 385
Planejar as aquisies do programa: determina o que adquirir e quan-
do, valida os requisitos dos produtos a serem adquiridos e desenvolve
as estratgias de aquisio.
Planejar o gerenciamento dos stakeholders do programa: cobre o pla-
nejamento sobre como os stakeholders sero identifcados, analisados,
engajados e gerenciados atravs do ciclo de vida do programa.
Planejar as comunicaes do programa: determina as informaes e
comunicaes necessrias para os stakeholders do programa, em ter-
mos de: quem necessita da informao, quando necessita, como as
informaes sero fornecidas e por quem. Requisitos de comunicao
tm que ser considerados pelos projetos, a fm de facilitar a captura da
informao a partir dos projetos.
Planejar auditorias: assegura que o programa esteja preparado tanto
para auditorias internas como externas das fnanas, processos e do-
cumentos e tambm para demonstrar compliance com os processos de
gerenciamento do programa aprovados.
Planejar a qualidade do programa: identifca os padres que so rele-
vantes para o programa e especifca como satisfaz-los.
Planejar o gerenciamento de riscos do programa: determina como abor-
dar, planejar e analisar as atividades de riscos do programa, incluindo os
riscos identifcados nos componentes do programa. Este processo in-
clui estratgias, ferramentas, mtodos, revises e processos de avaliao,
obteno de mtricas, padres de parmetros de avaliao e requisitos
de comunicao a serem usados por cada projeto do programa.
Identifcar os riscos do programa: determina quais riscos podem afe-
tar o programa e seu componente. Tambm documenta as caracters-
ticas dos riscos.
Analisar os riscos do programa: prioriza os riscos para anlise ou ao
posterior avaliando sua probabilidade de ocorrncia e impacto. Este
processo analisa os riscos qualitativa e quantitativamente para deter-
minar seu efeito sobre o programa, seus componentes e o gerencia-
mento da interdependncia de seus componentes.
Planejar as respostas aos riscos do programa: serve como uma fer-
ramenta de tomada de deciso para o desenvolvimento de opes e
aes visando potencializar oportunidades e para reduzir as ameaas
aos objetivos do programa e realizao de seus benefcios.
386 Implantando a Governana de TI 3 edio
9.3.3.5 Processos de execuo
Os processos de execuo compreendem aqueles que dirigem o trabalho
do programa de acordo com o seu Plano de Gerenciamento e seus planos
auxiliares. Esses processos asseguram que o gerenciamento dos benefcios, dos
stakeholders e a governana do programa sejam executados de acordo com
polticas e planos estabelecidos.
Dirigir e gerenciar a execuo do programa: entrega os benefcios
esperados do programa, focando nos projetos que esto em progresso
e integrando os outros processos de execuo. Seu propsito produ-
zir as entregas cumulativas e outros produtos do programa. Facilita
tambm a resoluo de problemas entre os projetos, considerando os
riscos e as restries existentes.
Gerenciar os recursos do programa: permite o ajustamento e a realo-
cao de recursos para atender as necessidades do programa como um
todo. Solicitaes de mudana aprovadas pelo corpo de governana
so gerenciadas por este processo.
Gerenciar a arquitetura do programa: gerencia o relacionamento en-
tre todos os componentes do programa para assegurar que a arquite-
tura do programa seja mantida consistente por todos os entregveis.
Gerenciar as interfaces dos componentes: mantm a integridade da
entrega do programa e gerencia os inter-relacionamentos entre os
componentes do programa.
Engajar os stakeholders do programa: auxilia a equipe de gerencia-
mento do programa a assegurar que os stakeholders corretos estejam
envolvidos no programa. O envolvimento efetivo dos stakeholders re-
quer o completo entendimento de suas necessidades e expectativas e
do impacto potencial nos objetivos do programa. Isto envolve a inte-
rao com os stakeholders para comunicar os objetivos estratgicos e o
status, assim como infuenciar as expectativas e resolver os confitos.
Distribuir a informao: fornece informao correta e no tempo re-
querido para os stakeholders, em formatos e meios teis. Inclui a ad-
ministrao dos trs principais canais de comunicao: os clientes, os
patrocinadores e o gerenciamento dos componentes.
Conduzir as aquisies do programa: detalha como conduzir as ati-
vidades de aquisies do programa. Compreende estratgias, ferra-
Modelos para Gerenciamento de Projetos 387
mentas, mtodos, obteno de mtricas, revises, parmetros de ava-
liaes padres e requisitos de comunicao a serem usados por cada
componente do programa em relao s suas atividades de aquisio.
Aprovar a iniciao de componentes: fornece a estrutura de tomada
de deciso para a iniciao e a mudana do programa e dos compo-
nentes dentro do programa.
9.3.3.6 Processos de monitoramento e controle
No mbito do programa, este grupo de processo envolve a obteno e
consolidao das informaes sobre o seu status e o progresso a partir dos pro-
jetos individuais e outros programas de menor nvel. Seus processos tambm
compreendem uma interface com a estrutura de governana do programa
para assegurar que a organizao tenha uma fgura clara sobre a entrega de
benefcios atuais e futuros. A comunicao do desempenho tambm apoia
aes corretivas e preventivas, no nvel do programa.
Monitorar e controlar o desempenho do programa: monitora todas
as atividades de todos os grupos de processos de gerenciamento para
assegurar que a execuo do programa ocorra de acordo o plano de
gerenciamento do programa aprovado.
Monitorar e controlar o escopo do programa: controla as mudanas
no escopo do programa.
Monitorar e controlar o cronograma do programa: assegura que o
programa produza suas entregas e solues requeridas no prazo pre-
visto. Inclui o controle das datas de incio e fnais reais e dos pontos
de controle de acordo com o cronograma previsto e atualiza o plano.
Monitorar e controlar as fnanas do programa: inclui o controle de
mudanas no oramento do programa e compreende a avaliao de
variaes no custo do programa e a conduo de anlises de tendn-
cias para prever problemas mais cedo.
Gerenciar as expectativas dos stakeholders: assegura que as expectati-
vas dos stakeholders sejam identifcadas e que eles sejam comunicados
sobre o status do programa.
Monitorar e controlar os riscos do programa: controla os riscos co-
nhecidos do programa, identifca novos riscos, executa os planos de
388 Implantando a Governana de TI 3 edio
respostas aos riscos, avalia sua efetividade na reduo do risco e super-
visiona os riscos de cada componente.
Administrar as aquisies do programa: inclui estratgias, ferramen-
tas, mtodos, obteno de mtricas, revises e mecanismos de atuali-
zao, parmetros de avaliaes padres e requisitos para serem usa-
dos por cada componente do programa.
Gerenciar os problemas do programa: identifca, controla e encerra
problemas para assegurar que as expectativas dos stakeholders estejam
alinhadas com as entregas e atividades do programa.
Monitorar e controlar mudanas no programa: coordena as mudan-
as no programa como um todo, compreendendo mudanas no cus-
to, qualidade, prazo e escopo. Este processo ainda aprova ou rejeita
solicitaes de mudana, escala as requisies de acordo com as al-
adas de aprovao, determina quando as mudanas ocorreram, in-
fuencia os fatores que criam as mudanas, assegura que as mudanas
so benfcas e esto acordadas entre as partes interessadas e gerencia
como e quando as mudanas aprovadas so aplicadas.
Comunicar o desempenho do programa: consolida os dados de de-
sempenho para fornecer aos stakeholders informaes sobre como os
recursos esto sendo usados para entregar os benefcios do programa. A
comunicao do desempenho agrega informaes de todos os projetos
e atividades, fornecendo o status completo e transparente do programa.
Fornecer a superviso da governana: desenvolve, comunica, imple-
menta, monitora e assegura que polticas, procedimentos e estruturas
organizacionais associadas ao programa sejam empregados.
Gerenciamento dos benefcios do programa: assegura que exista um
conjunto de relatrios ou mtricas comunicadas para o escritrio de
gerenciamento do programa e direcionadas para os stakeholders e pa-
trocinadores, de forma que possam verifcar a sade do programa e
tomar aes gerenciais correspondentes.
9.3.3.7 Processos de encerramento
Este grupo de processos formaliza a aceitao de produtos, servios ou
resultados do programa ou do projeto dentro do programa. Contempla os
processos para formalizao do trmino das atividades do programa e do tr-
mino de cada projeto do programa e faz a transferncia dos resultados para a
operao ou tambm o cancelamento, se for o caso.
Modelos para Gerenciamento de Projetos 389
Encerrar o programa: estabelece o trmino formal do programa. O
programa encerrado e seus artefatos so armazenados para futura
referncia.
Aprovar a transio do componente: assegura que o programa com-
pletou a transferncia de conhecimentos, habilidades e realizao
dos benefcios para as operaes. Os recursos so realocados para
outros programas e projetos. Os registros do programa so encerra-
dos e arquivados.
Encerrar as aquisies do programa: trata a forma como as atividades
de aquisies sero encerradas. Compreende a reviso do desempe-
nho dos fornecedores e a reconciliao com o oramento alocado. Re-
cebe como insumo os requisitos para que os componentes encerrem
as aquisies e os contratos.
9.3.4 APlicAbilidAde do modelo
Na rea de TI, este modelo pode ser aplicado em situaes como:
Desenvolvimento e implantao do Programa de Governana de TI.
Desenvolvimento de uma nova plataforma de produto para a orga-
nizao.
Implantao de uma nova arquitetura de sistemas na organizao.
Implantao dos processos de gerenciamento de servios.
Implantao de um Programa de Segurana da Informao global
para a organizao, etc.
H situaes em que os executivos de TI planejam atingir determinados
objetivos e metas em um perodo de mdio e longo prazo. Neste caso, impor-
tante identifcar a oportunidades de reconhecer a existncia de um programa.
9.3.5 benefcios do modelo
A Gesto de Programas permite a consolidao de projetos que, juntos,
podem fornecer um foco e melhor direcionamento de investimentos para a
organizao de TI.
390 Implantando a Governana de TI 3 edio
Uma viso de programas facilita o planejamento do atendimento aos ob-
jetivos de TI atravs da realizao coordenada dos benefcios de cada projeto,
alm de fornecer um norte seguro para os empreendimentos de TI.
Por exemplo, em um empreendimento de Segurana da Informao, exis-
tem vrios projetos que ocorrem em tempos diferentes, sendo que um base
para o outro at que os objetivos de gesto de risco da empresa tenham sido
atingidos. Deve-se comear por analisar vulnerabilidades, defnir a poltica e
o framework de gerenciamento da segurana da informao e elaborar o pla-
nejamento; e continuar com a implantao de projetos de conscientizao, a
estruturao da rea de segurana da informao, a implantao dos controles
e polticas etc. Geralmente um processo que dura de dois a trs anos e, em
algumas situaes, dependendo do porte da organizao, at mais tempo.
Alm disto, com uma viso de programa de longo prazo, fca mais facilita-
da a tarefa de negociar recursos para os projetos que constituem o programa.
Entretanto, deve haver um forte patrocnio para que o programa seja estru-
turado e conduzido. No cultura no Brasil esperar por resultados de longo
prazo, principalmente na rea de TI.
Em nvel de Governo, o conceito de programa mais difundido, pois toda
ao governamental baseada em programas de longa durao, como o caso
do PAC, Bolsa Famlia, Fome Zero, etc.
9.3.6 certificAes relAcionAdAs
O PMI tem a certifcao profssional denominada PgMP ou Program
Management Professional.
O processo similar ao do PMP, porm a elegibilidade bastante pesada.
Para profssionais com diploma de nvel superior, so exigidos quatro anos
(ou 6000 horas) de experincia em gesto de projetos e quatro anos (ou 6000
horas) de experincia em gesto de programas. Para aqueles que s tm diplo-
ma de segundo grau, so requeridos quatro anos de experincia em gesto de
projetos e sete anos (ou 10.500 horas) em gesto de programas.
Acreditamos que este certifcado um diferencial, na medida em que este
padro for praticado nas organizaes de uma forma geral.
Modelos para Gerenciamento de Projetos 391
9.4 outros PAdres e certificAes Pmi
Alm dos padres citados, o PMI edita vrios outros padres, que na maio-
ria das vezes se tornam padres americanos pela American National Standard
Institute ANSI.
A seguir, fornecemos uma lista desses padres:
Extenso do PMBOK para o Governo: aplicado para projetos no
Governo.
Extenso do PMBOK para Construo: aplicado para projetos de
construo de obras.
Modelo de Maturidade Organizacional em Gesto de Projetos (Orga-
nizational Project Management Maturity Model OPM3.): fornece as
ferramentas necessrias para as organizaes medirem sua maturidade
em relao um conjunto de melhores prticas.
Padro de Gesto de Valor (Practice for Earned Value Management):
padro que trata da medio de valor do projeto em termos de custo,
prazo e escopo, usado para fornecer indicadores do status do projeto.
Padro para a Gesto de Confgurao do Projeto (Practice for Project
Confguration Management): padro que auxilia os gerentes de projetos
a gerenciar os itens que so gerados ao longo do ciclo de vida do projeto.
Padro para Estrutura Analtica do Trabalho (Practice Standard for
Work Breakdown Structure): Padro para auxiliar na elaborao de
Work Breakdown Structure WBS.
Esquema de Desenvolvimento de Competncias para Gerente de
Projeto (Project Manager Competency Development Framework): pa-
dro que auxilia os gerentes de projeto e as organizaes a expandi-
rem as suas competncias em gerenciamento de projetos.
Padro para Gerenciamento de Riscos de Projetos (Practice Standard
for Project Risk Management): fornece um benchmarking para o geren-
te de projetos que defne os aspectos do gerenciamento de riscos de
projetos considerados como boas prticas para a maioria dos projetos.
Padro para Estimativas de Projetos (Practice Standard for Project Es-
timating): descreve o ciclo de vida da estimativa para o projeto, deta-
lhando os aspectos de recursos, duraes e custos e explica o conceito
de elaborao progressiva na medida em que o projeto evolui.
392 Implantando a Governana de TI 3 edio
Padro para Elaborao do Cronograma (Practice Standard for Schedu-
ling): apresenta ferramentas e informao de que os gerentes de projetos
necessitam para elaborar um cronograma de forma efciente e efcaz.
Alm das certifcaes PMP, CAPM e PgMP, o PMI tem mais duas certi-
fcaes: PMI Scheduling Professional (PMI-SP) e PMI Risk Management Pro-
fessional (PMI-RMP).
Por fm, o PMI est sempre inovando na atualizao permanente dos mo-
delos atuais, assim como no desenvolvimento de novos padres. Para mais
informaes sobre os padres do PMI, ver a pgina www.pmi.org.
9.5 Prince2
9.5.1 histrico do modelo
A PRINCE foi estabelecida primeiramente em 1989 pelo CCTA (Central
Computer and Telecommunications Agency) do governo britnico.
A metodologia PRINCE foi desenvolvida a partir da PROMPTII, uma
metodologia de gerenciamento de projetos criada pela empresa Simpact Syste-
ms Ltda em 1975, a qual foi adotada pelo CCTA em 1979 como padro para
uso por todos os projetos de sistemas de informao do governo. A PRINCE
sucedeu a PROMPTII em 1989 para os projetos do governo britnico.
O CCTA, agora incorporado ao Ofce of Government Commerce, continuou
o desenvolvimento da metodologia e a PRINCE2 foi lanada em 1996, em res-
posta aos requisitos dos usurios para melhorar a orientao de gesto de proje-
tos para todos os tipos de projeto, alm dos projetos de sistemas de informao.
Em 2002 foi lanada a terceira edio da metodologia e em 2005, a quarta
edio.
Atualmente encontra-se em sua quinta edio, publicada em 2009.
Da mesma forma que o PMBOK, a PRINCE2 tambm possui o seu mo-
delo de maturidade. A metodologia PRINCE2 baseada nas experincias
com os projetos, gerentes de projetos e equipes de projeto que contriburam
com os seus erros, acertos e sucessos.
A metodologia atualmente , de fato, o padro usado pelo governo britnico,
sendo tambm reconhecida e usada no setor privado, principalmente na Europa.
Modelos para Gerenciamento de Projetos 393
9.5.2 objetivos do modelo
O objetivo da PRINCE2 fornecer um mtodo que:
Possa ser repetido por todos os projetos.
Possa ser ensinado.
Assegure que os membros dos projetos saibam o que esperar deles,
onde, como e quando.
Previna mais cedo contra problemas no projeto.
Permita ser proativo, no reativo, mas capaz de acomodar mudanas
repentinas, oriundas de eventos inesperados.
Fornea um guia consistente para os gerentes de projetos e demais
interessados, facilitando o planejamento, o controle e a comunicao
no mbito do projeto.
9.5.3 estruturA do modelo
A PRINCE2, de acordo com OGC (2009), uma abordagem baseada em
processos para o gerenciamento de projetos, fornecendo um mtodo custo-
mizvel e escalvel para o gerenciamento para todos os tipos de projetos.
A verso atual foi evoluda e apresenta as seguintes mudanas em relao
verso de 2005:
Na verso de 2009, a PRINCE2 apresenta dois livros em vez de um:
Managing Successful Projects Using PRINCE2 e Directing Successful
Projects Using PRINCE2. Este novo manual dirigido para executivos
de Comits de Projetos.
O modelo de processos da metodologia tambm foi aperfeioado.
Captulos foram introduzidos para explicar os princpios da metodo-
logia e como customiz-la para o ambiente especfco do projeto.
Captulos sobre componentes e tcnicas foram removidos, combina-
dos na nova seo denominada temas.
Foi reduzido o nmero de processos e subprocessos. Estes foram re-
movidos completamente e agora so chamados de atividades.
394 Implantando a Governana de TI 3 edio
A Figura 9.8 apresenta o novo modelo de processos da metodologia.
c
c
c
D
i
r
i
g
i
n
d
o
u
m
P
r
o
j
e
t
o
I
n
i
c
i
a
n
d
o
u
m
P
r
o
j
e
t
o
C
o
n
t
r
o
l
a
n
d
o
u
m
E
s
t

g
i
o
G
e
r
e
n
c
i
a
n
d
o
a
E
n
t
r
e
g
a
d
o
P
r
o
d
u
t
o
E
n
c
e
r
r
a
n
d
o
u
m
P
r
o
j
e
t
o
G
e
r
e
n
c
i
a
n
d
o
o
L
i
m
i
t
e
d
e
u
m
E
s
t

g
i
o
I
n
s
t
a
l
a

o
d
o
P
r
o
j
e
t
o
A
p
o
n
t
a
r
o
e
x
e
c
u
t
i
v
o
o
u
g
e
r
e
n
t
e
d
o
p
r
o
j
e
t
o
C
a
p
t
u
r
a
r
l
i

e
s
a
p
r
e
n
d
i
d
a
s
p
r

v
i
a
s
A
p
o
n
t
a
r
o
T
i
m
e
d
o
p
r
o
j
e
t
o
P
r
e
p
a
r
a
r
o
B
u
s
i
n
e
s
s
C
a
s
e
S
e
l
e
c
i
o
n
a
r
a
a
b
o
r
d
a
g
e
m
d
o
p
r
o
j
e
t
o
P
l
a
n
e
j
a
r
o
e
s
t

g
i
o
d
e
i
n
i
c
i
a

o
A
u
t
o
r
i
z
a
r
i
n
i
c
i
a

o
A
u
t
o
r
i
z
a
r
o
p
r
o
j
e
t
o
A
u
t
o
r
i
z
a
r
o
e
s
t

g
i
o
o
u
p
l
a
n
o
d
e
e
x
c
e

o
F
o
r
n
e
c
e
r
d
i
r
e

o
A
u
t
o
r
i
z
a
r
o
e
n
c
e
r
r
a
m
e
n
t
o
d
o
p
r
o
j
e
t
o
P
r
e
p
a
r
a
r
o
e
n
c
e
r
r
a
m
e
n
t
o
P
r
e
p
a
r
a
r
o
e
n
c
e
r
r
a
m
e
n
t
o
p
r
e
m
a
t
u
r
o
T
r
a
n
s
f
e
r
i
r
p
r
o
d
u
t
o
s
A
v
a
l
i
a
r
o
p
r
o
j
e
t
o
R
e
c
o
m
e
n
d
a
r
o
e
n
c
e
r
r
a
m
e
n
t
o
A
c
e
i
t
a
r
o
p
a
c
o
t
e
d
e
t
r
a
b
a
l
h
o
E
x
e
c
u
t
a
r
u
m
p
a
c
o
t
e
d
e
t
r
a
b
a
l
h
o
E
n
t
r
e
g
a
r
u
m
p
a
c
o
t
e
d
e
t
r
a
b
a
l
h
o
P
l
a
n
e
j
a
r
o
p
r

x
i
m
o
e
s
t

g
i
o
A
t
u
a
l
i
z
a
r
o
p
l
a
n
o
d
o
p
r
o
j
e
t
o
A
t
u
a
l
i
z
a
r
o
b
u
s
i
n
e
s
s
c
a
s
e
C
o
m
u
n
i
c
a
r
o
f
i
m
d
o
e
s
t

g
i
o
P
r
o
d
u
z
i
r
u
m
p
l
a
n
o
d
e
e
x
c
e

o
P
r
e
p
a
r
a
r
a
e
s
t
r
a
t

g
i
a
d
e
r
i
s
c
o
P
r
e
p
a
r
a
r
a
e
s
t
r
a
t

g
i
a
d
e
g
e
s
t

o
d
a
c
o
n
f
i
g
u
r
a

o
P
r
e
p
a
r
a
r
a
e
s
t
r
a
t

g
i
a
d
a
g
e
s
t

o
d
a
q
u
a
l
i
d
a
d
e
P
r
e
p
a
r
a
r
a
e
s
t
r
a
t

g
i
a
d
a
g
e
s
t

o
d
a
c
o
m
u
n
i
c
a

o
I
m
p
l
a
n
t
a
r
o
s
c
o
n
t
r
o
l
e
s
d
o
p
r
o
j
e
t
o
C
r
i
a
r
o
p
l
a
n
o
d
o
p
r
o
j
e
t
o
R
e
f
i
n
a
r
o
b
u
s
i
n
e
s
s
c
a
s
e
M
o
n
t
a
r
a
d
o
c
u
m
e
n
t
a

o
d
a
i
n
i
c
i
a

o
A
u
t
o
r
i
z
a
r
u
m
p
a
c
o
t
e
d
e
t
r
a
b
a
l
h
o
R
e
v
e
r
o
s
t
a
t
u
s
d
o
p
a
c
o
t
e
d
e
t
r
a
b
a
l
h
o
R
e
c
e
b
e
r
p
a
c
o
t
e
s
d
e
t
r
a
b
a
l
h
o
c
o
m
p
l
e
t
a
d
o
s
R
e
v
e
r
o
s
t
a
t
u
s
d
o
e
s
t

g
i
o
C
o
m
u
n
i
c
a
r
p
o
n
t
o
s
d
e
a
t
e
n

o
C
a
p
t
u
r
a
r
e
e
x
a
m
i
n
a
r
p
r
o
b
l
e
m
a
s
e
r
i
s
c
o
s
E
s
c
a
l
a
r
p
r
o
b
l
e
m
a
s
e
r
i
s
c
o
s
R
e
a
l
i
z
a
r
a

e
s
c
o
r
r
e
t
i
v
a
s
D i r e oG e r e n c i a m e n t oE n t r e g a

Figura 9.8 Processos e atividades do PRINCE2
Adaptado de OGC (2009)
Modelos para Gerenciamento de Projetos 395
9.5.3.1 Os processos da metodologia
Dirigindo um projeto (DP Directing a project)
Este processo ocorre desde o incio do projeto at o seu encerramento,
sendo de responsabilidade do Comit do Projeto. Este Comit gerencia e
monitora, atravs de relatrios e controles, vrios pontos de deciso e abrange:
Iniciao.
Limites dos estgios (comprometimento de recursos aps verifcar
resultados).
Monitorao do projeto, fornecimento de conselhos e orientao e
reao a condies de exceo.
Encerramento do projeto.
Este processo no trata das atividades do dia a dia.
Instalando um projeto (SU Starting up a project)
o primeiro processo da PRINCE2. um processo de pr-projeto, pro-
jetado para assegurar que os requisitos para a iniciao do projeto estejam
estabelecidos. O processo trata de trs elementos:
Assegurar que a informao requerida pela equipe do projeto esteja
disponvel.
Designar a equipe de gerenciamento do projeto.
Criar o plano do estgio de iniciao.
Espera-se que exista um termo ou documento equivalente que diga o mo-
tivo do projeto e os resultados esperados.
396 Implantando a Governana de TI 3 edio
Iniciando um projeto (IP Initiating a project)
Os objetivos deste processo so:
Ter acordo se h ou no justifcativa sufciente para seguir com o
projeto.
Estabelecer uma base gerencial estvel sobre a qual seguir com o projeto.
Documentar e aceitar que existe um Business Case aceitvel para o
projeto.
Assegurar uma frme e aceita fundao para o projeto antes de come-
ar o trabalho.
Obter acordo sobre o compromisso com recursos para a primeira fase
do projeto.
Permitir e encorajar que o Comit do Projeto assuma a propriedade
do projeto.
Assegurar que os investimentos a serem feitos no projeto levem em
considerao os seus riscos.
Gerenciando os limites de um estgio (SB Managing Stage Boundaries)
Os objetivos deste processo so:
Assegurar, para o Comit do Projeto, que os produtos planejados do
Plano de Estgio atual foram completados.
Prover informao para o Comit do Projeto para que este avalie con-
tinuamente a viabilidade do projeto.
Prover para o Comit do Projeto informaes necessrias para que apro-
ve o estgio atual do projeto e que autorize o incio do estgio seguinte.
Registrar medies e lies aprendidas que possam ajudar estgios
posteriores do projeto ou outros projetos.
Controlando um estgio (CS Controlling a Stage)
O objetivo deste processo assegurar que cada estgio seja desempenhado
conforme o Plano do Estgio. Este processo compreende atividades como:
Modelos para Gerenciamento de Projetos 397
Autorizao para execuo do trabalho planejado.
Obteno de informao sobre o progresso do projeto.
Anlise de mudanas.
Reviso da situao.
Comunicao acerca do projeto.
Tomada de aes corretivas em funo de desvios.
Gerenciando a entrega do produto (MP Managing product delivery)
O objetivo deste processo assegurar que os produtos previstos pelo proje-
to sejam produzidos e entregues, considerando:
Obter a certeza de que o trabalho dos produtos alocados equipe est
efetivamente autorizado.
Assegurar o compromisso da equipe do projeto com o resultado
esperado.
Avaliar o progresso do projeto.
Assegurar que os produtos atendam as suas respectivas especifcaes
de qualidade.
Obter a homologao ou aprovao dos produtos completados.
Encerrando um projeto (CP Closing a project)
O propsito deste processo executar um encerramento controlado do
projeto e seus objetivos so:
Verifcar se os objetivos pretendidos foram atendidos.
Verifcar se todos os produtos esperados foram entregues e satisfze-
ram as necessidades dos clientes.
Obter a aceitao formal dos produtos.
Assegurar que os produtos resultados foram aceitos e transferidos
para o cliente.
Confrmar que os arranjos de manuteno e operao esto estabelecidos
(quando for o caso), visando receber os produtos gerados pelo projeto.
398 Implantando a Governana de TI 3 edio
Realizar recomendaes para aes de acompanhamento.
Capturar lies aprendidas e fazer o seu registro.
Preparar um relatrio de encerramento do projeto.
Comunicar organizao patrocinadora que os recursos sero des-
mobilizados.
Planejamento (PL Planning)
Para a PRINCE2, o processo de planejamento se repete e tem um papel
importante em outros processos. As atividades de planejamento so:
Elaborar o plano.
Defnir e analisar os produtos.
Identifcar e analisar as atividades e dependncias.
Preparar estimativas.
Preparar o cronograma.
Analisar os riscos.
Documentar o plano.
O manual da PRINCE2 pode ser adquirido diretamente do Te Stationery
Ofce pelo site www.tsoshop.co.uk ou www.prince2.com.
9.5.4 APlicAbilidAde do modelo
A PRINCE2 , de fato, uma metodologia de gerenciamento de projetos,
ao contrrio do PMBOK, que um conjunto de conhecimentos.
A PRINCE2 se aplica a qualquer tipo de projeto, incluindo os projetos de
tecnologia da informao.
Com sua caracterstica customizvel ela pode ser facilmente adaptada
para qualquer tipo de organizao.
Entretanto, da mesma forma que os demais padres, a sua implementao
depende da prontido da organizao para a mudana.
Modelos para Gerenciamento de Projetos 399
9.5.5 benefcios do modelo
Os benefcios apregoados pela metodologia so:
Ganhar consistncia sobre a forma como os projetos so avaliados,
comissionados, comunicados e revistos.
Padronizao da gesto de projetos em toda a organizao.
Melhora a reputao da organizao que emprega a metodologia pe-
rante os seus clientes.
Melhoria da capacidade das equipes de projetos em seu gerenciamento.
Melhoria na alocao dos recursos e na gesto da demanda de proje-
tos e seu impacto na capacidade das equipes de projeto.
Auxilia no aumento da maturidade da organizao em gerenciamen-
to de projetos.
9.5.6 certificAes relAcionAdAs
Da mesma forma que o PMI, PRINCE2 tambm mantm certifcaes
profssionais. So elas:
Certifcao PRINCE2 Foundation, destinada aos membros de
equipe de projetos que necessitam conhecer a terminologia, os prin-
cpios e os conceitos da metodologia.
Certifcao PRINCE2 Practitioner, destinada aos profssionais ge-
rentes de projeto que necessitam aplicar a metodologia no seu trabalho.
As empresas inglesas que usam a PRINCE2 podem requerer este reconhe-
cimento por parte do seu governo para ser habilitada a participar de contra-
taes governamentais.
9.6 scrum
9.6.1 histrico do modelo
Em 1986, os pesquisadores Hirotaka Takeuchi e Ikujiro Nonaka notaram,
ao pesquisar empresas de fabricao de automveis e produtos de consumo,
400 Implantando a Governana de TI 3 edio
que projetos que utilizavam equipes pequenas e multidisciplinares geravam
melhores resultados e conceberam um estilo de gerenciamento de projetos
(publicado no artigo Te New Product Development Game Harvard Business
Review Jan/Fev 1986) que envolvia a sobreposio de fases no processo e o
trabalho conjunto de uma equipe ao longo das vrias fases do projeto.
Em 1990, Peter DeGrace e Leslie Hulet Stahl fzeram meno a esta abor-
dagem no livro Wicked Problems, Righteous Solutions A Catalogue of Mo-
dern Software Engineering Paradigms e a associaram pela primeira vez ao nome
SCRUM
61
.
No incio da dcada de 90, a metodologia SCRUM foi concebida e im-
plementada em algumas companhias pelos profssionais Ken Schwaber, Jef
Sutherland, John Scumniotales e Jef McKenna, incorporando caractersticas
do estilo de gerenciamento criado por Takeuchi e Nonaka.
Em 1995, Ken Schwaber e Jef Sutherland formalizaram a defnio do
SCRUM e o apresentaram na Conferncia da OOPSLA (Object-Oriented
Programming, Systems, Languages and Applications), iniciando a sua difuso na
comunidade acadmica de desenvolvimento de software em todo o mundo.
Em 2001, com a publicao do livro Agile Software Development with
Scrum, Ken Schwaber e Mike Beedle estenderam o modelo e seus conceitos
para a comunidade de desenvolvedores de software em mbito comercial.
Inicialmente, o SCRUM foi idealizado com um foco acentuado na entrega
de projetos de desenvolvimento de software em ambientes complexos. Entre-
tanto, tem sido cada vez mais aplicado em projetos de desenvolvimento de
produtos de outras naturezas.
9.6.2 objetivos do modelo
O SCRUM consiste em um mtodo iterativo e incremental para o ge-
renciamento de projetos complexos, cujo objetivo garantir agilidade nas
entregas e maximizar a aderncia aos requisitos dos clientes, a cooperao
entre os integrantes da equipe e a produtividade de cada participante.
um dos mtodos denominados geis mais difundidos hoje no mercado
de TI.
61 SCRUM o nome dado a uma formao no jogo de rgbi, baseada no engajamento de ambos os
times, que consiste em uma das formas de reiniciar o jogo aps a ocorrncia de uma infrao.
Modelos para Gerenciamento de Projetos 401
Segundo Schwaber (2004), situaes de projetos complexos ocorrem
quando a complexidade das atividades intermedirias no permite que seja
criado um processo defnido controlado, que consiga gerar repetitivamente
produtos em nveis aceitveis de qualidade. A complexidade de um projeto
diretamente proporcional complexidade dos requisitos dos clientes e da
tecnologia envolvida, alm de ser bastante dependente das caractersticas de
cada membro da equipe (dada a diversidade de habilidades, conhecimentos,
atitudes, etc., que pode ser encontrada em qualquer grupo de pessoas).
Em situaes como esta, Schwaber recomenda ainda a utilizao do con-
ceito de controle emprico de processos, que utiliza mecanismos como auto-
-organizao e senso de urgncia, e tem os seguintes pilares principais:
Visibilidade: todos os aspectos que afetam os resultados almejados
devem ser visveis para os processos de controle (pode tambm ser
entendido por transparncia).
Inspeo: os vrios aspectos do processo devem passar por inspees
frequentes, visando detectar variaes inaceitveis.
Adaptao: o processo ou os seus produtos intermedirios devem ser
ajustados aps a inspeo para minimizar futuros desvios mais se-
veros, caso suas caractersticas e resultados estejam fora dos limites
aceitveis e coloquem em risco a aceitao do produto fnal.
9.6.3 estruturA do modelo
O SCRUM est estruturado em um conjunto de prticas conduzidas por
equipes em papis especfcos, organizadas em um fuxo de atividades/eventos
de durao fxa totalmente controlado, com artefatos e regras bem defnidos,
que visa a obteno de produtos utilizveis em intervalos curtos de tempo.
9.6.3.1 A base do SCRUM
Todas as prticas do SCRUM esto baseadas em um esqueleto repre-
sentado por iteraes sucessivas de atividades de desenvolvimento (cada uma
delas gerando um incremento de produto), inspecionadas e ajustadas diaria-
mente por membros da prpria equipe de trabalho e orientadas por uma lista
de requisitos inicial, conforme mostra a Figura 9.9:
402 Implantando a Governana de TI 3 edio
Iterao
Inspeo
Diria
Backlog do
Produto
Incremento de
Funcionalidade
Figura 9.9 O esqueleto do SCRUM
Adaptado de Schwaber (2004)
No comeo de cada iterao, a equipe revisa o que deve ser feito e
determina o que seria um incremento de funcionalidade vivel para ser
entregue no fnal da iterao. A equipe liberada para empregar o seu
melhor esforo no restante da iterao e apresenta no fnal o produto fnal
construdo.
9.6.3.2 Os papis envolvidos no SCRUM
Em um projeto SCRUM, todas as responsabilidades esto divididas entre
trs papis:
Product Owner: pessoa responsvel por gerenciar o Backlog do Pro-
duto (garantindo que esteja visvel para todos), por gerar e disseminar
os requisitos do projeto, assim como o plano para as entregas suces-
sivas, priorizando os resultados que traro maior valor agregado ao
projeto.
SCRUM Master: responsvel por implementar o mtodo SCRUM,
assim como por ensin-lo a todos os envolvidos nos projetos e asse-
gurar que todos sigam as suas regras e prticas.
Modelos para Gerenciamento de Projetos 403
Time SCRUM: grupo de desenvolvedores coletivamente responsvel
pelo sucesso de cada iterao e do projeto como um todo, deve ser
composto por pessoas multidisciplinares e com capacidade de auto-
-organizao e autogesto.
9.6.3.3 O fuxo do SCRUM
O processo preconizado pelo SCRUM abrange os seguintes elementos
(conforme ilustrado na Figura 9.10):
Sprint
Inspeo
Diria
Backlog da
Sprint
Incremento de
Funcionalidade
Backlog do
Produto
Selecionado
Equipe SCRUM
Backlog do Produto:
Requisitos emergentes
e priorizados
Viso:
Retorno sobre Investimento
Antecipado, Releases, Marcos
SCRUM Dirio

Figura 9.10 O fuxo do SCRUM
Adaptado de Schwaber (2004)
Viso: deve ser elaborada pelo Product Owner, incluindo o plano de
releases e os marcos de entregas de produtos a cada Sprint, de forma a
maximizar o retorno sobre o investimento do projeto de desenvolvi-
mento do produto.
Backlog do Produto: tambm elaborado pelo Product Owner, contm
uma lista dos requisitos funcionais e no funcionais do produto, prio-
rizados e divididos em releases (Sprints).
404 Implantando a Governana de TI 3 edio
Reunio de Planejamento da Sprint: o projeto dividido em Sprints
com durao de trinta dias corridos cada, a serem executadas uma
aps a outra, sem interrupo. O planejamento feito em uma reu-
nio com a participao do Time SCRUM e pelo Product Owner, em
dois perodos de quatro horas cada:
Nas primeiras quatro horas, defnido o escopo (o qu) a ser
tratado pela Sprint, por meio da seleo dos requisitos do Backlog
do Produto que sero colocados no Backlog da Sprint.
Nas quatro horas fnais, ocorre o planejamento propriamente
dito das tarefas a serem executadas na Sprint (como) e o incio
ofcial da Sprint, momento em que comea a correr o prazo de
trinta dias.
Sprint: a prpria iterao de desenvolvimento do produto, que possui
durao fxa. Uma Sprint compreende tambm as suas reunies de
planejamento, reviso e retrospectiva.
SCRUM Dirio: reunio diria de quinze minutos, onde cada mem-
bro da equipe responde s seguintes questes:
O que fz no projeto desde o ltimo SCRUM Dirio?
O que estou planejando fazer at o prximo SCRUM Dirio?
Existe alguma restrio ou impedimento para que eu honre
meus compromissos da Sprint atual e/ou do projeto?
Alm disso, a equipe sincroniza as atividades de todos e progra-
ma reunies necessrias para a continuao do projeto.
Reunio de Reviso da Sprint: em quatro horas, o Time SCRUM
apresenta para o Product Owner (e os demais stakeholders) o resultado
do trabalho gerado na Sprint e determina junto a eles o que deve fazer
na prxima Sprint.
Reunio de Retrospectiva da Sprint: em trs horas, o SCRUM Mas-
ter estimula os membros do Time SCRUM a revisarem o seu proces-
so de desenvolvimento luz das prticas e do modelo de processo do
SCRUM, visando torn-lo mais efcaz e gratifcante para a prxima
Sprint.
Ainda de acordo com Schwaber (2004), as reunies de planejamento da
Sprint, o SCRUM Dirio, a reviso e a retrospectiva da Sprint constituem,
juntas, as prticas empricas de inspeo e adaptao do SCRUM.
Modelos para Gerenciamento de Projetos 405
9.6.3.4 Os artefatos do SCRUM
Existem duas categorias de artefatos no contexto do SCRUM: as tabelas
de Backlog e os grfcos que mostram o trabalho que ainda falta at o fnal
(denominadas Burndown Charts).
As tabelas de Backlog so:
Backlog do Produto: consiste em um documento vivo elaborado e
mantido pelo Product Owner que, por defnio, nunca est comple-
to (uma vez que sempre existem melhorias a serem implementadas
em um produto, at que este seja fnalmente retirado de circulao).
Contm uma lista de tudo o que constitui as mudanas que sero re-
alizadas no produto para suas futuras verses (caractersticas, funes,
tecnologias, adaptaes, melhorias, correes, etc.). Tais requisitos
so ordenados por prioridade e detalhados em termos de atributos de
descrio, fatores de complexidade/ajuste e estimativas (de esforo e
prazo) ao longo das futuras Sprints.
Backlog da Sprint: defne as tarefas que o Time SCRUM deve exe-
cutar para criar os incrementos do produto (oriundos do Backlog do
Produto) durante a execuo de uma Sprint. O seu detalhamento
deve ser sufciente para que possa ser acompanhado nas reunies do
SCRUM Dirio, em tarefas que duram entre quatro e dezesseis horas.
Cada tarefa deve ser documentada, pelo menos, em termos do seu
responsvel, do seu status (no iniciado, em andamento, fnalizado)
e da quantidade de horas de trabalho restantes a cada dia da Sprint.
Os Burndown Charts mostram, grafcamente, a quantidade de trabalho
estimado (esforos restantes) ao longo do tempo, refetindo a sua correlao
com o progresso das equipes do projeto em reduzir o seu trabalho. Podem ser
utilizados no contexto do Backlog do Produto (incluindo todas as Sprints) ou
dentro de cada uma das Sprints (Burndown da Sprint).
9.6.4 APlicAbilidAde do modelo
O SCRUM foi originalmente criado para utilizao em projetos de soft-
ware em ambientes complexos (onde os requisitos mudam com alguma fre-
quncia), que possam ter o seu escopo (ou a sua estrutura analtica de projeto
406 Implantando a Governana de TI 3 edio
EAP ou WBS) organizado e estruturado em pacotes de artefatos incremen-
tais, consistentes e utilizveis, a serem entregues ao cliente em perodos suces-
sivos de quinze a trinta dias cada.
A princpio, este conceito potencialmente aplicvel a qualquer proje-
to ou programa cujo objetivo seja o desenvolvimento de produtos ou ser-
vios de outra natureza, ou mesmo que envolvam iniciativas de melhoria
por meio da utilizao de metodologias como Lean, Seis Sigma, etc. Em
suma, o SCRUM uma abordagem recomendada (e tem demonstrado
forte aplicabilidade) para projetos que exigem a combinao focada das
habilidades e dos conhecimentos de um time e que envolvam esforos
colaborativos intensos.
Segundo Pries & Quigley (2010), existem maneiras de adaptar o SCRUM
para aplicao em vrios tipos de programas e projetos complexos, tais como:
Combinando com mtodos tradicionais de gerenciamento de pro-
jetos: pode-se relacionar conceitos e artefatos tais como EAP (Es-
trutura Analtica do Projeto) e Backlog do Produto, Anlise de Valor
Agregado, os Burndown Charts e o Plano de Comunicao s reu-
nies de controle das Sprints (planejamento, diria, reviso, retros-
pectiva), etc.
Gerenciamento de programas complexos: adoo de uma estrutura
de SCRUM de SCRUMS, onde o Backlog de Produto pode ser
decomposto em sub-backlogs, cada um sendo consumido pelo seu res-
pectivo Time SCRUM.
Atuao em reas funcionais que atendem vrios projetos (por exem-
plo, equipes de teste ou garantia de qualidade): no Backlog de Pro-
duto, podem entrar tarefas dos vrios projetos e no Backlog de cada
Sprint, aquelas tarefas que couberem no prazo de trinta dias.
Combinando com uma metodologia no formato cascata: pode-
-se dividir o cronograma em mdulos de durao fxa, de forma a
sincronizar, por exemplo, uma sequncia de Sprints com um marco
(milestone) previsto no projeto, assim como realizar as atividades de
verifcao e validao de forma evolutiva em cada Sprint.
Combinando com a abordagem Seis Sigma: pode-se encapsular cada
uma das fases da metodologia DMAIC (Defne, Measure, Analyze,
Improve, Control) em uma Sprint, executando-as uma aps a outra.
Modelos para Gerenciamento de Projetos 407
Schwaber (2004) menciona a possibilidade de utilizao do SCRUM em
um contexto de contrato com preo e durao prefxados. Nesses casos, o Ba-
cklog do Produto pode ser utilizado no somente para demonstrar ao cliente
que os requisitos foram compreendidos, mas tambm que a prioridade de
cada um para a gerao de valor foi compreendida. Os requisitos mais rele-
vantes podem ser selecionados para as primeiras Sprints, e os incrementos na
funcionalidade mensurados a cada reunio de acompanhamento.
De qualquer forma, importante ter em mente que a adoo do SCRUM
por uma organizao deve ser feita de forma criteriosa e que h uma srie de
desafos a serem enfrentados (que podero colocar em risco a efccia do m-
todo), tais como:
fundamental ter uma equipe que funcione bem trabalhando em
grupo, uma vez que o sucesso do trabalho depende de um esforo
intensivo nas habilidades que cada um tem como diferencial.
importante que cada membro dos Times SCRUM tenha um forte
senso de autogesto.
Deve-se garantir que os integrantes da equipe estejam alocados a so-
mente um projeto (ou seja, ao cumprimento de somente um Backlog).
Deve-se garantir o comprometimento de todos os envolvidos (princi-
palmente por parte daqueles que representam o cliente).
Deve-se assegurar que os Backlogs estejam bem documentados, de
forma que no haja mal-entendidos entre os envolvidos.
Pode haver algumas difculdades para atomizar as tarefas a serem
colocadas em cada linha dos Backlogs, assim como para estabelecer as
dependncias entre elas, o que poder prejudicar o planejamento e o
bom andamento na execuo das Sprints.
Deve-se garantir que todas as reunies (planejamento, diria, reviso,
retrospectiva) das Sprints sejam realizadas e que os tempos fxos sejam
efetivamente cumpridos, sob risco de prejudicar o senso de discipli-
na, que crucial para o sucesso do mtodo.
408 Implantando a Governana de TI 3 edio
9.6.5 benefcios do modelo
A adoo de mtodos geis como o SCRUM para projetos de software
tem trazido para as organizaes de TI benefcios relacionados melhoria da
capacidade de gesto, assim como obteno de vantagens competitivas em
relao a outras organizaes. Entre esses benefcios, podemos enumerar:
Maior agilidade no controle e no gerenciamento do andamento dos
trabalhos.
A nfase no trabalho em equipe e o foco em resultados rpidos pro-
picia um maior senso de cooperao e de responsabilidade compar-
tilhada.
Equipes mais motivadas e com autoestima constantemente renovada.
Plano de comunicao mais efetivo, devido s reunies e comunica-
es constantes entre os membros do Time SCRUM (consequente-
mente, usurios mais informados durante e aps as Sprints).
A evoluo do projeto e os eventuais riscos e impedimentos tm
maior visibilidade no momento em que acontecem.
Maior assertividade no atendimento aos requisitos dos clientes (devi-
do sincronizao com prottipos iterativos).
Melhoria da produtividade das equipes, uma vez que tarefas que no
agregam valor ao resultado tendem a ser eliminadas do trabalho.
Reduo do overhead da organizao (as equipes so autogerenciadas
e esto integralmente envolvidas em projetos).
Maior qualidade dos produtos, devido maior probabilidade de de-
teco antecipada de defeitos.
Deteco antecipada de obstculos que possam comprometer o de-
senvolvimento e a entrega dos produtos.
Possibilidade de responder mais rapidamente a mudanas nos requi-
sitos (podem ser includas em Sprints posteriores).
Visibilidade antecipada do Retorno sobre o Investimento dos proje-
tos, devido priorizao dos requisitos mais relevantes e s entregas
em prazos mais curtos e constantes.
Modelos para Gerenciamento de Projetos 409
9.6.6 certificAes relAcionAdAs
A Scrum Alliance
62
oferece um programa de certifcao em vrios nveis,
baseado em cursos especializados com exames integrados:
CSM Certifed Scrum Master: destinado a pessoas que trabalham em
um Time SCRUM, possui nfase acentuada no papel do Scrum Mas-
ter e na demonstrao do entendimento da terminologia, das prticas
e dos princpios do SCRUM.
CSPO Certifed Scrum Product Owner: possui nfase acentuada no
papel de Product Owner (representante do cliente), focando aspectos
como gesto de stakeholders, retorno sobre investimento, formatao
de backlogs, critrios de aceite, etc.).
CSD Certifed Scrum Developer: destinado queles que possuem um
entendimento prtico dos princpios do SCRUM e que tenham assi-
milado habilidades especializadas de engenharia com mtodos geis.
CSP Certifed Scrum Professional: nvel superior de expertise para
aqueles que j possuem uma certifcao CSM, CSPO ou CSD.
CST Certifed Scrum Trainer: destinado queles que desejam se li-
cenciar como treinadores ofciais dos cursos preparatrios para as cer-
tifcaes SCRUM.
CSC Certifed Scrum Coach: destinado aos especialistas no SCRUM,
tanto em teoria quanto na prtica. Um Coach deve possuir um conhe-
cimento profundo das prticas e princpios do SCRUM e experincia
real na sua utilizao em projetos, podendo atuar como um mentor
para os Scrum Masters e Times SCRUM em diversas situaes onde
estiverem precisando de orientao ou enfrentando desafos acima do
grau atual de maturidade da equipe.
62 Maiores informaes no site http://www.scrumalliance.org .
10.
10.
modelos PArA segurAnA dA informAo
iso/iec 27001 e 27002
10.1 histrico do modelo
A origem de praticamente todas as normas internacionais relativas segu-
rana da informao o Governo Britnico.
A British Standard (BS) 7799, que deu origem ISO 17799 e agora foi
substituda pela ISO/IEC 27002, nasceu no Commercial Computer Security
Centre (CCSC) do Department of Trade and Industry. O CCSC foi criado
considerando duas frentes de atuao: a primeira era apoiar fornecedores de
produtos de segurana em TI a partir de um conjunto de critrios de avalia-
o e um esquema de certifcao, e a segunda era auxiliar os usurios de TI
atravs de um Cdigo de Prtica do Usurio. Este cdigo foi publicado
em 1989.
O cdigo foi aperfeioado posteriormente pela comunidade britnica
de TI, o que resultou no Cdigo de prtica para a gesto da segurana
da informao. Este cdigo deu origem em 1995 BS 7799:1995,
parte 1.
Em abril de 1999, foi publicada a primeira reviso da BS 7799 Parte 1
(BS7799:1999). Em outubro de 1999 esta norma foi proposta como norma
ISO, dando origem, em dezembro de 2000, ISO/IEC 17799:2000.
A Parte 1 da BS 7799 era somente um cdigo de prtica e no permitia a
certifcao de um sistema gerencial de segurana da informao, conforme
um esquema de certifcao de reconhecimento mtuo em mbito interna-
Modelos para Segurana da Informao ISO/IEC 27001 e 27002 411
cional. Para suprir esta necessidade, em 5 de setembro de 2002 foi lanada a
Parte 2 da BS 7799 (BS 7799-2:2002). Esta norma est em harmonia com
a ISO 9000 e a ISO 14000 (esta ltima trata de sistemas de gerenciamento
ambientais) e tem por objetivo a implantao de um ISMS ou Information
Security Management System, considerando controles selecionados a partir da
ISO/IEC 17799.
Da mesma forma como ocorreu com a 17799, a BS 7799-2:2002
transformou-se na ISO/IEC 27001:2005, publicada em 15 de outubro
de 2005.
A ISO (International Organization for Standardization) e o IEC (Interna-
tional Eletrotechnical Comission) esto prevendo o lanamento de vrias nor-
mas relativas srie 27000 sobre segurana da informao.
Atualmente, a srie 27000 j contempla as seguintes normas:
ISO/IEC 27000:2009 Information technology Security tech-
niques Information security management systems Overview and
vocabulary.
ISO/IEC 27001:2005 Information Security Management Systems
Requirements.
ISO/IEC 27002:2005 Code of Practice for Information Security
Management; que j est substituindo a ISO 17799.
ISO/IEC 27003:2010 Information technology Security tech-
niques Information security management system implementation
guidance.
ISO/IEC 27004:2009 Information technology Security techniques
Information security management Measurement.
ISO/IEC 27005:2008 Information technology Security techniques
Information security risk management.
ISO/IEC 27006 Requirements for bodies providing audit and certif-
cation of information security management systems.
As normas ISO/IEC 27000, 27001, 27003 e 27005 esto atualmente pas-
sando por atualizaes, visando a publicao de uma segunda edio.
412 Implantando a Governana de TI 3 edio
10.2 objetivos do modelo
A ISO/IEC 27001 foi preparada para prover um modelo para estabele-
cer, implantar, operar, monitorar, rever, manter e melhorar um Sistema
de Gesto da Segurana da Informao (Information Security Manage-
ment System ISMS). Esta norma internacional pode ser usada visando
a avaliao da conformidade por partes interessadas internas e externas.
A ISO/IEC 27002 estabelece diretrizes e princpios gerais para ini-
ciar, manter e melhorar a gesto da segurana da informao em uma
organizao, fornecendo direcionamentos sobre as metas geralmente
aceitas para a gesto da segurana da informao. A implantao dos
objetivos de controle e dos controles associados da norma tem como
fnalidade atender aos requisitos identifcados por meio da anlise/
avaliao de riscos. Outro objetivo da norma servir como um guia
prtico para desenvolver os procedimentos de segurana da informa-
o e prticas efcientes de gesto da segurana para a organizao,
alm de ajudar a criar confana nas atividades interorganizacionais.
10.3 estruturA do modelo
10.3.1 iso/iec 27001
Esta norma adota o princpio de gesto de processos para o estabelecimen-
to, a implementao, a operao, o monitoramento, a reviso, a manuteno
e a melhoria do ISMS de uma organizao.
A abordagem de processo para a gesto da segurana da informao esta-
belecida para que seus usurios enfatizem a importncia de:
Entender os requisitos de segurana da informao e a necessidade
de estabelecer uma poltica e objetivos de segurana da informao.
Implementar e operar controles para gerenciar os riscos de segurana da
informao de uma organizao, no contexto dos riscos gerais da empresa.
Monitorar e rever o desempenho e a efccia do ISMS.
Promover a melhoria contnua, com base em medies objetivas.
Modelos para Segurana da Informao ISO/IEC 27001 e 27002 413
A norma adota o ciclo PDCA (Plan-Do-Check-Act), tambm conhecido
como ciclo de Deming, que aplicado na estrutura de todos os processos de
ISMS. A Figura 10.1 mostra a leitura do modelo PDCA aplicada a um ISMS.
Partes
Interessadas
Partes
Interessadas
Estabelecer o
ISMS
Implementar e operar
o ISMS
Manter e melhorar o
ISMS
Monitorar e
rever o ISMS
Requisitos de
segurana da
informao e
expectativas
Segurana da
informao
gerenciada
Plan
Act Do
Check

Figura 10.1 Modelo PDCA aplicado ao ISMS
Adaptado de ISO (2005f)
A norma tem compatibilidade com a ISO 9001 e a ISO 14001, de forma que su-
porta a implementao e a operao integrada com padres gerenciais relacionados.
Em termos operacionais, a norma dividida em cinco grandes sees:
O sistema de gesto da segurana da informao, que trata do ciclo
PDCA do ISMS e dos requisitos de documentao.
A responsabilidade da administrao em relao ao ISMS.
As auditorias internas do ISMS.
A reviso do ISMS pela administrao.
A melhoria do ISMS.
414 Implantando a Governana de TI 3 edio
10.3.1.1 O sistema de gesto da segurana da informao
O estabelecimento do ISMS
A norma diz que a organizao deve:
Defnir o escopo e os limites do ISMS.
Defnir a poltica de ISMS.
Defnir a abordagem para a avaliao de riscos da organizao.
Identifcar os riscos.
Analisar e avaliar os riscos.
Identifcar e avaliar opes para o tratamento dos riscos.
Selecionar os objetivos de controle e os controles para o tratamento
dos riscos.
Obter a aprovao da administrao para o risco residual proposto.
Obter a aprovao da administrao para implementar e operar o ISMS.
Preparar uma Declarao de Aplicabilidade que compreenda os ob-
jetivos de controle, os controles e a justifcativa de sua seleo, os
controles atualmente implantados e a excluso de quaisquer objetivos
e controles (com as justifcativas de excluso).
A implementao e operao do ISMS
A organizao deve executar as seguintes atividades:
Formular um plano de tratamento de riscos que identifque aes
gerenciais, recursos, responsabilidades e prioridades.
Implementar o plano de tratamento de riscos.
Implementar os controles selecionados.
Defnir como medir a efccia dos controles ou grupos de controle.
Implementar programas de treinamento e de conscientizao.
Gerenciar a operao do ISMS.
Gerenciar os recursos do ISMS.
Implementar procedimentos e outros controles capazes de detectar
pron tamente eventos de segurana, assim como respostas aos incidentes.
Modelos para Segurana da Informao ISO/IEC 27001 e 27002 415
Monitorao e reviso do ISMS
A organizao deve:
Executar os procedimentos de monitoramento e controle.
Realizar revises peridicas da efccia do ISMS.
Medir a efccia dos controles para verifcar se os requisitos de segu-
rana tm sido atendidos.
Rever a metodologia de risco em intervalos planejados e rever os ris-
cos residuais
63
.
Conduzir auditorias internas do ISMS em intervalos planejados.
Realizar uma reviso gerencial do ISMS em bases regulares.
Atualizar os planos de segurana, levando em considerao os resul-
tados do monitoramento.
Registrar aes e eventos que podem ter um impacto na efccia do
desempenho do ISMS.
Manuteno e melhoria do ISMS
A organizao deve, regularmente:
Implementar as melhorias identifcadas no ISMS.
Tomar aes corretivas e preventivas apropriadas.
Aplicar lies aprendidas.
Comunicar as aes de melhoria aos interessados.
Assegurar que as melhorias atendam a seus objetivos intencionados.
Requisitos de documentao
A documentao deve conter:
Poltica para o ISMS.
Escopo do ISMS.
63 Riscos residuais so consequncias que permanecem depois da ocorrncia de um risco.
416 Implantando a Governana de TI 3 edio
Procedimentos e controles de apoio ao ISMS.
A descrio da metodologia de avaliao de riscos.
O plano de tratamento de riscos.
Procedimentos documentados necessrios para o planejamento, a
operao e o controle dos processos de segurana da informao.
Descrio sobre a efccia dos controles.
Registros requeridos pela norma.
A Declarao de Aplicabilidade.
A documentao deve ser controlada em termos de:
Aprovao dos documentos antes do seu uso.
Reviso e atualizao dos documentos.
Controle de mudanas nos documentos.
Controle de verses dos documentos.
Disponibilizao das verses corretas.
Garantia de que os documentos estejam legveis e prontamente
identifcados.
Garantia de que as pessoas que necessitam dos documentos tenham
acesso a eles.
Garantia de que documentos de origem externa sejam identifi-
cados.
Garantia de que a distribuio dos documentos seja controlada.
Preveno contra o uso de documentos obsoletos.
Garantia de identifcao adequada para os documentos, para o caso
de serem retidos para qualquer propsito.
10.3.1.2 A responsabilidade da administrao
Deve haver evidncia do compromisso da administrao com o estabele-
cimento, a implementao, a operao, o monitoramento, a reviso, a manu-
teno e a melhoria do ISMS. A administrao deve:
Estabelecer a poltica para o ISMS.
Modelos para Segurana da Informao ISO/IEC 27001 e 27002 417
Assegurar que os objetivos e planos sejam estabelecidos.
Estabelecer papis e responsabilidades para a segurana da infor-
mao.
Comunicar a organizao acerca da importncia de atender a objeti-
vos e polticas.
Prover recursos sufcientes para implementar, operar, monitorar, re-
ver, manter e melhorar o ISMS.
Garantir que todo o pessoal envolvido com segurana da informao
seja competente para desempenhar as atividades requeridas.
10.3.1.3 As auditorias internas do ISMS
A organizao deve conduzir auditorias internas do ISMS em intervalos
planejados, para determinar se as atividades de controle, os controles, os pro-
cessos e os procedimentos do sistema:
Esto em conformidade com os requisitos da norma e os demais re-
quisitos legais ou regulatrios.
Esto em conformidade com os requisitos de segurana da informa-
o identifcados.
Esto implementados e mantidos de forma efetiva.
Esto sendo desempenhados como esperado.
O programa de auditoria deve ser planejado considerando o status e a im-
portncia dos processos, as reas a serem auditadas, assim como os resultados
de auditorias prvias.
10.3.1.4 A reviso do ISMS
A administrao deve revisar o ISMS pelo menos uma vez por ano, para
assegurar sua contnua adequao e efccia.
As entradas para a reviso devem considerar os resultados de auditorias, o
feedback das partes interessadas, o status das aes corretivas e preventivas, as
vulnerabilidades e ameaas no tratadas adequadamente em avaliaes prvias
de riscos, os resultados de medies, as aes de follow-up de revises anterio-
res, as mudanas nos requisitos e as recomendaes de melhoria.
418 Implantando a Governana de TI 3 edio
As sadas da reviso so: melhorias do ISMS, atualizao do plano de trata-
mento de riscos, modifcaes de procedimentos e controles, nveis de recur-
sos alocados segurana da informao e melhorias na medio.
10.3.1.5 A melhoria do ISMS
A organizao deve melhorar continuamente a efccia do ISMS atravs
do uso da poltica de segurana da informao, objetivos de segurana da
informao, resultados de auditoria, anlise de eventos monitorados, aes
corretivas e preventivas e revises gerenciais.
Ainda neste sentido, a organizao deve tambm tomar aes corretivas e/
ou preventivas para eliminar causas de no conformidades reais e/ou poten-
ciais no ISMS, de forma a prevenir sua recorrncia.
10.3.2 iso/iec 27002
Esta norma est estruturada nas seguintes sees:
Poltica de segurana da informao.
Organizando a segurana da informao.
Gesto de ativos.
Segurana em recursos humanos.
Segurana fsica do ambiente.
Gesto das operaes e comunicaes.
Controle de acesso.
Aquisio, desenvolvimento e manuteno de sistemas de informao.
Gesto de incidentes de segurana da informao.
Gesto da continuidade do negcio.
Conformidade.
Cada uma das sees constituda por categorias de segurana da informao,
sendo que cada categoria tem um objetivo de controle defnido, um ou mais con-
troles que podem ser aplicados para atender ao objetivo de controle, as descries
dos controles, as diretrizes de implementao e informaes adicionais.
Os 132 controles so:
Modelos para Segurana da Informao ISO/IEC 27001 e 27002 419
Poltica de segurana da informao
Documento da poltica de segurana da informao.
Anlise crtica da poltica de segurana da informao.
Organizando a segurana da informao
Comprometimento da direo com a segurana da informao.
Coordenao da segurana da informao.
Atribuio de responsabilidades para a segurana da informao.
Processo de autorizao para os recursos de processamento da
informao.
Acordos de confdencialidade.
Contato com autoridades.
Contato com grupos especiais.
Anlise crtica independente de segurana da informao.
Identifcao de riscos relacionados com partes externas.
Identifcao da segurana da informao ao tratar com os clientes.
Identificao da segurana da informao nos acordos com ter-
ceiros.
Gesto de ativos
Inventrio dos ativos.
Propriedade dos ativos.
Uso aceitvel dos ativos.
Recomendaes para a classifcao da informao.
Rtulos e tratamento da informao.
420 Implantando a Governana de TI 3 edio
Segurana em recursos humanos
Papis e responsabilidades.
Seleo.
Termos e condies de contratao.
Responsabilidades da direo.
Conscientizao, educao e treinamento em segurana da in-
formao.
Processo disciplinar.
Encerramento de atividades.
Devoluo de ativos.
Retirada de direitos de acesso.
Segurana fsica e do ambiente
Permetro de segurana fsica.
Controles de entrada fsica.
Segurana em escritrios, salas e instalaes.
Proteo contra ameaas externas e do meio ambiente.
Trabalho em reas seguras.
Acesso do pblico, reas de entrega e de carregamento.
Instalao e proteo do equipamento.
Utilidades.
Segurana do cabeamento.
Manuteno dos equipamentos.
Segurana de equipamentos fora das dependncias da organizao.
Reutilizao e alienao segura de equipamentos.
Remoo de propriedade.
Modelos para Segurana da Informao ISO/IEC 27001 e 27002 421
Gerenciamento das operaes e comunicaes
Documentao dos procedimentos de operao.
Gesto de mudanas.
Segregao de funes.
Separao dos recursos de desenvolvimento, teste e de produo.
Entrega de servios (de terceiros).
Monitoramento e anlise crtica de servios terceirizados.
Gerenciamento de mudanas para servios terceirizados.
Gesto da capacidade.
Aceitao de sistemas.
Controle contra cdigos maliciosos.
Controles contra cdigos mveis.
Cpias de segurana das informaes.
Controle de redes.
Segurana dos servios de rede.
Gerenciamento de mdias removveis.
Descarte de mdias.
Procedimentos para tratamento de informao.
Segurana da documentao dos sistemas.
Polticas e procedimentos para troca de informaes.
Acordos para a troca de informaes.
Mdias em trnsito.
Mensagens eletrnicas.
Sistemas de informao do negcio.
Comrcio eletrnico.
Transaes on-line.
Informaes publicamente disponveis.
Registros de auditoria.
Monitoramento do uso do sistema.
Proteo das informaes dos registros (log).
Registros (log) de administrador e operador.
422 Implantando a Governana de TI 3 edio
Registro (log) de falhas.
Sincronizao de relgios.
Controle de acessos
Poltica de controle de acesso.
Registro de usurio.
Gerenciamento de privilgios.
Gerenciamento de senha do usurio.
Anlise crtica dos direitos de acesso de usurio.
Uso de senhas.
Equipamento de usurio sem monitorao.
Poltica de mesa limpa e tela limpa.
Poltica de uso dos servios de rede.
Autenticao para conexo externa do usurio.
Identifcao de equipamento em redes.
Proteo e confgurao de portas de diagnstico remotas.
Segregao de redes.
Controle de conexo de rede.
Controle de roteamento de redes.
Procedimentos seguros de entrada do sistema.
Identifcao e autenticao de usurio.
Sistema de gerenciamento de senha.
Uso de utilitrios de sistema.
Desconexo de terminal por inatividade.
Limitao de horrio de conexo.
Restrio de acesso informao.
Isolamento de sistemas sensveis.
Computao e comunicao mvel.
Trabalho remoto.
Modelos para Segurana da Informao ISO/IEC 27001 e 27002 423
Aquisio, desenvolvimento e manuteno de sistemas de informao
Anlise e especifcao dos requisitos de segurana.
Validao dos dados de entrada.
Integridade de mensagens.
Validao de dados de sada.
Poltica para o uso de controles criptogrfcos.
Gerenciamento de chaves.
Controle de software operacional.
Proteo dos dados para teste de sistemas.
Controle de acesso ao cdigo-fonte do programa.
Procedimentos para controle de mudanas.
Anlise crtica tcnica das aplicaes aps mudanas no sistema
operacional.
Restries sobre mudanas em pacotes de software.
Vazamento de informaes.
Desenvolvimento terceirizado de software.
Controle de vulnerabilidades tcnicas.
Gerenciamento de incidentes de segurana da informao
Notifcao de eventos de segurana da informao.
Notifcao de fragilidades de segurana da informao.
Responsabilidades e procedimentos.
Aprendizado com os incidentes de segurana da informao.
Coleta de evidncias.
Gerenciamento da continuidade do negcio
Incluso da segurana da informao no processo de gerenciamento
da continuidade de negcios.
Continuidade de negcios e anlise/avaliao de riscos.
Desenvolvimento e implementao de planos de continuidade relati-
vos segurana da informao.
424 Implantando a Governana de TI 3 edio
Estrutura do plano de continuidade do negcio.
Testes, manuteno e reavaliao dos planos de continuidade do
negcio.
Conformidade
Identifcao da legislao vigente.
Direitos de propriedade intelectual.
Proteo de registros organizacionais.
Proteo de dados e privacidade de informaes pessoais.
Preveno de mau uso de recursos de processamento da infor-
mao.
Regulamentao de controles de criptografa.
Conformidade com as polticas e normas de segurana da infor-
mao.
Verifcao da conformidade tcnica.
Controles de auditoria de sistemas de informao.
Proteo de ferramentas de auditoria de sistemas de informao.
10.4 APlicAbilidAde do modelo
Independentemente dos aspectos de certifcao, este modelo se aplica a
qualquer organizao cujos negcios dependam fortemente de informao e TI.
Em nossa opinio, a utilizao de um modelo nestes moldes para as
empresas de servios de TI (tais como provedores de desenvolvimento de
sistemas, provedores de servios de Data center, etc.) praticamente obri-
gatria, por proporcionar maior garantia de proteo dos ativos de infor-
mao do cliente, podendo signifcar um grande diferencial competitivo,
assim como para organizaes com fns lucrativos, terceiro setor e governa-
mentais que armazenam transaes e dados de pessoas e clientes ou infor-
maes sigilosas.
A amplitude da segurana da informao bem maior do que somente
TI, abrangendo tambm, e fortemente, as reas de negcio, pois so elas que
Modelos para Segurana da Informao ISO/IEC 27001 e 27002 425
defnem privilgios de acesso e defnem a classifcao da informao, se
confdencial, de uso interno ou pblico.
Entretanto, a implantao de um sistema de gerenciamento da segurana
da informao, por este ser amplo e abranger tambm as unidades de negcio,
necessita de um forte patrocnio dentro da organizao, assim como de um
programa contnuo de conscientizao e de um pesado envolvimento da rea
de recursos humanos e das reas que fazem contratao e uso de servios de
terceiros.
O sistema de gerenciamento da segurana da informao pode ser implan-
tado em etapas, focando, a princpio, os aspectos mais crticos de segurana
da informao. Em algumas organizaes, o problema est na segurana fsica
do Data center; em outras, o problema est na segurana lgica.
A implantao deve ser considerada um projeto ou programa de longa
durao. Dependendo da natureza da organizao, pode requerer dois anos
ou mais, desde, naturalmente, que sejam feitos os investimentos necessrios.
10.5 benefcios do modelo
Os benefcios da segurana da informao esto na preveno de perdas
fnanceiras que a organizao pode ter, no caso da ocorrncia de incidentes de
segurana da informao. A organizao tambm pode abalar a sua imagem
ou sofrer aes na justia pelas perdas que seus sistemas possam causar aos
seus clientes.
Diariamente tomamos conhecimento de notcias de fraudes digitais, perdas
de dados de clientes, intruses em redes e sistemas de informao sensveis para
as organizaes que se traduzem em prejuzos de milhes e milhes de reais.
Acreditamos que, quanto mais a empresa estiver interligada com seus for-
necedores, clientes e usurios, maiores so as chances de ocorrncia de inci-
dentes em segurana da informao que possam trazer perdas fnanceiras.
De acordo com um estudo do Comit Gestor da Internet no Brasil (vide
www.cert.br), o Brasil um dos maiores emissores de spam e phishing, sendo
que as fraudes desse tipo tm aumentado signifcativamente.
426 Implantando a Governana de TI 3 edio
10.6 certificAes relAcionAdAs
A certifcao, neste caso, do Sistema de Gesto da Segurana da Infor-
mao (ISMS) da organizao, podendo englobar a empresa como um todo
ou uma operao especfca.
A empresa certifcada na norma ISO/IEC 27001. O ISMS no precisa com-
preender todos os controles preconizados na prpria norma e detalhados na ISO/
IEC 27002, mas somente aqueles que so aplicveis situao de cada empresa.
Os controles so selecionados de acordo com as vulnerabilidades, os riscos, as
obrigaes contratuais, os requisitos legais e de regulao submetidos empresa.
No mbito pessoal, existe a certifcao ISO/EEC 27002 Foundation, que
visa atestar a profcincia dos profssionais nos fundamentos da norma.
10.7 gesto dA continuidAde do negcio
Em 2006, foi lanada pelo British Institute of Standards, a norma BS
25999-1:2006, que trata da gesto da continuidade do negcio ou Business
Continuity Management BCM. Esta parte da norma o cdigo de prticas.
No Brasil, a norma correspondente a NBR 15999-1:2007.
Em 2007, foi publicada a BS 25999-1:2007, que a especifcao da nor-
ma com a qual se pode obter a certifcao do sistema de Gerenciamento da
Continuidade do Negcio GCN.
Esta norma especifca os requisitos para estabelecer e gerenciar um sis-
tema de gerenciamento da continuidade do negcio e aplica o conceito
do modelo PDCA (Plan, Do, Check, Act) de forma similar aplicada pela
ISO/IEC 27001.
No quadrante PLAN, a norma estabelece que os limites do sistema de
GCN estejam defnidos e que os objetivos estejam claros, entendidos e comu-
nicados. Abrange:
O escopo.
A poltica de Gerenciamento da Continuidade do Negcio.
O provisionamento de recursos.
Modelos para Segurana da Informao ISO/IEC 27001 e 27002 427
As habilidades da equipe de GCN.
Proviso de confana para os clientes e outras organizaes acerca da
capacidade de gesto da continuidade do negcio.
A documentao do sistema de GCN.
O controle de documentos do GCN.
Os procedimentos.
O controle dos registros do sistema de GCN.
O quadrante DO da norma estabelece que a organizao identifque as
atividades crticas e os recursos necessrios para dar suporte aos principais
produtos e processos de negcio. Abrange:
A anlise de impacto no negcio (Business Impact Assessment).
A anlise e avaliao de riscos.
A determinao de opes.
A identificao dos acordos de servios (que permitem que a
organizao recupere os servios dentro de tempos predetermi-
nados).
O desenvolvimento e a implementao da estrutura de resposta de
incidentes.
Os planos de continuidade e de gerenciamento de incidentes.
Testes e exerccios do plano de continuidade.
O quadrante CHECK da norma estabelece que a organizao mantenha e
revise o sistema de GCN. Abrange:
Auditorias internas sobre o sistema.
Revises gerenciais da poltica e do sistema.
O quadrante ACT da norma estabelece:
A execuo de aes preventivas e corretivas.
A melhoria contnua do sistema de GCN.
428 Implantando a Governana de TI 3 edio
De acordo com a norma, os benefcios da GCN so:
Possibilitar, de forma proativa, a identifcao dos impactos de inter-
rupes operacionais.
Ter uma efetiva resposta para interrupes que minimizem o impacto
na organizao.
Manter habilidade para gerenciar riscos no assegurveis.
Encorajar o trabalho entre equipes.
Ser capaz de demonstrar resposta com credibilidade atravs de um
processo de teste do plano de continuidade do negcio.
Possibilitar o aumento da reputao da organizao.
Possibilitar a obteno de uma vantagem competitiva, conferida pela
demonstrao da habilidade de manter as entregas prometidas para
os seus clientes.
A certifcao, por sua vez, permite organizao:
Atrair clientes.
Melhorar a sua imagem.
Demonstrar a capacidade de recuperar os servios prestados aos clientes.
Aumentar a vantagem comparativa em relao a concorrentes que
no adotam essas melhores prticas.
Demonstrar o alinhamento com os requisitos de continuidade de ne-
gcio dos clientes.
10.8 outrAs normAs iso relAtivAs
segurAnA dA informAo
Para segurana da informao, a ISO possui outras normas, tais como:
ISO/IEC 15408
64
, que trata de critrios de avaliao para a segu-
rana de TI, tambm conhecida como Common Criteria for Infor-
mation Technology Security Evaluation. De acordo com esta nor-
64 Vide em Albuquerque & Ribeiro (2002) a aplicao dessa norma.
Modelos para Segurana da Informao ISO/IEC 27001 e 27002 429
ma, pode-se certifcar software, garantindo ao cliente que atenda
a requisitos de segurana. A norma estabelece os seguintes nveis
de Evaluation Assurance Level: testado funcionalmente, estrutural-
mente, metodicamente verifcado, metodicamente projetado, tes-
tado e revisado e projetado e testado semiformalmente. Esta norma
pode ser usada como detalhamento de implantao dos controles
relativos ao desenvolvimento de sistemas estabelecidos pela ISO/
IEC 27002.
ISO/IEC 27031, que descreve conceitos e prticas da prontido
da tecnologia da informao e comunicao para a continuidade
do negcio e fornece um framework com mtodos e processos para
identifcar e especifcar todos os aspectos (tais como critrios de de-
sempenho, projeto e implementao) para melhorar a prontido da
TI, visando assegurar a continuidade do negcio. Aplica-se a qual-
quer tipo de organizao e uma norma que pode estar vinculada
BS 25999.
H dezenas de normas relativas segurana da informao, que
tratam desde o vocabulrio usado at o estabelecimento de requi-
sitos para segurana de arquitetura em sistemas abertos, acesso re-
moto s bases de dados, criptografa, autenticao de mensagens,
biometria, identifcao pessoal, etc. Veja em www.iso.org para ob-
ter mais informaes.
11
11
modelos PArA gerenciAmento
de SoUrcing
H basicamente duas linhas principais de modelos de gerenciamento para
sourcing, tanto do ponto de vista do provedor do servio como do cliente
(comprador de servios).
Essas duas linhas so representadas pelos modelos desenvolvidos pelo ITs-
qc (Information Technology Services Qualifcation Center) e pelo Software Engi-
neering Institute. O primeiro desenvolveu os modelos eSCM-SP e eSCM-CL
e o segundo, o CMMI for Acquisition.
Neste captulo, apresentaremos um resumo desses modelos.
11.1 escm-sP
11.1.1 histrico do modelo
O eSCM-SP ou Te eSourcing Capability Model for Service Providers um
modelo orientado exclusivamente para operaes de sourcing, que atende no
somente a servios de TI, mas a outros servios que usam a tecnologia da
informao.
Sua primeira verso de novembro de 2001. A verso atual (2.01) foi
desenvolvida por um consrcio de empresas e instituies lideradas pela Car-
negie Mellon University, a mesma universidade que administra o Software En-
gineering Institute, mantenedor do CMMI, e publicada em 2006.
Este modelo contou com uma vigorosa participao brasileira, atravs da
Coordenao dos Programas de Ps-Graduao em Engenharia (COPPE), da
Modelos para Gerenciamento de Sourcing 431
Universidade Federal do Rio de Janeiro, instituio que fez parte do consrcio
que mantinha o eSCM-SP.
Para o desenvolvimento, a manuteno e a evoluo do modelo foi criado
o Information Technology Services Qualifcation Center ITsqc (vide Hyder,
Heston & Paulk, 2004).
Em 2009, o ITsqc recebeu uma licena da Carnegie Mellon e tornou-se
uma frma independente desta Universidade. Em 2011, frmou convnio com
a International Association of Outsourcing Professionals - IAOP para manter o
esquema de certifcao do modelo.
11.1.2 objetivos do modelo
Os objetivos do modelo so:
Fornecer aos provedores de servios orientao para melhorar a sua
capacidade ao longo do ciclo de sourcing.
Prover aos clientes meios objetivos de avaliar a capacidade do forne-
cedor de servios.
Fornecer um padro para que os fornecedores se diferenciem dos
competidores.
Este modelo, assim como o CMMI, exige reavaliaes peridicas e tam-
bm mantm credenciamentos para avaliadores certifcados, consultores e
instrutores.
11.1.3 estruturA do modelo
O modelo composto por 84 prticas (melhores prticas) organizadas ao
longo de um ciclo de vida do sourcing, agrupadas por rea de capacitao e
nvel de capacitao.
Ciclo de sourcing
O ciclo de sourcing composto pelas seguintes fases: ongoing, iniciao,
entrega e encerramento (completion).
432 Implantando a Governana de TI 3 edio
A fase ongoing ocorre ao longo de todo o ciclo de sourcing, representando as
funes gerenciais necessrias em todo o ciclo. Esta fase abrange:
Gerenciar e motivar as pessoas para entrega efetiva dos servios.
Gerenciar os relacionamentos com clientes, fornecedores e parceiros
de negcios.
Medir e rever o desempenho organizacional e tomar ao corretiva
para melhorar o desempenho.
Gerenciar a informao e o conhecimento, de forma que as pessoas
possam us-los para desempenhar seu trabalho.
Identifcar e controlar ameaas habilidade da organizao para aten-
der seus objetivos e os requisitos dos clientes.
Gerenciar a infraestrutura de tecnologia usada para apoiar a entrega
dos servios.
A fase de iniciao contempla:
Preparar a negociao das posies da organizao prestadora de ser-
vios (inclusive preo).
Entender os requisitos do cliente.
Analisar a habilidade da empresa para atender aos requisitos do cliente.
Discutir junto ao cliente as premissas do trabalho.
Estabelecer um acordo formal com o cliente.
Gerenciar a transferncia dos recursos necessrios para a entrega dos
servios.
Articular claramente a especifcao dos servios a serem prestados.
Verifcar se o projeto dos servios est atendendo aos requisitos acor-
dados com o cliente.
Gerenciar o projeto e a implantao do servio.
A fase de entrega contempla:
Planejar e controlar a entrega dos servios.
Entregar os servios conforme os requisitos acordados com o cliente.
Modelos para Gerenciamento de Sourcing 433
Prover treinamento para os clientes e usurios fnais, de forma que
possam usar adequadamente os servios.
Gerenciar os aspectos fnanceiros associados com a entrega dos
servios.
Identifcar e controlar mudanas nos servios em relao ao que foi
acordado.
Identifcar problemas que afetam os servios e tomar aes corretivas
e preventivas.
A fase de encerramento contempla:
Gerenciar a transferncia dos servios para outro provedor de
servios.
Assegurar a continuidade dos servios durante a transferncia dos
servios.
Identifcar e transferir capital intelectual para a entrega do servio.
reas de capacitao
As reas de capacitao representam o agrupamento lgico das prticas
associadas ao ciclo de sourcing e servem para demonstrar a capacitao do
provedor do servio.
O modelo contm dez reas de capacitao (descritas em termos de seus
principais componentes):
Gesto do conhecimento: demonstrao do comprometimento com
o compartilhamento de conhecimento, poltica especfca, gesto dos
ativos de processo, controle de confgurao dos produtos de trabalho
e manuteno de lies aprendidas.
Gesto de pessoas: demonstrao do comprometimento na participa-
o das pessoas na tomada de deciso, desenvolvimento de carreira,
fornecimento de ambiente de trabalho adequado, defnio clara de
papis e responsabilidades, identifcao de necessidades de compe-
tncias e seu desenvolvimento, contratao de pessoal e fornecimento
de avaliao de desempenho peridico para o pessoal.
434 Implantando a Governana de TI 3 edio
Gesto do desempenho: defnio dos objetivos organizacionais e
sua avaliao, estabelecimento de programas organizacionais, iden-
tifcao e implantao de melhorias de desempenho, medio da
capacidade da empresa como base para a melhoria, realizao de
benchmarking, fornecimento de recursos para a avaliao do desem-
penho e implantao das inovaes em toda a empresa de forma a
melhorar o desempenho global.
Gesto do relacionamento: gerenciamento do relacionamento com o
cliente, fornecedores e parceiros, gerenciamento das interaes com os
clientes, seleo de fornecedores e parceiros com base em sua capacidade
de atender aos requisitos e avaliar seu desempenho, obteno de feedback
do cliente para melhorar o relacionamento e identifcao de oportuni-
dades para adicionar valor ao cliente e aos fornecedores e parceiros.
Gesto da tecnologia: gerenciamento da aquisio de tecnologia, im-
plantao de tecnologia, integrao da infraestrutura tecnolgica da
organizao com a do cliente e de outros fornecedores, gerenciamen-
to das tecnologias licenciadas e otimizao do desempenho da infra-
estrutura tecnolgica.
Gesto de ameaas: demonstrao de compromisso com polticas de
gesto de riscos, identifcao, controle e avaliao de riscos, gesto
da segurana, propriedade intelectual, preparao para recuperao
de desastres, gesto da recuperao de desastres e monitoramento de
requisitos de compliance.
Contratao: preparao para negociao, entendimento dos requisitos
do cliente, anlise da capacidade da organizao para atender s neces-
sidades e requisitos do cliente, trabalho em conjunto com o cliente para
determinar premissas dos servios e estabelecer um acordo formal.
Projeto e implantao do servio: especifcao dos servios a serem
fornecidos, obteno de feedback do projeto do servio para verifcar
se est atendendo s especifcaes, gerenciamento do projeto do ser-
vio e sua implantao.
Entrega do servio: planejamento e monitoramento das atividades de
entrega dos servios, entrega dos servios de acordo com os requisitos,
fornecimento de treinamentos para os clientes e usurios fnais para
uso dos servios, gerenciamento dos aspectos fnanceiros dos servios,
identifcao e controle das mudanas nos servios e identifcao de
problemas que possam impactar os servios.
Modelos para Gerenciamento de Sourcing 435
Transferncia do servio: gerenciamento da transferncia dos recursos
para a operao de sourcing, transferncia de recursos de volta para o
cliente ou para outro provedor de servio, garantia de continuidade
de servio durante a transferncia de recursos e identifcao e trans-
ferncia do capital intelectual crtico para os servios.
Nveis de capacitao
Da mesma forma que outros modelos, este tambm tem cinco nveis de
capacitao, que mostram o caminho de evoluo do fornecedor de servios
rumo excelncia em servios. Esses nveis so:
Nvel 1 Provedor de Servios: pode ter algumas prticas do modelo,
mas geralmente promete mais do que pode cumprir.
Nvel 2 Atendendo Consistentemente os Requisitos: fornece de
forma consistente os servios de acordo com os requisitos do cliente,
sabe como defnir os requisitos, como implantar e entregar os servios
e realiza todas as prticas do nvel 2.
Nvel 3 Gerenciamento do Desempenho Organizacional: tem capaci-
dade de prover os servios (mesmo que sejam diferentes de sua experin-
cia passada), gerencia o desempenho por toda a organizao, sabe como
identifcar riscos na aceitao dos servios, projeta e implanta os servios
de acordo com procedimentos, gerencia a infraestrutura tecnolgica, ge-
rencia o conhecimento, mede e premia o desempenho das pessoas. Est
sempre melhorando o desempenho dos servios (embora as melhorias
ainda sejam reativas) e realiza todas as prticas dos nveis 2 e 3.
Nvel 4 Fornecendo Valor Proativamente: inova nos servios para os
clientes, sendo capaz de personalizar os servios para os clientes e demais
interessados, entende as necessidades do negcio do cliente, est sempre
incorporando avanos tecnolgicos, estabelece objetivos a partir de anli-
ses estratgicas e benchmarking. Geralmente planeja, implanta e controla
suas prprias melhorias e atende a todas as prticas dos nveis 2, 3 e 4.
Nvel 5 Sustentando a Excelncia: mantm a excelncia em servios,
executando as prticas dos nveis 2, 3 e 4 durante duas ou mais avaliaes
de certifcao consecutivas, em um perodo de pelo menos dois anos.
436 Implantando a Governana de TI 3 edio
A relao entre o ciclo de sourcing, reas de capacitao e nveis de capacitao
A Figura 11.1 mostra o relacionamento entre as trs dimenses do eSCM-SP.
C
i
c
l
o

d
e

V
i
d
a

d
o
S
o
u
r
c
i
n
g
N

v
e
i
s

d
e

C
a
p
a
c
i
t
a

o
reas de Capacitao
Figura 11.1 As dimenses do eSCM-SP
Fonte: Hyder, Heston & Paulk (2006)
Uma mesma rea de capacitao pode estar em mais de uma fase do ciclo
de sourcing e em mais de um nvel de capacitao. Isto acontece porque as
prticas que constituem uma rea de capacitao esto distribudas ao longo
do ciclo de sourcing e pelos nveis de capacitao.
A Tabela 11.1 relaciona as prticas das reas de capacitao com os nveis
de capacitao.
Nveis de
capacitao
reas de capacitao Prtica
Nvel 2 Gesto do conhecimento Fornecimento da informao requerida.
Controle de mudana e verso.
Consumo de recursos.
Gesto de pessoas Ambiente de trabalho.
Atribuio de responsabilidades.
Competncias do pessoal.
Modelos para Gerenciamento de Sourcing 437
Nveis de
capacitao
reas de capacitao Prtica
Nvel 2 Gesto do desempenho Objetivos da operao.
Verifcao de processos.
Recursos adequados.
Gesto do relacionamento Interaes com os clientes.
Seleo de fornecedores e parceiros.
Gesto de fornecedores e parceiros.
Gesto da tecnologia Aquisio de tecnologia.
Licenciamento de tecnologias.
Controle da tecnologia.
Integrao da tecnologia.
Gesto de ameaas Gesto de risco.
Riscos da operao.
Segurana.
Propriedade intelectual.
Compliance.
Recuperao de desastre.
Contratao Precifcao.
Confrmao das condies existentes.
Plano de negociaes.
Obteno de requisitos.
Reviso de requisitos.
Resposta aos requisitos.
Papis no contrato.
Criar contratos.
Aditivos contratuais.
Projeto e implantao do
servio
Comunicao dos requisitos.
Plano do projeto e da implantao.
Especifcao do servio.
Projeto do servio.
Feedback do projeto.
Implantao do servio.
Entrega do servio Plano de entrega do servio.
Treinamento de clientes.
Entrega do servio.
Verifcao de compromissos com o servio.
Correo de problemas.
Modifcaes nos servios.
Gesto fnanceira.
Transferncia dos servios Transferncia de recursos para a operao.
Transferncia de pessoal para a operao.
Transferncia de recursos da operao.
Transferncia de pessoal da operao.
438 Implantando a Governana de TI 3 edio
Nveis de
capacitao
reas de capacitao Prtica
Nvel 3 Gesto do conhecimento Sistema de conhecimento.
Ativos de processos.
Conhecimento de outras operaes.
Reutilizao.
Gesto de pessoas Participao e tomada de deciso.
Defnio de papis.
Competncias da fora de trabalho.
Plano e realizao de treinamento.
Avaliao de desempenho.
Desenvolvimento de carreiras.
Recompensas.
Gesto do desempenho Objetivos organizacionais.
Reviso do desempenho organizacional.
Realizao de melhorias.
Gesto do relacionamento Adequao cultural.
Informao dos interessados.
Relacionamentos com clientes.
Relacionamentos com fornecedores e parceiros.
Gesto da tecnologia Otimizao da tecnologia.
Gesto de ameaas Riscos entre operaes da organizao.
Contratao Negociaes.
Informaes de mercado.
Projeto e implantao do
servio
Projeto e implantao do servio.
Verifcao do projeto.
Entrega do servio Preveno de problemas conhecidos.
Transferncia de servios Continuidade do servio.
Nvel 4 Gesto do conhecimento Compartilhamento do conhecimento.
Gesto de pessoas Incentivo inovao.
Gesto do desempenho Atendimento dos objetivos organizacionais.
Criao de baselines do desempenho.
Benchmarking.
Preveno de problemas potenciais.
Implantao de inovaes.
Gesto do relacionamento Criao de valor.
Gesto da tecnologia Introduo proativa de tecnologias.
Transferncia de servios Transferncia de conhecimento da operao.
Tabela 11.1 eSCM-SP: Prticas por nveis de capacitao
Adaptado de: Hyder, Heston & Paulk (2006)
Modelos para Gerenciamento de Sourcing 439
11.1.4 APlicAbilidAde do modelo
O eSCM-SP aplica-se a fornecedores de servios que utilizam a tecnologia
da informao de forma intensiva, tais como:
Servios de engenharia.
Captura de dados.
Centrais de servios.
Compras.
Recursos humanos.
Servios fnanceiros e contabilidade.
Application service providers.
Data centers.
Manuteno de computadores.
Desenvolvimento e gesto de aplicaes.
Suporte de redes e telecomunicaes.
11.1.5 benefcios do modelo
Os principais benefcios com a adoo do modelo pelos fornecedores de
servios so:
Estabelecer e manter a confana entre as partes.
Gerenciar as expectativas das partes.
Traduzir necessidades implcitas e explcitas em requisitos defnidos
com nvel de qualidade acordado.
Estabelecer contratos bem defnidos.
Rever o desdobramento dos servios para assegurar a cobertura dos
requisitos.
Assegurar a efccia das interaes com os interessados relevantes.
Gerenciar comprometimentos.
Assegurar compliance com requisitos de regulao externos e internos.
Gerenciar os aspectos de segurana requeridos pelo cliente.
Gerenciar diferenas culturais.
440 Implantando a Governana de TI 3 edio
Monitorar e controlar as atividades para, de forma consistente, aten-
der aos compromissos assumidos com o cliente e a organizao.
Monitorar a satisfao do cliente e dos usurios fnais.
Construir e manter competncias dos profssionais.
Gerenciar a satisfao, motivao e reteno de profssionais.
Manter um bom ambiente de trabalho.
Manter-se competitivo.
Ser inovador e fexvel para atender necessidades nicas dos clientes.
Gerenciar rapidamente mudanas tecnolgicas.
Capturar e usar conhecimento.
Transferir de forma segura e ordenada os servios prestados.
Manter a continuidade dos servios.
11.1.6 certificAes relAcionAdAs
Uma organizao provedora de servios pode obter uma Certifcao de
nvel de capacitao, a partir de uma avaliao externa executada por uma
organizao autorizada pelo ITsqc.
A tabela 11.2, a seguir, mostra os Mtodos de Determinao de Capacita-
o do modelo.
Autoavaliao Avaliao Avaliao para certifcao
FULL Propsito Para avaliar o progresso
do esforo de melhoria;
criar baseline ou prover
uma prontido visando
uma certifcao.
Obter uma avaliao
independente da
implementao do
modelo.
Para diferenciar-se e
ser verifcado de forma
independente e publicar o
nvel de capacitao obtido.
Resultado Um perfl das prticas
fornecido para
a organizao, o
patrocinador e o ITsqc;
no necessria uma
certifcao pelo ITsqc.
Um perfl das prticas
fornecido para
a organizao, o
patrocinador e o ITsqc;
no necessria uma
certifcao pelo ITsqc.
Certifcao pelo ITsqc de um
nvel de capacitao; o perfl
das prticas fornecido para
a organizao, o patrocinador
e o ITsqc.
Equipe Interna, externa ou
combinao. Todos
devem ser treinados no
modelo e no mtodo.
Externo. Todos tm que
ser autorizados pelo
ITsqc.
Externo. Todos tm que ser
autorizados pelo ITsqc.
Modelos para Gerenciamento de Sourcing 441
Autoavaliao Avaliao Avaliao para certifcao
Determinao
do Lder da
Equipe
Deve ser um candidato
ou um Avaliador Lder
autorizado.
Avaliador Lder
Autorizado requerido.
Avaliador Lder Autorizado
requerido.
Patrocinador Fornecedor de servio
ou o cliente.
Fornecedor de servio
ou o cliente.
Fornecedor de servio ou o
cliente.
Escopo do
modelo
Todas as prticas. Todas as prticas. Todas as prticas.
Autoavaliao Avaliao
Avaliao para
certifcao
MINI Propsito Para lanar ou verifcar
progresso do esforo.
Para rapidamente e
economicamente, e de forma
independente, obter uma
verifcao de capacidade para um
conjunto reduzido de prticas.
Resultado Perfl das prticas
fornecido para
a organizao, o
patrocinador e o
ITsqc; nenhum rating
de capacidade
fornecido.
Perfl das prticas fornecido para
a organizao, o patrocinador
e o ITsqc; nenhum rating de
capacidade fornecido.
Equipe Interna, externa
ou combinao.
Todos devem ser
treinados no modelo
e no mtodo de
determinao de
capacitao.
Externa e todos devem ser
autorizados pelo ITsqc.
Determinao
do Lder da
Equipe
Deve ser um candidato
ou um Avaliador Lder
autorizado.
Somente um Avaliador Lder
Autorizado.
Patrocinador Fornecedor de
servios ou o cliente.
Fornecedor de servios ou o
cliente.
Escopo do
modelo
Qualquer conjunto das
prticas.
Qualquer conjunto das prticas.
Tabela 11.2 Mtodos de determinao de capacitao
Fonte: Hyder, Heston & Paulk (2006)
A certifcao feita por um Lead Evaluator credenciado, que faz parte de
uma organizao autorizada.
O ITsqc tambm credencia organizaes para fornecerem treinamentos no
modelo atravs de instrutores autorizados.
442 Implantando a Governana de TI 3 edio
11.2 escm-cl
11.2.1 histrico do modelo
O eSCM-CL ou Te eSourcing Capability Model for Client Organizations
comeou a ser desenvolvido em 2003, motivado pelo fato de que um bom
sourcing requer que as melhores prticas tambm sejam seguidas pelo compra-
dor de servios e no s pelo fornecedor.
Durante o seu desenvolvimento, uma srie de modelos foi analisada para
identifcar sua aplicabilidade para a questo de gesto do sourcing. Vrias or-
ganizaes e instituies foram consultadas.
Em setembro de 2003, foi realizado um workshop onde foram obtidas su-
gestes e recomendaes da comunidade (pesquisadores, organizaes e ins-
tituies).
Em 2004, vrias entrevistas foram realizadas com organizaes diretamen-
te envolvidas com o sourcing, visando identifcar pontos importantes na sua
gesto. A partir das entrevistas e workshops o modelo comeou a ser desen-
volvido. Em fevereiro de 2005, foi realizado o quarto workshop, focado na
defnio de reas de Capacitao e identifcao das prticas em cada rea
de Capacitao.
Ainda em 2005, foi publicado o primeiro draft do modelo, para fns de
avaliao e obteno de sugestes e recomend